Categories: Software

Microsoft schließt drei gravierende Sicherheitslücken in Outlook

Microsoft verteilt für Outlook 2007, 2010, 2013 und 2016 außerplanmäßige Sicherheits-Updates. Das Unternehmen stuft sie als „wichtig“ ein und gibt in seiner Wissensdatenbank dazu jeweils ausführlichere Hinweise. Verteilt wird das Update automatisch über Windows Update. Dazu müssen automatische Updates aktiviert sein. Alternativ können Anwender den Weg über den Microsoft Update Catalog oder das Microsoft Download Center gehen.

Bisher sind Microsoft noch keine Angriffe auf die Lücken bekannt. Nutzer sollten die Updates aber dennoch umgehend einspielen, das zu erwarten ist, dass sich Angreifer die Informationen des Updates zunutze machen, um ungeachtet Rechner dann über die Lücken anzugreifen. In den jeweiligen Knowlege-Base-Artikeln für Outlook 2016, Outlook 2013, Outlook 2010 und Outlook 2007 nennt Microsoft Details zu den Schwachstellen und gibt Hinwiese, wie sie sich beheben lassen.

Das CERT Bund stuft das von den drei Lücken in Outlook ausgehende Risiko ebenfalls als „hoch“ ein. Sie lassen sich offenbar bereits ausnutzen, wenn Angreifer Nutzer überzeugen können, eine Datei im Anhang zu öffnen. Wie zahlreiche Malware-Attacken in der Vergangenheit gezeigt haben, ist das trotz zahlreicher Warnungen, diesbezüglich vorsichtig zu sein, vergleichsweise einfach möglich.

Um die Schwachstellen mit den nun verfügbaren Aktualisierungen beheben zu können, müssen laut CERT Bund die entsprechenden Release-Versionen von Microsoft Office installiert sind. „Dies sind Microsoft Office 2007 SP3, Microsoft Office 2010 SP2, Microsoft Office 2013 SP1 und Microsoft Office 2016. Zusätzlich stehen neue Versionen von Microsoft Office 2010, 2013 und 2016 Click-To-Run zur Verfügung“, teilt die Behörde mit.

Die mit der Kennung CVE-2017-8663 bezeichnete Lücke erlaubt es mit einer entsprechend manipulierten Datei Speicherfehler zu verursachen. Angreifer können dann beliebigen eigenen Code ausführen. Die nun ebenfalls geschlossene Lücke CVE-2017-8571 ermöglicht es Unbefugten, Sicherheitsmechanismen zu umgehen. Danach können sie auf dem angegriffenen Rechner aus der Ferne Befehle ausführen. Die Lücke mit der Kennung CVE-2017-8572 könnten Angreifer ausnutzen, um Informationen aus dem Speicher auszulesen.

WEBINAR

Ransomware Protection: Praxisleitfaden für den Schutz ihres Unternehmens

Helge Husemann, Product Marketing Manager EMEA von Malwarebytes, stellt in dem 60-minütigen Webinar die neue Sicherheitslösung Malwarebytes Endpoint Protection vor, die ein mehrstufiges Sicherheitskonzept enthält und damit einen effektiven Schutz vor modernen Bedrohungen wie WannaCry, Petya und anderen Angriffen bietet.

Kai Schmerer

Kai ist seit 2000 Mitglied der ZDNet-Redaktion, wo er zunächst den Bereich TechExpert leitete und 2005 zum Stellvertretenden Chefredakteur befördert wurde. Als Chefredakteur von ZDNet.de ist er seit 2008 tätig.

Recent Posts

KI-gestütztes Programmieren bringt IT-Herausforderungen mit sich

OutSystems-Studie: 62 Prozent der Befragten haben Sicherheits- und Governance-Bedenken bei Softwareentwicklung mit KI-Unterstützung.

2 Tagen ago

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

6 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

6 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

6 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

6 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

1 Woche ago