Art der Meldung: Warnmeldung
Risikostufe 4
Microsoft Sicherheitsupdates im Januar 2017
10.01.2018____________________________________________________________________________________________________
Betroffene Systeme:
Adobe Flash Player
.NET Core 1.0
.NET Core 1.1
.NET Core 2.0
Microsoft .NET Framework 2.0 SP2
Microsoft .NET Framework 3.0 SP2
Microsoft .NET Framework 3.5
Microsoft .NET Framework 3.5.1
Microsoft .NET Framework 4.5.2
Microsoft .NET Framework 4.6
Microsoft .NET Framework 4.6.1
Microsoft .NET Framework 4.6.2
Microsoft .NET Framework 4.7
Microsoft .NET Framework 4.7.1
ASP.NET Core 2.0
ChakraCore
Microsoft Edge
Microsoft Excel 2007 SP3
Microsoft Excel 2010 SP2 x64
Microsoft Excel 2010 SP2 x86
Microsoft Excel 2013 RT SP1
Microsoft Excel 2013 SP1 x64
Microsoft Excel 2013 SP1 x86
Microsoft Excel 2016 Click-to-Run (C2R) für 64-Bit-Editionen
Microsoft Excel 2016 Click-to-Run (C2R) für 32-Bit-Editionen
Microsoft Excel 2016 x64
Microsoft Excel 2016 x86
Microsoft Excel Viewer 2007 SP3
Microsoft Internet Explorer 11
Microsoft Office 2007 SP3
Microsoft Office 2010 SP2 x64
Microsoft Office 2010 SP2 x86
Microsoft Office 2013 RT SP1
Microsoft Office 2013 SP1 x64
Microsoft Office 2013 SP1 x86
Microsoft Office 2016 Click-to-Run (C2R) für 64-Bit-Editionen
Microsoft Office 2016 Click-to-Run (C2R) für 32-Bit-Editionen
Microsoft Office 2016 Mac
Microsoft Office 2016 x64
Microsoft Office 2016 x86
Microsoft Office Compatibility Pack SP3
Microsoft Office Online Server 2016
Microsoft Office Web Apps 2010 SP2
Microsoft Office Web Apps Server 2013 SP1
Microsoft Office Word Viewer
Microsoft Outlook 2007 SP3
Microsoft Outlook 2010 SP2 x64
Microsoft Outlook 2010 SP2 x86
Microsoft Outlook 2013 SP1 x86
Microsoft Outlook 2013 SP1 x64
Microsoft Outlook 2013 RT SP1
Microsoft Outlook 2016 x64
Microsoft Outlook 2016 x86
Microsoft Sharepoint Foundation 2010 SP2
Microsoft Sharepoint Server 2010 SP2
Microsoft Sharepoint Server Enterprise 2013 SP1
Microsoft Sharepoint Server Enterprise 2016
Microsoft Word 2007 SP3
Microsoft Word 2010 SP2 x64
Microsoft Word 2010 SP2 x86
Microsoft Word 2013 RT SP1
Microsoft Word 2013 SP1 x64
Microsoft Word 2013 SP1 x86
Microsoft Word 2016 x64
Microsoft Word 2016 x86
Apple macOS
Microsoft Windows
Microsoft Windows 7 SP1 x64
Microsoft Windows 7 SP1 x86
Microsoft Windows 8.1 x64
Microsoft Windows 8.1 x86
Microsoft Windows 10 x64
Microsoft Windows 10 x86
Microsoft Windows 10 x64 v1511
Microsoft Windows 10 x86 v1511
Microsoft Windows 10 x64 v1607
Microsoft Windows 10 x86 v1607
Microsoft Windows 10 x64 v1703
Microsoft Windows 10 x86 v1703
Microsoft Windows 10 x64 v1709
Microsoft Windows 10 x86 v1709
Microsoft Windows RT 8.1
Microsoft Windows Server v1709 (Server Core Installation)
Microsoft Windows Server 2008 SP2 Itanium
Microsoft Windows Server 2008 SP2 x64
Microsoft Windows Server 2008 SP2 x86
Microsoft Windows Server 2008 R2 SP1 x64 Server Core Installation
Microsoft Windows Server 2008 R2 SP1 Itanium
Microsoft Windows Server 2008 R2 SP1 x64
Microsoft Windows Server 2012
Microsoft Windows Server 2012 Server Core Installation
Microsoft Windows Server 2012 R2
Microsoft Windows Server 2012 R2 Server Core Installation
Microsoft Windows Server 2016
Microsoft Windows Server 2016 Server Core Installation
____________________________________________________________________________________________________
Empfehlung:
Microsoft empfiehlt allen Nutzern dringend eine umgehende Installation der verfügbaren
Sicherheitsupdates wie auch die Installation eventuell zusätzlich verfügbarer Firmwareupdates für
die betroffenen Mikroprozessoren. Microsoft empfiehlt generell die Verwendung automatischer Updates
und die Verwendung aktueller kompatibler Sicherheitssoftware. Wenn Sie die automatischen
Update-Funktion nicht nutzen, können Sie die Sicherheitsupdates von der Microsoft-Webseite
herunterladen (siehe Referenzen).
Bitte beachten Sie die Hinweise des BSI bezüglich der Sicherheitsupdates im ‚Spectre‘ und
‚Meltdown‘-Kontext und verifizieren Sie entsprechend den dortigen Hinweisen, dass die neuesten
Updates wirklich erfolgreich installiert wurden.
____________________________________________________________________________________________________
____________________________________________________________________________________________________
Beschreibung:
Mit dem Flash Player werden multimediale aktive Inhalte wiedergegeben. Das Programm ist integraler
Bestandteil zahlreicher Adobe Produkte.
.NET Core ist eine plattformunabhängige, quelloffene Software-Plattform der Microsoft .NET
Plattform, die zur Entwicklung und Ausführung von Anwendungsprogrammen dient und auf GitHub frei
verfügbar ist.
.NET (dot Net) ist eine Software-Plattform von Microsoft zur Entwicklung und Ausführung von
Anwendungsprogrammen. Das Framework besteht aus einer Laufzeitumgebung, in der die Programme
ausgeführt werden, einer Sammlung von Klassenbibliotheken, Programmierschnittstellen und
Dienstprogrammen.
Microsoft ASP.NET Core ist ein quelloffenes Web Application Framework für die Entwicklung von
Webseiten, Webanwendungen und Webservices, welches auch die Betriebssysteme Linux und Mac OS
unterstützt.
ChakraCore ist das Kernelement der Chakra JavaScript-Engine, die Microsoft Edge antreibt.
Microsoft Edge ist der neue Standard-Webbrowser, welcher mit Windows 10 ausgeliefert wird und als
Nachfolger des Microsoft Internet Explorers Bestandteil des Betriebssystems Windows 10 ist.
Microsoft Excel ist ein weit verbreitetes Tabellenkalkulationsprogramm.
Microsoft Excel Viewer ist eine Anwendung zum Öffnen, Anzeigen und Drucken von Excel-Dokumenten
ohne Installation von MS Excel.
Der Windows Internet Explorer von Microsoft ist ein Webbrowser für das Betriebssystem Windows.
Microsoft Office ist ein Paket von Bürosoftware für die Betriebssysteme Microsoft Windows und Mac
OS. Für unterschiedliche Aufgabenstellungen werden verschiedene sogenannte Editionen angeboten, die
sich in den enthaltenen Komponenten, dem Preis und der Lizenzierung unterscheiden.
Der Microsoft Office Compatibility Pack ermöglicht älteren MS Office Versionen das Öffnen,
Editieren und Speichern von Dokumenten, die mit MS Office 2007 und 2010 erstellt wurden.
Der Microsoft Office Online Server ermöglicht die Bereitstellung von browserbasierten
Office-Produkten.
Microsoft Office Web Apps ist die Browser-basierte Version von Word, PowerPoint, Excel und OneNote.
Konzipiert sowohl für Privatkunden wie Unternehmen.
Microsoft Office Web Apps Server ist die Server gestützte, über Browser nutzbare Version von MS
Word, PowerPoint, Excel und OneNote. Konzipiert für Unternehmen mit zentraler Microsoft
Server-Infrastruktur.
Der Microsoft Office Word Viewer ist ein eigenständiges Programm zum Lesen und Drucken beliebiger
Office Dokumente ohne installiertes Microsoft Office Paket.
Microsoft Outlook ist ein als Personal Information Manager (PIM) bezeichneter E-Mail-Client für
Windows und Mac.
SharePoint Foundation und SharePoint Server sind Produkte der Firma Microsoft für die virtuelle
Zusammenarbeit von Benutzern unter einer Weboberfläche mit einer gemeinsamen Daten- und
Informationsablage.
Microsoft Word ist die Textverarbeitungssoftware des MS Office-Paketes.
Microsoft Windows ist ein graphisches Betriebssystem des Unternehmens Microsoft.
Die schwerwiegendste der jetzt bekannt gewordenen Sicherheitslücken betrifft Microsoft Word und
ermöglicht einem Angreifer aus dem Internet die komplette Übernahme Ihres Systems durch eine Datei
vom Typ ‚Rich Text Format‘ (RTF), die Sie herunterladen und öffnen oder die auf einer Webseite
liegt, die Sie aufrufen. Diese Sicherheitslücke wird laut Herstellerangaben aktiv ausgenutzt. Auch
die Sicherheitslücke im Adobe Flash Player wird von Microsoft als kritisch angesehen, diese
Einschätzung deckt sich allerdings nicht mit der des Herstellers Adobe. Weitere schwerwiegende
Sicherheitslücken in Outlook, Word, Excel und Office generell ermöglichen dem Angreifer ebenfalls
die Übernahme der Kontrolle über Ihr System über schädliche Dateien, sind aber zum Teil schwerer
auszunutzen. Eine der Sicherheitslücken betrifft speziell Microsoft Office für Mac, hierdurch kann
der Angreifer gezielt Sicherheitssoftware außer Kraft setzen und sogenanntes ‚Phishing‘
durchführen. Weitere Sicherheitslücken betreffen die Verfügbarkeit der Entwicklungswerkzeuge .NET
und ASP.NET und zugehöriger Sicherheitsmechanismen.
Zu den in der vergangenen Woche veröffentlichten Sicherheitsupdates für die unter den Namen
‚Spectre‘ und ‚Meltdown‘ bekannten Schwachstellen gelten weiterhin die vom Hersteller am 03.01.2018
veröffentlichten Einschränkungen für Systeme mit Antivirensoftware (maschinell übersetzte
Informationen und Informationen im Original anbei). Im Wesentlichen stehen die neuen
Sicherheitsupdates nur automatisch zur Verfügung, wenn aktuelle und kompatible Sicherheitssoftware
eingesetzt wird, da die Installation in einigen Fällen aufgrund von Kompatibilitätsproblemen zum
Ausfall betroffener Systeme geführt hat (Blue Screen). Anwender ohne Antivirensoftware müssen in
der Windows Registrierungsdatenbank (erreichbar über die Windows-Taste und die folgende Eingabe von
‚regedit‘ in das erscheinende Suchfeld) einen bestimmten Wert anpassen, um das Update auszulösen.
Hier ist besondere Vorsicht geboten, Änderungen an dieser Datenbank können das System unbrauchbar
machen. Die Anpassung dieses Wertes wird auch automatisch von Antivirensoftware-Herstellern
vorgenommen, diese bestätigen dadurch die Kompatibilität Ihrer Software. Der Hersteller Sophos hat
beispielsweise darüber informiert, dass die dafür notwendigen Updates für die eigene
Sicherheitssoftware ab dem 05. Januar 2018 ausgeliefert wurden. Auch für Systeme mit Prozessoren
des Herstellers AMD hat Microsoft die Auslieferung von aktuellen Sicherheitsupdates kurzfristig
eingestellt. Weitere Informationen dazu finden sich in den Hinweisen zu Microsoft
Sicherheitsupdates im Januar 2018 unter der Rubrik ‚Known Issues‘.
Zur Prüfung des eigenen Systems auf die Sicherheitslücken ‚Spectre‘ und ‚Meltdown‘ steht ein
PowerShell-Prüfwerkzeug zur Verfügung. Hinweise hierzu können Sie den BSI-Informationen entnehmen.
Microsoft veröffentlicht hierzu nur wenige Hinweise, beispielsweise im ‚Leitfaden für IT-Experten‘
zum Thema.
Darüber hinaus informiert Microsoft in einem Blog-Beitrag über durch die Sicherheitsupdates zu
erwartende Leistungseinbußen.
____________________________________________________________________________________________________
Zusammenfassung:
Microsoft schließt mit den regulären Updates für Januar 2018 zahlreiche weitere Sicherheitslücken
in Microsoft Office (insbesondere Excel, Outlook und Word), den Microsoft Office Services und Web
Apps sowie Microsoft SharePoint, dem .NET Framework sowie dem .NET- und ASP-NET-Core. Auch für den
Adobe Flash Player wird ein Sicherheitsupdate veröffentlicht. Diese neuen Sicherheitsupdates
ergänzen die bereits vergangene Woche außerplanmäßig bereitgestellten Updates mit denen
Sicherheitslücken in den Browsern Edge und Internet Explorer, der Browserkomponente ChakraCore, dem
SQL Server und Microsoft Windows selbst angegangen wurden. Der Internet Explorer 11, Microsoft Edge
und ChakraCore werden auch im Kontext der neu veröffentlichten Updates referenziert.
Der Softwarehersteller weist darüber hinaus auf verschiedene Probleme hin, die mit den bisherigen
Sicherheitsupdates für die unter den Namen ‚Spectre‘ und ‚Meltdown‘ bekannten Sicherheitslücken
aufgetreten sind. Diese Probleme haben Microsoft dazu veranlasst, die Auslieferung von
Sicherheitsupdates für Systeme mit dem Prozessortyp AMD kurzfristig einzustellen. Weiterhin werden
neue Sicherheitsupdates nur ausgeliefert, wenn aktuelle eigene oder von Microsoft unterstützte
Sicherheits- und Antivirensoftware eingesetzt wird. Die Einstellung der Sicherheitsupdates dient in
diesen Fällen dem Schutz Ihres Systems, das durch die Installation der Updates Schaden nehmen
könnte.
Das BSI veröffentlicht zu den Hintergründen von ‚Spectre‘ und ‚Meltdown‘ und den daraus für
Benutzer resultierenden, notwendigen Maßnahmen zum Schutz der eigenen Systeme detaillierte
Informationen. Die für Benutzer von Windows-Systemen zu beachtenden, manuellen Schritte und ein
empfohlenes Vorgehen im Fall, dass Updates nicht installiert werden, sind Teil dieser Information
(siehe Referenzen anbei).
____________________________________________________________________________________________________
Quellen:
– https://portal.msrc.microsoft.com/en-us/security-guidance/releasenotedetail/858123b8-25ca-e711-a957-000d3a33cf99
– https://www.bsi-fuer-buerger.de/Spectre_Meltdown
– https://support.microsoft.com/en-us/help/4073119/protect-against-speculative-execution-side-channel-vulnerabilities-in
– https://cloudblogs.microsoft.com/microsoftsecure/2018/01/09/understanding-the-performance-impact-of-spectre-and-meltdown-mitigations-on-windows-systems/
– https://support.microsoft.com/de-de/help/4072699/january-3-2018-windows-security-updates-and-antivirus-software
– https://support.microsoft.com/en-us/help/4072699/january-3-2018-windows-security-updates-and-antivirus-software
____________________________________________________________________________________________________
Über den folgenden Link können Sie den Newsletter wieder abbestellen.
https://www.bsi.bund.de/BSIFB/DE/Service/Buerger-CERT/Newsletter/abbestellen/newsletter_abbestellen_node.html
Besuchen Sie uns auch auf:
https://www.bsi-fuer-buerger.de
https://www.facebook.com/bsi.fuer.buerger
Herausgeber: Bundesamt für Sicherheit in der Informationstechnik (BSI), Godesberger Allee 185-189, 53133 Bonn