Bundesamt für Sicherheit in der Informationstechnik

Technische Warnung

11.10.2017 - TW-T17-0117

Microsoft Sicherheitsupdates im Oktober 2017

Art der Meldung: Warnmeldung

Risikostufe 4

Betroffene Systeme:

  • ChakraCore
  • Microsoft Edge
  • Microsoft Internet Explorer 9
  • Microsoft Internet Explorer 10
  • Microsoft Internet Explorer 11
  • Microsoft Lync 2013 SP1 x64
  • Microsoft Lync 2013 SP1 x86
  • Microsoft Office 2010 SP2 x64
  • Microsoft Office 2010 SP2 x86
  • Microsoft Office 2013 RT SP1
  • Microsoft Office 2013 SP1 x64
  • Microsoft Office 2013 SP1 x86
  • Microsoft Office 2016 Click-to-Run (C2R) für 64-Bit-Editionen
  • Microsoft Office 2016 Click-to-Run (C2R) für 32-Bit-Editionen
  • Microsoft Office 2016 Mac
  • Microsoft Office 2016 x64
  • Microsoft Office 2016 x86
  • Microsoft Office Compatibility Pack SP3
  • Microsoft Office Online Server 2016
  • Microsoft Office Web Apps Server 2010 SP2
  • Microsoft Office Web Apps Server 2013 SP1
  • Microsoft Office Word Viewer
  • Microsoft Outlook 2010 SP2 x64
  • Microsoft Outlook 2010 SP2 x86
  • Microsoft Outlook 2013 SP1 x86
  • Microsoft Outlook 2013 SP1 x64
  • Microsoft Outlook 2013 RT SP1
  • Microsoft Outlook 2016 x64
  • Microsoft Outlook 2016 x86
  • Microsoft Sharepoint Server Enterprise 2013 SP1
  • Microsoft Sharepoint Server Enterprise 2016
  • Microsoft Skype for Business 2016 x64
  • Microsoft Skype for Business 2016 x86
  • Microsoft Word 2007 SP3
  • Microsoft Word 2010 SP2 x64
  • Microsoft Word 2010 SP2 x86
  • Microsoft Word 2013 RT SP1
  • Microsoft Word 2013 SP1 x64
  • Microsoft Word 2013 SP1 x86
  • Microsoft Word 2016 x64
  • Microsoft Word 2016 x86
  • Microsoft Word Automation Services unter Microsoft SharePoint Server 2010 SP2
  • Microsoft Word Automation Services unter Microsoft SharePoint Server 2013 SP1
  • Apple Mac OS X
  • macOS Sierra
  • Microsoft Windows
  • Microsoft Windows 7 SP1 x64
  • Microsoft Windows 7 SP1 x86
  • Microsoft Windows 8.1 x64
  • Microsoft Windows 8.1 x86
  • Microsoft Windows 10 x64
  • Microsoft Windows 10 x86
  • Microsoft Windows 10 x64 v1511
  • Microsoft Windows 10 x86 v1511
  • Microsoft Windows 10 x64 v1607
  • Microsoft Windows 10 x86 v1607
  • Microsoft Windows 10 x64 v1703
  • Microsoft Windows 10 x86 v1703
  • Microsoft Windows RT 8.1
  • Microsoft Windows Server 2008 SP2 x64 Server Core Installation
  • Microsoft Windows Server 2008 SP2 x86 Server Core Installation
  • Microsoft Windows Server 2008 SP2 Itanium
  • Microsoft Windows Server 2008 SP2 x64
  • Microsoft Windows Server 2008 SP2 x86
  • Microsoft Windows Server 2008 R2 SP1 x64 Server Core Installation
  • Microsoft Windows Server 2008 R2 SP1 Itanium
  • Microsoft Windows Server 2008 R2 SP1 x64
  • Microsoft Windows Server 2012
  • Microsoft Windows Server 2012 Server Core Installation
  • Microsoft Windows Server 2012 R2
  • Microsoft Windows Server 2012 R2 Server Core Installation
  • Microsoft Windows Server 2016
  • Microsoft Windows Server 2016 Server Core Installation

Empfehlung:

Installieren Sie die Sicherheitsupdates möglichst zeitnah über die Windows-Update-Funktion, um vor einer Ausnutzung der Sicherheitslücken geschützt zu sein. Alternativ können Sie die Sicherheitsupdates auch von der Microsoft-Webseite herunterladen (siehe Referenzen). Microsoft empfiehlt generell die Verwendung automatischer Updates.

Beschreibung:

ChakraCore ist das Kernelement der Chakra JavaScript-Engine, die Microsoft Edge antreibt. Microsoft Edge ist der neue Standard-Webbrowser, welcher mit Windows 10 ausgeliefert wird und als Nachfolger des Microsoft Internet Explorers Bestandteil des Betriebssystems Windows 10 ist.Der Windows Internet Explorer von Microsoft ist ein Webbrowser für das Betriebssystem Windows.Microsoft Lync ist ein Instant-Messaging-Client für die Kommunikation mit dem MS Lync Server, welcher sich in Microsoft-Exchange-Umgebungen integrieren lässt.Microsoft Office ist ein Paket von Bürosoftware für die Betriebssysteme Microsoft Windows und Mac OS X. Für unterschiedliche Aufgabenstellungen werden verschiedene sogenannte Editionen angeboten, die sich in den enthaltenen Komponenten, dem Preis und der Lizenzierung unterscheiden.Der Microsoft Office Compatibility Pack ermöglicht älteren MS Office Versionen das Öffnen, Editieren und Speichern von Dokumenten, die mit MS Office 2007 und 2010 erstellt wurden.Der Microsoft Office Online Server ermöglicht die Bereitstellung von browserbasierten Office-Produkten.Microsoft Office Web Apps Server ist die Server gestützte, über Browser nutzbare Version von MS Word, PowerPoint, Excel und OneNote. Konzipiert für Unternehmen mit zentraler Microsoft Server-Infrastruktur.Der Microsoft Office Word Viewer ist ein eigenständiges Programm zum Lesen und Drucken beliebiger Office Dokumente ohne installiertes Microsoft Office Paket.Microsoft Outlook ist ein als Personal Information Manager (PIM) bezeichneter E-Mail-Client für Windows und Mac.SharePoint Server ist ein Produkt der Firma Microsoft für die virtuelle Zusammenarbeit von Benutzern unter einer Weboberfläche mit einer gemeinsamen Daten- und Informationsablage.Skype for Business (vormals Microsoft Lync) ist eine Kommunikations- und Kollaborationsplattform für Sofortnachrichten, Audio- und Videoanrufen, Online-Meetings und einige weitere Funktionen. Microsoft Skype for Business Basic ist der frei verfügbare Client.Microsoft Word ist die Textverarbeitungssoftware des MS Office-Paketes.Word-Automatisierungsdienste ist eine neue SharePoint Server 2010-Technologie, die die unbeaufsichtigte serverseitige Konvertierung von Dokumenten ermöglicht, die von Microsoft Word unterstützt werden.Microsoft Windows ist ein graphisches Betriebssystem des Unternehmens Microsoft.Microsoft schließt mit den Updates für Oktober 2017 zahlreiche Sicherheitslücken, die zum Teil schwerwiegende Auswirkungen haben können. Die Sicherheitslücken ermöglichen es einem Angreifer aus dem Internet, aber auch Angreifern mit Zugriff auf Ihren Computer, beliebige Programme oder Programmbefehle mit den Rechten eines angemeldeten Benutzers auszuführen. Je mehr Rechte der angegriffene Benutzer für seine Arbeit verwendet, desto gravierender sind die Schäden, die ein Angreifer über die Sicherheitslücken anrichten kann. Das Umgehen von intendierten Schutzmechanismen, das Ausspähen eventuell sensibler Informationen, die Darstellung falscher Informationen und auch die Unterbrechung der Verfügbarkeit des betroffenen Systems sind weitere Angriffe, die über die jetzt publizierten Sicherheitsanfälligkeiten möglich sind. Besonders im Fokus für Privatanwender steht in diesem Monat eine bereits aktiv ausgenutzte Sicherheitslücke in aktuellen Versionen von Microsoft Office, durch die ein Angreifer mit Hilfe von Office-Dokumenten (Word, Excel, ...) ein System schädigen kann. Solche Dokumente werden oft in Phishing-Kampagnen eingesetzt. Eine weitere Sicherheitslücke in Outlook 2016 ermöglicht es einem Angreifer aus dem Internet, von Ihnen verschlüsselte Emails zu lesen. Weitere kritische Sicherheitslücken sind für den Internet Explorer, den Browser Edge und die interne Komponente zur Grafikdarstellung in Windows behoben worden. Microsoft stellt darüber hinaus mehrere Updates zur Verfügung, die Sicherheitsfunktionen von Microsoft Produkten verbessern sollen. Unter anderem steht ein solches 'Defense in Depth' Update für Microsoft Office zur Verfügung.

Zusammenfassung:

Microsoft veröffentlicht mit dem Oktober 2017 Patchtag Sicherheitsupdates für mehrere Produkte. Sicherheitsupdates stehen unter anderem für den Browser Edge und dessen Bestandteil Chakra Core, für die derzeit unterstützten Versionen des Internet Explorers, Microsoft Office und seine Module, Microsoft Office Services und Web Apps, Skype for Business und Lync sowie alle aktuell unterstützten Windows-Versionen zur Verfügung.