Auch noch schnell nachgereicht. Office hatte gestern wieder einen Schwung Sicherheitsupdates für alle Office Version ab 2007 per Windows Update verteilt. Dabei handelt es sich um insgesamt 23 Sicherheitsupdates und nach dem ersten Patchday im März mit 19 nunmehr schon 26 nicht-sicherheitsrelevante Updates. Die wichtigsten einmal zusammengetragen.
Office 2016: KB4011730 für Word behebt mal wieder ein eine Sicherheitslücke, die Remotecodeausführung ermöglichen könnten, wenn ein Benutzer eine speziell gestaltete Office-Datei öffnet. Ansonsten wurden noch ein paar kleine Bugfixes. [Update]: Word 2016 KB4011730 Probleme beim Öffnen und Speichern von Word-Dateien (Workaround KB4018295) Auch die KB4011727 betrifft die Remotecode-Lücke. Sowie ein neuer Registrykey regelt nun die Makro-Sicherheit unter HKCU/Software/Microsoft/Office/16.0/Excel/Security 0 = Standard, 1 = Strikte Sicherheit, 2 = „Milde“ Sicherheit und 3 Keine.
Office 2013: Hier ist es die KB4011695 für Word und die KB4011234 für Excel mit dem Patch für die Remotecode-Ausführung. Office 2010: Hier wird die KB4011673 für Office im Allgemeinen, KB4011674 für Word und die KB4011675 für Excel mit dem Sicherheitspatch ausgeliefert.
Und sogar Office 2007 hat man wieder berücksichtigt, obwohl die Zeit der Sicherheitsupdates für diese Version schon vorbei ist. Hier ist es die KB4011721 für Word, KB4011714 für Excel, KB4018309 für den Word Viewer und die KB4011720 für das Microsoft Office Compatibility Pack Service Pack 3. Alle Sicherheitslücken werden unter der CVE-2018-0922 aufgelistet.
"Die Ausnutzung der Sicherheitslücke setzt voraus, dass ein Benutzer eine speziell gestaltete Datei mit einer betroffenen Version der Microsoft Office-Software öffnet. In einem E-Mail-Angriffsszenario könnte ein Angreifer die Sicherheitslücke ausnutzen, indem er die speziell gestaltete Datei an den Benutzer sendet und den Benutzer davon überzeugt, die Datei zu öffnen. In einem webbasierten Angriffsszenario könnte ein Angreifer eine Website hosten (oder eine kompromittierte Website nutzen, die vom Benutzer bereitgestellte Inhalte akzeptiert oder hostet), die eine speziell angefertigte Datei enthält, die darauf ausgelegt ist, die Sicherheitslücke auszunutzen. Ein Angreifer hätte keine Möglichkeit, Benutzer zum Besuch der Website zu zwingen. Stattdessen müsste ein Angreifer die Benutzer davon überzeugen, auf einen Link zu klicken, in der Regel über eine Verlockung in einer E-Mail oder Instant Message, und sie dann davon überzeugen, die speziell gestaltete Datei zu öffnen.Beachten Sie, dass das Vorschaufenster kein Angriffsvektor für diese Sicherheitslücke ist. Das Sicherheitsupdate behebt die Sicherheitsanfälligkeit, indem es korrigiert, wie Office mit Objekten im Arbeitsspeicher umgeht."
Kleine Anmerkung am Rande:
Obwohl KB4018309 für den Word Viewer unter Office 2007 aufgeführt wird, betrifft der Patch jedoch einen Ableger von Office 2003!
Wer mit dem nun doch noch aktualisierten Viewer neuere Dateiformate von Word, wie z.B. *.docx, ansehen möchte, ist daher zusätzlich auf das Comptabilty Pack angwiesen.
Gruß, Nemo