Bundesamt für Sicherheit in der Informationstechnik

Technische Warnung

10.01.2018 - TW-T18-0008

Microsoft Sicherheitsupdates im Januar 2018

Art der Meldung: Warnmeldung

Risikostufe 4

Betroffene Systeme:

  • Adobe Flash Player
  • .NET Core 1.0
  • .NET Core 1.1
  • .NET Core 2.0
  • Microsoft .NET Framework 2.0 SP2
  • Microsoft .NET Framework 3.0 SP2
  • Microsoft .NET Framework 3.5
  • Microsoft .NET Framework 3.5.1
  • Microsoft .NET Framework 4.5.2
  • Microsoft .NET Framework 4.6
  • Microsoft .NET Framework 4.6.1
  • Microsoft .NET Framework 4.6.2
  • Microsoft .NET Framework 4.7
  • Microsoft .NET Framework 4.7.1
  • ASP.NET Core 2.0
  • ChakraCore
  • Microsoft Edge
  • Microsoft Excel 2007 SP3
  • Microsoft Excel 2010 SP2 x64
  • Microsoft Excel 2010 SP2 x86
  • Microsoft Excel 2013 RT SP1
  • Microsoft Excel 2013 SP1 x64
  • Microsoft Excel 2013 SP1 x86
  • Microsoft Excel 2016 Click-to-Run (C2R) für 64-Bit-Editionen
  • Microsoft Excel 2016 Click-to-Run (C2R) für 32-Bit-Editionen
  • Microsoft Excel 2016 x64
  • Microsoft Excel 2016 x86
  • Microsoft Excel Viewer 2007 SP3
  • Microsoft Internet Explorer 11
  • Microsoft Office 2007 SP3
  • Microsoft Office 2010 SP2 x64
  • Microsoft Office 2010 SP2 x86
  • Microsoft Office 2013 RT SP1
  • Microsoft Office 2013 SP1 x64
  • Microsoft Office 2013 SP1 x86
  • Microsoft Office 2016 Click-to-Run (C2R) für 64-Bit-Editionen
  • Microsoft Office 2016 Click-to-Run (C2R) für 32-Bit-Editionen
  • Microsoft Office 2016 Mac
  • Microsoft Office 2016 x64
  • Microsoft Office 2016 x86
  • Microsoft Office Compatibility Pack SP3
  • Microsoft Office Online Server 2016
  • Microsoft Office Web Apps 2010 SP2
  • Microsoft Office Web Apps Server 2013 SP1
  • Microsoft Office Word Viewer
  • Microsoft Outlook 2007 SP3
  • Microsoft Outlook 2010 SP2 x64
  • Microsoft Outlook 2010 SP2 x86
  • Microsoft Outlook 2013 SP1 x86
  • Microsoft Outlook 2013 SP1 x64
  • Microsoft Outlook 2013 RT SP1
  • Microsoft Outlook 2016 x64
  • Microsoft Outlook 2016 x86
  • Microsoft Sharepoint Foundation 2010 SP2
  • Microsoft Sharepoint Server 2010 SP2
  • Microsoft Sharepoint Server Enterprise 2013 SP1
  • Microsoft Sharepoint Server Enterprise 2016
  • Microsoft Word 2007 SP3
  • Microsoft Word 2010 SP2 x64
  • Microsoft Word 2010 SP2 x86
  • Microsoft Word 2013 RT SP1
  • Microsoft Word 2013 SP1 x64
  • Microsoft Word 2013 SP1 x86
  • Microsoft Word 2016 x64
  • Microsoft Word 2016 x86
  • Apple macOS
  • Microsoft Windows
  • Microsoft Windows 7 SP1 x64
  • Microsoft Windows 7 SP1 x86
  • Microsoft Windows 8.1 x64
  • Microsoft Windows 8.1 x86
  • Microsoft Windows 10 x64
  • Microsoft Windows 10 x86
  • Microsoft Windows 10 x64 v1511
  • Microsoft Windows 10 x86 v1511
  • Microsoft Windows 10 x64 v1607
  • Microsoft Windows 10 x86 v1607
  • Microsoft Windows 10 x64 v1703
  • Microsoft Windows 10 x86 v1703
  • Microsoft Windows 10 x64 v1709
  • Microsoft Windows 10 x86 v1709
  • Microsoft Windows RT 8.1
  • Microsoft Windows Server v1709 (Server Core Installation)
  • Microsoft Windows Server 2008 SP2 Itanium
  • Microsoft Windows Server 2008 SP2 x64
  • Microsoft Windows Server 2008 SP2 x86
  • Microsoft Windows Server 2008 R2 SP1 x64 Server Core Installation
  • Microsoft Windows Server 2008 R2 SP1 Itanium
  • Microsoft Windows Server 2008 R2 SP1 x64
  • Microsoft Windows Server 2012
  • Microsoft Windows Server 2012 Server Core Installation
  • Microsoft Windows Server 2012 R2
  • Microsoft Windows Server 2012 R2 Server Core Installation
  • Microsoft Windows Server 2016
  • Microsoft Windows Server 2016 Server Core Installation

Empfehlung:

Microsoft empfiehlt allen Nutzern dringend eine umgehende Installation der verfügbaren Sicherheitsupdates wie auch die Installation eventuell zusätzlich verfügbarer Firmwareupdates für die betroffenen Mikroprozessoren. Microsoft empfiehlt generell die Verwendung automatischer Updates und die Verwendung aktueller kompatibler Sicherheitssoftware. Wenn Sie die automatischen Update-Funktion nicht nutzen, können Sie die Sicherheitsupdates von der Microsoft-Webseite herunterladen (siehe Referenzen).
Bitte beachten Sie die Hinweise des BSI bezüglich der Sicherheitsupdates im 'Spectre' und 'Meltdown'-Kontext und verifizieren Sie entsprechend den dortigen Hinweisen, dass die neuesten Updates wirklich erfolgreich installiert wurden.

Beschreibung:

Mit dem Flash Player werden multimediale aktive Inhalte wiedergegeben. Das Programm ist integraler Bestandteil zahlreicher Adobe Produkte.

.NET Core ist eine plattformunabhängige, quelloffene Software-Plattform der Microsoft .NET Plattform, die zur Entwicklung und Ausführung von Anwendungsprogrammen dient und auf GitHub frei verfügbar ist.

.NET (dot Net) ist eine Software-Plattform von Microsoft zur Entwicklung und Ausführung von Anwendungsprogrammen. Das Framework besteht aus einer Laufzeitumgebung, in der die Programme ausgeführt werden, einer Sammlung von Klassenbibliotheken, Programmierschnittstellen und Dienstprogrammen.

Microsoft ASP.NET Core ist ein quelloffenes Web Application Framework für die Entwicklung von Webseiten, Webanwendungen und Webservices, welches auch die Betriebssysteme Linux und Mac OS unterstützt.

ChakraCore ist das Kernelement der Chakra JavaScript-Engine, die Microsoft Edge antreibt.

Microsoft Edge ist der neue Standard-Webbrowser, welcher mit Windows 10 ausgeliefert wird und als Nachfolger des Microsoft Internet Explorers Bestandteil des Betriebssystems Windows 10 ist.

Microsoft Excel ist ein weit verbreitetes Tabellenkalkulationsprogramm.

Microsoft Excel Viewer ist eine Anwendung zum Öffnen, Anzeigen und Drucken von Excel-Dokumenten ohne Installation von MS Excel.

Der Windows Internet Explorer von Microsoft ist ein Webbrowser für das Betriebssystem Windows.

Microsoft Office ist ein Paket von Bürosoftware für die Betriebssysteme Microsoft Windows und Mac OS. Für unterschiedliche Aufgabenstellungen werden verschiedene sogenannte Editionen angeboten, die sich in den enthaltenen Komponenten, dem Preis und der Lizenzierung unterscheiden.

Der Microsoft Office Compatibility Pack ermöglicht älteren MS Office Versionen das Öffnen, Editieren und Speichern von Dokumenten, die mit MS Office 2007 und 2010 erstellt wurden.

Der Microsoft Office Online Server ermöglicht die Bereitstellung von browserbasierten Office-Produkten.

Microsoft Office Web Apps ist die Browser-basierte Version von Word, PowerPoint, Excel und OneNote. Konzipiert sowohl für Privatkunden wie Unternehmen.

Microsoft Office Web Apps Server ist die Server gestützte, über Browser nutzbare Version von MS Word, PowerPoint, Excel und OneNote. Konzipiert für Unternehmen mit zentraler Microsoft Server-Infrastruktur.

Der Microsoft Office Word Viewer ist ein eigenständiges Programm zum Lesen und Drucken beliebiger Office Dokumente ohne installiertes Microsoft Office Paket.

Microsoft Outlook ist ein als Personal Information Manager (PIM) bezeichneter E-Mail-Client für Windows und Mac.

SharePoint Foundation und SharePoint Server sind Produkte der Firma Microsoft für die virtuelle Zusammenarbeit von Benutzern unter einer Weboberfläche mit einer gemeinsamen Daten- und Informationsablage.

Microsoft Word ist die Textverarbeitungssoftware des MS Office-Paketes.

Microsoft Windows ist ein graphisches Betriebssystem des Unternehmens Microsoft.

Die schwerwiegendste der jetzt bekannt gewordenen Sicherheitslücken betrifft Microsoft Word und ermöglicht einem Angreifer aus dem Internet die komplette Übernahme Ihres Systems durch eine Datei vom Typ 'Rich Text Format' (RTF), die Sie herunterladen und öffnen oder die auf einer Webseite liegt, die Sie aufrufen. Diese Sicherheitslücke wird laut Herstellerangaben aktiv ausgenutzt. Auch die Sicherheitslücke im Adobe Flash Player wird von Microsoft als kritisch angesehen, diese Einschätzung deckt sich allerdings nicht mit der des Herstellers Adobe. Weitere schwerwiegende Sicherheitslücken in Outlook, Word, Excel und Office generell ermöglichen dem Angreifer ebenfalls die Übernahme der Kontrolle über Ihr System über schädliche Dateien, sind aber zum Teil schwerer auszunutzen. Eine der Sicherheitslücken betrifft speziell Microsoft Office für Mac, hierdurch kann der Angreifer gezielt Sicherheitssoftware außer Kraft setzen und sogenanntes 'Phishing' durchführen. Weitere Sicherheitslücken betreffen die Verfügbarkeit der Entwicklungswerkzeuge .NET und ASP.NET und zugehöriger Sicherheitsmechanismen.

Zu den in der vergangenen Woche veröffentlichten Sicherheitsupdates für die unter den Namen 'Spectre' und 'Meltdown' bekannten Schwachstellen gelten weiterhin die vom Hersteller am 03.01.2018 veröffentlichten Einschränkungen für Systeme mit Antivirensoftware (maschinell übersetzte Informationen und Informationen im Original anbei). Im Wesentlichen stehen die neuen Sicherheitsupdates nur automatisch zur Verfügung, wenn aktuelle und kompatible Sicherheitssoftware eingesetzt wird, da die Installation in einigen Fällen aufgrund von Kompatibilitätsproblemen zum Ausfall betroffener Systeme geführt hat (Blue Screen). Anwender ohne Antivirensoftware müssen in der Windows Registrierungsdatenbank (erreichbar über die Windows-Taste und die folgende Eingabe von 'regedit' in das erscheinende Suchfeld) einen bestimmten Wert anpassen, um das Update auszulösen. Hier ist besondere Vorsicht geboten, Änderungen an dieser Datenbank können das System unbrauchbar machen. Die Anpassung dieses Wertes wird auch automatisch von Antivirensoftware-Herstellern vorgenommen, diese bestätigen dadurch die Kompatibilität Ihrer Software. Der Hersteller Sophos hat beispielsweise darüber informiert, dass die dafür notwendigen Updates für die eigene Sicherheitssoftware ab dem 05. Januar 2018 ausgeliefert wurden. Auch für Systeme mit Prozessoren des Herstellers AMD hat Microsoft die Auslieferung von aktuellen Sicherheitsupdates kurzfristig eingestellt. Weitere Informationen dazu finden sich in den Hinweisen zu Microsoft Sicherheitsupdates im Januar 2018 unter der Rubrik 'Known Issues'.

Zur Prüfung des eigenen Systems auf die Sicherheitslücken 'Spectre' und 'Meltdown' steht ein PowerShell-Prüfwerkzeug zur Verfügung. Hinweise hierzu können Sie den BSI-Informationen entnehmen. Microsoft veröffentlicht hierzu nur wenige Hinweise, beispielsweise im 'Leitfaden für IT-Experten' zum Thema.

Darüber hinaus informiert Microsoft in einem Blog-Beitrag über durch die Sicherheitsupdates zu erwartende Leistungseinbußen.

Zusammenfassung:

Microsoft schließt mit den regulären Updates für Januar 2018 zahlreiche weitere Sicherheitslücken in Microsoft Office (insbesondere Excel, Outlook und Word), den Microsoft Office Services und Web Apps sowie Microsoft SharePoint, dem .NET Framework sowie dem .NET- und ASP-NET-Core. Auch für den Adobe Flash Player wird ein Sicherheitsupdate veröffentlicht. Diese neuen Sicherheitsupdates ergänzen die bereits vergangene Woche außerplanmäßig bereitgestellten Updates mit denen Sicherheitslücken in den Browsern Edge und Internet Explorer, der Browserkomponente ChakraCore, dem SQL Server und Microsoft Windows selbst angegangen wurden. Der Internet Explorer 11, Microsoft Edge und ChakraCore werden auch im Kontext der neu veröffentlichten Updates referenziert. Der Softwarehersteller weist darüber hinaus auf verschiedene Probleme hin, die mit den bisherigen Sicherheitsupdates für die unter den Namen 'Spectre' und 'Meltdown' bekannten Sicherheitslücken aufgetreten sind. Diese Probleme haben Microsoft dazu veranlasst, die Auslieferung von Sicherheitsupdates für Systeme mit dem Prozessortyp AMD kurzfristig einzustellen. Weiterhin werden neue Sicherheitsupdates nur ausgeliefert, wenn aktuelle eigene oder von Microsoft unterstützte Sicherheits- und Antivirensoftware eingesetzt wird. Die Einstellung der Sicherheitsupdates dient in diesen Fällen dem Schutz Ihres Systems, das durch die Installation der Updates Schaden nehmen könnte. Das BSI veröffentlicht zu den Hintergründen von 'Spectre' und 'Meltdown' und den daraus für Benutzer resultierenden, notwendigen Maßnahmen zum Schutz der eigenen Systeme detaillierte Informationen. Die für Benutzer von Windows-Systemen zu beachtenden, manuellen Schritte und ein empfohlenes Vorgehen im Fall, dass Updates nicht installiert werden, sind Teil dieser Information (siehe Referenzen anbei).