In den E-Mail-Komponenten der Outlook-Versionen 2007, 2010, 2013 und 2016 klaffen drei Sicherheitslücken. Die Aktualisierungen stuft Microsoft als "wichtig" ein und verteilt diese automatisch über Windows Update.

Bisher soll es keine Übergriffe geben. Das Risiko wird vom Notfall-Team des BSI CERT Bund als "hoch" eingestuft. Nur, wenn ein Opfer dazu gebracht wird, eine präparierte Datei im E-Mail-Anhang zu öffnen, kann ein Angreifer die drei Schwachstellen ausnutzen. Dadurch können Speicherfehler provoziert und eigener Code ausgeführt werden (CVE-2017-8663).

Sicherheitsmechanismen sollen so außerdem umgangen werden können, um Befehle auf gefährdeten System auszuführen (CVE-2017-8571). Durch das Ausnutzen der Lücke mit der Kennung CVE-2017-8572 sollen Angreifer außerdem Speicherinformationen auslesen können.

(ms, hannover)

(siehe auch Heise News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE