TW-T18-0024 – Microsoft Sicherheitsupdates im Februar 2018

Art der Meldung: Warnmeldung

Risikostufe 4

Microsoft Sicherheitsupdates im Februar 2018

 

14.02.2018____________________________________________________________________________________________________

Betroffene Systeme:

Adobe Flash Player

ChakraCore

Microsoft Edge

Microsoft Internet Explorer 9

Microsoft Internet Explorer 10

Microsoft Internet Explorer 11

Microsoft Office 2007 SP3

Microsoft Office 2010 SP2 x64

Microsoft Office 2010 SP2 x86

Microsoft Office 2013 RT SP1

Microsoft Office 2013 SP1 x64

Microsoft Office 2013 SP1 x86

Microsoft Office 2016 Click-to-Run (C2R) für 64-Bit-Editionen

Microsoft Office 2016 Click-to-Run (C2R) für 32-Bit-Editionen

Microsoft Office 2016 x64

Microsoft Office 2016 x86

Microsoft Office Compatibility Pack SP3

Microsoft Office Word Viewer

Microsoft Outlook 2007 SP3

Microsoft Outlook 2010 SP2 x64

Microsoft Outlook 2010 SP2 x86

Microsoft Outlook 2013 SP1 x86

Microsoft Outlook 2013 SP1 x64

Microsoft Outlook 2013 RT SP1

Microsoft Outlook 2016 x64

Microsoft Outlook 2016 x86

Microsoft Project Server 2013 Sp1

Microsoft Sharepoint Server Enterprise 2016

Microsoft Word 2007 SP3

Microsoft Word 2010 SP2 x64

Microsoft Word 2010 SP2 x86

Microsoft Word 2013 RT SP1

Microsoft Word 2013 SP1 x64

Microsoft Word 2013 SP1 x86

Microsoft Word 2016 x64

Microsoft Word 2016 x86

Microsoft Windows 7 SP1 x64

Microsoft Windows 7 SP1 x86

Microsoft Windows 8.1 x64

Microsoft Windows 8.1 x86

Microsoft Windows 10 x64

Microsoft Windows 10 x86

Microsoft Windows 10 x64 v1511

Microsoft Windows 10 x86 v1511

Microsoft Windows 10 x64 v1607

Microsoft Windows 10 x86 v1607

Microsoft Windows 10 x64 v1703

Microsoft Windows 10 x86 v1703

Microsoft Windows 10 x64 v1709

Microsoft Windows 10 x86 v1709

Microsoft Windows RT 8.1

Microsoft Windows Server v1709 (Server Core Installation)

Microsoft Windows Server 2008 SP2 x64 Server Core Installation

Microsoft Windows Server 2008 SP2 x86 Server Core Installation

Microsoft Windows Server 2008 SP2 Itanium

Microsoft Windows Server 2008 SP2 x64

Microsoft Windows Server 2008 SP2 x86

Microsoft Windows Server 2008 R2 SP1 x64 Server Core Installation

Microsoft Windows Server 2008 R2 SP1 Itanium

Microsoft Windows Server 2008 R2 SP1 x64

Microsoft Windows Server 2012

Microsoft Windows Server 2012 Server Core Installation

Microsoft Windows Server 2012 R2

Microsoft Windows Server 2012 R2 Server Core Installation

Microsoft Windows Server 2016

Microsoft Windows Server 2016 Server Core Installation

____________________________________________________________________________________________________

Empfehlung:

Microsoft empfiehlt allen Nutzern dringend eine umgehende Installation der verfügbaren

Sicherheitsupdates. Der Hersteller empfiehlt generell die Verwendung automatischer Updates und die

Verwendung aktueller, kompatibler Sicherheitssoftware. Wenn Sie den automatischen

Update-Mechanismus nicht nutzen, können Sie die Sicherheitsupdates auch von der Microsoft-Webseite

herunterladen (siehe Referenzen). Das Sicherheitsupdate für den Adobe Flash Player muss für jeden

Browser, den Sie verwenden, einzeln und möglicherweise händisch eingespielt werden. Der Internet

Explorer 11 und Edge können das Flash Player Update automatisch erhalten.

____________________________________________________________________________________________________

____________________________________________________________________________________________________

Beschreibung:

Mit dem Flash Player werden multimediale aktive Inhalte wiedergegeben. Das Programm ist integraler

Bestandteil  zahlreicher Adobe Produkte.

ChakraCore ist das Kernelement der Chakra JavaScript-Engine, die Microsoft Edge antreibt.

Microsoft Edge ist der neue Standard-Webbrowser, welcher mit Windows 10 ausgeliefert wird und als

Nachfolger des Microsoft Internet Explorers Bestandteil des Betriebssystems Windows 10 ist.

Der Windows Internet Explorer von Microsoft ist ein Webbrowser für das Betriebssystem Windows.

Microsoft Office ist ein Paket von Bürosoftware für die Betriebssysteme Microsoft Windows und Mac

  1. Für unterschiedliche Aufgabenstellungen werden verschiedene sogenannte Editionen angeboten, die

sich in den enthaltenen Komponenten, dem Preis und der Lizenzierung unterscheiden.

Der Microsoft Office Compatibility Pack ermöglicht älteren MS Office Versionen das Öffnen,

Editieren und Speichern von Dokumenten, die mit MS Office 2007 und 2010 erstellt wurden.

Der Microsoft Office Word Viewer ist ein eigenständiges Programm zum Lesen und Drucken beliebiger

Office Dokumente ohne installiertes Microsoft Office Paket.

Microsoft Outlook ist ein als Personal Information Manager (PIM) bezeichneter E-Mail-Client für

Windows und Mac.

Microsoft Office Project Server ist eine Server-Lösung für das Projektmanagement, die als Grundlage

Microsoft SharePoint benutzt und für die Benutzerschnittstelle entweder Microsoft Project als

Client oder einen Web-Browser, der mit der Project Web App (PWA)-Komponente verbunden wird,

unterstützt.

SharePoint Server ist ein Produkt der Firma Microsoft für die virtuelle Zusammenarbeit von

Benutzern unter einer Weboberfläche mit einer gemeinsamen Daten- und Informationsablage.

Microsoft Word ist die Textverarbeitungssoftware des MS Office-Paketes.

Microsoft schließt mit den Updates für Februar 2018 zahlreiche Sicherheitslücken, die zum Teil

schwerwiegende Auswirkungen haben können. Die Sicherheitslücken ermöglichen einem entfernten, nicht

am System angemeldeten Angreifer aus dem Internet, beliebige Befehle mit den Rechten eines

angemeldeten Benutzers auszuführen. Je mehr Rechte der betroffene Benutzer für seine Arbeit

verwendet, desto gravierender sind die Schäden, die ein Angreifer über die Sicherheitslücken

anrichten kann. Im schlimmsten Fall, wenn ein Benutzer mit Administratorrechten arbeitet, kann ein

Angreifer die vollständige Kontrolle über das betroffene System erlangen. Durch erfolgreiche

Angriffe ist es dem Angreifer darüber hinaus möglich, private Daten auszuspähen, das System oder

einzelne Anwendungen zum Absturz zu bringen sowie Schutzmechanismen des Systems zu umgehen und

dadurch weitere Angriffe auszuführen.

 

Zur Härtung Ihres Systems gegenüber Sicherheitslücken werden zusätzlich sogenannte

‚Defense-in-Depth‘-Updates für Microsoft Windows veröffentlicht, durch die aktuelle und zukünftige

Angriffe erschwert werden sollen (siehe Microsoft Sicherheitshinweis ADV180005). Microsoft hat

damit die Funktionalität zum Signieren von Dokumenten im XPS Viewer für alle Windows-Versionen

abgeschaltet, da diese Funktionalität auf dem älteren, als unsicher erachteten

SHA-1-Hash-Algorithmus beruht, welcher generell nicht mehr unterstützt werden soll.

____________________________________________________________________________________________________

Zusammenfassung:

Microsoft schließt mit den Sicherheitsupdates für Februar 2018 zahlreiche Sicherheitslücken in den

Browsern Edge und Internet Explorer, der Browser-Komponente ChakraCore, Microsoft Office

(insbesondere Outlook und Word), Microsoft SharePoint sowie Microsoft Windows selbst. Für den Adobe

Flash Player wurde ein Sicherheitsupdate bereits am 6. Februar veröffentlicht, um zwei kritische

Sicherheitslücken zu beheben (siehe Microsoft Sicherheitshinweis ADV180004), von denen eine aktiv

ausgenutzt wurde.

____________________________________________________________________________________________________

Quellen:

https://portal.msrc.microsoft.com/de-de/security-guidance

http://www.windowsupdate.com/

https://portal.msrc.microsoft.com/de-de/security-guidance/advisory/ADV180004

https://portal.msrc.microsoft.com/de-de/security-guidance/releasenotedetail/879af9c3-970b-e811-a961-000d3a33c573

https://portal.msrc.microsoft.com/de-de/security-guidance/advisory/ADV180005

____________________________________________________________________________________________________

Über den folgenden Link können Sie den Newsletter wieder abbestellen.

https://www.bsi.bund.de/BSIFB/DE/Service/Buerger-CERT/Newsletter/abbestellen/newsletter_abbestellen_node.html

Besuchen Sie uns auch auf:

https://www.bsi-fuer-buerger.de

https://www.facebook.com/bsi.fuer.buerger

https://www.twitter.com/BSI_Presse

 

 

Herausgeber: Bundesamt für Sicherheit in der Informationstechnik (BSI), Godesberger Allee 185-189, 53133 Bonn

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Du kannst folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.