Categories: Software

Microsoft schließt drei gravierende Sicherheitslücken in Outlook

Microsoft verteilt für Outlook 2007, 2010, 2013 und 2016 außerplanmäßige Sicherheits-Updates. Das Unternehmen stuft sie als „wichtig“ ein und gibt in seiner Wissensdatenbank dazu jeweils ausführlichere Hinweise. Verteilt wird das Update automatisch über Windows Update. Dazu müssen automatische Updates aktiviert sein. Alternativ können Anwender den Weg über den Microsoft Update Catalog oder das Microsoft Download Center gehen.

Bisher sind Microsoft noch keine Angriffe auf die Lücken bekannt. Nutzer sollten die Updates aber dennoch umgehend einspielen, das zu erwarten ist, dass sich Angreifer die Informationen des Updates zunutze machen, um ungeachtet Rechner dann über die Lücken anzugreifen. In den jeweiligen Knowlege-Base-Artikeln für Outlook 2016, Outlook 2013, Outlook 2010 und Outlook 2007 nennt Microsoft Details zu den Schwachstellen und gibt Hinwiese, wie sie sich beheben lassen.

Das CERT Bund stuft das von den drei Lücken in Outlook ausgehende Risiko ebenfalls als „hoch“ ein. Sie lassen sich offenbar bereits ausnutzen, wenn Angreifer Nutzer überzeugen können, eine Datei im Anhang zu öffnen. Wie zahlreiche Malware-Attacken in der Vergangenheit gezeigt haben, ist das trotz zahlreicher Warnungen, diesbezüglich vorsichtig zu sein, vergleichsweise einfach möglich.

Um die Schwachstellen mit den nun verfügbaren Aktualisierungen beheben zu können, müssen laut CERT Bund die entsprechenden Release-Versionen von Microsoft Office installiert sind. „Dies sind Microsoft Office 2007 SP3, Microsoft Office 2010 SP2, Microsoft Office 2013 SP1 und Microsoft Office 2016. Zusätzlich stehen neue Versionen von Microsoft Office 2010, 2013 und 2016 Click-To-Run zur Verfügung“, teilt die Behörde mit.

Die mit der Kennung CVE-2017-8663 bezeichnete Lücke erlaubt es mit einer entsprechend manipulierten Datei Speicherfehler zu verursachen. Angreifer können dann beliebigen eigenen Code ausführen. Die nun ebenfalls geschlossene Lücke CVE-2017-8571 ermöglicht es Unbefugten, Sicherheitsmechanismen zu umgehen. Danach können sie auf dem angegriffenen Rechner aus der Ferne Befehle ausführen. Die Lücke mit der Kennung CVE-2017-8572 könnten Angreifer ausnutzen, um Informationen aus dem Speicher auszulesen.

WEBINAR

Ransomware Protection: Praxisleitfaden für den Schutz ihres Unternehmens

Helge Husemann, Product Marketing Manager EMEA von Malwarebytes, stellt in dem 60-minütigen Webinar die neue Sicherheitslösung Malwarebytes Endpoint Protection vor, die ein mehrstufiges Sicherheitskonzept enthält und damit einen effektiven Schutz vor modernen Bedrohungen wie WannaCry, Petya und anderen Angriffen bietet.

Kai Schmerer

Kai ist seit 2000 Mitglied der ZDNet-Redaktion, wo er zunächst den Bereich TechExpert leitete und 2005 zum Stellvertretenden Chefredakteur befördert wurde. Als Chefredakteur von ZDNet.de ist er seit 2008 tätig.

Recent Posts

Apple meldet Rekordumsatz im vierten Fiskalquartal

Die Einnahmen klettern auf fast 95 Milliarden Dollar. Allerdings belastet der Steuerstreit mit der EU…

2 Tagen ago

Microsoft steigert Umsatz und Gewinn im ersten Fiskalquartal

Das stärkste Wachstum verbucht die Cloud-Sparte. Microsoft verpasst bei der Umsatzprognose für das laufende Quartal…

2 Tagen ago

Bezahlkarten: Infineon verspricht weniger Plastikmüll

Ein Coil-on-Module-Package integriert Chip und Antenne, was den Kartenkörper fast vollständig recycelbar machen soll.

3 Tagen ago

Firefox 132 schließt elf Sicherheitslücken

Mindestens eine Anfälligkeit erlaubt das Einschleusen von Schadcode. Außerdem erweitern die Entwickler den Support für…

3 Tagen ago

Telekom nennt Termin für 2G-Ende

Zum 30. Juni 2028 soll das 2G-Netz komplett abgeschaltet werden und den Weg für schnellere…

3 Tagen ago

Alphabet übertrifft die Erwartungen im dritten Quartal

Gewinn und Umsatz legen deutlich zu. Zum Wachstum tragen auch die Sparten Cloud und Abonnements…

3 Tagen ago