Microsoft schließt drei gravierende Sicherheitslücken in Outlook

Die Sicherheitslücken stecken in Outlook 2007, Outlook 2010, Outlook 2013 und Outlook 2016. Microsoft stuft die Updates als wichtig ein und verteilt sie außerhalb des planmäßigen, monatlichen Patchdays über Windows Update. Das CERT-Bund stuft das von den Lücken ausgehende Risiko als “hoch” ein.

Microsoft verteilt für Outlook 2007, 2010, 2013 und 2016 außerplanmäßige Sicherheits-Updates. Das Unternehmen stuft sie als „wichtig“ ein und gibt in seiner Wissensdatenbank dazu jeweils ausführlichere Hinweise. Verteilt wird das Update automatisch über Windows Update. Dazu müssen automatische Updates aktiviert sein. Alternativ können Anwender den Weg über den Microsoft Update Catalog oder das Microsoft Download Center gehen.

Bisher sind Microsoft noch keine Angriffe auf die Lücken bekannt. Nutzer sollten die Updates aber dennoch umgehend einspielen, das zu erwarten ist, dass sich Angreifer die Informationen des Updates zunutze machen, um ungeachtet Rechner dann über die Lücken anzugreifen. In den jeweiligen Knowlege-Base-Artikeln für Outlook 2016, Outlook 2013, Outlook 2010 und Outlook 2007 nennt Microsoft Details zu den Schwachstellen und gibt Hinwiese, wie sie sich beheben lassen.

Das CERT Bund stuft das von den drei Lücken in Outlook ausgehende Risiko ebenfalls als „hoch“ ein. Sie lassen sich offenbar bereits ausnutzen, wenn Angreifer Nutzer überzeugen können, eine Datei im Anhang zu öffnen. Wie zahlreiche Malware-Attacken in der Vergangenheit gezeigt haben, ist das trotz zahlreicher Warnungen, diesbezüglich vorsichtig zu sein, vergleichsweise einfach möglich.

Um die Schwachstellen mit den nun verfügbaren Aktualisierungen beheben zu können, müssen laut CERT Bund die entsprechenden Release-Versionen von Microsoft Office installiert sind. „Dies sind Microsoft Office 2007 SP3, Microsoft Office 2010 SP2, Microsoft Office 2013 SP1 und Microsoft Office 2016. Zusätzlich stehen neue Versionen von Microsoft Office 2010, 2013 und 2016 Click-To-Run zur Verfügung“, teilt die Behörde mit.

Die mit der Kennung CVE-2017-8663 bezeichnete Lücke erlaubt es mit einer entsprechend manipulierten Datei Speicherfehler zu verursachen. Angreifer können dann beliebigen eigenen Code ausführen. Die nun ebenfalls geschlossene Lücke CVE-2017-8571 ermöglicht es Unbefugten, Sicherheitsmechanismen zu umgehen. Danach können sie auf dem angegriffenen Rechner aus der Ferne Befehle ausführen. Die Lücke mit der Kennung CVE-2017-8572 könnten Angreifer ausnutzen, um Informationen aus dem Speicher auszulesen.

WEBINAR

Von Software Defined bis Composable – Neue Architekturansätze im Datacenter

Florian Bettges von HPE erläutert in diesem Webinar, wie Unternehmen von hybriden IT-Konzepten profitieren können. Dabei geht er auf die Vorteile der einzelnen Ansätze ein und stellt Konzepte vor, wie die unterschiedlichen Ansätze in Zukunft in hybriden IT-Konzepten ineinander fließen. Jetzt registrieren und Webinaraufzeichnung ansehen.

Themenseiten: E-Mail, Microsoft, Sicherheit

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Microsoft schließt drei gravierende Sicherheitslücken in Outlook

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *