Microsoft Security Bulletin MS16-133 – Wichtig
Sicherheitsupdate für Microsoft Office (3199168)
Veröffentlicht: 8. November 2016
Version: 1.0
Kurzfassung
Dieses Sicherheitsupdate behebt Sicherheitsrisiken in Microsoft Office. Die schwerwiegendste der Sicherheitsrisiken kann die Remotecodeausführung ermöglichen, wenn ein Benutzer eine speziell gestaltete Microsoft Office-Datei öffnet. Ein Angreifer, der die Sicherheitsanfälligkeiten erfolgreich ausnutzt, kann beliebigen Code im Kontext des aktuellen Benutzers ausführen. Kunden, deren Konten so konfiguriert sind, dass sie über weniger Benutzerrechte auf dem System verfügen, sind möglicherweise weniger betroffen als Benutzer mit Administratorrechten.
Weitere Informationen finden Sie im Abschnitt Bewertungen betroffener Software und Schweregrad für Sicherheitsrisiken .
Das Sicherheitsupdate behebt die Sicherheitsrisiken, indem korrigiert wird, wie:
- Microsoft Office initialisiert Variablen.
- Betroffene Versionen von Office- und Office-Komponenten verarbeiten Objekte im Arbeitsspeicher.
Weitere Informationen zu den Sicherheitsrisiken finden Sie im Abschnitt Informationen zu Sicherheitsrisiken .
Weitere Informationen zu diesem Update finden Sie im Microsoft Knowledge Base-Artikel 3199168.
Schweregrad der betroffenen Software und Bewertungen des Sicherheitsrisikos
Die folgenden Softwareversionen oder -editionen sind betroffen. Versionen oder Editionen, die nicht aufgeführt sind, haben entweder ihren Supportlebenszyklus hinter sich oder sind nicht betroffen. Informationen zum Bestimmen des Supportlebenszyklus für Ihre Softwareversion oder -edition finden Sie unter Microsoft-Support Lifecycle.
Bei den folgenden Schweregradbewertungen wird die potenzielle maximale Auswirkung der Sicherheitsanfälligkeit vorausgesetzt. Informationen zur Wahrscheinlichkeit der Ausnutzbarkeit des Sicherheitsrisikos innerhalb von 30 Tagen nach der Veröffentlichung dieses Security Bulletins in Bezug auf den Schweregrad und die Auswirkungen auf die Sicherheit finden Sie im Exploitability Index in der Zusammenfassung des Bulletins vom November.
Microsoft Office-Software (Tabelle 1 von 2)
| Betroffene Software | Sicherheitsanfälligkeit in Microsoft Office bezüglich Speicherbeschädigung – CVE-2016-7213 | Sicherheitsanfälligkeit in Microsoft Office bezüglich Speicherbeschädigung – CVE-2016-7228 | Sicherheitsanfälligkeit in Microsoft Office bezüglich Speicherbeschädigung – CVE-2016-7229 | Sicherheitsanfälligkeit in Microsoft Office bezüglich Speicherbeschädigung – CVE-2016-7230 | Sicherheitsanfälligkeit in Microsoft Office bezüglich Speicherbeschädigung – CVE-2016-7231 | Sicherheitsanfälligkeit in Microsoft Office bezüglich Speicherbeschädigung – CVE-2016-7232 | Updates ersetzt* |
|---|---|---|---|---|---|---|---|
| Microsoft Office 2007 | |||||||
| Microsoft Excel 2007 Service Pack 3 (3118395) | Wichtig Remotecodeausführung | Wichtig Remotecodeausführung | Wichtig Remotecodeausführung | Nicht verfügbar | Wichtig Remotecodeausführung | Nicht verfügbar | 3115459 in MS16-107 |
| Microsoft Word 2007 (3127949) | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Wichtig Remotecodeausführung | 3118308 in MS16-121 |
| Microsoft Office 2010 | |||||||
| Microsoft Office 2010 Service Pack 2 (32-Bit-Editionen) (3127951) | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Wichtig Remotecodeausführung | 3118311 in MS16-121 |
| Microsoft Office 2010 Service Pack 2 (64-Bit-Editionen) (3127951) | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Wichtig Remotecodeausführung | 3118311 in MS16-121 |
| Microsoft Excel 2010 Service Pack 2 (32-Bit-Editionen) (3118390) | Wichtig Remotecodeausführung | Wichtig Remotecodeausführung | Wichtig Remotecodeausführung | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | 3118316 in MS16-107 |
| Microsoft Excel 2010 Service Pack 2 (64-Bit-Editionen) (3118390) | Wichtig Remotecodeausführung | Wichtig Remotecodeausführung | Wichtig Remotecodeausführung | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | 3118316 in MS16-107 |
| Microsoft Word 2010 Service Pack 2 (32-Bit-Editionen) (3127953) | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Wichtig Remotecodeausführung | 3118312 in MS16-121 |
| Microsoft Word 2010 Service Pack 2 (64-Bit-Editionen) (3127953) | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Wichtig Remotecodeausführung | 3118312 in MS16-121 |
| Microsoft PowerPoint 2010 Service Pack 2 (32-Bit-Editionen) (3118378) | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Wichtig Remotecodeausführung | Nicht verfügbar | Nicht verfügbar | 3115467 in MS16-107 |
| Microsoft PowerPoint 2010 Service Pack 2 (64-Bit-Editionen) (3118378) | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Wichtig Remotecodeausführung | Nicht verfügbar | Nicht verfügbar | 3115467 in MS16-107 |
| Microsoft Office 2013 | |||||||
| Microsoft Excel 2013 Service Pack 1 (32-Bit-Editionen) (3127921) | Wichtig Remotecodeausführung | Wichtig Remotecodeausführung | Wichtig Remotecodeausführung | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | 3118284 in MS16-107 |
| Microsoft Excel 2013 Service Pack 1 (64-Bit-Editionen) (3127921) | Wichtig Remotecodeausführung | Wichtig Remotecodeausführung | Wichtig Remotecodeausführung | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | 3118284 in MS16-107 |
| Microsoft Office 2013 RT | |||||||
| Microsoft Excel 2013 RT Service Pack 1[1]\ (3127921) | Wichtig Remotecodeausführung | Wichtig Remotecodeausführung | Wichtig Remotecodeausführung | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | 3118284 in MS16-107 |
| Microsoft Office 2016 | |||||||
| Microsoft Excel 2016 (32-Bit-Edition) (3127904) | Wichtig Remotecodeausführung | Wichtig Remotecodeausführung | Wichtig Remotecodeausführung | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | 3118290 in MS16-107 |
| Microsoft Excel 2016 (64-Bit-Edition) (3127904) | Wichtig Remotecodeausführung | Wichtig Remotecodeausführung | Wichtig Remotecodeausführung | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | 3118290 in MS16-107 |
| Microsoft Office für Mac 2011 | |||||||
| Microsoft Excel für Mac 2011[2](3198807) | Wichtig Remotecodeausführung | Wichtig Remotecodeausführung | Wichtig Remotecodeausführung | Nicht verfügbar | Wichtig Remotecodeausführung | Nicht verfügbar | 3193442 in MS16-121 |
| Microsoft Word für Mac 2011[2](3198807) | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Wichtig Remotecodeausführung | 3193442 in MS16-121 |
| Microsoft Office 2016 für Mac | |||||||
| Microsoft Excel 2016 für Mac[2](3198798) | Wichtig Remotecodeausführung | Wichtig Remotecodeausführung | Wichtig Remotecodeausführung | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | 3193438 in MS16-121 |
| Andere Office-Software | |||||||
| Microsoft Office Compatibility Pack Service Pack 3 (3127889) | Wichtig Remotecodeausführung | Wichtig Remotecodeausführung | Wichtig Remotecodeausführung | Nicht verfügbar | Wichtig Remotecodeausführung | Nicht verfügbar | 3115462 in MS16-107 |
| Microsoft Office Compatibility Pack Service Pack 3 (3127948) | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Wichtig Remotecodeausführung | 3118307 in MS16-121 |
| Microsoft Excel Viewer (3127893) | Nicht verfügbar | Nicht verfügbar | Wichtig Remotecodeausführung | Nicht verfügbar | Wichtig Remotecodeausführung | Nicht verfügbar | 3115463 in MS16-107 |
| Microsoft PowerPoint Viewer (3118382) | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Wichtig Remotecodeausführung | Nicht verfügbar | Nicht verfügbar | 3054969 in MS16-107 |
[1]Dieses Update ist über Windows Update verfügbar.
[2]Ab dem 15. November 2016 ist das 3198807-Update für Microsoft Office für Mac 2011 verfügbar, und das 3198798 Update ist für Microsoft Office 2016 für Mac verfügbar. Weitere Informationen finden Sie im Microsoft Knowledge Base-Artikel 3198807. und Microsoft Knowledge Base-Artikel 3198798.
*Die Spalte Updates Ersetzt zeigt nur das neueste Update in einer Kette von ersetzten Updates an. Eine umfassende Liste der ersetzten Updates finden Sie im Microsoft Update-Katalog, suchen sie nach der Updatenummer, und zeigen Sie dann updatedetails an (Informationen zu ersetzten Updates finden Sie auf der Registerkarte Paketdetails ).
Microsoft Office-Software (Tabelle 2 von 2)
| Betroffene Software | Sicherheitsanfälligkeit in Microsoft Office bezüglich Offenlegung von Informationen – CVE-2016-7233 | Sicherheitsanfälligkeit in Microsoft Office: Speicherbeschädigung – CVE-2016-7234 | Sicherheitsanfälligkeit in Microsoft Office bezüglich Speicherbeschädigung – CVE-2016-7235 | Sicherheitsrisiko durch Speicherbeschädigung in Microsoft Office – CVE-2016-7236 | Microsoft Office-Denial-of-Service-Sicherheitsanfälligkeit – CVE-2016-7244 | Sicherheitsrisiko durch Speicherbeschädigung in Microsoft Office – CVE-2016-7245 | Updates ersetzt* |
|---|---|---|---|---|---|---|---|
| Microsoft Office 2007 | |||||||
| Microsoft Office 2007 Service Pack 3 (3118396) | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Wichtig **Denial-of-Service | Nicht verfügbar | 3118300 in MS16-107 |
| Microsoft Office 2007 Service Pack 3 (2986253) | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Wichtig Remotecodeausführung | 2687409 in MS15-081 |
| Microsoft Word 2007 (3127949) | Wichtig **Offenlegung von Informationen | Wichtig Remotecodeausführung | Wichtig Remotecodeausführung | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | 3118308 in MS16-121 |
| Microsoft Office 2010 | |||||||
| Microsoft Office 2010 Service Pack 2 (32-Bit-Editionen) (3127951) | Wichtig **Offenlegung von Informationen | Wichtig Remotecodeausführung | Wichtig Remotecodeausführung | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | 3118311 in MS16-121 |
| Microsoft Office 2010 Service Pack 2 (64-Bit-Editionen) (3127951) | Wichtig **Offenlegung von Informationen | Wichtig Remotecodeausführung | Wichtig Remotecodeausführung | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | 3118311 in MS16-121 |
| Microsoft Office 2010 Service Pack 2 (32-Bit-Editionen) (3115120) | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Wichtig Remotecodeausführung | 2965310 in MS15-081 |
| Microsoft Office 2010 Service Pack 2 (64-Bit-Editionen) (3115120) | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Wichtig Remotecodeausführung | 2965310 in MS15-081 |
| Microsoft Excel 2010 Service Pack 2 (32-Bit-Editionen) (3118390) | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Wichtig Remotecodeausführung | Nicht verfügbar | Nicht verfügbar | 3118316 in MS16-107 |
| Microsoft Excel 2010 Service Pack 2 (64-Bit-Editionen) (3118390) | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Wichtig Remotecodeausführung | Nicht verfügbar | Nicht verfügbar | 3118316 in MS16-107 |
| Microsoft Word 2010 Service Pack 2 (32-Bit-Editionen) (3127953) | Wichtig **Offenlegung von Informationen | Wichtig Remotecodeausführung | Wichtig Remotecodeausführung | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | 3118312 in MS16-121 |
| Microsoft Word 2010 Service Pack 2 (64-Bit-Editionen) (3127953) | Wichtig **Offenlegung von Informationen | Wichtig Remotecodeausführung | Wichtig Remotecodeausführung | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | 3118312 in MS16-121 |
| Microsoft Office 2013 | |||||||
| Microsoft Office 2013 Service Pack 1 (32-Bit-Editionen) (3115153) | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Wichtig Remotecodeausführung | 3039734 in MS15-081 |
| Microsoft Office 2013 Service Pack 1 (64-Bit-Editionen) (3115153) | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Wichtig Remotecodeausführung | 3039734 in MS15-081 |
| Microsoft Word 2013 Service Pack 1 (32-Bit-Editionen) (3127932) | Nicht verfügbar | Wichtig Remotecodeausführung | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | 3118345 in MS16-121 |
| Microsoft Word 2013 Service Pack 1 (64-Bit-Editionen) (3127932) | Nicht verfügbar | Wichtig Remotecodeausführung | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | 3118345 in MS16-121 |
| Microsoft Office 2013 RT | |||||||
| Microsoft Office 2013 RT Service Pack 1[1](3115153) | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Wichtig Remotecodeausführung | 3039734 in MS15-081 |
| Microsoft Word 2013 RT Service Pack 1[1](3127932) | Nicht verfügbar | Wichtig Remotecodeausführung | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | 3118345 in MS16-121 |
| Microsoft Office 2016 | |||||||
| Microsoft Office 2016 (32-Bit-Edition) (3115135) | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Wichtig Remotecodeausführung | Keine |
| Microsoft Office 2016 (64-Bit-Edition) (3115135) | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Wichtig Remotecodeausführung | Keine |
| Microsoft Office für Mac 2011 | |||||||
| Microsoft Word für Mac 2011[2](3198807) | Wichtig Remotecodeausführung | Wichtig Remotecodeausführung | Wichtig Remotecodeausführung | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | 3193442 in MS16-121 |
| Microsoft Excel für Mac 2011[2](3198807) | Wichtig Remotecodeausführung | Wichtig Remotecodeausführung | Wichtig Remotecodeausführung | Wichtig Remotecodeausführung | Nicht verfügbar | Nicht verfügbar | 3193442 in MS16-121 |
| Microsoft Office 2016 für Mac | |||||||
| Microsoft Excel 2016 für Mac[2](3198798) | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Wichtig Remotecodeausführung | Nicht verfügbar | Nicht verfügbar | 3193438 in MS16-121 |
| Microsoft Word 2016 für Mac[2](3198798) | Nicht verfügbar | Wichtig Remotecodeausführung | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | 3193438 in MS16-121 |
| Andere Office-Software | |||||||
| Microsoft Word Viewer (3127962) | Wichtig **Offenlegung von Informationen | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | 3127898 in MS16-121 |
| Microsoft Office Compatibility Pack Service Pack 3 (3127948) | Wichtig **Offenlegung von Informationen | Wichtig Remotecodeausführung | Wichtig Remotecodeausführung | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | 3118307 in MS16-121 |
[1]Dieses Update ist über Windows Update verfügbar.
[2] Ab dem 15. November 2016 ist das 3198807 Update für Microsoft Office für Mac 2011 verfügbar, und das 3198798 Update ist für Microsoft Office 2016 für Mac verfügbar. Weitere Informationen finden Sie im Microsoft Knowledge Base-Artikel 3198807. und Microsoft Knowledge Base-Artikel 3198798.
*Die Spalte Updates Ersetzt zeigt nur das neueste Update in einer Kette abgelöster Updates an. Eine umfassende Liste der ersetzten Updates finden Sie im Microsoft Update-Katalog, suchen Sie nach der Updatenummer, und zeigen Sie dann Updatedetails an (Informationen zu den ersetzten Updates finden Sie auf der Registerkarte Paketdetails ).
Microsoft Office-Dienste und Web-Apps
| Betroffene Software | Sicherheitsanfälligkeit in Microsoft Office bezüglich Speicherbeschädigung – CVE-2016-7230 | Sicherheitsanfälligkeit in Microsoft Office bezüglich Offenlegung von Informationen – CVE-2016-7233 | Sicherheitsanfälligkeit in Microsoft Office bezüglich Speicherbeschädigung – CVE-2016-7234 | Sicherheitsanfälligkeit in Microsoft Office bezüglich Speicherbeschädigung – CVE-2016-7236 | Updates ersetzt* |
|---|---|---|---|---|---|
| Microsoft SharePoint Server 2010 | |||||
| Excel Services auf Microsoft SharePoint Server 2010 Service Pack 2 (3118381) | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Wichtig \ Remotecodeausführung | 3115119 in MS16-107 |
| Word Automation Services in Microsoft SharePoint Server 2010 Service Pack 2 (3127950) | Nicht verfügbar | Nicht verfügbar | Wichtig \ Remotecodeausführung | Nicht verfügbar | 3118377 in MS16-121 |
| Microsoft SharePoint Server 2013 | |||||
| Word Automation Services in Microsoft SharePoint Server 2013 Service Pack 1 (3127927) | Nicht verfügbar | Wichtig \ Offenlegung von Informationen | Wichtig\ Remotecodeausführung | Nicht verfügbar | 3118352 in MS16-121 |
| Microsoft Office Web-Apps 2010 | |||||
| Microsoft Office Web-Apps 2010 Service Pack 2 (3127954) | Wichtig \ Remotecodeausführung | Wichtig\ Offenlegung von Informationen | Wichtig \ Remotecodeausführung | Nicht verfügbar | 3118384 in MS16-121 |
| Microsoft Office Web-Apps 2013 | |||||
| Microsoft Office Web-Apps Server 2013 Service Pack 1 (3127929) | Nicht verfügbar | Nicht verfügbar | Wichtig \ Remotecodeausführung | Nicht verfügbar | 3118360 in MS16-121 |
*Die Spalte zeigt nur das neueste Update in einer Kette abgelöster Updates an. Eine umfassende Liste der ersetzten Updates finden Sie im Microsoft Update-Katalog, suchen Sie nach der Update-KB-Nummer, und zeigen Sie dann Updatedetails an (Informationen zu den ersetzten Updates finden Sie auf der Registerkarte Paketdetails ).
Häufig gestellte Fragen zum Aktualisieren
Ich habe Microsoft Word 2010 installiert. Warum wird mir das 3127951 Update nicht angeboten?
Das 3127951 Update gilt nur für Systeme, auf denen bestimmte Konfigurationen von Microsoft Office 2010 ausgeführt werden. Für einige Konfigurationen wird das Update nicht angeboten.
Mir wird dieses Update für Software angeboten, die in der Tabelle "Bewertungen betroffener Software und Sicherheitsrisikoschweregrad" nicht ausdrücklich als betroffen angegeben ist. Warum wird mir dieses Update angeboten?
Wenn Updates anfälligen Code behandeln, der in einer Komponente vorhanden ist, die von mehreren Microsoft Office-Produkten oder von mehreren Versionen desselben Microsoft Office-Produkts gemeinsam genutzt wird, gilt das Update als für alle unterstützten Produkte und Versionen, die die anfällige Komponente enthalten.
Wenn beispielsweise ein Update für Microsoft Office 2007-Produkte gilt, kann in der Tabelle Betroffene Software nur Microsoft Office 2007 aufgeführt werden. Das Update kann jedoch für Microsoft Word 2007, Microsoft Excel 2007, Microsoft Visio 2007, Microsoft Compatibility Pack, Microsoft Excel Viewer oder jedes andere Microsoft Office 2007-Produkt gelten, das nicht ausdrücklich in der Tabelle "Betroffene Software" aufgeführt ist. Darüber hinaus kann, wenn ein Update für Microsoft Office 2010-Produkte gilt, nur Microsoft Office 2010 in der Tabelle "Betroffene Software" aufgeführt werden. Das Update kann jedoch für Microsoft Word 2010, Microsoft Excel 2010, Microsoft Visio 2010, Microsoft Visio Viewer oder jedes andere Microsoft Office 2010-Produkt gelten, das nicht ausdrücklich in der Tabelle Betroffene Software aufgeführt ist.
Weitere Informationen zu diesem Verhalten und empfohlenen Aktionen finden Sie im Microsoft Knowledge Base-Artikel 830335. Eine Liste der Microsoft Office-Produkte, für die ein Update möglicherweise gilt, finden Sie im Microsoft Knowledge Base-Artikel, der dem jeweiligen Update zugeordnet ist.
Informationen zu Sicherheitsrisiken
Sicherheitsanfälligkeit in Microsoft Office bezüglich Offenlegung von Informationen – CVE-2016-7233
Ein Sicherheitsrisiko bei der Offenlegung von Informationen liegt vor, wenn Office oder Word aufgrund einer nicht initialisierten Variablen, die den Inhalt des Arbeitsspeichers offenlegen könnte, außerhalb des gebundenen Arbeitsspeichers liest. Ein Angreifer, der die Sicherheitsanfälligkeit erfolgreich ausnutzt, kann außerhalb des Begrenzten Arbeitsspeichers anzeigen.
Die Ausnutzung der Sicherheitsanfälligkeit erfordert, dass ein Benutzer eine speziell erstellte Datei mit einer betroffenen Version der Microsoft Office-Software öffnet.
Das Sicherheitsupdate behebt das Sicherheitsrisiko, indem die betroffene Variable ordnungsgemäß initialisiert wird.
Die folgende Tabelle enthält Links zum Standardeintrag für die einzelnen Sicherheitsrisiken in der Liste Allgemeiner Sicherheitsrisiken und Risiken:
| Titel der Sicherheitslücke | CVE-Nummer | Öffentlich zugänglich gemacht | Genutzt |
|---|---|---|---|
| Sicherheitsrisiko bei der Offenlegung von Informationen in Microsoft Office | CVE-2016-7233 | Nein | Nein |
Schadensbegrenzende Faktoren
Microsoft hat keine mildernden Faktoren für dieses Sicherheitsrisiko identifiziert.
Problemumgehungen
Microsoft hat keine Problemumgehungen für dieses Sicherheitsrisiko identifiziert.
Mehrere Microsoft Office-Speicherbeschädigungsrisiken
Es gibt mehrere Sicherheitsrisiken bei der Remotecodeausführung in Microsoft Office-Software, wenn die Office-Software Objekte im Arbeitsspeicher nicht ordnungsgemäß verarbeitet. Ein Angreifer, der die Sicherheitsanfälligkeiten erfolgreich ausnutzt, kann beliebigen Code im Kontext des aktuellen Benutzers ausführen. Wenn der aktuelle Benutzer mit Administratorrechten angemeldet ist, kann ein Angreifer Kontrolle über das betroffene System übernehmen. Ein Angreifer könnte dann Programme installieren, Daten anzeigen, ändern, oder löschen oder neue Konten mit uneingeschränkten Benutzerrechten anlegen. Für Benutzer, deren Konten mit weniger Benutzerrechten im System konfiguriert sind, sind die Auswirkungen normalerweise geringer als für Benutzer, die mit Administratorrechten arbeiten.
Die Ausnutzung der Sicherheitsrisiken erfordert, dass ein Benutzer eine speziell erstellte Datei mit einer betroffenen Version der Microsoft Office-Software öffnet. In einem E-Mail-Angriffsszenario könnte ein Angreifer die Sicherheitsrisiken ausnutzen, indem er die speziell gestaltete Datei an den Benutzer sendet und den Benutzer dazu verredet, die Datei zu öffnen. In einem webbasierten Angriffsszenario kann ein Angreifer eine Website hosten (oder eine kompromittierte Website nutzen, die vom Benutzer bereitgestellte Inhalte akzeptiert oder hostet), die eine speziell gestaltete Datei enthält, die zur Ausnutzung der Sicherheitsrisiken entwickelt wurde. Ein Angreifer hätte keine Möglichkeit, Benutzer zum Besuch der Website zu zwingen. Stattdessen müsste ein Angreifer die Benutzer dazu bringen, auf einen Link zu klicken, in der Regel durch eine Verlockung in einer E-Mail oder Instant Messenger-Nachricht, und sie dann dazu bringen, die speziell gestaltete Datei zu öffnen.
Beachten Sie, dass der Vorschaubereich kein Angriffsvektor für diese Sicherheitsrisiken ist. Das Sicherheitsupdate behebt die Sicherheitsrisiken, indem korrigiert wird, wie Office Objekte im Arbeitsspeicher behandelt.
Die folgende Tabelle enthält Links zum Standardeintrag für die einzelnen Sicherheitsrisiken in der Liste Allgemeiner Sicherheitsrisiken und Risiken:
| Titel der Sicherheitslücke | CVE-Nummer | Öffentlich zugänglich gemacht | Genutzt |
|---|---|---|---|
| Sicherheitsrisiko bei Microsoft Office-Speicherbeschädigung | CVE-2016-7213 | Nein | Nein |
| Sicherheitsrisiko bei Microsoft Office-Speicherbeschädigung | CVE-2016-7228 | Nein | Nein |
| Sicherheitsrisiko bei Microsoft Office-Speicherbeschädigung | CVE-2016-7229 | Nein | Nein |
| Sicherheitsrisiko bei Microsoft Office-Speicherbeschädigung | CVE-2016-7230 | Nein | Nein |
| Sicherheitsrisiko bei Microsoft Office-Speicherbeschädigung | CVE-2016-7231 | Nein | Nein |
| Sicherheitsrisiko bei Microsoft Office-Speicherbeschädigung | CVE-2016-7232 | Nein | Nein |
| Sicherheitsrisiko bei Microsoft Office-Speicherbeschädigung | CVE-2016-7234 | Nein | Nein |
| Sicherheitsrisiko bei Microsoft Office-Speicherbeschädigung | CVE-2016-7235 | Nein | Nein |
| Sicherheitsrisiko bei Microsoft Office-Speicherbeschädigung | CVE-2016-7236 | Nein | Nein |
| Sicherheitsrisiko bei Microsoft Office-Speicherbeschädigung | CVE-2016-7245 | Nein | Nein |
Schadensbegrenzende Faktoren
Microsoft hat keine mildernden Faktoren für diese Sicherheitsrisiken identifiziert.
Problemumgehungen
Microsoft hat keine Problemumgehungen für diese Sicherheitsrisiken identifiziert.
Microsoft Office-Denial-of-Service-Sicherheitsanfälligkeit – CVE-2016-7244
Eine Denial-of-Service-Sicherheitsanfälligkeit liegt vor, wenn eine speziell gestaltete Datei in Microsoft Office geöffnet wird. Ein Angreifer, der die Sicherheitsanfälligkeit erfolgreich ausnutzt, kann dazu führen, dass Office nicht mehr reagiert. Beachten Sie, dass der Denial-of-Service einem Angreifer nicht erlauben würde, Code auszuführen oder seine Benutzerrechte zu erhöhen.
Damit ein Angriff erfolgreich ist, erfordert diese Sicherheitsanfälligkeit, dass ein Benutzer eine speziell erstellte Datei mit einer betroffenen Version von Microsoft Office öffnet. In einem E-Mail-Angriffsszenario kann ein Angreifer die Sicherheitsanfälligkeit ausnutzen, indem er eine speziell gestaltete Datei an den Benutzer sendet und den Benutzer dazu verredet, die Datei zu öffnen.
Das Update behebt die Sicherheitsanfälligkeit, indem korrigiert wird, wie Microsoft Office Objekte im Arbeitsspeicher behandelt.
Die folgende Tabelle enthält Links zum Standardeintrag für die einzelnen Sicherheitsrisiken in der Liste Allgemeiner Sicherheitsrisiken und Risiken:
| Titel der Sicherheitslücke | CVE-Nummer | Öffentlich zugänglich gemacht | Genutzt |
|---|---|---|---|
| Microsoft Office-Denial-of-Service-Sicherheitsrisiko | CVE-2016-7244 | Nein | Nein |
Schadensbegrenzende Faktoren
Microsoft hat keine mildernden Faktoren für dieses Sicherheitsrisiko identifiziert.
Problemumgehungen
Microsoft hat keine Problemumgehungen für dieses Sicherheitsrisiko identifiziert.
Bereitstellung von Sicherheitsupdates
Informationen zur Bereitstellung von Sicherheitsupdates finden Sie im Microsoft Knowledge Base-Artikel, auf den in der Zusammenfassung verwiesen wird.
Danksagungen
Microsoft erkennt die Bemühungen von Personen in der Sicherheitscommunity an, die uns helfen, Kunden durch koordinierte Offenlegung von Sicherheitsrisiken zu schützen. Weitere Informationen finden Sie unter Bestätigungen .
Haftungsausschluss
Die in der Microsoft Knowledge Base bereitgestellten Informationen werden ohne Jegliche Gewährleistung "wie ben" bereitgestellt. Microsoft lehnt jegliche Gewährleistungen ab, sei es ausdrücklich oder stillschweigend, einschließlich der Gewährleistungen der Marktgängigkeit und Eignung für einen bestimmten Zweck. In keinem Fall haften Die Microsoft Corporation oder ihre Lieferanten für Schäden jeglicher Art, einschließlich direkter, indirekter, zufälliger, Folgeschäden, Verlust von Geschäftsgewinnen oder besonderen Schäden, auch wenn Microsoft Corporation oder ihre Lieferanten auf die Möglichkeit solcher Schäden hingewiesen wurden. Einige Staaten lassen den Ausschluss oder die Beschränkung der Haftung für Folge- oder Nebenschäden nicht zu, sodass die vorstehende Einschränkung möglicherweise nicht gilt.
Revisionen
- V1.0 (8. November 2016): Bulletin veröffentlicht.
- V2.0 (15. November 2016): Das Bulletin wurde überarbeitet, um die Verfügbarkeit des Updates 14.7.0 für Microsoft Office für Mac 2011 (3198807) und des Updates 15.28 für Microsoft Office 2016 für Mac (3198798) bekannt zu geben. Kunden, die betroffene Mac-Software ausführen, sollten das entsprechende Update für ihr Produkt installieren, um vor den in diesem Bulletin beschriebenen Sicherheitsrisiken geschützt zu sein. Kunden, die andere Microsoft Office-Software ausführen, müssen keine Maßnahmen ergreifen. Weitere Informationen finden Sie im Microsoft Knowledge Base-Artikel 3198807. und Microsoft Knowledge Base-Artikel 3198798. für weitere Informationen und Downloadlinks.
Seite generiert am 16.05.2017 08:58-07:00.