Categories: Software

Microsoft schließt drei gravierende Sicherheitslücken in Outlook

Microsoft verteilt für Outlook 2007, 2010, 2013 und 2016 außerplanmäßige Sicherheits-Updates. Das Unternehmen stuft sie als „wichtig“ ein und gibt in seiner Wissensdatenbank dazu jeweils ausführlichere Hinweise. Verteilt wird das Update automatisch über Windows Update. Dazu müssen automatische Updates aktiviert sein. Alternativ können Anwender den Weg über den Microsoft Update Catalog oder das Microsoft Download Center gehen.

Bisher sind Microsoft noch keine Angriffe auf die Lücken bekannt. Nutzer sollten die Updates aber dennoch umgehend einspielen, das zu erwarten ist, dass sich Angreifer die Informationen des Updates zunutze machen, um ungeachtet Rechner dann über die Lücken anzugreifen. In den jeweiligen Knowlege-Base-Artikeln für Outlook 2016, Outlook 2013, Outlook 2010 und Outlook 2007 nennt Microsoft Details zu den Schwachstellen und gibt Hinwiese, wie sie sich beheben lassen.

Das CERT Bund stuft das von den drei Lücken in Outlook ausgehende Risiko ebenfalls als „hoch“ ein. Sie lassen sich offenbar bereits ausnutzen, wenn Angreifer Nutzer überzeugen können, eine Datei im Anhang zu öffnen. Wie zahlreiche Malware-Attacken in der Vergangenheit gezeigt haben, ist das trotz zahlreicher Warnungen, diesbezüglich vorsichtig zu sein, vergleichsweise einfach möglich.

Um die Schwachstellen mit den nun verfügbaren Aktualisierungen beheben zu können, müssen laut CERT Bund die entsprechenden Release-Versionen von Microsoft Office installiert sind. „Dies sind Microsoft Office 2007 SP3, Microsoft Office 2010 SP2, Microsoft Office 2013 SP1 und Microsoft Office 2016. Zusätzlich stehen neue Versionen von Microsoft Office 2010, 2013 und 2016 Click-To-Run zur Verfügung“, teilt die Behörde mit.

Die mit der Kennung CVE-2017-8663 bezeichnete Lücke erlaubt es mit einer entsprechend manipulierten Datei Speicherfehler zu verursachen. Angreifer können dann beliebigen eigenen Code ausführen. Die nun ebenfalls geschlossene Lücke CVE-2017-8571 ermöglicht es Unbefugten, Sicherheitsmechanismen zu umgehen. Danach können sie auf dem angegriffenen Rechner aus der Ferne Befehle ausführen. Die Lücke mit der Kennung CVE-2017-8572 könnten Angreifer ausnutzen, um Informationen aus dem Speicher auszulesen.

WEBINAR

Ransomware Protection: Praxisleitfaden für den Schutz ihres Unternehmens

Helge Husemann, Product Marketing Manager EMEA von Malwarebytes, stellt in dem 60-minütigen Webinar die neue Sicherheitslösung Malwarebytes Endpoint Protection vor, die ein mehrstufiges Sicherheitskonzept enthält und damit einen effektiven Schutz vor modernen Bedrohungen wie WannaCry, Petya und anderen Angriffen bietet.

Kai Schmerer

Kai ist seit 2000 Mitglied der ZDNet-Redaktion, wo er zunächst den Bereich TechExpert leitete und 2005 zum Stellvertretenden Chefredakteur befördert wurde. Als Chefredakteur von ZDNet.de ist er seit 2008 tätig.

Recent Posts

Black Friday: Vorsicht vor schädlichen QR-Codes

Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.

2 Tagen ago

Black Friday: Zahl der ominösen Shopping-Websites steigt

Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.

2 Tagen ago

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

2 Tagen ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

3 Tagen ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

3 Tagen ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

3 Tagen ago