BSI Sicherheitshinweise des Bürger-CERT: bsi.bund.de

BSI RSS-Newsfeed Sicherheitshinweise des Bürger-CERT

www.bsi.bund.de
Bürger-CERT: Aktuelle Sicherheitshinweise

Microsoft Sicherheitsupdates im Dezember 2017

13.12.2017

Mit dem Flash Player werden multimediale aktive Inhalte wiedergegeben. Das Programm ist integraler Bestandteil zahlreicher Adobe Produkte. ChakraCore ist das Kernelement der Chakra JavaScript-Engine, die Microsoft Edge antreibt. Microsoft Edge ist der neue Standard-Webbrowser, welcher mit Windows 10 ausgeliefert wird und als Nachfolger des Microsoft Internet Explorers Bestandteil des Betriebssystems Windows 10 ist. Microsoft Exchange Server ist eine Server-Software. Sie ermöglicht die zentrale Ablage und Verwaltung von Mails, Terminen und Kalendern, Kontakten und Adressen, Aufgaben und weiteren Elementen. Der Windows Internet Explorer von Microsoft ist ein Webbrowser für das Betriebssystem Windows. Die Malware Protection Engine ist die zentrale Komponente verschiedener Sicherheitsprodukte von Microsoft und wird für das Scannen, Erkennen und Entfernen von Viren und Spyware genutzt. Microsoft Office ist ein Paket von Bürosoftware für die Betriebssysteme Microsoft Windows und Mac OS. Für unterschiedliche Aufgabenstellungen werden verschiedene sogenannte Editionen angeboten, die sich in den enthaltenen Komponenten, dem Preis und der Lizenzierung unterscheiden. SharePoint Server ist ein Produkt der Firma Microsoft für die virtuelle Zusammenarbeit von Benutzern unter einer Weboberfläche mit einer gemeinsamen Daten- und Informationsablage. Microsoft Word ist die Textverarbeitungssoftware des MS Office-Paketes. Microsoft Windows ist ein graphisches Betriebssystem des Unternehmens Microsoft. Microsoft schließt mit den Updates für Dezember 2017 zahlreiche Sicherheitslücken, die zum Teil schwerwiegende Auswirkungen haben können. Die Sicherheitslücken ermöglichen es einem entfernten, nicht am System angemeldeten Angreifer aus dem Internet, beliebige Befehle mit den Rechten eines angemeldeten Benutzers auszuführen. Je mehr Rechte der betroffene Benutzer für seine Arbeit verwendet, desto gravierender sind die Schäden, die ein Angreifer über die Sicherheitslücken anrichten kann. Im schlimmsten Fall, wenn ein Benutzer mit Administratorrechten arbeitet, kann ein Angreifer die vollständige Kontrolle über das betroffene System erlangen. Durch erfolgreiche Angriffe ist es dem Angreifer darüber hinaus möglich, private Daten auszuspähen, Ihr System oder einzelne Anwendungen kontrolliert zum Absturz zu bringen sowie Schutzmechanismen des Systems zu umgehen und dadurch weitere Angriffe auszuführen. Zur Härtung Ihres Systems gegenüber Sicherheitslücken werden zusätzlich sogenannte 'Defense-in-Depth'-Updates für Microsoft Office und den Exchange-Server veröffentlicht, durch die aktuelle und zukünftige Angriffe erschwert werden sollen. Der Exchange Server ist auch von den beiden vorab veröffentlichten Sicherheitslücken in der Malware Protection Engine betroffen. Diese Sicherheitslücken betreffen Sicherheitssoftware von Microsoft, unter anderem also auch den Windows Defender. Besonders im Fokus für private Anwender stehen darüber hinaus diesen Monat je eine Sicherheitslücke in Internet Explorer und Microsoft Excel (über Microsoft Office 2016 Click-to-Run), durch die ein Angreifer aus dem Internet beliebigen Programmcode zur Ausführung bringen kann. Eine weitere Sicherheitslücke in Microsoft Windows selbst ermöglicht es einem Angreifer, das Zugangspasswort eines Benutzers zu erraten oder zu berechnen, nachdem er diesen zum Besuch einer Internetseite verleitet hat.

Sicherheitsupdate für den Adobe Flash Player

13.12.2017

Mit dem Flash Player werden multimediale aktive Inhalte wiedergegeben. Das Programm ist integraler Bestandteil zahlreicher Adobe Produkte. Ein Angreifer aus dem Internet kann die Sicherheitslücke im Adobe Flash Player vermutlich mittels einer manipulierten Datei ausnutzen, um ein Zurücksetzen der globalen System-Einstellungen zu verursachen. Eventuell kann die Manipulation der System-Einstellungen dem Angreifer weitere Möglichkeiten eröffnen, Ihr System zu schädigen. Adobe stellt die Flash Player Version 28.0.0.126 als Sicherheitsupdate für Windows, macOS, Chrome OS und Linux bereit. Das Sicherheitsupdate hat nach Herstellerinformation für die Betriebssysteme Windows, macOS und Chrome OS eine Priorität von '2', ein Update wird demnach innerhalb der nächsten Wochen empfohlen. Für Linux-Systeme liegt die Priorität nur bei '3', ein Update ist also nicht dringend. Microsoft veröffentlicht im Zuge des Dezember Patchtages den Sicherheitshinweis ADV170022, um über dieses Flash Player Update zu informieren. In Abweichung zu Adobe stuft Microsoft das Update als 'kritisch' ein und kategorisiert die Auswirkung als 'Remotecodeausführung'. Das bedeutet, dass die Sicherheitslücke für das Ausführen beliebiger Befehle genutzt werden kann, wodurch ein betroffenes System sehr umfassend geschädigt werden kann. Nähere Informationen bezüglich der Gründe für diese Einstufung werden von Microsoft nicht bereitgestellt. Aufgrund der unterschiedlichen Bewertung von Adobe und Microsoft wird diese Sicherheitswarnung mit einer Kritikalität von 'hoch' versendet, welche sich derzeit allerdings nur auf Windows-Systeme bezieht.

Sicherheitsupdate für Mozilla Firefox

08.12.2017

Firefox ist der Open-Source Webbrowser der Mozilla Foundation. Mozilla schließt mit der jetzt verfügbaren Firefox Version 57.0.1 zwei Sicherheitslücken, die einem Angreifer aus dem Internet das Umgehen von Sicherheitsvorkehrungen und das Ausspähen von Informationen ermöglichen. Der Hersteller bewertet die Kritikalität dieser beiden Sicherheitslücken als 'hoch', stuft die insgesamt von den Sicherheitslücken ausgehende Gefährdung allerdings als 'kritisch' ein, weshalb Sie der Update-Empfehlung zügig nachkommen sollten.

Apple veröffentlicht macOS High Sierra 10.13.2

07.12.2017

Das Betriebssystem Mac OS X ist der Standard auf Apple Laptops und Desktop-Geräten. Das von Apple entwickelte Betriebssystem macOS High Sierra ist der namentliche Nachfolger von macOS Sierra ab Version 10.13 für Macintosh-Systeme (Desktop und Server). Das von Apple entwickelte Betriebssystem macOS Sierra ist der namentliche Nachfolger von Mac OS X ab Version 10.12 für Macintosh-Systeme (Desktop und Server). Apple veröffentlicht macOS High Sierra 10.13.2 sowie Sicherheitsupdates für macOS Sierra 10.12.6, Mac OS X El Capitan 10.11.6 und schließt damit Sicherheitslücken, durch die ein nicht angemeldeter Angreifer aus dem Internet intendierte Sicherheitsmaßnahmen umgehen, Daten auf Ihrem Rechner ausspähen oder beliebigen Programmcode auch mit erhöhten Privilegien auf Ihrem System ausführen kann. Durch einen solchen Angriff kann Ihr System auch dauerhaft unter die vollständige Kontrolle des Angreifers gelangen, weshalb Sie der Update-Empfehlung des Herstellers zügig nachkommen sollten. Eine der Sicherheitslücken ermöglicht einem Angreifer mit Zugriff auf Ihr Gerät auf sehr einfache Weise die Übernahme der vollständigen Kontrolle über all Ihre Daten und Programme.

Sicherheitsupdate für TeamViewer

07.12.2017

TeamViewer ist eine Software, die zum Teilen von Bildschirminhalten und zur vorübergehenden Kontrollübernahme aus der Ferne verwendet werden kann (Screen-Sharing). Durch eine Sicherheitslücke in der Software TeamViewer kann ein Kommunikationspartner ohne Berechtigung Zugriff auf Ihr System erhalten.

Sicherheitsupdate auf Apple iOS 11.2

07.12.2017

iOS ist das Standardbetriebssystem auf Apple-Geräten wie iPhone, iPod touch und iPad. Es wurde auf Basis des Betriebssystems MAC OS X entwickelt. In verschiedenen von Apple iOS bis einschließlich Version 11.1.2 intern verwendeten Komponenten existieren eine Reihe von Sicherheitslücken. Ein Angreifer aus dem Internet kann diese zur Ausführung beliebigen Programmcodes mit erweiterten Rechten, zum Ausspähen von Informationen und Umgehen von Sicherheitsvorkehrungen, wie etwa der E-Mail-Verschlüsselung, ausnutzen. Eine unter dem Namen KRACK bekannt gewordene Sicherheitslücke kann von einem Angreifer in WLAN-Reichweite ausgenutzt werden, um die WPA2-Verschlüsselung zu umgehen.

Microsoft Sicherheitsupdates für Microsoft Malware Protection Engine

07.12.2017

Microsoft Endpoint Protection ist ein Antivirus-Softwareprodukt entwickelt für die Absicherung von Microsoft-basierten Endgeräten. Die Malware Protection Engine ist die zentrale Komponente verschiedener Sicherheitsprodukte von Microsoft und wird für das Scannen, Erkennen und Entfernen von Viren und Spyware genutzt. Microsoft Security Essentials ist eine Anwendung von Microsoft zum Schutz vor Viren, Spyware und anderer Schadsoftware. Das Programm ist für Windows 7, Windows Vista und Windows XP verfügbar. Windows Defender ist eine Sicherheitssoftware der Firma Microsoft zur Erkennung potenziell unerwünschter Software (vorwiegend Spyware). Die Software ist in Windows Vista, Windows 7, Windows 8 und Windows 10 vorinstalliert. Windows Intune Endpoint Protection stellt eine erweiterte Sicherheitsumgebung im Bezug auf das Update- und Policy-Management für PCs und verschiedene mobile Geräte zur Verfügung. Microsoft schließt eine kritische Sicherheitslücke in der Microsoft Malware Protection Engine und stellt Informationen zu den von der Schwachstelle betroffenen Betriebssystem-Versionen und Anti-Malware-Produkten zur Verfügung. Insbesondere sind Windows 8.1, Windows RT 8.1, Windows Server 2016 und alle aktuellen Versionen von Windows 10 betroffen. Die Sicherheitslücke kann von einem nicht angemeldeten Angreifer aus dem Internet ausgenutzt werden, um beliebigen Programmcode mit Systemrechten ausführen zu lassen, wodurch er letztlich ein System komplett übernehmen kann. Hiervon primär betroffen sind alle Systeme, auf denen eine betroffene Anti-Malware-Software installiert ist. Die letzte betroffene Version der Microsoft Malware Protection Engine ist Version 1.1.14306.0.

Sicherheitsupdate für den Google Chrome Browser

07.12.2017

Chromium ist die Open-Source Variante des Google Chrome Browsers. Chromium ist für verschiedene Betriebssysteme, u.a. für BSD, Linux und Windows verfügbar. Chrome ist ein kostenfreier Webbrowser des Google-Konzerns. Er ist für Windows (ab Windows XP), Mac OS X, Linux, Android und iOS verfügbar. Das Programm ist ein integraler Bestandteil des Google Chrome OS. Mit der Veröffentlichung der Google Chrome Browser Version 63.0.3239.84 behebt der Hersteller mehrere Sicherheitslücken. Diese Sicherheitslücken ermöglichen einem Angreifer aus dem Internet verschiedene Angriffe auf Ihr System, zu denen beispielsweise die Ausführung beliebiger Programme gehören kann. Auch Phishing-Angriffe sind durch die Schwachstellen möglich. Bisher sind nur Informationen zu 19 der 37 behobenen Sicherheitslücken verfügbar.

Sicherheitsupdates für Android

05.12.2017

Android ist ein Betriebssystem und eine Software-Plattform für mobile Geräte wie Smartphones, Mobiltelefone, Netbooks und Tablet-Computer. Sie wird von der Open Handset Alliance entwickelt, deren Hauptmitglied der Google-Konzern ist. LG Mobile produziert Mobiltelefone mit einem angepassten Google Android Betriebssystem. Samsung Mobile produziert Mobiltelefone mit einem angepassten Google Android Betriebssystem. Google schließt mit den aktuellen Sicherheitsupdates für Android eine Vielzahl von Sicherheitslücken, von denen ein Teil als kritisch eingestuft wird. Die Sicherheitslücken können von einem entfernten und nicht angemeldeten Angreifer zumeist mit Hilfe manipulierter Dateien oder manipulierter Anwendungen, zu deren Installation der Angreifer Sie verleitet, ausgenutzt werden. Eine erfolgreiche Ausnutzung der Sicherheitslücken ermöglicht dem Angreifer das Ausspähen geheimer Informationen, das Erlangen von Berechtigungen für die Ausführung von Aktionen auf Ihrem Gerät, das Einschränken der Verfügbarkeit bestimmter Dienste und sowie das Ausführen beliebiger Befehle und Programme und damit eine insgesamt weitreichende Manipulation Ihres Gerätes. Mindestens eine der kritischen Sicherheitslücken kann nur von einem Angreifer in unmittelbarer Nähe ausgenutzt werden.

Sicherheitsupdate für Mozilla Firefox

05.12.2017

Firefox ist der Open-Source Webbrowser der Mozilla Foundation. Mozilla schließt mit der jetzt verfügbaren Firefox Version 57.0.1 zwei Sicherheitslücken, die einem Angreifer aus dem Internet das Umgehen von Sicherheitsvorkehrungen und das Ausspähen von Informationen ermöglichen. Der Hersteller bewertet die Kritikalität dieser beiden Sicherheitslücken als 'hoch', stuft die insgesamt von den Sicherheitslücken ausgehende Gefährdung allerdings als 'kritisch' ein, weshalb Sie der Update-Empfehlung zügig nachkommen sollten.