Patchday: Zero-Day-LĂĽcke in Microsoft-Office
Microsoft schlieĂźt SicherheitslĂĽcken in Office, Windows & Co. Davon gelten mehrere als kritisch. Angreifer nutzen derzeit eine Office-Schwachstelle aktiv aus.
Am Patchday im Januar veröffentlicht Microsoft diverse Patches, die insgesamt 56 Sicherheitslücken in unter anderem Edge, Internet Explorer, Office und Windows schließen. Davon gelten 16 als "kritisch", 39 als "wichtig" und eine als "moderat".
Obacht Office-Nutzer
Derzeit sollen diverse Hacker-Gruppen eine Schwachstelle (CVE-2018-0797) in Office aktiv attackieren. Dabei sollen sie aus der Ferne ohne Authentifizierung Schadcode mit den Rechten des Opfers ausführen können. So könnten Angreifer Systeme übernehmen. Unverständlicherweise stuft Microsoft den Office-Patch nur als "wichtig" ein.
Ansatzpunkt ist ein fehlerhafter Umgang seitens Office mit RTF-Dateien. Angreifer müssten präparierte Dokumente dieser Art lediglich auf einer Webseite hinterlegen und ein Opfer zum Besuch der Seite bringen. Auch eine Verbreitung via E-Mail ist vorstellbar. Darüber hinaus klaffen noch neun weitere Schwachstellen in Office, die ebenfalls zu Remote Code Execution oder Informationslecks (Memory Disclosure) führen können.
Kritische Lücken finden sich der Scripting Engine. Davon sind die Webbrowser Edge und Internet Explorer bedroht. Hier könnten Angreifer das Ausführen von Schadcode durch den alleinigen Besuch einer präparierten Webseite einleiten. Das kritische Flash-Update für Edge und Internet Explorer 11 bekommen Nutzer von Windows 8.1 und 10 automatisch serviert.
Meltdown & Spectre
Weitere Sicherheitspatches gegen die CPU-Lücken Meltdown & Spectre hat Microsoft am Patchday nicht im Gepäck. Diese hat Microsoft außer der Reihe Anfang Januar veröffentlicht. Jüngst äußerte sich der Konzern dazu, wie die Patches funktionieren und bezog Stellung zu Leistungseinbußen.
Microsoft stellt Informationen ĂĽber die gepatchten SicherheitslĂĽcken im Security Update Guide bereit. Allerdings ist die Auflistung alles andere als ĂĽbersichtlich. Eine viel besser aufbereitete Liste findet sich zum Beispiel im Patchday-Blog-Artikel von Ciscos Talos-Team. (des)