RUS-CERT-1624 – Archivierte Meldung

Meldung Nr: RUS-CERT-1624

[MS/Windows] Microsoft stellt Patches für insgesamt acht Schwachstellen bereit
(2010-03-09 20:31:34.39546+00)

Quelle: http://www.microsoft.com/technet/security/bulletin/ms10-mar.mspx

Im Rahmen seines Security Bulletin Summary for March 2010 stellt Microsoft Patches für insgesamt acht Schwachstellen bereit. Die Schwachstellen betreffen den Windows Movie Maker sowie Microsof Office Excel und ermöglichen einem Angreifer die Ausführung beliebigen Programmcodes auf dem beherbergenden System, weswegen eine rasche Installation der Patches empfohlen wird.

Zusammenfassung

CVE-2010-0265:

Betroffen:	Microsoft Movie Maker 2.1, 2.6, 6.0, Microsoft Producer 2003
Plattform:	Windows XP, Vista, 7 (nur Movie Maker 2.6)
Nicht betroffen:	Microsoft Windows 2000, Server 2003, Server 2008, 7 (außer Movie Maker 2.6), Server 2008 R2, Windows Live Movie Maker
Einfallstor:	Movie Maker Project-Datei
Angriffsvoraussetzung:	Benutzerinteraktion
Angriffsvektorklasse:	remote
Auswirkung:	user compromise
Typ:	Speicherverletzung
Gefahrenpotential:	hoch
Workaround:	ja
Gegenmaßnahmen:	neue Version
Vulnerability ID:	CVE-2010-0265

CVE-2010-0257:

Betroffen:	Microsoft Office XP Excel, Office 2003 Excel, Office 2007 Excel, Office 2004 für Mac, Office 2008 für Mac, Open XML File Format Converter für Mac, Excel Viewer, Office Compatibility Pack für Word, Excel und PowerPoint 2007 Dateiformate, Office SharePoint Server 2007
Nicht betroffen:	Microsoft Office File Converter Pack, Works 8.5, Works 9
Plattform:	Microsoft Windows, Apple Mac OS X
Einfallstor:	Excel-Datei
Angriffsvoraussetzung:	Benutzerinteraktion
Angriffsvektorklasse:	remote
Auswirkung:	user compromise
Typ:	Speicherverletzung
Gefahrenpotential:	hoch
Workaround:	ja
Gegenmaßnahmen:	neue Version
Vulnerability ID:	CVE-2010-0257

CVE-2010-0258:

Betroffen:	Microsoft Office XP Excel, Office 2003 Excel, Office 2007 Excel, Office 2004 für Mac, Office 2008 für Mac, Open XML File Format Converter für Mac, Excel Viewer, Office Compatibility Pack für Word, Excel und PowerPoint 2007 Dateiformate, Office SharePoint Server 2007
Nicht betroffen:	Microsoft Office File Converter Pack, Works 8.5, Works 9
Plattform:	Microsoft Windows, Apple Mac OS X
Einfallstor:	Excel-Datei
Angriffsvoraussetzung:	Benutzerinteraktion
Angriffsvektorklasse:	remote
Auswirkung:	user compromise
Typ:	Speicherverletzung
Gefahrenpotential:	hoch
Workaround:	ja
Gegenmaßnahmen:	neue Version
Vulnerability ID:	CVE-2010-0258

CVE-2010-0260:

Betroffen:	Microsoft Office XP Excel, Office 2003 Excel, Office 2007 Excel, Office 2004 für Mac, Office 2008 für Mac, Open XML File Format Converter für Mac, Excel Viewer, Office Compatibility Pack für Word, Excel und PowerPoint 2007 Dateiformate, Office SharePoint Server 2007
Nicht betroffen:	Microsoft Office File Converter Pack, Works 8.5, Works 9
Plattform:	Microsoft Windows, Apple Mac OS X
Einfallstor:	Excel-Datei
Angriffsvoraussetzung:	Benutzerinteraktion
Angriffsvektorklasse:	remote
Auswirkung:	user compromise
Typ:	Speicherverletzung
Gefahrenpotential:	hoch
Workaround:	ja
Gegenmaßnahmen:	neue Version
Vulnerability ID:	CVE-2010-0260

CVE-2010-0261:

Betroffen:	Microsoft Office XP Excel, Office 2003 Excel, Office 2007 Excel, Office 2004 für Mac, Office 2008 für Mac, Open XML File Format Converter für Mac, Excel Viewer, Office Compatibility Pack für Word, Excel und PowerPoint 2007 Dateiformate, Office SharePoint Server 2007
Nicht betroffen:	Microsoft Office File Converter Pack, Works 8.5, Works 9
Plattform:	Microsoft Windows, Apple Mac OS X
Einfallstor:	Excel-Datei
Angriffsvoraussetzung:	Benutzerinteraktion
Angriffsvektorklasse:	remote
Auswirkung:	user compromise
Typ:	Speicherverletzung
Gefahrenpotential:	hoch
Workaround:	ja
Gegenmaßnahmen:	neue Version
Vulnerability ID:	CVE-2010-0261

CVE-2010-0262:

Betroffen:	Microsoft Office XP Excel, Office 2003 Excel, Office 2007 Excel, Office 2004 für Mac, Office 2008 für Mac, Open XML File Format Converter für Mac, Excel Viewer, Office Compatibility Pack für Word, Excel und PowerPoint 2007 Dateiformate, Office SharePoint Server 2007
Nicht betroffen:	Microsoft Office File Converter Pack, Works 8.5, Works 9
Plattform:	Microsoft Windows, Apple Mac OS X
Einfallstor:	Excel-Datei
Angriffsvoraussetzung:	Benutzerinteraktion
Angriffsvektorklasse:	remote
Auswirkung:	user compromise
Typ:	Speicherverletzung
Gefahrenpotential:	hoch
Workaround:	ja
Gegenmaßnahmen:	neue Version
Vulnerability ID:	CVE-2010-0262

CVE-2010-0263:

Betroffen:	Microsoft Office XP Excel, Office 2003 Excel, Office 2007 Excel, Office 2004 für Mac, Office 2008 für Mac, Open XML File Format Converter für Mac, Excel Viewer, Office Compatibility Pack für Word, Excel und PowerPoint 2007 Dateiformate, Office SharePoint Server 2007
Nicht betroffen:	Microsoft Office File Converter Pack, Works 8.5, Works 9
Plattform:	Microsoft Windows, Apple Mac OS X
Einfallstor:	Excel-Datei
Angriffsvoraussetzung:	Benutzerinteraktion
Angriffsvektorklasse:	remote
Auswirkung:	user compromise
Typ:	Speicherverletzung
Gefahrenpotential:	hoch
Workaround:	ja
Gegenmaßnahmen:	neue Version
Vulnerability ID:	CVE-2010-0263

CVE-2010-0264:

Betroffen:	Microsoft Office XP Excel, Office 2003 Excel, Office 2007 Excel, Office 2004 für Mac, Office 2008 für Mac, Open XML File Format Converter für Mac, Excel Viewer, Office Compatibility Pack für Word, Excel und PowerPoint 2007 Dateiformate, Office SharePoint Server 2007
Nicht betroffen:	Microsoft Office File Converter Pack, Works 8.5, Works 9
Plattform:	Microsoft Windows, Apple Mac OS X
Einfallstor:	Excel-Datei
Angriffsvoraussetzung:	Benutzerinteraktion
Angriffsvektorklasse:	remote
Auswirkung:	user compromise
Typ:	Speicherverletzung
Gefahrenpotential:	hoch
Workaround:	ja
Gegenmaßnahmen:	neue Version
Vulnerability ID:	CVE-2010-0264

Betroffene Systeme

CVE-2010-0265:
- Microsoft Movie Maker 2.1
- Microsoft Movie Maker 2.6
- Microsoft Movie Maker 6.0
- Microsoft Producer 2003
CVE-2010-0257:
- Microsoft Office XP Excel
- Microsoft Office 2003 Excel
- Microsoft Office 2007 Excel
- Microsoft Office 2004 für Mac
- Microsoft Office 2008 für Mac
- Microsoft Open XML File Format Converter für Mac
- Microsoft Excel Viewer
- Microsoft Office Compatibility Pack für Word
- Microsoft Excel und PowerPoint 2007 Dateiformate
- Microsoft Office SharePoint Server 2007
CVE-2010-0258:
- Microsoft Office XP Excel
- Microsoft Office 2003 Excel
- Microsoft Office 2007 Excel
- Microsoft Office 2004 für Mac
- Microsoft Office 2008 für Mac
- Microsoft Open XML File Format Converter für Mac
- Microsoft Excel Viewer
- Microsoft Office Compatibility Pack für Word
- Microsoft Excel und PowerPoint 2007 Dateiformate
- Microsoft Office SharePoint Server 2007
CVE-2010-0260:
- Microsoft Office XP Excel
- Microsoft Office 2003 Excel
- Microsoft Office 2007 Excel
- Microsoft Office 2004 für Mac
- Microsoft Office 2008 für Mac
- Microsoft Open XML File Format Converter für Mac
- Microsoft Excel Viewer
- Microsoft Office Compatibility Pack für Word
- Microsoft Excel und PowerPoint 2007 Dateiformate
- Microsoft Office SharePoint Server 2007
CVE-2010-0261:
- Microsoft Office XP Excel
- Microsoft Office 2003 Excel
- Microsoft Office 2007 Excel
- Microsoft Office 2004 für Mac
- Microsoft Office 2008 für Mac
- Microsoft Open XML File Format Converter für Mac
- Microsoft Excel Viewer
- Microsoft Office Compatibility Pack für Word
- Microsoft Excel und PowerPoint 2007 Dateiformate
- Microsoft Office SharePoint Server 2007
CVE-2010-0262:
- Microsoft Office XP Excel
- Microsoft Office 2003 Excel
- Microsoft Office 2007 Excel
- Microsoft Office 2004 für Mac
- Microsoft Office 2008 für Mac
- Microsoft Open XML File Format Converter für Mac
- Microsoft Excel Viewer
- Microsoft Office Compatibility Pack für Word
- Microsoft Excel und PowerPoint 2007 Dateiformate
- Microsoft Office SharePoint Server 2007
CVE-2010-0263:
- Microsoft Office XP Excel
- Microsoft Office 2003 Excel
- Microsoft Office 2007 Excel
- Microsoft Office 2004 für Mac
- Microsoft Office 2008 für Mac
- Microsoft Open XML File Format Converter für Mac
- Microsoft Excel Viewer
- Microsoft Office Compatibility Pack für Word
- Microsoft Excel und PowerPoint 2007 Dateiformate
- Microsoft Office SharePoint Server 2007
CVE-2010-0264:
- Microsoft Office XP Excel
- Microsoft Office 2003 Excel
- Microsoft Office 2007 Excel
- Microsoft Office 2004 für Mac
- Microsoft Office 2008 für Mac
- Microsoft Open XML File Format Converter für Mac
- Microsoft Excel Viewer
- Microsoft Office Compatibility Pack für Word
- Microsoft Excel und PowerPoint 2007 Dateiformate
- Microsoft Office SharePoint Server 2007

Nicht betroffene Systeme

CVE-2010-0265:
- Microsoft Microsoft Windows 2000
- Microsoft Server 2003
- Microsoft Server 2008
- Microsoft 7 (außer Movie Maker 2.6)
- Microsoft Server 2008 R2
- Microsoft Windows Live Movie Maker
CVE-2010-0257:
- Microsoft Office File Converter Pack
- Microsoft Works 8.5
- Microsoft Works 9
CVE-2010-0258:
- Microsoft Office File Converter Pack
- Microsoft Works 8.5
- Microsoft Works 9
CVE-2010-0260:
- Microsoft Office File Converter Pack
- Microsoft Works 8.5
- Microsoft Works 9
CVE-2010-0261:
- Microsoft Office File Converter Pack
- Microsoft Works 8.5
- Microsoft Works 9
CVE-2010-0262:
- Microsoft Office File Converter Pack
- Microsoft Works 8.5
- Microsoft Works 9
CVE-2010-0263:
- Microsoft Office File Converter Pack
- Microsoft Works 8.5
- Microsoft Works 9
CVE-2010-0264:
- Microsoft Office File Converter Pack
- Microsoft Works 8.5
- Microsoft Works 9

Plattform

CVE-2010-0265:
- Microsoft Windows XP
- Microsoft Vista, 7 (gilt nur für Movie Maker 2.6)
CVE-2010-0257:
- Microsoft Windows Betriebssysteme
- Apple Macintosh OS X
CVE-2010-0258:
- Microsoft Windows Betriebssysteme
- Apple Macintosh OS X
CVE-2010-0260:
- Microsoft Windows Betriebssysteme
- Apple Macintosh OS X
CVE-2010-0261:
- Microsoft Windows Betriebssysteme
- Apple Macintosh OS X
CVE-2010-0262:
- Microsoft Windows Betriebssysteme
- Apple Macintosh OS X
CVE-2010-0263:
- Microsoft Windows Betriebssysteme
- Apple Macintosh OS X
CVE-2010-0264:
- Microsoft Windows Betriebssysteme
- Apple Macintosh OS X

Einfallstor

CVE-2010-0265:
Movie Maker Project-Datei
CVE-2010-0257:
Excel-Datei
CVE-2010-0258:
Excel-Datei
CVE-2010-0260:
Excel-Datei
CVE-2010-0261:
Excel-Datei
CVE-2010-0262:
Excel-Datei
CVE-2010-0263:
Excel-Datei
CVE-2010-0264:
Excel-Datei

Angriffsvoraussetzung

CVE-2010-0265:
Benutzerinteraktion - Ein Benutzer eines betroffenen Systems muss eine entsprechende Movie Maker Project-Datei öffnen; Diese kann ihm z.B. über eine Webseite oder eine E-Mail-Nachricht zugeleitet werden.
(user interaction)
CVE-2010-0257:
Benutzerinteraktion - Ein Benutzer eines betroffenen Systems muss eine entsprechende Excel-Datei (Endung: .xls) öffnen; Diese kann ihm z.B. über eine Webseite oder eine E-Mail-Nachricht zugeleitet werden.
(user interaction)
CVE-2010-0258:
Benutzerinteraktion - Ein Benutzer eines betroffenen Systems muss eine entsprechende Excel-Datei (Endung: .xls) öffnen; Diese kann ihm z.B. über eine Webseite oder eine E-Mail-Nachricht zugeleitet werden.
(user interaction)
CVE-2010-0260:
Benutzerinteraktion - Ein Benutzer eines betroffenen Systems muss eine entsprechende Excel-Datei (Endung: .xls) öffnen; Diese kann ihm z.B. über eine Webseite oder eine E-Mail-Nachricht zugeleitet werden.
(user interaction)
CVE-2010-0261:
Benutzerinteraktion - Ein Benutzer eines betroffenen Systems muss eine entsprechende Excel-Datei (Endung: .xls) öffnen; Diese kann ihm z.B. über eine Webseite oder eine E-Mail-Nachricht zugeleitet werden.
(user interaction)
CVE-2010-0262:
Benutzerinteraktion - Ein Benutzer eines betroffenen Systems muss eine entsprechende Excel-Datei (Endung: .xls) öffnen; Diese kann ihm z.B. über eine Webseite oder eine E-Mail-Nachricht zugeleitet werden.
(user interaction)
CVE-2010-0263:
Benutzerinteraktion - Ein Benutzer eines betroffenen Systems muss eine entsprechende Excel-Datei (Endung: .xls) öffnen; Diese kann ihm z.B. über eine Webseite oder eine E-Mail-Nachricht zugeleitet werden.
(user interaction)
CVE-2010-0264:
Benutzerinteraktion - Ein Benutzer eines betroffenen Systems muss eine entsprechende Excel-Datei (Endung: .xls) öffnen; Diese kann ihm z.B. über eine Webseite oder eine E-Mail-Nachricht zugeleitet werden.
(user interaction)

Angriffsvektorklasse

CVE-2010-0265:
über eine Netzwerkverbindung
(remote)
CVE-2010-0257:
über eine Netzwerkverbindung
(remote)
CVE-2010-0258:
über eine Netzwerkverbindung
(remote)
CVE-2010-0260:
über eine Netzwerkverbindung
(remote)
CVE-2010-0261:
über eine Netzwerkverbindung
(remote)
CVE-2010-0262:
über eine Netzwerkverbindung
(remote)
CVE-2010-0263:
über eine Netzwerkverbindung
(remote)
CVE-2010-0264:
über eine Netzwerkverbindung
(remote)

Auswirkung

CVE-2010-0265:
Ausführung beliebigen Programmcodes auf dem beherbergenen System
(user compromise)
CVE-2010-0257:
Ausführung beliebigen Programmcodes auf dem beherbergenen System
(user compromise)
CVE-2010-0258:
Ausführung beliebigen Programmcodes auf dem beherbergenen System
(user compromise)
CVE-2010-0260:
Ausführung beliebigen Programmcodes auf dem beherbergenen System
(user compromise)
CVE-2010-0261:
Ausführung beliebigen Programmcodes auf dem beherbergenen System
(user compromise)
CVE-2010-0262:
Ausführung beliebigen Programmcodes auf dem beherbergenen System
(user compromise)
CVE-2010-0263:
Ausführung beliebigen Programmcodes auf dem beherbergenen System
(user compromise)
CVE-2010-0264:
Ausführung beliebigen Programmcodes auf dem beherbergenen System
(user compromise)

Typ der Verwundbarkeit

CVE-2010-0265:
Speicherverletzung
(memory corruption)
CVE-2010-0257:
Speicherverletzung
(memory corruption)
CVE-2010-0258:
Speicherverletzung
(memory corruption)
CVE-2010-0260:
Speicherverletzung
(memory corruption)
CVE-2010-0261:
Speicherverletzung
(memory corruption)
CVE-2010-0262:
Speicherverletzung
(memory corruption)
CVE-2010-0263:
Speicherverletzung
(memory corruption)
CVE-2010-0264:
Speicherverletzung
(memory corruption)

Gefahrenpotential

CVE-2010-0265:
hoch
CVE-2010-0257:
hoch
CVE-2010-0258:
hoch
CVE-2010-0260:
hoch
CVE-2010-0261:
hoch
CVE-2010-0262:
hoch
CVE-2010-0263:
hoch
CVE-2010-0264:
hoch

(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung

CVE-2010-0265:
Eine Schwachstelle in Microsoft Movie Maker kann von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode auf dem beherbergenden System ausführen. Der Code wird dabei mit den Privilegien des Benutzers ausgeführt, der Movie Maker gestartet hat. Sofern der Benutzer administrative Privilegien besitzt, führt die erfolgreiche Ausnutzung dieser Schwachstelle zur Kompromittierung des beherbergenden Systems.
CVE-2010-0257:
Eine Schwachstelle in Microsoft Excel kann von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode auf dem beherbergenden System ausführen. Der Code wird dabei mit den Privilegien des Benutzers ausgeführt, der Excel gestartet hat. Sofern der Benutzer administrative Privilegien besitzt, führt die erfolgreiche Ausnutzung dieser Schwachstelle zur Kompromittierung des beherbergenden Systems.
CVE-2010-0258:
Eine Schwachstelle in Microsoft Excel kann von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode auf dem beherbergenden System ausführen. Der Code wird dabei mit den Privilegien des Benutzers ausgeführt, der Excel gestartet hat. Sofern der Benutzer administrative Privilegien besitzt, führt die erfolgreiche Ausnutzung dieser Schwachstelle zur Kompromittierung des beherbergenden Systems.
CVE-2010-0260:
Eine Schwachstelle in Microsoft Excel kann von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode auf dem beherbergenden System ausführen. Der Code wird dabei mit den Privilegien des Benutzers ausgeführt, der Excel gestartet hat. Sofern der Benutzer administrative Privilegien besitzt, führt die erfolgreiche Ausnutzung dieser Schwachstelle zur Kompromittierung des beherbergenden Systems.
CVE-2010-0261:
Eine Schwachstelle in Microsoft Excel kann von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode auf dem beherbergenden System ausführen. Der Code wird dabei mit den Privilegien des Benutzers ausgeführt, der Excel gestartet hat. Sofern der Benutzer administrative Privilegien besitzt, führt die erfolgreiche Ausnutzung dieser Schwachstelle zur Kompromittierung des beherbergenden Systems.
CVE-2010-0262:
Eine Schwachstelle in Microsoft Excel kann von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode auf dem beherbergenden System ausführen. Der Code wird dabei mit den Privilegien des Benutzers ausgeführt, der Excel gestartet hat. Sofern der Benutzer administrative Privilegien besitzt, führt die erfolgreiche Ausnutzung dieser Schwachstelle zur Kompromittierung des beherbergenden Systems.
CVE-2010-0263:
Eine Schwachstelle in Microsoft Excel kann von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode auf dem beherbergenden System ausführen. Der Code wird dabei mit den Privilegien des Benutzers ausgeführt, der Excel gestartet hat. Sofern der Benutzer administrative Privilegien besitzt, führt die erfolgreiche Ausnutzung dieser Schwachstelle zur Kompromittierung des beherbergenden Systems.
CVE-2010-0264:
Eine Schwachstelle in Microsoft Excel kann von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode auf dem beherbergenden System ausführen. Der Code wird dabei mit den Privilegien des Benutzers ausgeführt, der Excel gestartet hat. Sofern der Benutzer administrative Privilegien besitzt, führt die erfolgreiche Ausnutzung dieser Schwachstelle zur Kompromittierung des beherbergenden Systems.

Workaround

CVE-2010-0265:
Anwendung der in der Sektion "Workarounds" des Microsoft Security Bulletin MS10-016 bereitgestellten Workarounds
CVE-2010-0257:
Anwendung der in der Sektion "Workarounds" des Microsoft Security Bulletin MS10-017 bereitgestellten Workarounds
CVE-2010-0258:
Anwendung der in der Sektion "Workarounds" des Microsoft Security Bulletin MS10-017 bereitgestellten Workarounds
CVE-2010-0260:
Anwendung der in der Sektion "Workarounds" des Microsoft Security Bulletin MS10-017 bereitgestellten Workarounds
CVE-2010-0261:
Anwendung der in der Sektion "Workarounds" des Microsoft Security Bulletin MS10-017 bereitgestellten Workarounds
CVE-2010-0262:
Anwendung der in der Sektion "Workarounds" des Microsoft Security Bulletin MS10-017 bereitgestellten Workarounds
CVE-2010-0263:
Anwendung der in der Sektion "Workarounds" des Microsoft Security Bulletin MS10-017 bereitgestellten Workarounds
CVE-2010-0264:
Anwendung der in der Sektion "Workarounds" des Microsoft Security Bulletin MS10-017 bereitgestellten Workarounds

Gegenmaßnahmen

CVE-2010-0265:
Installation der mit dem Microsoft Security Bulletin MS10-016 bereitgestellten Patches
CVE-2010-0257:
Installation der mit dem Microsoft Security Bulletin MS10-017 bereitgestellten Patches
CVE-2010-0258:
Installation der mit dem Microsoft Security Bulletin MS10-017 bereitgestellten Patches
CVE-2010-0260:
Installation der mit dem Microsoft Security Bulletin MS10-017 bereitgestellten Patches
CVE-2010-0261:
Installation der mit dem Microsoft Security Bulletin MS10-017 bereitgestellten Patches
CVE-2010-0262:
Installation der mit dem Microsoft Security Bulletin MS10-017 bereitgestellten Patches
CVE-2010-0263:
Installation der mit dem Microsoft Security Bulletin MS10-017 bereitgestellten Patches
CVE-2010-0264:
Installation der mit dem Microsoft Security Bulletin MS10-017 bereitgestellten Patches

Vulnerability ID

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

https://cert.uni-stuttgart.de/ticker/article.php?mid=1624