Sie sind hier: Home » Aktuelle Meldungen » Meldung
Meldung Nr: RUS-CERT-1650

[MS/Windows] Microsoft stellt Patches für insgesamt elf Schwachstellen bereit
(2010-11-10 10:24:31.221176+00) Druckversion

Quelle: http://www.microsoft.com/technet/security/bulletin/ms10-nov.mspx

Im Rahmen seines Security Bulletin Summary for November 2010 stellt Microsoft Patches für insgesamt elf Schwachstellen bereit. Die Schwachstellen betreffen Microsoft Office, Excel und Forefront. Die Schwachstellen ermöglichen zum Teil die Ausführung beliebigen Programmcodes auf dem beherbergenden System, weshalb die rasche Installation der bereitgestellten Patches und Updates empfohlen wird.

Inhalt

Zusammenfassung

  • CVE-2010-3333:
    Betroffen: Microsoft Office XP SP3
    Microsoft Office 2003 SP3
    Microsoft Office 2007 SP2
    Microsoft Office 2010 32-bit
    Microsoft Office 2010 64-bit
    Microsoft Office 2004 für Mac
    Microsoft Office 2008 für Mac
    Microsoft Office 2011 für Mac
    Open XML File Format Converter für Mac
    Nicht betroffen: Microsoft Office Compatibility Pack für Word, Excel und PowerPoint 2007 Dateiformate
    Microsoft Word Viewer
    Microsoft Excel Viewer SP2
    Microsoft PowerPoint Viewer SP2
    Microsoft Visio 2007 Viewer SP2
    Microsoft Visio 2010 Viewer
    Microsoft Works 9
    Einfallstor: RTF-Datei">
    Angriffsvoraussetzung:Benutzerinteraktion
    Angriffsvektorklasse: remote (über Webseite oder E-Mailnachricht)
    Auswirkung: user compromise
    Typ: Speicherverletzung (stack overflow)
    Gefahrenpotential: hoch
    Workaround: siehe Abschnitt "Workarounds" des Microsoft Security Bulletins MS10-087
    Gegenmaßnahmen: siehe Abschnitt "Update Information" des Microsoft Security Bulletins MS10-087
    Vulnerability ID: CVE-2010-3333
  • CVE-2010-3334:
    Betroffen: Microsoft Office XP SP3
    Microsoft Office 2003 SP3
    Microsoft Office 2007 SP2
    Microsoft Office 2010 32-bit
    Microsoft Office 2010 64-bit
    Microsoft Office 2004 für Mac
    Microsoft Office 2008 für Mac
    Microsoft Office 2011 für Mac
    Open XML File Format Converter für Mac
    Nicht betroffen: Microsoft Office Compatibility Pack für Word, Excel und PowerPoint 2007 Dateiformate
    Microsoft Word Viewer
    Microsoft Excel Viewer SP2
    Microsoft PowerPoint Viewer SP2
    Microsoft Visio 2007 Viewer SP2
    Microsoft Visio 2010 Viewer
    Microsoft Works 9
    Einfallstor: Office-Datei
    Angriffsvoraussetzung:Benutzerinteraktion
    Angriffsvektorklasse: remote (über Webseite oder E-Mailnachricht)
    Auswirkung: user compromise
    Typ: Speicherverletzung
    Gefahrenpotential: hoch
    Workaround: siehe Abschnitt "Workarounds" des Microsoft Security Bulletins MS10-087
    Gegenmaßnahmen: siehe Abschnitt "Update Information" des Microsoft Security Bulletins MS10-087
    Vulnerability ID: CVE-2010-3334
  • CVE-2010-3335:
    Betroffen: Microsoft Office XP SP3
    Microsoft Office 2003 SP3
    Microsoft Office 2007 SP2
    Microsoft Office 2010 32-bit
    Microsoft Office 2010 64-bit
    Microsoft Office 2004 für Mac
    Microsoft Office 2008 für Mac
    Microsoft Office 2011 für Mac
    Open XML File Format Converter für Mac
    Nicht betroffen: Microsoft Office Compatibility Pack für Word, Excel und PowerPoint 2007 Dateiformate
    Microsoft Word Viewer
    Microsoft Excel Viewer SP2
    Microsoft PowerPoint Viewer SP2
    Microsoft Visio 2007 Viewer SP2
    Microsoft Visio 2010 Viewer
    Microsoft Works 9
    Einfallstor: Office-Datei
    Angriffsvoraussetzung:Benutzerinteraktion
    Angriffsvektorklasse: remote (über Webseite oder E-Mailnachricht)
    Auswirkung: user compromise
    Typ: Speicherverletzung
    Gefahrenpotential: hoch
    Workaround: siehe Abschnitt "Workarounds" des Microsoft Security Bulletins MS10-087
    Gegenmaßnahmen: siehe Abschnitt "Update Information" des Microsoft Security Bulletins MS10-087
    Vulnerability ID: CVE-2010-3335
  • CVE-2010-3336:
    Betroffen: Microsoft Office XP SP3
    Microsoft Office 2003 SP3
    Microsoft Office 2007 SP2
    Microsoft Office 2010 32-bit
    Microsoft Office 2010 64-bit
    Microsoft Office 2004 für Mac
    Microsoft Office 2008 für Mac
    Microsoft Office 2011 für Mac
    Open XML File Format Converter für Mac
    Nicht betroffen: Microsoft Office Compatibility Pack für Word, Excel und PowerPoint 2007 Dateiformate
    Microsoft Word Viewer
    Microsoft Excel Viewer SP2
    Microsoft PowerPoint Viewer SP2
    Microsoft Visio 2007 Viewer SP2
    Microsoft Visio 2010 Viewer
    Microsoft Works 9
    Einfallstor: Office-Datei
    Angriffsvoraussetzung:Benutzerinteraktion
    Angriffsvektorklasse: remote (über Webseite oder E-Mailnachricht)
    Auswirkung: user compromise
    Typ: Speicherverletzung
    Gefahrenpotential: hoch
    Workaround: siehe Abschnitt "Workarounds" des Microsoft Security Bulletins MS10-087
    Gegenmaßnahmen: siehe Abschnitt "Update Information" des Microsoft Security Bulletins MS10-087
    Vulnerability ID: CVE-2010-3336
  • CVE-2010-3337:
    Betroffen: Microsoft Office XP SP3
    Microsoft Office 2003 SP3
    Microsoft Office 2007 SP2
    Microsoft Office 2010 32-bit
    Microsoft Office 2010 64-bit
    Microsoft Office 2004 für Mac
    Microsoft Office 2008 für Mac
    Microsoft Office 2011 für Mac
    Open XML File Format Converter für Mac
    Nicht betroffen: Microsoft Office Compatibility Pack für Word, Excel und PowerPoint 2007 Dateiformate SP2
    Microsoft Word Viewer
    Microsoft Excel Viewer SP2
    Microsoft PowerPoint Viewer SP2
    Microsoft Visio 2007 Viewer SP2
    Microsoft Visio 2010 Viewer
    Microsoft Works 9
    Einfallstor: Dynamic Link Library (dll) im Arbeitsverzeichnis eines Opfers, in dem auch Office-Dateien geöffnet werden
    Angriffsvoraussetzung:Benutzerinteraktion
    Möglichkeit, Dateien in Verzeichnissen abzulegen, auf die Benutzer betroffener Systeme Zugriff haben; Dies ist mindestens Zugriff auf eine Laufwerksfriegabe
    Angriffsvektorklasse: Netzwerkgruppe
    Auswirkung: user compromise
    Typ: Entwurfsfehler
    Gefahrenpotential: hoch
    Workaround: siehe Abschnitt "Workarounds" des Microsoft Security Bulletins MS10-087
    Gegenmaßnahmen: siehe Abschnitt "Update Information" des Microsoft Security Bulletins MS10-087
    Vulnerability ID: CVE-2010-3337
  • CVE-2010-2572:
    Betroffen: Microsoft Office XP SP3
    Microsoft Office 2003 SP3
    Microsoft Office 2004 für Mac
    Microsoft PowerPoint Viewer 2007 SP2
    Nicht betroffen: Microsoft PowerPoint 2007 SP2
    Microsoft PowerPoint 2010 32-bit
    Microsoft PowerPoint 2010 64-bit
    Open XML File Format Converter für Mac
    Microsoft Office 2008 für Mac
    Microsoft Office 2011 für Mac
    Microsoft Office Compatibility Pack für Word, Excel und PowerPoint 2007 Dateiformate SP2
    Microsoft PowerPoint Viewer
    Microsoft Works 9
    Einfallstor: Powerpoint 95-Präsentationsdatei
    Angriffsvoraussetzung:Benutzerinteraktion
    Angriffsvektorklasse: remote (über Webseite oder E-Mailnachricht)
    Auswirkung: user compromise
    Typ: Speicherverletzung
    Gefahrenpotential: hoch
    Workaround: siehe Abschnitt "Workarounds" des Microsoft Security Bulletins MS10-088
    Gegenmaßnahmen: siehe Abschnitt "Update Information" des Microsoft Security Bulletins MS10-088
    Vulnerability ID: CVE-2010-2572
  • CVE-2010-2573:
    Betroffen: Microsoft Office XP SP3
    Microsoft Office 2003 SP3
    Microsoft Office 2004 für Mac
    Microsoft PowerPoint Viewer 2007 SP2
    Nicht betroffen: Microsoft PowerPoint 2007 SP2
    Microsoft PowerPoint 2010 32-bit
    Microsoft PowerPoint 2010 64-bit
    Open XML File Format Converter für Mac
    Microsoft Office 2008 für Mac
    Microsoft Office 2011 für Mac
    Microsoft Office Compatibility Pack für Word, Excel und PowerPoint 2007 Dateiformate SP2
    Microsoft PowerPoint Viewer
    Microsoft Works 9
    Einfallstor: Powerpoint-Präsentationsdatei
    Angriffsvoraussetzung:Benutzerinteraktion
    Angriffsvektorklasse: remote (über Webseite oder E-Mailnachricht)
    Auswirkung: user compromise
    Typ: Speicherverletzung (integer underflow)
    Gefahrenpotential: hoch
    Workaround: siehe Abschnitt "Workarounds" des Microsoft Security Bulletins MS10-088
    Gegenmaßnahmen: siehe Abschnitt "Update Information" des Microsoft Security Bulletins MS10-088
    Vulnerability ID: CVE-2010-2573
  • CVE-2010-2732:
    Betroffen: Forefront Threat Management Gateway (TMG):
    Microsoft Forefront Unified Access Gateway (UAG) 2010
    Microsoft Forefront Unified Access Gateway 2010 Update 1
    Microsoft Forefront Unified Access Gateway 2010 Update 2
    Einfallstor: Speziell formulierter URL
    Angriffsvoraussetzung:Benutzerinteraktion
    Angriffsvektorklasse: remote (über Webseite oder E-Mailnachricht)
    Auswirkung: URL-Hijacking und dadurch ggf. Diebstahl von Zugangsdaten zum UAG
    Typ: Implementierungsfehler
    Gefahrenpotential: hoch (aufgrund der hohen Bedeutung des TMG für die Sicherheit der geschützten Infrastruktur)
    Workaround: siehe Abschnitt "Workarounds" des Microsoft Security Bulletins MS10-089
    Gegenmaßnahmen: siehe Abschnitt "Update Information" des Microsoft Security Bulletins MS10-089
    Vulnerability ID: CVE-2010-2732
  • CVE-2010-2733:
    Betroffen: Forefront Threat Management Gateway (TMG):
    Microsoft Forefront Unified Access Gateway (UAG) 2010
    Microsoft Forefront Unified Access Gateway 2010 Update 1
    Microsoft Forefront Unified Access Gateway 2010 Update 2
    Einfallstor: URL, bzw. Webdokument
    Angriffsvoraussetzung:Benutzerinteraktion
    Angriffsvektorklasse: remote (über Webseite oder E-Mailnachricht)
    Auswirkung: cross-site-scripting
    Typ: Implementierungsfehler
    Gefahrenpotential: mittel bis hoch
    Workaround: siehe Abschnitt "Workarounds" des Microsoft Security Bulletins MS10-089
    Gegenmaßnahmen: siehe Abschnitt "Update Information" des Microsoft Security Bulletins MS10-089
    Vulnerability ID: CVE-2010-2733
  • CVE-2010-2734:
    Betroffen: Forefront Threat Management Gateway (TMG):
    Microsoft Forefront Unified Access Gateway (UAG) 2010
    Microsoft Forefront Unified Access Gateway 2010 Update 1
    Microsoft Forefront Unified Access Gateway 2010 Update 2
    Einfallstor: URL, bzw. Webdokument
    Angriffsvoraussetzung:Benutzerinteraktion
    Angriffsvektorklasse: remote (über Webseite oder E-Mailnachricht)
    Auswirkung: cross-site-scripting
    Typ: Implementierungsfehler
    Gefahrenpotential: mittel bis hoch
    Workaround: siehe Abschnitt "Workarounds" des Microsoft Security Bulletins MS10-089
    Gegenmaßnahmen: siehe Abschnitt "Update Information" des Microsoft Security Bulletins MS10-089
    Vulnerability ID: CVE-2010-2734
  • CVE-2010-3936:
    Betroffen: Forefront Threat Management Gateway (TMG):
    Microsoft Forefront Unified Access Gateway (UAG) 2010
    Microsoft Forefront Unified Access Gateway 2010 Update 1
    Microsoft Forefront Unified Access Gateway 2010 Update 2
    Einfallstor: URL, bzw. Webdokument
    Angriffsvoraussetzung:Benutzerinteraktion
    Angriffsvektorklasse: remote (über Webseite oder E-Mailnachricht)
    Auswirkung: cross-site-scripting
    Typ: Implementierungsfehler
    Gefahrenpotential: mittel bis hoch
    Workaround: siehe Abschnitt "Workarounds" des Microsoft Security Bulletins MS10-089
    Gegenmaßnahmen: siehe Abschnitt "Update Information" des Microsoft Security Bulletins MS10-089
    Vulnerability ID: CVE-2010-3936
(og)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/

Vorherige Meldung Weitere Meldungen... Nächste Meldung

Bitte lesen Sie auch die Grundsätze, nach denen das RUS-CERT Tickermeldungen veröffentlicht. Der regelmäßige Bezug von Tickermeldungen über E-Mail und RSS-Feed ist ebenfalls möglich.