Kurz notiert: Microsoft hat gestern scheinbar wirklich alles aktualisiert, was nur geht. Darunter auch die Office Produkte mit nicht-sicherheitsrelevanten und sicherheitsrelevanten Updates. Hierbei liegt der Schwerpunkt auf der CVE-2018-8378, der CVE-2018-8375 und ADV180021. Insgesamt stehen mit dem zweiten Patchday August für Office 2016, Office 2013, Office 2010 nun 23 Sicherheits-Updates und 23 nicht-sicherheitsrelevante Updates zur Verfügung.
Die wichtigsten Updates sind die KB4032233 (Office 2016), KB4032239 (Office 2013), KB4022198 und KB3213636 (Office 2010)
- KB4032233 Es liegt eine Sicherheitsanfälligkeit bezüglich Offenlegung von Informationen vor, wenn die Microsoft Office-Software aufgrund einer nicht initialisierten Variable den Speicher außerhalb des festgelegten Speicherbereichs liest und dadurch den Inhalt des Speichers offenlegen kann. Ein Angreifer, der die Sicherheitsanfälligkeit erfolgreich ausnutzt, kann nicht gebundenen Speicher anzeigen.
Für Excel KB4032229 (Excel 2016), KB4032241 (Excel 2013), KB4032223 (Excel 2010)
- KB4032241 Excel: Eine Schwachstelle bei der Remotecodeausführung besteht in Microsoft Excel, wenn die Software nicht ordnungsgemäß mit Objekten im Speicher umgeht. Ein Angreifer, der die Sicherheitslücke erfolgreich ausnutzt, kann beliebigen Code im Kontext des aktuellen Benutzers ausführen. Wenn der aktuelle Benutzer mit administrativen Benutzerrechten angemeldet ist, könnte ein Angreifer die Kontrolle über das betroffene System übernehmen. Ein Angreifer kann dann Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten mit vollen Benutzerrechten erstellen. Benutzer, deren Konten so konfiguriert sind, dass sie weniger Benutzerrechte auf dem System haben, könnten weniger betroffen sein als Benutzer, die mit administrativen Benutzerrechten arbeiten.
- Die Ausnutzung der Sicherheitslücke erfordert, dass ein Benutzer eine speziell gestaltete Datei mit einer betroffenen Version von Microsoft Excel öffnet. In einem E-Mail-Angriffsszenario könnte ein Angreifer die Schwachstelle ausnutzen, indem er die speziell gestaltete Datei an den Benutzer sendet und ihn davon überzeugt, die Datei zu öffnen. In einem webbasierten Angriffsszenario könnte ein Angreifer eine Website hosten (oder eine kompromittierte Website nutzen, die vom Benutzer bereitgestellte Inhalte akzeptiert oder hostet), die eine speziell gestaltete Datei enthält, um die Sicherheitslücke auszunutzen. Ein Angreifer hätte keine Möglichkeit, Benutzer zum Besuch der Website zu zwingen. Stattdessen müsste ein Angreifer die Benutzer davon überzeugen, auf einen Link zu klicken, in der Regel durch eine Verlockung in einer E-Mail oder Sofortnachricht, und sie dann davon überzeugen, die speziell gestaltete Datei zu öffnen.
- Das Sicherheitsupdate behebt die Sicherheitsanfälligkeit, indem es korrigiert, wie Microsoft Excel mit Objekten im Speicher umgeht.
Alle anderen Updates könnt ihr hier nachlesen: support.microsoft.com/en-us/help/4346823/august-2018 (Auf das Datum vom 14.August achten.
Updates für Office_2010 erhielt ich als „Consumer“ gestern Abend, für Office_2013 heute Morgen, für Office_2016 kommt das Update wohl erst später. (WORD->File->Account->Office_Update: manuell geprüft).