Bundesamt für Sicherheit in der Informationstechnik

Technische Warnung

14.03.2018 - TW-T18-0033

Microsoft Sicherheitsupdates im März 2018

Art der Meldung: Warnmeldung

Risikostufe 5

Betroffene Systeme:

  • Adobe Flash Player
  • Microsoft Access 2010 SP2 x64
  • Microsoft Access 2010 SP2 x86
  • Microsoft Access 2013 SP1 x64
  • Microsoft Access 2013 SP1 x86
  • Microsoft Access 2016 x64
  • Microsoft Access 2016 x86
  • Microsoft Edge
  • Microsoft Excel 2007 SP3
  • Microsoft Excel 2010 SP2 x64
  • Microsoft Excel 2010 SP2 x86
  • Microsoft Excel 2013 RT SP1
  • Microsoft Excel 2013 SP1 x64
  • Microsoft Excel 2013 SP1 x86
  • Microsoft Excel 2016 x64
  • Microsoft Excel 2016 x86
  • Microsoft Internet Explorer 9
  • Microsoft Internet Explorer 10
  • Microsoft Internet Explorer 11
  • Microsoft Office 2010 SP2 x64
  • Microsoft Office 2010 SP2 x86
  • Microsoft Office 2016 Click-to-Run (C2R) für 64-Bit-Editionen
  • Microsoft Office 2016 Click-to-Run (C2R) für 32-Bit-Editionen
  • Microsoft Office 2016 Mac
  • Microsoft Office Compatibility Pack SP3
  • Microsoft Office Online Server 2016
  • Microsoft Office Web Apps 2010 SP2
  • Microsoft Office Web Apps 2013 SP1
  • Microsoft Office Web Apps Server 2013 SP1
  • Microsoft Office Word Viewer
  • PowerShell Core 6.0.0
  • Microsoft Project Server 2013 Sp1
  • Microsoft Sharepoint Foundation 2013 SP1
  • Microsoft Sharepoint Server 2010 SP2
  • Microsoft Sharepoint Server Enterprise 2013 SP1
  • Microsoft Sharepoint Server Enterprise 2016
  • Microsoft Word 2007 SP3
  • Microsoft Word 2010 SP2 x64
  • Microsoft Word 2010 SP2 x86
  • Microsoft Word 2013
  • Microsoft Word 2013
  • Microsoft Word 2013 RT SP1
  • Microsoft Word 2013 SP1 x64
  • Microsoft Word 2013 SP1 x86
  • Microsoft Word 2016 x64
  • Microsoft Word 2016 x86
  • Microsoft Windows
  • Microsoft Windows 7 SP1 x64
  • Microsoft Windows 7 SP1 x86
  • Microsoft Windows 8.1 x64
  • Microsoft Windows 8.1 x86
  • Microsoft Windows 10 x64
  • Microsoft Windows 10 x86
  • Microsoft Windows 10 x64 v1511
  • Microsoft Windows 10 x86 v1511
  • Microsoft Windows 10 x64 v1607
  • Microsoft Windows 10 x86 v1607
  • Microsoft Windows 10 x64 v1703
  • Microsoft Windows 10 x86 v1703
  • Microsoft Windows 10 x64 v1709
  • Microsoft Windows 10 x86 v1709
  • Microsoft Windows RT 8.1
  • Microsoft Windows Server v1709 (Server Core Installation)
  • Microsoft Windows Server 2008 SP2 x64 Server Core Installation
  • Microsoft Windows Server 2008 SP2 x86 Server Core Installation
  • Microsoft Windows Server 2008 SP2 Itanium
  • Microsoft Windows Server 2008 SP2 x64
  • Microsoft Windows Server 2008 SP2 x86
  • Microsoft Windows Server 2008 R2 SP1 x64 Server Core Installation
  • Microsoft Windows Server 2008 R2 SP1 Itanium
  • Microsoft Windows Server 2008 R2 SP1 x64
  • Microsoft Windows Server 2012
  • Microsoft Windows Server 2012 Server Core Installation
  • Microsoft Windows Server 2012 R2
  • Microsoft Windows Server 2012 R2 Server Core Installation
  • Microsoft Windows Server 2016
  • Microsoft Windows Server 2016 Server Core Installation

Empfehlung:

Microsoft empfiehlt allen Nutzern dringend eine umgehende Installation der verfügbaren Sicherheitsupdates. Der Hersteller empfiehlt generell die Verwendung automatischer Updates und die Verwendung aktueller, kompatibler Sicherheitssoftware. Wenn Sie den automatischen Update-Mechanismus nicht nutzen, können Sie die Sicherheitsupdates auch von der Microsoft-Webseite herunterladen (siehe Referenzen). Das Sicherheitsupdate für den Adobe Flash Player muss für jeden Browser, den Sie verwenden, einzeln und möglicherweise händisch eingespielt werden. Der Internet Explorer 11, Edge und der Chrome Browser können das Flash Player Update automatisch erhalten.

Beschreibung:

Mit dem Flash Player werden multimediale aktive Inhalte wiedergegeben. Das Programm ist integraler Bestandteil zahlreicher Adobe Produkte.

MS Access ist ein Datenbankmanagementsystem von Microsoft zur Verwaltung von Daten in Datenbanken und zur Entwicklung von Datenbankanwendungen.

Microsoft Edge ist der neue Standard-Webbrowser, welcher mit Windows 10 ausgeliefert wird und als Nachfolger des Microsoft Internet Explorers Bestandteil des Betriebssystems Windows 10 ist.

Microsoft Excel ist ein weit verbreitetes Tabellenkalkulationsprogramm.

Der Windows Internet Explorer von Microsoft ist ein Webbrowser für das Betriebssystem Windows.

Microsoft Office ist ein Paket von Bürosoftware für die Betriebssysteme Microsoft Windows und Mac OS. Für unterschiedliche Aufgabenstellungen werden verschiedene sogenannte Editionen angeboten, die sich in den enthaltenen Komponenten, dem Preis und der Lizenzierung unterscheiden.

Der Microsoft Office Compatibility Pack ermöglicht älteren MS Office Versionen das Öffnen, Editieren und Speichern von Dokumenten, die mit MS Office 2007 und 2010 erstellt wurden.

Der Microsoft Office Online Server ermöglicht die Bereitstellung von browserbasierten Office-Produkten.

Microsoft Office Web Apps ist die Browser-basierte Version von Word, PowerPoint, Excel und OneNote. Konzipiert sowohl für Privatkunden wie Unternehmen.

Microsoft Office Web Apps Server ist die Server gestützte, über Browser nutzbare Version von MS Word, PowerPoint, Excel und OneNote. Konzipiert für Unternehmen mit zentraler Microsoft Server-Infrastruktur.

Der Microsoft Office Word Viewer ist ein eigenständiges Programm zum Lesen und Drucken beliebiger Office Dokumente ohne installiertes Microsoft Office Paket.

PowerShell ist ein plattformübergreifendes Framework, mit dem Systeme automatisiert, konfiguriert und verwaltet werden können. Die Softwarelösung beinhaltet einen Kommandozeileninterpreter und eine eigene Skriptsprache.

Microsoft Office Project Server ist eine Server-Lösung für das Projektmanagement, die als Grundlage Microsoft SharePoint benutzt und für die Benutzerschnittstelle entweder Microsoft Project als Client oder einen Web-Browser, der mit der Project Web App (PWA)-Komponente verbunden wird, unterstützt.

SharePoint Foundation ist ein Produkt der Firma Microsoft für die virtuelle Zusammenarbeit von Benutzern unter einer Weboberfläche mit einer gemeinsamen Daten- und Informationsablage.

SharePoint Server ist ein Produkt der Firma Microsoft für die virtuelle Zusammenarbeit von Benutzern unter einer Weboberfläche mit einer gemeinsamen Daten- und Informationsablage.

Microsoft Word ist die Textverarbeitungssoftware des MS Office-Paketes.

Microsoft Windows ist ein graphisches Betriebssystem des Unternehmens Microsoft.

Microsoft schließt mit den Updates für März 2018 zahlreiche Sicherheitslücken, die zum Teil schwerwiegende Auswirkungen haben können. Die Sicherheitslücken ermöglichen einem entfernten, nicht am System angemeldeten Angreifer aus dem Internet beliebige Befehle mit den Rechten eines angemeldeten Benutzers auszuführen. Je mehr Rechte der betroffene Benutzer für seine Arbeit verwendet, desto gravierender sind die Schäden, die ein Angreifer über die Sicherheitslücken anrichten kann. Im schlimmsten Fall, wenn ein Benutzer mit Administratorrechten arbeitet, kann ein Angreifer die vollständige Kontrolle über das betroffene System erlangen. Durch erfolgreiche Angriffe ist es dem Angreifer darüber hinaus möglich, private Daten auszuspähen, das System oder einzelne Anwendungen zum Absturz zu bringen sowie Schutzmechanismen des Systems zu umgehen und dadurch weitere Angriffe durchzuführen.

Die kritischen Sicherheitslücken befinden sich diesen Monat alle in den Browsern Internet Explorer und Edge. Diese Updates sollten zeitnah eingespielt werden, um gegen Angriffe über bösartig präparierte Webseiten geschützt zu sein. Microsoft weist darauf hin, dass Benutzer von Windows 10 Version 1607 ab dem 10. April 2018 keine Sicherheits- und Qualitätsupdates mehr erhalten werden. Anwender sollten Ihr System zu diesem Zeitpunkt auf eine aktuelle Version gebracht haben. Ältere Versionen von Windows 10 werden bereits nicht mehr mit Updates versorgt. Die Informationen im Sicherheitshinweis dieses Monats von Microsoft stehen hier allerdings im Widerspruch zu anderen vom Hersteller veröffentlichten Informationen zum Lebenszyklus eigener Produkte.

Zusammenfassung:

Microsoft schließt mit den Sicherheitsupdates für März 2018 zahlreiche Sicherheitslücken in den Browsern Edge und Internet Explorer, der Browser-Komponente ChakraCore, Microsoft Office (insbesondere Access, Excel und Word), Microsoft SharePoint sowie Microsoft Windows selbst. Für den Adobe Flash Player wurde ebenfalls ein Sicherheitsupdate veröffentlicht, um zwei kritische Sicherheitslücken zu beheben (siehe Microsoft Sicherheitshinweis ADV180006).