Informiert

Microsoft behebt Fehler in Office Powerpoint und Forefront UAG

Turnusmäßig beseitigt Microsoft mit deinem Patchday, monatlich am zweiten Dienstag erkannte Schwachstellen und Fehler. Dies ist ein wichtiger Termin für alle Security-Experten und Admins.

Nicht immer ist hierbei Windows der Patchkandidat Nr. 1, diesen November waren vor allem Schwachstellen in Office und Powerpoint zu beseitigen.

An diesem Patchday wurden Sicherheitsupdates für das Forefront Unified Access Gateway, Microsoft Office und Powerpoint bereitgestellt. Wie angekündigt werden damit elf Schwachstellen geschlossen, die unter anderem externen Angreifern das Ausführen von Code ermöglichen.
Microsoft Office ist aktuell von fünf Schwachstellen betroffen, eine davon wird als kritisch eingestuft. Über die Sicherheitslücke kann ein Angreifer von extern Code ausführen (Remote Code Execution), wenn er den Anwender dazu bringt, eine manipulierte E-Mail-Nachricht im Rich-Text-Format zu öffnen.

Vier weitere Sicherheitsanfälligkeiten finden sich im Forefront Unified Access Gateway (UAG) – einem SSL-VPN-Gateway, das Remote-Arbeitern sicheren Zugang zu Firmensystemen und -anwendungen gewähren soll. Das Security Bulletin wird für alle unterstützten Versionen des Forefront Unified Access Gateway 2010 als wichtig eingestuft.

Das Forefront UAG ist unter anderem anfällig für einen Spoofing-Fehler, mit dessen Hilfe ein böswilliger Mitarbeiter seine Rechte anheben kann. Hierfür müsste er einen Administrator dazu bringen, einen Link mit eingebettetem Cross-Site-Scripting-Code anzuklicken. Sobald der Anwender erweiterte Rechte besitzt, könnte er neue User auf dem Forefront Server anlegen oder Einstellungen verändern.

Die letzten beiden Fehler finden sich in Microsoft Powerpoint, in beiden Fällen wäre ebenfalls eine Remote Code Execution denkbar. Hierfür müsste der Anwender auf einem anfälligen System eine entsprechend angepasste Powerpoint-Datei öffnen.

Auch wenn Microsoft diese beiden Schwachstellen nicht als kritisch einstuft, hat der Hersteller im Exploitability Index Rating eine ‚1‘ vergeben. Damit ist ein Exploit Code in freier Wildbahn relativ wahrscheinlich. Das Sicherheitsupdate betrifft Microsoft Powerpoint 2002, 2003 und Microsoft Office 2004 für Mac.

Matthias Walter, http://www.tec4net.com

______________________________________________________________
Quellen und Links:

Microsoft Update Website
http://update.microsoft.com

Microsoft Security Bulletin Summary für November 2010
http://www.microsoft.com/germany/technet/sicherheit/bulletins/ms10-nov.mspx