Sicherheitsupdate: Ein Klick zu viel und Microsoft Yammer führt Schadcode aus

Wer den Desktop-Client von Microsoft Yammer nutzt, sollten diesen aktualisieren. Geschieht dies nicht, soll der Klick auf eine im Client versendete URL ausreichen, dass Angreifer Schadcode ausführen können. In einer Sicherheitswarnung stuft Microsoft das Update als "wichtig" ein. Die Sicherheitslücke trägt die Kennung CVE-2018-8569.

Yammer ist ein privates soziales Netzwerk von Microsoft, das beispielsweise im Intranet von Firmen zum Einsatz kommen kann.

Gefährlicher Link

Für eine erfolgreiche Attacke muss ein Angreifer ein Opfer dazu bringen, auf einen über Yammer verschickten Link zu einer präparierten Website zu klicken. Die Seite steht unter der Kontrolle des Angreifers. Hat die Desktop-Anwendung die Seite vollständig geladen, kann der Angreifer Code mit den Rechten des Opfers ausführen. Ist das Opfer Admin, gilt der Computer als vollständig kompromittiert.

Yammer sollte sich automatisch aktualisieren. Alternativ stellt Microsoft die abgesicherte Version 2.0.0 zum Download bereit. Ob auch die macOS-Ausgabe betroffen ist, geht aus Microsofts Formulierung nicht eindeutig hervor. Mac-Nutzer sollten einfach auf die fehlerbereinigte Version aktualisieren. (des)