Art der Meldung: Warnmeldung
Risikostufe 5
Sicherheitsupdates für VMware Workstation, Fusion und Horizon View Client

17.11.2017____________________________________________________________________________________________________
Betroffene Systeme:
VMware Fusion vor 8.5.9
VMware Fusion vor Pro 8.5.9
VMware Fusion 8.x
VMware Fusion Pro 8.x
VMware Horizon View Client vor 4.6.1
VMware Horizon View Client 4.x
VMware Workstation vor Player 12.5.8
VMware Workstation vor Pro 12.5.8
VMware Workstation Player 12.x
VMware Workstation Pro 12.x
Apple macOS
GNU/Linux
Microsoft Windows
VMware ESXi
____________________________________________________________________________________________________
Empfehlung:
Installieren Sie die von VMware zur Verfügung gestellten Sicherheitsupdates. Diese können Sie über
die VMware Webseite herunterladen (Referenz anbei).
____________________________________________________________________________________________________
____________________________________________________________________________________________________
Beschreibung:
VMware Fusion ist ein Software Hypervisor für Rechner mit dem Betriebssystem Mac OS auf
Intel-Prozessoren. VMware Fusion erlaubt Intel-basierten Mac Systemen virtuelle Maschinen mit
Microsoft Windows, Linux, NetWare oder Solaris zu betreiben.
VMware Horizon View Client ist eine Anwendung für Windows, Mac, Ubuntu Linux, iOS, und Android
mittels der man sich von jedem beliebigen Gerät und beliebigen Ort über das Netzwerk mit dem VMware
Horizon View Virtual Desktop verbinden kann.
VMware Workstation ermöglicht die Virtualisierung von Betriebssystemen. Es wird in den Versionen
Workstation Player und Workstation Pro für Windows und Linux vertrieben. Die Verwendung von
Workstation Player (früher VMware Player) ist im nicht-kommerziellen Bereich kostenlos. Mit dem
Workstation Player können fertig eingerichtete virtuelle Maschinen „abgespielt“ werden, er stellt
also eine Art Viewer dar.
Mehrere Sicherheitslücken in den VMware Produkten Workstation Pro und Player, Fusion Pro, Fusion
sowie Horizon View Client ermöglichen einem Angreifer aus dem benachbarten Netzwerk das Ausführen
schädlichen Programmcodes sowie das Bewirken eines Denial-of-Service (DoS)-Zustandes. Einige der
Sicherheitslücken werden vom Hersteller als kritisch eingestuft, weshalb der Update-Empfehlung
zügig gefolgt werden sollte.
____________________________________________________________________________________________________
Zusammenfassung:
In VMware Workstation Pro und Player, Fusion Pro, Fusion sowie Horizon View Client existieren
mehrere Sicherheitslücken, die einem Angreifer im benachbarten Netzwerk das Ausführen schädlichen
Programmcodes und einen Angriff auf die Systemverfügbarkeit ermöglichen.
____________________________________________________________________________________________________
Quellen:
– https://my.vmware.com/en/web/vmware/info/slug/desktop_end_user_computing/vmware_fusion/8_0
– https://my.vmware.com/en/web/vmware/info/slug/desktop_end_user_computing/vmware_workstation_pro/12_0
– https://my.vmware.com/en/web/vmware/free#desktop_end_user_computing/vmware_workstation_player/12_0
– https://www.vmware.com/security/advisories/VMSA-2017-0018.html
____________________________________________________________________________________________________
Über den folgenden Link können Sie den Newsletter wieder abbestellen.
https://www.bsi.bund.de/BSIFB/DE/Service/Buerger-CERT/Newsletter/abbestellen/newsletter_abbestellen_node.html
Besuchen Sie uns auch auf:
https://www.bsi-fuer-buerger.de
https://www.facebook.com/bsi.fuer.buerger
Tweets by BSI_Presse

Herausgeber: Bundesamt für Sicherheit in der Informationstechnik (BSI), Godesberger Allee 185-189, 53133 Bonn

Art der Meldung: Warnmeldung
Risikostufe 5
Sicherheitsupdates für Android

09.11.2017____________________________________________________________________________________________________
Betroffene Systeme:
Google Nexus
Google Pixel
BlackBerry powered by Android vor 2017-11-06
Google Android Operating System
Google Android Operating System vor 5.0.2 2017-11-06
Google Android Operating System vor 5.1.1 2017-11-06
Google Android Operating System vor 6.0 2017-11-06
Google Android Operating System vor 6.0.1 2017-11-06
Google Android Operating System vor 7.0 2017-11-06
Google Android Operating System vor 7.1.1 2017-11-06
Google Android Operating System vor 7.1.2 2017-11-06
Google Android Operating System vor 8.0 2017-11-06
LG Mobile Android
LG Mobile Android vor SMR-NOV-2017
Samsung Mobile Android
Samsung Mobile Android vor SMR-NOV-2017
____________________________________________________________________________________________________
Empfehlung:
Aktualisieren Sie Google Android 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 und 8.0 auf die
Version 2017-11-06, 2017-11-05 oder 2017-11-01 über die automatische Update-Funktion innerhalb des
Produktes, sobald diese Version für Ihr Gerät verfügbar ist. Google hat weitere Hersteller über die
Schwachstellen informiert. Informationen zur Verfügbarkeit der betreffenden Sicherheitsupdates
erhalten Sie vom jeweiligen Hersteller oder Ihrem Mobilfunkbetreiber. Sobald Ihnen für Ihr Gerät
ein Sicherheitsupdate angeboten wird, sollten Sie dieses installieren.
____________________________________________________________________________________________________
Update:
09.11.2017:
BlackBerry veröffentlicht Sicherheitsupdates für BlackBerry powered by Android. Für Details
beachten Sie bitte die Aktualisierung vom 08. November 2017.
07.11.2017:
____________________________________________________________________________________________________
Beschreibung:
BlackBerry powered by Android ist die von BlackBerry Ltd. überarbeitete Version von Google Android
zum Einsatz auf BlackBerry Smartphones.
Android ist ein Betriebssystem und eine Software-Plattform für mobile Geräte wie Smartphones,
Mobiltelefone, Netbooks und Tablet-Computer. Sie wird von der Open Handset Alliance entwickelt,
deren Hauptmitglied der Google-Konzern ist.
LG Mobile produziert Mobiltelefone mit einem angepassten Google Android Betriebssystem.
Samsung Mobile produziert Mobiltelefone mit einem angepassten Google Android Betriebssystem.
Google schließt mit den aktuellen Sicherheitsupdates für Android eine Vielzahl von
Sicherheitslücken, von denen ein Teil als kritisch eingestuft wird. Die Sicherheitslücken können
von einem entfernten und nicht angemeldeten Angreifer zumeist mit Hilfe manipulierter Dateien oder
manipulierter Anwendungen, zu deren Installation der Angreifer Sie verleitet, ausgenutzt werden.
Eine erfolgreiche Ausnutzung der Sicherheitslücken ermöglicht dem Angreifer das Ausspähen geheimer
Informationen, das Erlangen von Berechtigungen für die Ausführung von Aktionen auf Ihrem Gerät, das
Einschränken der Verfügbarkeit bestimmter Dienste und sowie das Ausführen beliebiger Befehle und
Programme und damit eine insgesamt weitreichende Manipulation Ihres Gerätes. Auch über
WLAN-Verbindungen kann ein verwundbares Gerät komplett kompromittiert werden.
____________________________________________________________________________________________________
Zusammenfassung:
Google schließt für Smartphones und ähnliche Geräte mit dem Betriebssystem Android 84
Sicherheitslücken, von denen neun vom Hersteller als kritisch eingestuft werden. Bisher wurden
Informationen zu Sicherheitsupdates für Google Nexus- und Pixel-Geräte veröffentlicht. Samsung und
LG stellen zeitgleich Betriebssystemupdates für einige Geräte aus eigener Herstellung bereit und
beheben damit einen Teil der von Google gemeldeten Sicherheitslücken sowie mehrere
herstellerspezifische Sicherheitslücken in den Geräten.
____________________________________________________________________________________________________
Quellen:
– https://source.android.com/security/bulletin/2017-11-01.html
– https://lgsecurity.lge.com/security_updates.html
– https://source.android.com/security/bulletin/pixel/2017-11-01.html
– https://security.samsungmobile.com/securityUpdate.smsb
– http://support.blackberry.com/kb/articleDetail?language=en_US%26articleNumber=000046592
____________________________________________________________________________________________________
Über den folgenden Link können Sie den Newsletter wieder abbestellen.
https://www.bsi.bund.de/BSIFB/DE/Service/Buerger-CERT/Newsletter/abbestellen/newsletter_abbestellen_node.html
Besuchen Sie uns auch auf:
https://www.bsi-fuer-buerger.de
https://www.facebook.com/bsi.fuer.buerger
Tweets by BSI_Presse

Herausgeber: Bundesamt für Sicherheit in der Informationstechnik (BSI), Godesberger Allee 185-189, 53133 Bonn

Art der Meldung: Warnmeldung
Risikostufe 5
Sicherheitsupdate für Adobe Photoshop CC

15.11.2017____________________________________________________________________________________________________
Betroffene Systeme:
Adobe Photoshop vor CC 18.1.2 (2017.1.2)
Adobe Photoshop vor CC 19.0 (2018.0)
Apple macOS
Microsoft Windows
____________________________________________________________________________________________________
Empfehlung:
Aktualisieren Sie Adobe Photoshop CC über die automatische Update-Funktion innerhalb des Produktes.
Wählen Sie dazu im Programmmenu ‚Hilfe‘ > ‚Updates‘ oder folgen Sie den Anweisungen des Adobe
Creative Cloud-Client.
____________________________________________________________________________________________________
____________________________________________________________________________________________________
Beschreibung:
Mit Adobe Photoshop können Fotos und Grafiken erstellt, bearbeitet und für die weitere Verarbeitung
vorbereitet werden. Beginnend mit Photoshop CC stehen aktuelle Versionen der Software nur noch als
Abonnement über die Creative Cloud zur Verfügung.
Adobe schließt mit dem aktuellen Sicherheitsupdate für Adobe Photoshop CC 2017 auf Version 18.1.2
(2017.1.2) zwei Sicherheitslücken, die es einem nicht angemeldeten Angreifer aus dem Internet
ermöglichen, beliebige Befehle und Programme auszuführen und damit unter Umständen die Kontrolle
über Ihr System zu übernehmen. Photoshop CC 2018 ist in Version 19.0 (2018.0) ebenfalls nicht von
den Schwachstellen betroffen.
____________________________________________________________________________________________________
Zusammenfassung:
Adobe schließt zwei Sicherheitslücken in Adobe Photoshop CC. Beide werden vom Hersteller als
‚kritisch‘ eingestuft.
____________________________________________________________________________________________________
Quellen:
– https://helpx.adobe.com/security/products/photoshop/apsb17-34.html
____________________________________________________________________________________________________
Über den folgenden Link können Sie den Newsletter wieder abbestellen.
https://www.bsi.bund.de/BSIFB/DE/Service/Buerger-CERT/Newsletter/abbestellen/newsletter_abbestellen_node.html
Besuchen Sie uns auch auf:
https://www.bsi-fuer-buerger.de
https://www.facebook.com/bsi.fuer.buerger
Tweets by BSI_Presse

Herausgeber: Bundesamt für Sicherheit in der Informationstechnik (BSI), Godesberger Allee 185-189, 53133 Bonn

Art der Meldung: Warnmeldung
Risikostufe 5
Sicherheitsupdate für Adobe Digital Editions

15.11.2017____________________________________________________________________________________________________
Betroffene Systeme:
Adobe Digital Editions vor 4.5.7
Apple iOS
macOS
Google Android Operating System
Microsoft Windows
____________________________________________________________________________________________________
Empfehlung:
Angesichts der potentiellen Gefährdung, die von diesen Sicherheitslücken ausgeht, sollten Sie das
Update auf die Version 4.5.7 zügig vornehmen. Dafür gehen Sie für Windows und Apple Mac OS auf die
Adobe Download-Seite, laden das für Ihr System zutreffende Paket herunter und folgen anschließend
der Installationsanweisung. Für Google Android ist die neue Version über den Google Play Store und
für iOS über iTunes verfügbar.
____________________________________________________________________________________________________
____________________________________________________________________________________________________
Beschreibung:
Adobe Digital Editions ist eine Software, die zur Ansicht und Verwaltung von EBooks und anderen
digitalen Veröffentlichungen benutzt werden kann.
Mit der Verfügbarkeit von Digital Editions 4.5.7 schließt Adobe mehrere Sicherheitslücken, von
denen eine vom Hersteller als kritisch eingestuft wird. Ein Angreifer aus dem Internet kann die
Sicherheitslücken ausnutzen, um teilweise sensitive Informationen auszuspähen.
____________________________________________________________________________________________________
Zusammenfassung:
Adobe schließt mehrere Sicherheitslücken in Adobe Digital Editions, über die ein Angreifer aus dem
Internet Informationen von Ihrem Computer oder Handy ausspähen kann, welche auch für weitere
Angriffe verwendet können.
____________________________________________________________________________________________________
Quellen:
– http://www.adobe.com/products/digital-editions/download.html
– https://play.google.com/store/apps/details?id=com.adobe.digitaleditions
– https://itunes.apple.com/de/app/adobe-digital-editions/id952977781?mt=8
– https://helpx.adobe.com/security/products/Digital-Editions/apsb17-39.html
____________________________________________________________________________________________________
Über den folgenden Link können Sie den Newsletter wieder abbestellen.
https://www.bsi.bund.de/BSIFB/DE/Service/Buerger-CERT/Newsletter/abbestellen/newsletter_abbestellen_node.html
Besuchen Sie uns auch auf:
https://www.bsi-fuer-buerger.de
https://www.facebook.com/bsi.fuer.buerger
Tweets by BSI_Presse

Herausgeber: Bundesamt für Sicherheit in der Informationstechnik (BSI), Godesberger Allee 185-189, 53133 Bonn

Art der Meldung: Warnmeldung
Risikostufe 5
Sicherheitsupdate für den Adobe Flash Player

15.11.2017____________________________________________________________________________________________________
Betroffene Systeme:
Adobe Flash Player vor 27.0.0.187
Adobe Flash Player vor 27.0.0.187 for Google Chrome
Adobe Flash Player vor 27.0.0.187 for Microsoft Edge and Internet Explorer 11
Adobe Flash Player for Linux vor 27.0.0.187
macOS
GNU/Linux
Chrome OS
Microsoft Windows 8.1
Microsoft Windows 10
Microsoft Windows 10 1511
Microsoft Windows 10 1607
Microsoft Windows 10 1703
Microsoft Windows 10 1709
Microsoft Windows RT 8.1
Microsoft Windows Server 2012
Microsoft Windows Server 2012 R2
Microsoft Windows Server 2016
____________________________________________________________________________________________________
Empfehlung:
Aktualisieren Sie den Adobe Flash Player auf die Version 27.0.0.187, sofern Sie nicht die
automatische Update-Funktion innerhalb des Produktes benutzen, beziehen Sie die aktualisierte
Version aus dem Adobe Flash Player Download Center (Referenz anbei).

Die für Ihr System jeweils aktuelle Versionsnummer können Sie über die referenzierte
Informationsseite ‚About Flash Player‘ (Englisch) erfahren. Durch einen Rechtsklick auf
Flash-Player-Inhalte und die Auswahl von ‚About Adobe (or Macromedia) Flash Player‘ (etwa: ‚Über
Adobe Flash Player‘) können Sie die momentan in Ihrem Browser installierte Version in Erfahrung
bringen. Beide Versionsnummern müssen übereinstimmen, damit Ihr System nicht über die jetzt
veröffentlichten Sicherheitslücken angreifbar ist.
____________________________________________________________________________________________________
____________________________________________________________________________________________________
Beschreibung:
Mit dem Adobe Flash Player werden multimediale aktive Inhalte wiedergegeben. Das Programm ist
integraler Bestandteil zahlreicher Adobe Produkte.
Adobe bestätigt mehrere Sicherheitslücken im Adobe Flash Player für Windows, Macintosh, Linux und
Chrome OS, die es einem nicht angemeldeten Angreifer aus dem Internet ermöglichen, beliebige
Befehle und Programme auszuführen und damit unter Umständen die Kontrolle über das betroffene
System komplett zu übernehmen.

Microsoft informiert in seinem Sicherheitshinweis ADV170019 darüber, dass die
Betriebssystem-Versionen Windows 8.1, Windows RT 8.1, Windows Server 2012, Windows Server 2012 R2,
Windows Server 2016 und Windows 10 durch die Schwachstellen im Adobe Flash Player verwundbar sind.
Sicherheitsupdates, welche die in den Browsern Microsoft Internet Explorer 10 und 11 sowie
Microsoft Edge verwendeten Adobe Flash-Bibliotheken aktualisieren, sind verfügbar. Außerdem stellt
Microsoft detaillierte Informationen zur Verfügung, die beschreiben, wie ein Angreifer
Sicherheitsanfäligkeiten des Flash Players ausnutzen kann und wie Anwender sich dagegen schützen
können.
____________________________________________________________________________________________________
Zusammenfassung:
Im Adobe Flash Player bis einschließlich Version 27.0.0.183 existieren fünf kritische
Sicherheitslücken, die zur vollständigen Übernahme des betroffenen Systems durch einen Angreifer
aus dem Internet führen können.
____________________________________________________________________________________________________
Quellen:
– https://get.adobe.com/flashplayer/
– https://get.adobe.com/flashplayer/about/
– http://helpx.adobe.com/security/products/flash-player/apsb17-33.html
– https://portal.msrc.microsoft.com/de-DE/security-guidance/advisory/ADV170019
____________________________________________________________________________________________________
Über den folgenden Link können Sie den Newsletter wieder abbestellen.
https://www.bsi.bund.de/BSIFB/DE/Service/Buerger-CERT/Newsletter/abbestellen/newsletter_abbestellen_node.html
Besuchen Sie uns auch auf:
https://www.bsi-fuer-buerger.de
https://www.facebook.com/bsi.fuer.buerger
Tweets by BSI_Presse

Herausgeber: Bundesamt für Sicherheit in der Informationstechnik (BSI), Godesberger Allee 185-189, 53133 Bonn

Art der Meldung: Warnmeldung
Risikostufe 4
Microsoft Sicherheitsupdates im November 2017

15.11.2017____________________________________________________________________________________________________
Betroffene Systeme:
Adobe Flash Player bis einschließlich 27.0.0.183
Adobe Flash Player bis einschließlich 27.0.0.183 for Microsoft Edge and Internet Explorer 11
.NET Core 1.0
.NET Core 1.1
.NET Core 2.0
ASP.NET Core 1.0
ASP.NET Core 1.1
ASP.NET Core 2.0
ChakraCore
Microsoft Edge
Microsoft Excel 2007 SP3
Microsoft Excel 2010 SP2 x64
Microsoft Excel 2010 SP2 x86
Microsoft Excel 2013 RT SP1
Microsoft Excel 2013 SP1 x64
Microsoft Excel 2013 SP1 x86
Microsoft Excel 2016 Click-to-Run (C2R) für 64-Bit-Editionen
Microsoft Excel 2016 Click-to-Run (C2R) für 32-Bit-Editionen
Microsoft Excel 2016 Mac OS
Microsoft Excel 2016 x64
Microsoft Excel 2016 x86
Microsoft Excel Viewer 2007 SP3
Microsoft Internet Explorer 9
Microsoft Internet Explorer 10
Microsoft Internet Explorer 11
Microsoft Office 2007 SP3
Microsoft Office 2010 SP2 x64
Microsoft Office 2010 SP2 x86
Microsoft Office 2013 SP1 x64
Microsoft Office 2013 SP1 x86
Microsoft Office 2016 x64
Microsoft Office 2016 x86
Microsoft Office Compatibility Pack SP3
Microsoft Office Web Apps 2010 SP2
Microsoft Office Web Apps Server 2013 SP1
Microsoft Office Word Viewer
Microsoft Project Server 2013 Sp1
Microsoft Sharepoint Server Enterprise 2016
Microsoft Word 2007 SP3
Microsoft Word 2010 SP2 x64
Microsoft Word 2010 SP2 x86
Microsoft Word 2013 RT SP1
Microsoft Word 2013 SP1 x64
Microsoft Word 2013 SP1 x86
Microsoft Word 2016 Mac OS
Microsoft Word 2016 x64
Microsoft Word 2016 x86
Microsoft Word Automation Services unter Microsoft SharePoint Server
macOS
Microsoft Windows
Microsoft Windows 7 SP1 x64
Microsoft Windows 7 SP1 x86
Microsoft Windows 8.1 x64
Microsoft Windows 8.1 x86
Microsoft Windows 10 x64
Microsoft Windows 10 x86
Microsoft Windows 10 x64 v1511
Microsoft Windows 10 x86 v1511
Microsoft Windows 10 x64 v1607
Microsoft Windows 10 x86 v1607
Microsoft Windows 10 x64 v1703
Microsoft Windows 10 x86 v1703
Microsoft Windows 10 x64 v1709
Microsoft Windows 10 x86 v1709
Microsoft Windows RT 8.1
Microsoft Windows Server v1709 (Server Core Installation)
Microsoft Windows Server 2008 SP2 x64 Server Core Installation
Microsoft Windows Server 2008 SP2 x86 Server Core Installation
Microsoft Windows Server 2008 SP2 Itanium
Microsoft Windows Server 2008 SP2 x64
Microsoft Windows Server 2008 SP2 x86
Microsoft Windows Server 2008 R2 SP1
Microsoft Windows Server 2008 R2 SP1 x64 Server Core Installation
Microsoft Windows Server 2008 R2 SP1 Itanium
Microsoft Windows Server 2012
Microsoft Windows Server 2012 Server Core Installation
Microsoft Windows Server 2012 R2
Microsoft Windows Server 2012 R2 Server Core Installation
Microsoft Windows Server 2016
Microsoft Windows Server 2016 Server Core Installation
____________________________________________________________________________________________________
Empfehlung:
Installieren Sie die Sicherheitsupdates möglichst zeitnah über die Windows-Update-Funktion, um vor
einer Ausnutzung der Sicherheitslücken geschützt zu sein. Alternativ können Sie die
Sicherheitsupdates auch von der Microsoft-Webseite herunterladen (siehe Referenzen). Microsoft
empfiehlt generell die Verwendung automatischer Updates. Das Sicherheitsupdate für den Adobe Flash
Player muss für jeden Browser, den Sie verwenden, einzeln und möglicherweise händisch eingespielt
werden. Lediglich der Internet Explorer und Edge können das Update automatisch erhalten.
____________________________________________________________________________________________________
____________________________________________________________________________________________________
Beschreibung:
Mit dem Flash Player werden multimediale aktive Inhalte wiedergegeben. Das Programm ist integraler
Bestandteil zahlreicher Adobe Produkte.
.NET Core ist eine plattformunabhängige, quelloffene Software-Plattform der Microsoft .NET
Plattform, die zur Entwicklung und Ausführung von Anwendungsprogrammen dient und auf GitHub frei
verfügbar ist.
Microsoft ASP.NET Core ist ein quelloffenes Web Application Framework für die Entwicklung von
Webseite, Webanwendungen und Webservices, welches auch die Betriebssysteme Linux und Mac OS
unterstützt.
ChakraCore ist das Kernelement der Chakra JavaScript-Engine, die Microsoft Edge antreibt.
Microsoft Edge ist der neue Standard-Webbrowser, welcher mit Windows 10 ausgeliefert wird und als
Nachfolger des Microsoft Internet Explorers Bestandteil des Betriebssystems Windows 10 ist.
Microsoft Excel ist ein weit verbreitetes Tabellenkalkulationsprogramm.
Microsoft Excel Viewer ist eine Anwendung zum Öffnen, Anzeigen und Drucken von Excel-Dokumenten
ohne Installation von MS Excel.
Der Windows Internet Explorer von Microsoft ist ein Webbrowser für das Betriebssystem Windows.
Microsoft Office ist ein Paket von Bürosoftware für die Betriebssysteme Microsoft Windows und Mac
OS. Für unterschiedliche Aufgabenstellungen werden verschiedene sogenannte Editionen angeboten, die
sich in den enthaltenen Komponenten, dem Preis und der Lizenzierung unterscheiden.
Der Microsoft Office Compatibility Pack ermöglicht älteren MS Office Versionen das Öffnen,
Editieren und Speichern von Dokumenten, die mit MS Office 2007 und 2010 erstellt wurden.
Microsoft Office Web Apps ist die Browser-basierte Version von Word, PowerPoint, Excel und OneNote.
Konzipiert sowohl für Privatkunden wie Unternehmen.
Microsoft Office Web Apps Server ist die Server gestützte, über Browser nutzbare Version von MS
Word, PowerPoint, Excel und OneNote. Konzipiert für Unternehmen mit zentraler Microsoft
Server-Infrastruktur.
Der Microsoft Office Word Viewer ist ein eigenständiges Programm zum Lesen und Drucken beliebiger
Office Dokumente ohne installiertes Microsoft Office Paket.
Microsoft Office Project Server ist eine Server-Lösung für das Projektmanagement, die als Grundlage
Microsoft SharePoint benutzt und für die Benutzerschnittstelle entweder Microsoft Project als
Client oder einen Web-Browser, der mit der Project Web App (PWA)-Komponente verbunden wird,
unterstützt.
SharePoint Server ist ein Produkt der Firma Microsoft für die virtuelle Zusammenarbeit von
Benutzern unter einer Weboberfläche mit einer gemeinsamen Daten- und Informationsablage.
Microsoft Word ist die Textverarbeitungssoftware des MS Office-Paketes.
Word-Automatisierungsdienste ist eine neue SharePoint Server 2010-Technologie, die die
unbeaufsichtigte serverseitige Konvertierung von Dokumenten ermöglicht, die von Microsoft Word
unterstützt werden.
Microsoft Windows ist ein graphisches Betriebssystem des Unternehmens Microsoft.
Microsoft schließt mit den Updates für November 2017 zahlreiche Sicherheitslücken, die zum Teil
schwerwiegende Auswirkungen haben können. Die Sicherheitslücken ermöglichen es einem entfernten,
nicht am System angemeldeten Angreifer aus dem Internet, beliebige Befehle mit den Rechten eines
angemeldeten Benutzers auszuführen. Je mehr Rechte der betroffene Benutzer für seine Arbeit
verwendet, desto gravierender sind die Schäden, die ein Angreifer über die Sicherheitslücken
anrichten kann. Im schlimmsten Fall, wenn ein Benutzer mit Administratorrechten arbeitet, kann ein
Angreifer die vollständige Kontrolle über das betroffene System erlangen. Durch erfolgreiche
Angriffe ist es dem Angreifer darüber hinaus möglich, private Daten auszuspähen, Ihr System oder
einzelne Anwendungen kontrolliert zum Absturz zu bringen sowie Schutzmechanismen des Systems zu
umgehen und dadurch weitere Angriffe auszuführen. Zur Härtung Ihres Systems gegenüber
Sicherheitslücken wird zusätzlich ein sogenanntes ‚Defense-in-Depth‘-Update für Microsoft Office
veröffentlicht, durch das aktuelle und zukünftige Angriffe erschwert werden sollen.

Besonders im Fokus für private Anwender stehen diesen Monat zwei bereits vorab veröffentlichte
Sicherheitslücken im Internet Explorer und in Microsoft Edge sowie eine Sicherheitslücke, die die
Deaktivierung sogenannter Makros in Microsoft Excel verhindert.
____________________________________________________________________________________________________
Zusammenfassung:
Microsoft veröffentlicht mit dem Patchtag im November 2017 Sicherheitsupdates für mehrere Produkte.
Sicherheitsupdates stehen unter anderem für den Browser Edge und dessen Bestandteil Chakra Core,
für die derzeit unterstützten Versionen des Internet Explorers, für Microsoft Office, Excel und
Word (auch für macOS), Microsoft Office Services, Web Apps, den Sharepoint-Server, die
Entwicklungsplattformen .NET und ASP.NET sowie alle aktuell unterstützten Windows-Versionen zur
Verfügung.
____________________________________________________________________________________________________
Quellen:
– https://portal.msrc.microsoft.com/de-de/security-guidance/releasenotedetail/bae9d0d8-e497-e711-80e5-000d3a32fc99
– http://www.windowsupdate.com/
____________________________________________________________________________________________________
Über den folgenden Link können Sie den Newsletter wieder abbestellen.
https://www.bsi.bund.de/BSIFB/DE/Service/Buerger-CERT/Newsletter/abbestellen/newsletter_abbestellen_node.html
Besuchen Sie uns auch auf:
https://www.bsi-fuer-buerger.de
https://www.facebook.com/bsi.fuer.buerger
Tweets by BSI_Presse

Herausgeber: Bundesamt für Sicherheit in der Informationstechnik (BSI), Godesberger Allee 185-189, 53133 Bonn

Art der Meldung: Warnmeldung
Risikostufe 5
Sicherheitsupdate für Adobe Shockwave Player

15.11.2017____________________________________________________________________________________________________
Betroffene Systeme:
Adobe Macromedia Shockwave Player vor 12.3.1.201
Microsoft Windows
____________________________________________________________________________________________________
Empfehlung:
Aktualisieren Sie möglichst zeitnah den Adobe Shockwave Player auf Version 12.3.1.201. Das Update
finden Sie auf der referenzierten Seite zum Download des Shockwave Players.
____________________________________________________________________________________________________
____________________________________________________________________________________________________
Beschreibung:
Mit dem Adobe Shockwave Player werden Dateien im Adobe-Format DCR (Shockwave) innerhalb des
Browsers dargestellt.
Adobe schließt eine Sicherheitslücke im Adobe Shockwave Player für Microsoft Windows, die es einem
Angreifer aus dem Internet ermöglicht, beliebigen Programmcode auf dem betroffenen System zur
Ausführung zu bringen.
____________________________________________________________________________________________________
Zusammenfassung:
Adobe schließt eine kritische Sicherheitslücke im Shockwave Player für Microsoft Windows.
____________________________________________________________________________________________________
Quellen:
– http://get.adobe.com/shockwave/
– http://helpx.adobe.com/security/products/shockwave/apsb17-40.html
____________________________________________________________________________________________________
Über den folgenden Link können Sie den Newsletter wieder abbestellen.
https://www.bsi.bund.de/BSIFB/DE/Service/Buerger-CERT/Newsletter/abbestellen/newsletter_abbestellen_node.html
Besuchen Sie uns auch auf:
https://www.bsi-fuer-buerger.de
https://www.facebook.com/bsi.fuer.buerger
Tweets by BSI_Presse

Herausgeber: Bundesamt für Sicherheit in der Informationstechnik (BSI), Godesberger Allee 185-189, 53133 Bonn

Art der Meldung: Warnmeldung
Risikostufe 5
Sicherheitsupdate für Mozilla Firefox

15.11.2017____________________________________________________________________________________________________
Betroffene Systeme:
Mozilla Firefox vor 57
Mozilla Firefox ESR vor 52.5
macOS
GNU/Linux
Microsoft Windows
____________________________________________________________________________________________________
Empfehlung:
Aktualisieren Sie Mozilla Firefox auf die neueste Version. Die Software können Sie über die
angegebene Update-Seite laden und entsprechend den Anweisungen installieren.
____________________________________________________________________________________________________
____________________________________________________________________________________________________
Beschreibung:
Firefox ist der Open-Source Webbrowser der Mozilla Foundation.
Firefox ESR (Extended Support Release) ist der Open-Source Webbrowser für Gruppen, die die
Desktop-Umgebung in großen Organisationen flächendeckend installieren und warten.
Mozilla schließt eine Vielzahl teils sehr schwerwiegend eingestufter Sicherheitslücken in Firefox,
durch die ein Angreifer aus dem Internet das Programm zum Absturz bringen, Sicherheitsvorkehrungen
umgehen, Informationen ausspähen, falsche Informationen darstellen und beliebige Befehle auf Ihrem
System ausführen kann. Insbesondere über die Befehlsausführung kann ein Angreifer auf Ihrem System
Schaden anrichten, weswegen das Sicherheitsupdate zeitnah installiert werden sollte. Mit dem Update
auf Version 57 ändert sich Firefox grundlegend. Das kann dazu führen, dass Sie nicht wie bisher
gewohnt mit der Software arbeiten können, insbesondere wenn Sie ältere Browser-Erweiterungen
verwenden.
____________________________________________________________________________________________________
Zusammenfassung:
Mozilla stellt den Browser Firefox in der Version 57 bereit, welcher Korrekturen für mehrere,
teilweise schwerwiegende Sicherheitslücken beinhaltet und deswegen zeitnah installiert werden
sollte. Die neue Version von Firefox kann dazu führen, dass bereits installierte Erweiterungen
nicht mehr funktionieren.
____________________________________________________________________________________________________
Quellen:
– https://www.mozilla.org/de/firefox/
– https://blog.mozilla.org/press-de/2017/11/14/der-neue-firefox-ist-da-firefox-quantum/
____________________________________________________________________________________________________
Über den folgenden Link können Sie den Newsletter wieder abbestellen.
https://www.bsi.bund.de/BSIFB/DE/Service/Buerger-CERT/Newsletter/abbestellen/newsletter_abbestellen_node.html
Besuchen Sie uns auch auf:
https://www.bsi-fuer-buerger.de
https://www.facebook.com/bsi.fuer.buerger
Tweets by BSI_Presse

Herausgeber: Bundesamt für Sicherheit in der Informationstechnik (BSI), Godesberger Allee 185-189, 53133 Bonn

Art der Meldung: Warnmeldung
Risikostufe 5
Sicherheitsupdates für Adobe Acrobat, Reader, Acrobat DC und Acrobat Reader DC

15.11.2017____________________________________________________________________________________________________
Betroffene Systeme:
Adobe Acrobat vor 2017.011.30068
Acrobat DC vor 2015.006.30392 Classic
Acrobat DC vor 2018.009.20044 Continuous
Acrobat Reader vor 2017.011.30068
Acrobat Reader DC vor 2015.006.30392 Classic
Acrobat Reader DC vor 2018.009.20044 Continuous
Acrobat XI vor 11.0.23
Reader XI vor 11.0.23
macOS
macOS Sierra
Microsoft Windows
____________________________________________________________________________________________________
Empfehlung:
Aktualisieren Sie Adobe Reader und Adobe Acrobat über das entsprechende Download Center (Referenzen
anbei), sofern Sie nicht die automatische Update-Funktion innerhalb des Produktes nutzen. Sie
können manuell nach Updates suchen, indem Sie unter ‚Hilfe‘ -> ‚Nach Updates suchen‘ auswählen.
____________________________________________________________________________________________________
____________________________________________________________________________________________________
Beschreibung:
Mit dem Adobe Reader, bzw. Acrobat Reader DC können PDF-Dokumente (Adobe Portable Document Format)
betrachtet und kommentiert werden.
Mit dem Adobe Acrobat, bzw. Acrobat DC können PDF-Dokumente (Adobe Portable Document Format)
erzeugt, editiert und signiert werden.
Adobe schließt mehrere kritische Sicherheitslücken in den Produkten Acrobat XI, Reader XI, Acrobat
2017, Acrobat Reader 2017, Acrobat DC und Acrobat Reader DC, die es einem nicht angemeldeten
Angreifer aus dem Internet ermöglichen, beliebigen Programmcode auszuführen und damit
möglicherweise Ihr System komplett unter seine Kontrolle zu bringen. Der Angreifer kann auch
private Informationen ausspähen und diese für weitere Angriffe nutzen.
____________________________________________________________________________________________________
Zusammenfassung:
Adobe schließt mehrere kritische Sicherheitslücken in Acrobat XI, Reader XI, Acrobat 2017, Acrobat
Reader 2017, Acrobat DC und Acrobat Reader DC für Microsoft Windows und Macintosh.
____________________________________________________________________________________________________
Quellen:
– https://supportdownloads.adobe.com/product.jsp?product=1%26platform=Macintosh
– https://supportdownloads.adobe.com/product.jsp?product=1%26platform=Windows
– https://supportdownloads.adobe.com/product.jsp?product=10%26platform=Macintosh
– https://supportdownloads.adobe.com/product.jsp?product=10%26platform=Windows
– https://helpx.adobe.com/security/products/acrobat/apsb17-36.html
____________________________________________________________________________________________________
Über den folgenden Link können Sie den Newsletter wieder abbestellen.
https://www.bsi.bund.de/BSIFB/DE/Service/Buerger-CERT/Newsletter/abbestellen/newsletter_abbestellen_node.html
Besuchen Sie uns auch auf:
https://www.bsi-fuer-buerger.de
https://www.facebook.com/bsi.fuer.buerger
Tweets by BSI_Presse

Herausgeber: Bundesamt für Sicherheit in der Informationstechnik (BSI), Godesberger Allee 185-189, 53133 Bonn

Art der Meldung: Warnmeldung
Risikostufe 3
Sicherheitsupdate für Joomla!

08.11.2017____________________________________________________________________________________________________
Betroffene Systeme:
Joomla! vor 3.8.2
Apple Mac OS
GNU/Linux
Microsoft Windows
____________________________________________________________________________________________________
Empfehlung:
Aufgrund der Verbreitung von Joomla! werden Sicherheitslücken üblicherweise kurz nach Bekanntwerden
aktiv in betroffenen Programmversionen ausgenutzt, daher sollten Sie Joomla! zeitnah über die
referenzierte Download-Seite auf die Version 3.8.2 aktualisieren.
____________________________________________________________________________________________________
____________________________________________________________________________________________________
Beschreibung:
Joomla! ist ein Content Management System, mit dem Webauftritte und Internet-Anwendungen erstellt
werden können. Es ist einfach zu benutzen und zu erweitern. Die Software steht unter einer Open
Source Lizenz und ist frei verfügbar.
Joomla! schließt mit dem aktuellen Sicherheitsupdate zwei neue und eine mit einem vorherigen
Sicherheitsupdate offenbar nicht komplett behobene Sicherheitslücke, die es einem Angreifer aus dem
Internet ermöglichen, private Informationen auszuspähen oder die sicherere Anmeldung über die
sogenannte Zwei-Faktor-Authentifizierung zu umgehen.
____________________________________________________________________________________________________
Zusammenfassung:
Joomla! schließt drei Sicherheitslücken im Joomla! Content Management System.
____________________________________________________________________________________________________
Quellen:
– https://downloads.joomla.org/
____________________________________________________________________________________________________
Über den folgenden Link können Sie den Newsletter wieder abbestellen.
https://www.bsi.bund.de/BSIFB/DE/Service/Buerger-CERT/Newsletter/abbestellen/newsletter_abbestellen_node.html
Besuchen Sie uns auch auf:
https://www.bsi-fuer-buerger.de
https://www.facebook.com/bsi.fuer.buerger
Tweets by BSI_Presse

Herausgeber: Bundesamt für Sicherheit in der Informationstechnik (BSI), Godesberger Allee 185-189, 53133 Bonn