Microsoft Security Bulletin MS17-014 – Wichtig
Sicherheitsupdate für Microsoft Office (4013241)
Veröffentlicht: 14. März 2017 | Aktualisiert: 11. April 2017
Version: 2.0
Kurzfassung
Dieses Sicherheitsupdate behebt Sicherheitsrisiken in Microsoft Office. Die schwerwiegendsten Sicherheitsrisiken können Remotecodeausführung ermöglichen, wenn ein Benutzer eine speziell gestaltete Microsoft Office-Datei öffnet. Ein Angreifer, der die Sicherheitsanfälligkeiten erfolgreich ausnutzt, kann beliebigen Code im Kontext des aktuellen Benutzers ausführen. Kunden, deren Konten für weniger Benutzerrechte auf dem System konfiguriert sind, sind möglicherweise weniger betroffen als Kunden, die mit administratorrechtlichen Benutzerrechten arbeiten.
Weitere Informationen zu den Sicherheitsrisiken finden Sie im Abschnitt Bewertungen für betroffene Software und Schweregrad der Sicherheitsrisiken .
Das Sicherheitsupdate behebt die Sicherheitsanfälligkeiten wie folgt:
- Korrigieren der Verarbeitung von Objekten im Arbeitsspeicher durch Office
- Ändern der Art und Weise, wie bestimmte Funktionen Objekte im Arbeitsspeicher verarbeiten
- Ordnungsgemäßes Initialisieren der betroffenen Variablen
- Sicherstellen, dass SharePoint Server Webanforderungen ordnungsgemäß bereinigen kann
- Korrigieren der Überprüfung von Zertifikaten durch den Lync für Mac 2011-Client
Weitere Informationen zu den Sicherheitsrisiken finden Sie im Abschnitt Informationen zu Sicherheitsrisiken .
Weitere Informationen zu diesem Update finden Sie im Microsoft Knowledge Base-Artikel 4013241.
Bewertungen des Schweregrads der betroffenen Software und der Sicherheitsrisiken
Die folgenden Softwareversionen oder Editionen sind betroffen. Versionen oder Editionen, die nicht aufgeführt sind, haben entweder ihren Supportlebenszyklus hinter sich oder sind nicht betroffen. Informationen zum Ermitteln des Supportlebenszyklus für Ihre Softwareversion oder Edition finden Sie unter Microsoft-Support Lifecycle.
Die folgenden Schweregradbewertungen gehen von der potenziellen maximalen Auswirkung der Sicherheitsanfälligkeit aus. Informationen zur Wahrscheinlichkeit der Ausnutzung des Sicherheitsrisikos in Bezug auf den Schweregrad und die Sicherheitsauswirkungen innerhalb von 30 Tagen nach Veröffentlichung dieses Security Bulletins finden Sie im Ausnutzungsindex in der Zusammenfassung des Bulletins vom März.
Hinweis Einen neuen Ansatz zur Nutzung der Sicherheitsupdateinformationen finden Sie im Leitfaden für Sicherheitsupdates . Sie können Ihre Ansichten anpassen und betroffene Softwaretabellen erstellen sowie Daten über eine erholsame API herunterladen. Weitere Informationen finden Sie im Leitfaden zu sicherheitsrelevanten Updates. Zur Erinnerung: Der Leitfaden zur Sicherheit Updates ersetzt Sicherheitsbulletins. Weitere Informationen finden Sie in unserem Blogbeitrag zur Förderung unserer Verpflichtung zu Sicherheitsupdates.
Microsoft Office-Software (Tabelle 1 von 2)
| Betroffene Software | Sicherheitsanfälligkeit in Microsoft Office bezüglich Speicherbeschädigung – CVE-2017-0006 | Sicherheitsanfälligkeit in Microsoft Office bezüglich Speicherbeschädigung – CVE-2017-0019 | Sicherheitsanfälligkeit in Microsoft Office bezüglich Speicherbeschädigung – CVE-2017-0020 | Sicherheitsanfälligkeit in Microsoft Office bezüglich Offenlegung von Informationen – CVE-2017-0027 | Microsoft Office-Denial-of-Service-Sicherheitsanfälligkeit – CVE-2017-0029 | Updates ersetzt* |
|---|---|---|---|---|---|---|
| Microsoft Office 2007 | ||||||
| Microsoft Excel 2007 Service Pack 3 (3178676) | Wichtig Remotecodeausführung | Nicht verfügbar | Nicht verfügbar | Wichtig Offenlegung von Informationen | Nicht verfügbar | 3128019 in MS16-148 |
| Microsoft Word 2007 Service Pack 3 (3178683) | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | 3128025 in MS16-148 |
| Microsoft Office 2010 | ||||||
| Microsoft Office 2010 Service Pack 2 (32-Bit-Editionen) (3178686) | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Wichtig Denial-of-Service | 3128032 in MS16-148 |
| Microsoft Office 2010 Service Pack 2 (64-Bit-Editionen) (3178686) | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Wichtig Denial-of-Service | 3128032 in MS16-148 |
| Microsoft Excel 2010 Service Pack 2 (32-Bit-Editionen) (3178690) | Nicht verfügbar | Nicht verfügbar | Wichtig Remotecodeausführung | Wichtig Offenlegung von Informationen | Nicht verfügbar | 3128037 in MS16-148 |
| Microsoft Excel 2010 Service Pack 2 (64-Bit-Editionen) (3178690) | Nicht verfügbar | Nicht verfügbar | Wichtig Remotecodeausführung | Wichtig Offenlegung von Informationen | Nicht verfügbar | 3128037 in MS16-148 |
| Microsoft Word 2010 Service Pack 2 (32-Bit-Editionen) (3178687) | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Wichtig Denial-of-Service | 3128034 in MS16-148 |
| Microsoft Word 2010 Service Pack 2 (64-Bit-Editionen) (3178687) | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Wichtig Denial-of-Service | 3128034 in MS16-148 |
| Microsoft Office 2013 | ||||||
| Microsoft Excel 2013 Service Pack 1 (32-Bit-Editionen) (3172542) | Nicht verfügbar | Nicht verfügbar | Wichtig Remotecodeausführung | Wichtig Offenlegung von Informationen | Nicht verfügbar | 3128008 in MS16-148 |
| Microsoft Excel 2013 Service Pack 1 (64-Bit-Editionen) (3172542) | Nicht verfügbar | Nicht verfügbar | Wichtig Remotecodeausführung | Wichtig Offenlegung von Informationen | Nicht verfügbar | 3128008 in MS16-148 |
| Microsoft Word 2013 Service Pack 1 (32-Bit-Editionen) (3172464) | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Wichtig Denial-of-Service | 3127932 in MS16-133 |
| Microsoft Word 2013 Service Pack 1 (64-Bit-Editionen) (3172464) | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Wichtig Denial-of-Service | 3127932 in MS16-133 |
| Microsoft Office 2013 RT | ||||||
| Microsoft Excel 2013 RT Service Pack 1[1](3172542) | Nicht verfügbar | Nicht verfügbar | Wichtig Remotecodeausführung | Wichtig Offenlegung von Informationen | Nicht verfügbar | 3128008 in MS16-148 |
| Microsoft Word 2013 RT Service Pack 1[1](3172464) | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Wichtig Denial-of-Service | 3127932 in MS16-133 |
| Microsoft Office 2016 | ||||||
| Microsoft Excel 2016 (32-Bit-Edition) (3178673) | Nicht verfügbar | Nicht verfügbar | Wichtig Remotecodeausführung | Wichtig Offenlegung von Informationen | Nicht verfügbar | 3128016 in MS16-148 |
| Microsoft Excel 2016 (64-Bit-Edition) (3178673) | Nicht verfügbar | Nicht verfügbar | Wichtig Remotecodeausführung | Wichtig Offenlegung von Informationen | Nicht verfügbar | 3128016 in MS16-148 |
| Microsoft Word 2016 (32-Bit-Edition) (3178674) | Nicht verfügbar | Wichtig Remotecodeausführung | Nicht verfügbar | Nicht verfügbar | Wichtig Denial-of-Service | 3128057 in MS17-002 |
| Microsoft Word 2016 (64-Bit-Edition) (3178674) | Nicht verfügbar | Wichtig Remotecodeausführung | Nicht verfügbar | Nicht verfügbar | Wichtig Denial-of-Service | 3128057 in MS17-002 |
| Microsoft Office für Mac 2011 | ||||||
| Microsoft Excel für Mac 2011 | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | 3198808 in MS16-015 |
| Microsoft Excel für Mac 2011 | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Wichtig Offenlegung von Informationen | Nicht verfügbar | 3198809 in MS17-014 |
| Microsoft Word für Mac 2011 | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | 3198808 in MS16-015 |
| Microsoft Word für Mac 2011 | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | 3198808 in MS16-015 |
| Microsoft Office 2016 für Mac | ||||||
| Microsoft Office 2016 für Mac | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Wichtig Denial-of-Service | Keine |
| Microsoft Excel 2016 für Mac | Nicht verfügbar | Nicht verfügbar | Wichtig Remotecodeausführung | Wichtig Offenlegung von Informationen | Nicht verfügbar | Keine |
| Andere Office-Software | ||||||
| Microsoft Office Compatibility Pack Service Pack 3 (3178677) | Wichtig Remotecodeausführung | Nicht verfügbar | Nicht verfügbar | Wichtig Offenlegung von Informationen | Nicht verfügbar | 3128022 in MS16-148 |
| Microsoft Office Compatibility Pack Service Pack 3 (3178682) | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | 3128024 in MS16-148 |
| Microsoft Excel Viewer (3178680) | Wichtig Remotecodeausführung | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | 3128023 in MS16-148 |
| Microsoft Word Viewer (3178694) | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | 3128044 in MS16-148 |
[1]Dieses Update ist über Windows Update verfügbar.
*Die Spalte Updates Ersetzt zeigt nur das neueste Update in einer Kette abgelöster Updates an. Eine umfassende Liste der ersetzten Updates finden Sie im Microsoft Update-Katalog, suchen Sie nach der Update-KB-Nummer, und zeigen Sie dann Updatedetails an (Informationen zu den ersetzten Updates finden Sie auf der Registerkarte Paketdetails ).
Microsoft Office-Software (Tabelle 2 von 2)
| Betroffene Software | Sicherheitsanfälligkeit in Microsoft Office bezüglich Speicherbeschädigung – CVE-2017-0030 | Sicherheitsanfälligkeit in Microsoft Office bezüglich Speicherbeschädigung – CVE-2017-0031 | Sicherheitsanfälligkeit in Microsoft Office bezüglich Speicherbeschädigung – CVE-2017-0052 | Sicherheitsanfälligkeit in Microsoft Office bezüglich Speicherbeschädigung – CVE-2017-0053 | Sicherheitsanfälligkeit in Microsoft Office bezüglich Offenlegung von Informationen – CVE-2017-0105 | Updates ersetzt* |
|---|---|---|---|---|---|---|
| Microsoft Office 2007 | ||||||
| Microsoft Excel 2007 Service Pack 3 (3178676) | Nicht verfügbar | Nicht verfügbar | Wichtig Remotecodeausführung | Nicht verfügbar | Nicht verfügbar | 3128019 in MS16-148 |
| Microsoft Word 2007 Service Pack 3 (3178683) | Wichtig Remotecodeausführung | Wichtig Remotecodeausführung | Nicht verfügbar | Wichtig Remotecodeausführung | Wichtig Offenlegung von Informationen | 3128025 in MS16-148 |
| Microsoft Office 2010 | ||||||
| Microsoft Office 2010 Service Pack 2 (32-Bit-Editionen) (3178686) | Wichtig Remotecodeausführung | Wichtig Remotecodeausführung | Nicht verfügbar | Wichtig Remotecodeausführung | Wichtig Offenlegung von Informationen | 3128032 in MS16-148 |
| Microsoft Office 2010 Service Pack 2 (64-Bit-Editionen) (3178686) | Wichtig Remotecodeausführung | Wichtig Remotecodeausführung | Nicht verfügbar | Wichtig Remotecodeausführung | Wichtig Offenlegung von Informationen | 3128032 in MS16-148 |
| Microsoft Excel 2010 Service Pack 2 (32-Bit-Editionen) (3178690) | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | 3128037 in MS16-148 |
| Microsoft Excel 2010 Service Pack 2 (64-Bit-Editionen) (3178690) | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | 3128037 in MS16-148 |
| Microsoft Word 2010 Service Pack 2 (32-Bit-Editionen) (3178687) | Wichtig Remotecodeausführung | Wichtig Remotecodeausführung | Nicht verfügbar | Wichtig Remotecodeausführung | Wichtig Offenlegung von Informationen | 3141542 in MS16-148 |
| Microsoft Word 2010 Service Pack 2 (64-Bit-Editionen) (3178687) | Wichtig Remotecodeausführung | Wichtig Remotecodeausführung | Nicht verfügbar | Wichtig Remotecodeausführung | Wichtig Offenlegung von Informationen | 3141542 in MS16-148 |
| Microsoft Office 2013 | ||||||
| Microsoft Excel 2013 Service Pack 1 (32-Bit-Editionen) (3172542) | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | 3128008 in MS16-148 |
| Microsoft Excel 2013 Service Pack 1 (64-Bit-Editionen) (3172542) | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | 3128008 in MS16-148 |
| Microsoft Word 2013 Service Pack 1 (32-Bit-Editionen) (3172464) | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Wichtig Remotecodeausführung | Nicht verfügbar | 3127932 in MS16-133 |
| Microsoft Word 2013 Service Pack 1 (64-Bit-Editionen) (3172464) | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Wichtig Remotecodeausführung | Nicht verfügbar | 3127932 in MS16-133 |
| Microsoft Office 2013 RT | ||||||
| Microsoft Excel 2013 RT Service Pack 1[1](3172542) | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | 3128008 in MS16-148 |
| Microsoft Word 2013 RT Service Pack 1[1](3172464) | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Wichtig Remotecodeausführung | Nicht verfügbar | 3127932 in MS16-133 |
| Microsoft Office 2016 | ||||||
| Microsoft Excel 2016 (32-Bit-Edition) (3178673) | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | 3128016 in MS16-148 |
| Microsoft Excel 2016 (64-Bit-Edition) (3178673) | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | 3128016 in MS16-148 |
| Microsoft Word 2016 (32-Bit-Edition) (3178674) | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Wichtig Remotecodeausführung | Nicht verfügbar | 3128057 in MS17-002 |
| Microsoft Word 2016 (64-Bit-Edition) (3178674) | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Wichtig Remotecodeausführung | Nicht verfügbar | 3128057 in MS17-002 |
| Microsoft Office für Mac 2011 | ||||||
| Microsoft Excel für Mac 2011 | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | 3198808 in MS16-015 |
| Microsoft Excel für Mac 2011 | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | 3198809 in MS17-014 |
| Microsoft Word für Mac 2011 | Wichtig Remotecodeausführung | Wichtig Remotecodeausführung | Nicht verfügbar | Nicht verfügbar | Wichtig Offenlegung von Informationen | 3198808 in MS16-015 |
| Microsoft Word für Mac 2011 | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | 3198809 in MS17-014 |
| Microsoft Office 2016 für Mac | ||||||
| Microsoft Office 2016 für Mac | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Keine |
| Microsoft Excel 2016 für Mac | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Keine |
| Andere Office-Software | ||||||
| Microsoft Office Compatibility Pack Service Pack 3 (3178677) | Nicht verfügbar | Nicht verfügbar | Wichtig Remotecodeausführung | Nicht verfügbar | Nicht verfügbar | 3128022 in MS16-148 |
| Microsoft Office Compatibility Pack Service Pack 3 (3178682) | Wichtig Remotecodeausführung | Wichtig Remotecodeausführung | Nicht verfügbar | Wichtig Remotecodeausführung | Wichtig Offenlegung von Informationen | 3128024 in MS16-148 |
| Microsoft Excel Viewer (3178680) | Nicht verfügbar | Nicht verfügbar | Wichtig Remotecodeausführung | Nicht verfügbar | Nicht verfügbar | 3128023 in MS16-148 |
| Microsoft Word Viewer (3178694) | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Wichtig Remotecodeausführung | Nicht verfügbar | 3128044 in MS16-148 |
[1]Dieses Update ist über Windows Update verfügbar.
*Die Spalte Updates Ersetzt zeigt nur das neueste Update in einer Kette von ersetzten Updates an. Eine umfassende Liste der ersetzten Updates finden Sie im Microsoft Update-Katalog, suchen Sie nach der Update-KB-Nummer, und zeigen Sie dann Updatedetails an (Ersetzte Updates finden Sie auf der Registerkarte Paketdetails ).
Microsoft Office Services und Web-Apps
| Betroffene Software | Sicherheitsanfälligkeit in Microsoft Office bezüglich Speicherbeschädigung – CVE-2017-0006 | Sicherheitsanfälligkeit in Microsoft Office bezüglich Speicherbeschädigung – CVE-2017-0020 | Sicherheitsanfälligkeit in Microsoft Office bezüglich Offenlegung von Informationen – CVE-2017-0027 | Sicherheitsanfälligkeit in Microsoft Office: Speicherbeschädigung – CVE-2017-0030 | Sicherheitsanfälligkeit in Microsoft Office bezüglich Speicherbeschädigung – CVE-2017-0052 | Sicherheitsanfälligkeit in Microsoft Office bezüglich Offenlegung von Informationen – CVE-2017-0105 | Updates ersetzt* |
|---|---|---|---|---|---|---|---|
| Microsoft SharePoint Server 2007 | |||||||
| Excel Services unter Microsoft SharePoint Server 2007 Service Pack 3 (32-Bit-Edition) (3178678) | Wichtig Remotecodeausführung | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Wichtig Remotecodeausführung | Nicht verfügbar | 3127892 in MS16-148 |
| Excel Services unter Microsoft SharePoint Server 2007 Service Pack 3 (64-Bit-Edition) (3178678) | Wichtig Remotecodeausführung | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Wichtig Remotecodeausführung | Nicht verfügbar | 3127892 in MS16-148 |
| Microsoft SharePoint Server 2010 | |||||||
| Excel Services in Microsoft SharePoint Server 2010 Service Pack 2 (3178685) | Nicht verfügbar | Nicht verfügbar | Wichtig Offenlegung von Informationen | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | 3128029 in MS16-148 |
| Word Automation Services in Microsoft SharePoint Server 2010 Service Pack 2 (3178684) | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Wichtig Remotecodeausführung | Nicht verfügbar | Wichtig Offenlegung von Informationen | 3128026 in MS16-070 |
| Microsoft SharePoint Server 2013 | |||||||
| Excel Services auf Microsoft SharePoint Server 2013 Service Pack 1 (3172431) | Nicht verfügbar | Nicht verfügbar | Wichtig Offenlegung von Informationen | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | 3115169 in MS16-107 |
| Microsoft Office Web-Apps 2010 | |||||||
| Microsoft Office Web-Apps 2010 Service Pack 2 (3178689) | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Wichtig Offenlegung von Informationen | Nicht verfügbar | Wichtig Offenlegung von Informationen | 3128035 in MS16-148 |
| Microsoft Office Web-Apps 2013 | |||||||
| Microsoft Office Web-Apps Server 2013 Service Pack 1 (3172457) | Nicht verfügbar | Wichtig Remotecodeausführung | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | 3127929 in MS16-133 |
*Die Spalte Updates Ersetzt zeigt nur das neueste Update in einer Kette abgelöster Updates an. Eine umfassende Liste der ersetzten Updates finden Sie im Microsoft Update-Katalog, suchen Sie nach der Update-KB-Nummer, und zeigen Sie dann Updatedetails an (Informationen zu den ersetzten Updates finden Sie auf der Registerkarte Paketdetails ).
Microsoft Server-Software
| Betroffene Software | Microsoft SharePoint XSS-Sicherheitsanfälligkeit – CVE-2017-0107 | Updates ersetzt* |
|---|---|---|
| Microsoft SharePoint Server 2013 | ||
| Microsoft SharePoint Foundation 2013 Service Pack 1 (3172540) | Wichtig Rechteerweiterung | 3115294 in MS16-088 |
*Die Spalte Updates Ersetzt zeigt nur das neueste Update in einer Kette abgelöster Updates an. Eine umfassende Liste der ersetzten Updates finden Sie im Microsoft Update-Katalog, suchen Sie nach der Update-KB-Nummer, und zeigen Sie dann Updatedetails an (Informationen zu den ersetzten Updates finden Sie auf der Registerkarte Paketdetails ).
Microsoft-Kommunikationsplattformen und -software
| Betroffene Software | Sicherheitsanfälligkeit in Microsoft Lync für Mac bezüglich Zertifikatüberprüfung – CVE-2017-0129 | Updates ersetzt* |
|---|---|---|
| Microsoft Lync für Mac | ||
| Microsoft Lync für Mac 2011 (4012487) | Wichtig Umgehung von Sicherheitsfeatures | Keine |
*Die Spalte Updates Ersetzt zeigt nur das neueste Update in einer Kette abgelöster Updates an. Eine umfassende Liste der ersetzten Updates finden Sie im Microsoft Update-Katalog, suchen Sie nach der Update-KB-Nummer, und zeigen Sie dann Updatedetails an (Informationen zu den ersetzten Updates finden Sie auf der Registerkarte Paketdetails ).
Häufig gestellte Fragen zum Aktualisieren
Enthalten diese Updates zusätzliche sicherheitsrelevante Änderungen?
Ja. Zusätzlich zu den Änderungen, die für die in diesem Bulletin beschriebenen Sicherheitsrisiken aufgeführt sind, enthält dieses Update umfassende Updates zur Verteidigung, um sicherheitsbezogene Features zu verbessern.
Ich habe Microsoft Word 2010 installiert. Warum wird mir das 3178686 Update nicht angeboten?
Das 3178686 Update gilt nur für Systeme, auf denen bestimmte Konfigurationen von Microsoft Office 2010 ausgeführt werden. Für einige Konfigurationen wird das Update nicht angeboten.
Mir wird dieses Update für Software angeboten, die in der Tabelle "Bewertungen betroffener Software und Sicherheitsrisikoschweregrad" nicht ausdrücklich als betroffen angegeben ist. Warum wird mir dieses Update angeboten?
Wenn Updates anfälligen Code behandeln, der in einer Komponente vorhanden ist, die von mehreren Microsoft Office-Produkten oder von mehreren Versionen desselben Microsoft Office-Produkts gemeinsam genutzt wird, gilt das Update als für alle unterstützten Produkte und Versionen, die die anfällige Komponente enthalten.
Wenn beispielsweise ein Update für Microsoft Office 2007-Produkte gilt, kann in der Tabelle Betroffene Software nur Microsoft Office 2007 aufgeführt werden. Das Update kann jedoch für Microsoft Word 2007, Microsoft Excel 2007, Microsoft Visio 2007, Microsoft Compatibility Pack, Microsoft Excel Viewer oder jedes andere Microsoft Office 2007-Produkt gelten, das nicht ausdrücklich in der Tabelle "Betroffene Software" aufgeführt ist. Darüber hinaus kann, wenn ein Update für Microsoft Office 2010-Produkte gilt, nur Microsoft Office 2010 in der Tabelle "Betroffene Software" aufgeführt werden. Das Update kann jedoch für Microsoft Word 2010, Microsoft Excel 2010, Microsoft Visio 2010, Microsoft Visio Viewer oder jedes andere Microsoft Office 2010-Produkt gelten, das nicht ausdrücklich in der Tabelle Betroffene Software aufgeführt ist.
Weitere Informationen zu diesem Verhalten und empfohlenen Aktionen finden Sie im Microsoft Knowledge Base-Artikel 830335. Eine Liste der Microsoft Office-Produkte, für die ein Update möglicherweise gilt, finden Sie im Microsoft Knowledge Base-Artikel, der dem jeweiligen Update zugeordnet ist.
Informationen zu Sicherheitsrisiken
Mehrere Microsoft Office-Speicherbeschädigungsrisiken
Es gibt mehrere Sicherheitsrisiken bei der Remotecodeausführung in Microsoft Office-Software, wenn die Office-Software Objekte im Arbeitsspeicher nicht ordnungsgemäß verarbeitet. Ein Angreifer, der die Sicherheitsanfälligkeiten erfolgreich ausnutzt, kann beliebigen Code im Kontext des aktuellen Benutzers ausführen. Wenn der aktuelle Benutzer mit Administratorrechten angemeldet ist, kann ein Angreifer Kontrolle über das betroffene System übernehmen. Ein Angreifer könnte dann Programme installieren, Daten anzeigen, ändern, oder löschen oder neue Konten mit uneingeschränkten Benutzerrechten anlegen. Für Benutzer, deren Konten mit weniger Benutzerrechten im System konfiguriert sind, sind die Auswirkungen normalerweise geringer als für Benutzer, die mit Administratorrechten arbeiten.
Die Ausnutzung der Sicherheitsrisiken erfordert, dass ein Benutzer eine speziell erstellte Datei mit einer betroffenen Version der Microsoft Office-Software öffnet. In einem E-Mail-Angriffsszenario könnte ein Angreifer die Sicherheitsrisiken ausnutzen, indem er die speziell gestaltete Datei an den Benutzer sendet und den Benutzer dazu verredet, die Datei zu öffnen. In einem webbasierten Angriffsszenario kann ein Angreifer eine Website hosten (oder eine kompromittierte Website nutzen, die vom Benutzer bereitgestellte Inhalte akzeptiert oder hostet), die eine speziell gestaltete Datei enthält, die zur Ausnutzung der Sicherheitsrisiken entwickelt wurde. Ein Angreifer hätte keine Möglichkeit, Benutzer zum Besuch der Website zu zwingen. Stattdessen müsste ein Angreifer die Benutzer dazu bringen, auf einen Link zu klicken, in der Regel durch eine Verlockung in einer E-Mail oder Instant Messenger-Nachricht, und sie dann dazu bringen, die speziell gestaltete Datei zu öffnen.
Beachten Sie, dass der Vorschaubereich kein Angriffsvektor für diese Sicherheitsrisiken ist. Das Sicherheitsupdate behebt die Sicherheitsrisiken, indem korrigiert wird, wie Office Objekte im Arbeitsspeicher behandelt.
Die folgende Tabelle enthält Links zum Standardeintrag für die einzelnen Sicherheitsrisiken in der Liste Allgemeiner Sicherheitsrisiken und Risiken:
| Titel der Sicherheitslücke | CVE-Nummer | Öffentlich zugänglich gemacht | Genutzt |
|---|---|---|---|
| Sicherheitsrisiko bei Microsoft Office-Speicherbeschädigung | CVE-2017-0006 | Nein | Nein |
| Sicherheitsrisiko bei Microsoft Office-Speicherbeschädigung | CVE-2017-0019 | Nein | Nein |
| Sicherheitsrisiko bei Microsoft Office-Speicherbeschädigung | CVE-2017-0020 | Nein | Nein |
| Sicherheitsrisiko für Microsoft Office-Speicherbeschädigung | CVE-2017-0030 | Nein | Nein |
| Sicherheitsrisiko für Microsoft Office-Speicherbeschädigung | CVE-2017-0031 | Nein | Nein |
| Sicherheitsrisiko für Microsoft Office-Speicherbeschädigung | CVE-2017-0052 | Nein | Nein |
| Sicherheitsrisiko für Microsoft Office-Speicherbeschädigung | CVE-2017-0053 | Nein | Nein |
Mildernde Faktoren
Microsoft hat keine mildernden Faktoren für diese Sicherheitsrisiken identifiziert.
Problemumgehungen
Die folgende Problemumgehung kann in Ihrer Situation hilfreich sein:
Problemumgehung für CVE-2017-0019
Verwenden der Microsoft Office-Dateiblockierungsrichtlinie, um zu verhindern, dass Office RTF-Dokumente aus unbekannten oder nicht vertrauenswürdigen Quellen öffnet
Warnung Wenn Sie den Registrierungs-Editor falsch verwenden, können Sie schwerwiegende Probleme verursachen, die möglicherweise eine Neuinstallation Des Betriebssystems erfordern. Microsoft kann nicht garantieren, dass Probleme, die aus der falschen Verwendung des Registrierungs-Editors resultieren, gelöst werden können. Sie verwenden den Registrierungs-Editor auf eigene Gefahr.
Für Office 2016
- Führen Sie regedit.exe als Administrator aus, und navigieren Sie zum folgenden Unterschlüssel:
[HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Word\Security\FileBlock]- Legen Sie den RtfFiles-DWORD-Wert auf 2 fest.
- Legen Sie den OpenInProtectedView-DWORD-Wert auf 0 fest.
Auswirkungen der Problemumgehung. Benutzer, die die Dateiblockierungsrichtlinie konfiguriert haben und kein spezielles "ausgenommenes Verzeichnis" konfiguriert haben, wie im Microsoft Knowledge Base-Artikel 922849 beschrieben, können dokumente nicht öffnen, die im RTF-Format gespeichert sind.
Rückgängigmachen der Problemumgehung
Für Office 2016
- Führen Sie regedit.exe als Administrator aus, und navigieren Sie zum folgenden Unterschlüssel:
[HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Word\Security\FileBlock]- Legen Sie den DWORD-Wert für RtfFiles auf 0 fest.
- Legen Sie den OpenInProtectedView-DWORD-Wert auf 0 fest.
Sicherheitsanfälligkeit in Microsoft Office bezüglich Offenlegung von Informationen – CVE-2017-0027
Ein Sicherheitsrisiko für die Offenlegung von Informationen liegt vor, wenn Microsoft Office den Inhalt des Arbeitsspeichers nicht ordnungsgemäß offenlegt. Ein Angreifer, der die Sicherheitsanfälligkeit ausnutzt, kann die Informationen verwenden, um den Computer oder die Daten des Benutzers zu kompromittieren.
Um die Sicherheitsanfälligkeit auszunutzen, könnte ein Angreifer eine spezielle Dokumentdatei erstellen und dann den Benutzer dazu verwischen, sie zu öffnen. Ein Angreifer muss den Speicherort der Speicheradresse kennen, an dem das Objekt erstellt wurde.
Das Update behebt die Sicherheitsanfälligkeit, indem die Art und Weise geändert wird, wie bestimmte Funktionen Objekte im Arbeitsspeicher behandeln.
Die folgende Tabelle enthält Links zum Standardeintrag für die einzelnen Sicherheitsrisiken in der Liste Allgemeiner Sicherheitsrisiken:
| Titel der Sicherheitslücke | CVE-Nummer | Öffentlich bekannt gemacht | Genutzt |
|---|---|---|---|
| Sicherheitsrisiko bei der Offenlegung von Informationen in Microsoft Office | CVE-2017-0027 | Nein | Nein |
Mildernde Faktoren
Microsoft hat keine mildernden Faktoren für diese Sicherheitsanfälligkeit identifiziert.
Problemumgehungen
Microsoft hat keine Problemumgehungen für dieses Sicherheitsrisiko identifiziert.
Microsoft Office-Denial-of-Service-Sicherheitsanfälligkeit – CVE-2017-0029
Eine Denial-of-Service-Sicherheitsanfälligkeit liegt vor, wenn eine speziell gestaltete Datei in Microsoft Office geöffnet wird. Ein Angreifer, der die Sicherheitsanfälligkeit erfolgreich ausnutzt, kann dazu führen, dass Office nicht mehr reagiert. Beachten Sie, dass der Denial-of-Service einem Angreifer nicht erlaubt, Code auszuführen oder die Benutzerrechte des Angreifers zu erhöhen.
Damit ein Angriff erfolgreich ist, erfordert diese Sicherheitsanfälligkeit, dass ein Benutzer eine speziell gestaltete Datei mit einer betroffenen Version von Microsoft Office öffnet. In einem E-Mail-Angriffsszenario kann ein Angreifer die Sicherheitsanfälligkeit ausnutzen, indem er eine speziell gestaltete Datei an den Benutzer sendet und den Benutzer dazu verredet, die Datei zu öffnen.
Das Sicherheitsupdate behebt die Sicherheitsanfälligkeit, indem korrigiert wird, wie Microsoft Office Objekte im Arbeitsspeicher verarbeitet.
Die folgende Tabelle enthält Links zum Standardeintrag für die einzelnen Sicherheitsrisiken in der Liste Allgemeiner Sicherheitsrisiken:
| Titel der Sicherheitslücke | CVE-Nummer | Öffentlich bekannt gemacht | Genutzt |
|---|---|---|---|
| Denial-of-Service-Sicherheitsrisiko in Microsoft Office | CVE-2017-0029 | Ja | Nein |
Mildernde Faktoren
Microsoft hat keine mildernden Faktoren für diese Sicherheitsanfälligkeit identifiziert.
Problemumgehungen
Microsoft hat keine Problemumgehungen für dieses Sicherheitsrisiko identifiziert.
Sicherheitsanfälligkeit in Microsoft Office bezüglich Offenlegung von Informationen – CVE-2017-0105
Ein Sicherheitsrisiko für die Offenlegung von Informationen liegt vor, wenn Microsoft Office-Software aufgrund einer nicht initialisierten Variablen, die den Inhalt des Arbeitsspeichers offenlegen kann, aus dem gebundenen Arbeitsspeicher ausliest. Ein Angreifer, der die Sicherheitsanfälligkeit erfolgreich ausnutzt, kann einen außerhalb des gebundenen Arbeitsspeichers anzeigen.
Die Ausnutzung der Sicherheitsanfälligkeit erfordert, dass ein Benutzer eine speziell gestaltete Datei mit einer betroffenen Version von Microsoft Office-Software öffnet.
Das Sicherheitsupdate behebt die Sicherheitsanfälligkeit, indem die betroffene Variable ordnungsgemäß initialisiert wird.
Die folgende Tabelle enthält Links zum Standardeintrag für die einzelnen Sicherheitsrisiken in der Liste Allgemeiner Sicherheitsrisiken:
| Titel der Sicherheitslücke | CVE-Nummer | Öffentlich bekannt gemacht | Genutzt |
|---|---|---|---|
| Sicherheitsrisiko bei der Offenlegung von Informationen in Microsoft Office | CVE-2017-0105 | Nein | Nein |
Mildernde Faktoren
Microsoft hat keine mildernden Faktoren für diese Sicherheitsanfälligkeit identifiziert.
Problemumgehungen
Microsoft hat keine Problemumgehungen für dieses Sicherheitsrisiko identifiziert.
Microsoft SharePoint XSS-Sicherheitsanfälligkeit – CVE-2017-0107
Es liegt eine Sicherheitsanfälligkeit bezüglich der Erhöhung von Berechtigungen vor, wenn Microsoft SharePoint Server eine speziell gestaltete Webanforderung an einen betroffenen SharePoint-Server nicht ordnungsgemäß bereinigt. Ein authentifizierter Angreifer kann die Sicherheitsanfälligkeit ausnutzen, indem er eine speziell gestaltete Anforderung an einen betroffenen SharePoint-Server sendet.
Ein Angreifer, der die Sicherheitsanfälligkeit erfolgreich ausnutzt, kann dann siteübergreifende Skriptangriffe auf betroffene Systeme ausführen und Skripts im Sicherheitskontext des aktuellen Benutzers ausführen. Diese Angriffe könnten es dem Angreifer ermöglichen, Inhalte zu lesen, die der Angreifer nicht lesen darf, die Identität des Opfers zu verwenden, um Aktionen auf der SharePoint-Website im Namen des Opfers zu ergreifen, z. B. Berechtigungen zu ändern und Inhalte zu löschen, und schädliche Inhalte in den Browser des Opfers einschleusen.
Das Sicherheitsupdate behebt die Sicherheitsanfälligkeit, indem es sicherstellt, dass SharePoint Server Webanforderungen ordnungsgemäß bereinigen kann.
Die folgende Tabelle enthält Links zum Standardeintrag für die einzelnen Sicherheitsrisiken in der Liste Allgemeiner Sicherheitsrisiken:
| Titel der Sicherheitslücke | CVE-Nummer | Öffentlich bekannt gemacht | Genutzt |
|---|---|---|---|
| Microsoft SharePoint XSS-Sicherheitsrisiko | CVE-2017-0107 | Nein | Nein |
Mildernde Faktoren
Microsoft hat keine mildernden Faktoren für diese Sicherheitsanfälligkeit identifiziert.
Problemumgehungen
Microsoft hat keine Problemumgehungen für dieses Sicherheitsrisiko identifiziert.
Sicherheitsanfälligkeit in Microsoft Lync für Mac bezüglich Zertifikatüberprüfung – CVE-2017-0129
Eine Umgehung von Sicherheitsfeatures ist vorhanden, wenn der Lync für Mac 2011-Client Zertifikate nicht ordnungsgemäß überprüft. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann die vertrauenswürdige Kommunikation zwischen dem Server und dem Zielclient manipulieren.
Um die Sicherheitsanfälligkeit auszunutzen, muss ein Angreifer den Netzwerkdatenverkehr abfangen und manipulieren.
Das Sicherheitsupdate behebt die Sicherheitsanfälligkeit, indem korrigiert wird, wie der Lync für Mac 2011-Client Zertifikate überprüft.
Die folgende Tabelle enthält Links zum Standardeintrag für die einzelnen Sicherheitsrisiken in der Liste Allgemeiner Sicherheitsrisiken:
| Titel der Sicherheitslücke | CVE-Nummer | Öffentlich bekannt gemacht | Genutzt |
|---|---|---|---|
| Sicherheitsrisiko bei der Zertifikatüberprüfung in Microsoft Lync für Mac | CVE-2017-0129 | Nein | Nein |
Mildernde Faktoren
Microsoft hat keine mildernden Faktoren für diese Sicherheitsanfälligkeit identifiziert.
Problemumgehungen
Microsoft hat keine Problemumgehungen für dieses Sicherheitsrisiko identifiziert.
Bereitstellung von Sicherheitsupdates
Informationen zur Bereitstellung von Sicherheitsupdates finden Sie im Microsoft Knowledge Base-Artikel, auf den in der Zusammenfassung verwiesen wird.
Danksagungen
Microsoft erkennt die Bemühungen derJenigen in der Sicherheitscommunity an, die uns helfen, Kunden durch koordinierte Offenlegung von Sicherheitsrisiken zu schützen. Weitere Informationen finden Sie unter Bestätigungen .
Haftungsausschluss
Die in der Microsoft Knowledge Base bereitgestellten Informationen werden ohne Jegliche Garantie "wie benährt" bereitgestellt. Microsoft lehnt alle ausdrücklichen oder impliziten Garantien ab, einschließlich der Gewährleistung der Marktgängigkeit und Eignung für einen bestimmten Zweck. Die Microsoft Corporation oder ihre Lieferanten haften in keinem Fall für Schäden, einschließlich direkter, indirekter, zufälliger, Folgeschäden, Verlust von Geschäftsgewinnen oder besonderen Schäden, auch wenn die Microsoft Corporation oder ihre Lieferanten über die Möglichkeit solcher Schäden informiert wurden. Einige Staaten lassen den Ausschluss oder die Beschränkung der Haftung für Folge- oder Nebenschäden nicht zu, sodass die vorstehende Einschränkung möglicherweise nicht gilt.
Revisionen
- V1.0 (14. März 2017): Bulletin veröffentlicht.
- V2.0 (11. April 2017): Um CVE-2017-0027 nur für Office für Mac 2011 umfassend zu behandeln, veröffentlicht Microsoft das Sicherheitsupdate 3212218. Microsoft empfiehlt Kunden, die Office für Mac 2011-Installationsupdate ausführen, 3212218 vollständig vor diesem Sicherheitsrisiko geschützt zu sein. Weitere Informationen finden Sie im Microsoft Knowledge Base-Artikel 3212218 .
Seite generiert am 2017-04-10 14:50-07:00.