Security Bulletin

Microsoft Security Bulletin MS13-026 - Hoch

Sicherheitsanfälligkeit in Microsoft Office für Mac kann Offenlegung von Informationen ermöglichen (2813682)

Veröffentlicht: Dienstag, 12. März 2013 | Aktualisiert: Freitag, 15. März 2013

Version: 1.1

Allgemeine Informationen

Kurzzusammenfassung

Dieses Sicherheitsupdate behebt eine vertraulich gemeldete Sicherheitsanfälligkeit in Microsoft Office für Mac. Die Sicherheitsanfälligkeit kann eine Offenlegung von Informationen ermöglichen, wenn ein Benutzer eine speziell gestaltete E-Mail-Nachricht öffnet.

Dieses Sicherheitsupdate wird für Microsoft Office 2008 für Mac und Microsoft Office für Mac 2011 als Hoch eingestuft. Weitere Informationen finden Sie in dem Unterabschnitt Betroffene und nicht betroffene Software in diesem Abschnitt.

Das Sicherheitsupdate behebt die Sicherheitsanfälligkeit, indem sichergestellt wird, dass Microsoft Office für Mac ohne Zustimmung des Benutzers keine Inhalte von externen Quellen herunterlädt. Weitere Informationen zur Sicherheitsanfälligkeit finden Sie im Unterabschnitt „Häufig gestellte Fragen (FAQs)“ für den bestimmten Sicherheitsanfälligkeitseintrag unter dem nächsten Abschnitt Informationen zu Sicherheitsanfälligkeiten.

Empfehlung. Microsoft empfiehlt Benutzern, dieses Sicherheitsupdate so schnell wie möglich zu installieren.

Siehe auch den Abschnitt Tools und Anleitungen zur Erkennung und Bereitstellung weiter unten in diesem Bulletin.

Knowledge Base-Artikel

Knowledge Base-Artikel 2813682
Dateiinformationen Keine
SHA1/SHA2-Hashes Ja
Bekannte Probleme Keine

Betroffene und nicht betroffene Software

Folgende Software wurde getestet, um zu ermitteln, welche Versionen oder Editionen betroffen sind. Andere Versionen haben entweder das Ende des Lebenszyklus überschritten oder sind nicht betroffen. Besuchen Sie die Website Microsoft Support Lifecycle, um den Supportlebenszyklus für Ihre Softwareversion oder Edition zu ermitteln.

Betroffene Software

Software Maximale Sicherheitsauswirkung Bewertung des Gesamtschweregrads Ersetzte Updates
Microsoft Office für Mac
[Microsoft Office 2008 für Mac](https://www.microsoft.com/download/details.aspx?familyid=d7aef20a-922b-4495-b473-1afa4a7ac514) (2817449) Offenlegung von Informationen Hoch 2764048 in [MS12-076](https://technet.microsoft.com/de-de/security/bulletin/ms12-076)
[Microsoft Office für Mac 2011](https://www.microsoft.com/download/details.aspx?familyid=4960674b-1cb4-499a-999e-7aa4d4c49e5e) (2817452) Offenlegung von Informationen Hoch 2764047 in [MS12-076](https://technet.microsoft.com/de-de/security/bulletin/ms12-076)
Häufig gestellte Fragen (FAQs) zu diesem Update -----------------------------------------------

Ich verwende eine ältere Version der in diesem Security Bulletin beschriebenen Software. Was soll ich tun?
Die in diesem Bulletin aufgeführte betroffene Software wurde daraufhin getestet, welche einzelnen Versionen betroffen sind. Andere Versionen haben das Ende ihrer Supportlebenszyklen erreicht. Weitere Informationen zu den Produktzyklen finden Sie auf der Website Microsoft Support Lifecycle.

Benutzer älterer Versionen dieser Software sollten möglichst bald zu Versionen migrieren, für die Support angeboten wird, um sich vor künftigen Sicherheitsanfälligkeiten zu schützen. Informationen zum Ermitteln des Supportlebenszyklus für Ihre Softwareversion finden Sie unter Produkt für Lebenszyklusinformationen auswählen. Weitere Informationen zu Service Packs für diese Softwareversionen finden Sie unter Service Pack Lifecycle Support Policy.

Benutzer, die zusätzlichen Support für ältere Software benötigen, müssen sich an ihren Microsoft-Kundenbetreuer, ihren Technical Account Manager oder den jeweiligen Microsoft-Partner wenden, um Supportangebote in Anspruch nehmen zu können. Kunden, die nicht über einen Alliance-, Premier- oder Authorized-Vertrag verfügen, können sich mit der regionalen Microsoft-Vertriebsniederlassung in Verbindung setzen. Kontaktinformationen finden Sie auf der Website Microsoft Worldwide. Wählen Sie in der Liste „Kontaktinformationen“ Ihr Land aus, und klicken Sie auf Go. Es wird eine Telefonnummer für Ihr Land angezeigt. Wenn Sie unter der angegebenen Nummer anrufen, fragen Sie bitte nach dem regionalen Vertriebsmanager für Premier Support. Weitere Informationen finden Sie auf der Seite Microsoft Support Lifecycle-Richtlinie – Häufig gestellte Fragen (FAQ).

Informationen zu Sicherheitsanfälligkeiten

Bewertungen des Schweregrads und Kennungen der Sicherheitsanfälligkeit

Bei der folgenden Bewertung des Schweregrads wird die potenzielle maximale Auswirkung der Sicherheitsanfälligkeit angenommen. Informationen zur Wahrscheinlichkeit der Ausnutzung der Sicherheitsanfälligkeit in Bezug auf die Bewertung des Schweregrads und die Sicherheitsauswirkung innerhalb von 30 Tagen nach Veröffentlichung dieses Security Bulletins finden Sie im Ausnutzbarkeitsindex im Bulletin Summary für März. Weitere Informationen finden Sie in Microsoft-Ausnutzbarkeitsindex.

Bewertung des Schweregrads und maximale Sicherheitsauswirkung nach betroffener Software
Betroffene Software Sicherheitsanfälligkeit durch unbeabsichtigtes Laden von Inhalten – CVE-2013-0095 Bewertung des Gesamtschweregrads
Microsoft Office für Mac
Microsoft Office 2008 für Mac **Hoch** Offenlegung von Informationen **Hoch**
Microsoft Office für Mac 2011 **Hoch** Offenlegung von Informationen **Hoch**

Sicherheitsanfälligkeit durch unbeabsichtigtes Laden von Inhalten – CVE-2013-0095

Es liegt eine Sicherheitsanfälligkeit durch Offenlegung von Informationen vor, die dadurch verursacht wird, wie Microsoft Entourage für Mac und Microsoft Outlook für Mac bestimmte Inhaltstags in einer HTML5-E-Mail-Nachricht laden.

Informationen zum Anzeigen dieser Sicherheitsanfälligkeit als Standardeintrag in der Liste allgemeiner Sicherheitsanfälligkeiten finden Sie unter CVE-2013-0095.

Schadensbegrenzende Faktoren

Für diese Sicherheitsanfälligkeit gibt es noch keine schadensbegrenzenden Faktoren.

Problemumgehungen

Für diese Sicherheitsanfälligkeit gibt es bislang keine Problemumgehungen.

Häufig gestellte Fragen (FAQs)

Worin genau besteht diese Sicherheitsanfälligkeit?
Dies ist eine Sicherheitsanfälligkeit, die sich auf die Offenlegung von Informationen bezieht.

Was ist die Ursache dieser Sicherheitsanfälligkeit?
Die Sicherheitsanfälligkeit wird verursacht, wenn ein Benutzer eine Vorschau einer speziell gestalteten HTML-E-Mail-Nachricht anzeigt oder öffnet und Microsoft Outlook für Mac oder Microsoft Entourage für Mac zulässt, dass Inhalte ohne Benutzereingriff von einem Remoteserver geladen werden.

Was kann ein Angreifer über diese Sicherheitsanfälligkeit erreichen?
Ein Angreifer kann erkennen, dass eine von ihm gesendete speziell gestaltete E-Mail-Nachricht in einem HTML-Mail-Viewer dargestellt wurde. Dadurch kann der Angreifer bestätigen, dass das betreffende E-Mail-Konto gültig ist und dass die speziell gestaltete E-Mail gelesen wurde.

Wie gehen Angreifer vor, um diese Sicherheitsanfälligkeit auszunutzen?
Um die Sicherheitsanfälligkeit auszunutzen, kann ein Angreifer einem Benutzer eine speziell gestaltete HTML-E-Mail-Nachricht senden, die HTML5-Inhaltstags enthält. Die Sicherheitsanfälligkeit kann ausgenutzt werden, wenn der Benutzer eine Vorschau der E-Mail-Nachricht anzeigt oder diese öffnet.

Für welche Systeme stellt diese Sicherheitsanfälligkeit hauptsächlich ein Risiko dar?
Systeme, auf denen eine betroffene Version von Microsoft Outlook für Mac oder Microsoft Entourage für Mac ausgeführt wird und auf denen ein WebKit-Browser installiert ist, sind hauptsächlich gefährdet.

Was ist WebKit?
WebKit ist ein Open-Source-Layoutmodul, das von anderen Browsern wie Apple Safari verwendet wird, um Webseiten darzustellen.

Was bewirkt das Update?
Das Update behebt die Sicherheitsanfälligkeit, indem sichergestellt wird, dass Microsoft Outlook für Mac und Microsoft Entourage für Mac keine Inhalte von externen Quellen ohne Zustimmung des Benutzers herunterladen.

War diese Sicherheitsanfälligkeit zum Zeitpunkt der Veröffentlichung dieses Security Bulletins bereits öffentlich bekannt?
Nein. Microsoft hat Informationen zu dieser Sicherheitsanfälligkeit durch eine koordinierte Offenlegung der Sicherheitsanfälligkeit erhalten.

Lagen Microsoft zum Zeitpunkt der Veröffentlichung dieses Security Bulletins Informationen vor, dass diese Sicherheitsanfälligkeit bereits ausgenutzt wurde?
Nein. Microsoft lagen zum Zeitpunkt der Erstveröffentlichung dieses Security Bulletins keine Informationen vor, dass diese Sicherheitsanfälligkeit öffentlich für Angriffe auf Benutzer ausgenutzt wurde.

Informationen zum Update

Tools und Anleitungen zur Erkennung und Bereitstellung

Benutzern von Microsoft Office für Mac kann Microsoft AutoUpdate für Mac helfen, Ihre Microsoft-Software auf dem neuesten Stand zu halten. Weitere Informationen zur Verwendung von Microsoft AutoUpdate für Mac finden Sie unter Automatisch nach Softwareupdates suchen.

Bereitstellung von Sicherheitsupdates

Betroffene Software

Um Informationen zum jeweiligen Sicherheitsupdate für Ihre betroffene Software zu erhalten, klicken Sie auf den entsprechenden Link:

Office 2008 für Mac

Voraussetzungen

  • Mac OS X Version 10.4.9 oder höher auf einem Intel, PowerPC G5- oder PowerPC G4-Prozessor (500 MHz oder schneller)
  • Mac OS X-Benutzerkonten müssen über Administratorrechte verfügen, um dieses Sicherheitsupdate installieren zu können.

Installieren des Updates

Laden Sie die entsprechende Sprachversion des Microsoft Office 2008-Updates für Mac 12.3.6 im Microsoft Download Center herunter, und installieren Sie sie.

  1. Beenden Sie alle ausgeführten Anwendungen, da sie die Installation beeinträchtigen könnten. Dies betrifft auch Antivirenprogramme, alle Microsoft Office-Anwendungen, Microsoft Messenger für Mac sowie Office Notifications.
  2. Öffnen Sie die Datei des Microsoft Office 2008 -Updates für Mac 12.3.6 auf Ihrem Desktop. Dieser Schritt wurde eventuell bereits für Sie ausgeführt.
  3. Doppelklicken Sie im Fenster des Microsoft Office 2008 -Updates für Mac 12.3.6 auf die Anwendung des Microsoft Office 2008-Updates für Mac 12.3.6, um die Aktualisierung zu starten, und befolgen Sie die Anweisungen auf dem Bildschirm.
  4. Wenn die Installation erfolgreich abgeschlossen wurde, können Sie das Update-Installationsprogramm von Ihrer Festplatte entfernen. Weitere Informationen dazu, wie Sie den erfolgreichen Abschluss der Installation überprüfen können, finden Sie im Unterabschnitt „Überprüfen der Updateinstallation“. Um das Update-Installationsprogramm zu entfernen, ziehen Sie zuerst die Datei des Microsoft Office 2008 -Updates für Mac 12.3.6 in den Papierkorb. Ziehen Sie anschließend die heruntergeladene Datei in den Papierkorb.

Überprüfen der Updateinstallation

Um zu überprüfen, ob das Sicherheitsupdate auf einem betroffenen System installiert wurde, führen Sie die folgenden Schritte durch:

  1. Navigieren Sie im Finder zum Anwendungsordner (Microsoft Office 2008: Office).
  2. Wählen Sie die Datei Microsoft Component Plugin aus.
  3. Klicken Sie im Menü „Datei“ auf Informationen einblenden oder Info anzeigen.

Wird die Versionsnummer 12.3.6 angezeigt, wurde das Update erfolgreich installiert.

Neustartanforderung

Nach diesem Update ist kein Neustart des Computers erforderlich.

Entfernen des Updates

Dieses Sicherheitsupdate kann nicht deinstalliert werden.

Weitere Informationen

Falls Sie technische Fragen oder Probleme beim Herunterladen bzw. Verwenden dieses Updates haben, finden Sie unter Microsoft Support für Mac die Supportoptionen, die Ihnen zur Verfügung stehen.

Office für Mac 2011

Voraussetzungen

  • Mac OS X Version 10.5.8 oder höher auf einem Intel-Prozessor
  • Mac OS X-Benutzerkonten müssen über Administratorrechte verfügen, um dieses Sicherheitsupdate installieren zu können.

Installieren des Updates

Laden Sie die entsprechende Sprachversion des Microsoft Office für Mac 2011-Updates 14.3.2 im Microsoft Download Center herunter, und installieren Sie sie.

  1. Beenden Sie alle ausgeführten Anwendungen, da sie die Installation beeinträchtigen könnten. Dies betrifft auch Antivirenprogramme und alle Microsoft Office-Anwendungen.
  2. Öffnen Sie die Datei des Microsoft Office für Mac 2011-Updates 14.3.2 auf Ihrem Desktop. Dieser Schritt wurde eventuell bereits für Sie ausgeführt.
  3. Doppelklicken Sie im Fenster des Microsoft Office für Mac 2011-Updates 14.3.2 auf die Anwendung des Microsoft Office für Mac 2011-Updates 14.3.2, um die Aktualisierung zu starten, und befolgen Sie die Anweisungen auf dem Bildschirm.
  4. Wenn die Installation erfolgreich abgeschlossen wurde, können Sie das Update-Installationsprogramm von Ihrer Festplatte entfernen. Weitere Informationen dazu, wie Sie den erfolgreichen Abschluss der Installation überprüfen können, finden Sie im Unterabschnitt „Überprüfen der Updateinstallation“. Um das Update-Installationsprogramm zu entfernen, ziehen Sie zuerst die Datei des Microsoft Office für Mac 2011 - Updates 14.3.2 in den Papierkorb. Ziehen Sie anschließend die heruntergeladene Datei in den Papierkorb.

Überprüfen der Updateinstallation

Um zu überprüfen, ob das Sicherheitsupdate auf einem betroffenen System installiert wurde, führen Sie die folgenden Schritte durch:

  1. Navigieren Sie im Finder zum Anwendungsordner (Microsoft Office 2011).
  2. Wählen Sie Word, Excel, PowerPoint oder Outlook aus, und starten Sie die Anwendung.
  3. Klicken Sie im Menü „Anwendung“ auf Info zu Anwendungsname (wobei „Anwendungsname“ Word, Excel, PowerPoint oder Outlook ist).

Wenn die Nummer der zuletzt installierten Updateversion 14.3.2 lautet, wurde das Update erfolgreich installiert.

Neustartanforderung

Nach diesem Update ist kein Neustart des Computers erforderlich.

Entfernen des Updates

Dieses Sicherheitsupdate kann nicht deinstalliert werden.

Weitere Informationen

Falls Sie technische Fragen oder Probleme beim Herunterladen bzw. Verwenden dieses Updates haben, finden Sie unter Microsoft Support für Mac die Supportoptionen, die Ihnen zur Verfügung stehen.

Weitere Informationen:

Danksagungen

Microsoft dankt den folgenden Personen, dass sie zum Schutz unserer Kunden mit uns zusammengearbeitet haben:

  • Nick Semenkovich für den Hinweis auf die Sicherheitsanfälligkeit durch unbeabsichtigtes Laden von Inhalten (CVE- 2013-0095).

Microsoft Active Protections Program (MAPP)

Um den Sicherheitsschutz für Benutzer zu verbessern, stellt Microsoft den wichtigsten Sicherheitssoftwareanbietern vor der monatlichen Veröffentlichung der Sicherheitsupdates Informationen zu Sicherheitsanfälligkeiten bereit. Anbieter von Sicherheitssoftware können diese Informationen zu Sicherheitsanfälligkeiten dann verwenden, um Benutzern aktualisierten Schutz über ihre Sicherheitssoftware oder ihre Geräte bereitzustellen, z. B. Antivirus, netzwerkbasierte Angriffserkennungssysteme oder hostbasierte Angriffsverhinderungssysteme. Wenn Sie erfahren möchten, ob von den Sicherheitssoftwareanbietern aktiver Schutz verfügbar ist, besuchen Sie die von den Programmpartnern bereitgestellte Active Protections-Websites, die unter MAPP-Partner (Microsoft Active Protections Program) aufgeführt sind.

Support

So erhalten Sie Hilfe und Support zu diesem Sicherheitsupdate

Haftungsausschluss

Die Informationen der Microsoft Knowledge Base werden wie besehen und ohne jede Gewährleistung bereitgestellt. Microsoft schließt alle anderen Garantien, gleich ob ausdrücklich oder konkludent, einschließlich der Garantien der Handelsüblichkeit oder Eignung für einen bestimmten Zweck aus. In keinem Fall kann Microsoft Corporation und/oder deren jeweilige Lieferanten haftbar gemacht werden für Schäden irgendeiner Art, einschließlich direkter, indirekter, zufällig entstandener Schäden, Folgeschäden, Folgen entgangenen Gewinns oder spezieller Schäden, selbst dann nicht, wenn Microsoft Corporation und/oder deren jeweilige Lieferanten auf die mögliche Entstehung dieser Schäden hingewiesen wurde. Weil in einigen Staaten/Rechtsordnungen der Ausschluss oder die Beschränkung einer Haftung für zufällig entstandene Schäden oder Folgeschäden nicht gestattet ist, gilt die obige Einschränkung eventuell nicht für Sie.

Revisionen

  • V1.0 (12. März 2013): Bulletin veröffentlicht.
  • V1.1 (15. März 2013): Der Titel des Bulletins wurde korrigiert und die betroffenen Versionsnamen wurden in den Abschnitten "Häufig gestellte Fragen (FAQs) im Zusammenhang mit diesem Sicherheitsupdate" und "Einzelheiten zu dieser Sicherheitsanfälligkeit" präzisiert.

Built at 2014-04-18T01:50:00Z-07:00