In neueren Versionen der Microsoft Office-Familie sowie in Paint 3D stecken mehrere, als hohes Risiko eingestufte Sicherheitslücken. Microsoft hat diesbezüglich eine Sicherheitsempfehlung veröffentlicht. Darin kündigt Microsoft die Verfügbarkeit entsprechender Sicherheits-Updates an. Eine weitere Sicherheitsempfehlung betrifft OpenSSL. Ein Update für Edge (Chromium-basiert) hat es kürzlich auch noch gegeben.
In der Sicherheitsempfehlung ADV200004 berichtet Microsoft über eine an dieser Stelle nicht genannte Anzahl Sicherheitslücken, die aus der AutoDesk FBX-Bibliothek stammen. Diese dient zur Verarbeitung dreidimensionaler Objekte und kommt auch in Paint 3D zum Einsatz. Betroffen sind zudem Office 2016 und 2019 sowie Office 365 ProPlus. Ein Angreifer, der einen Benutzer dazu bringt, eine speziell präparierte Datei mit 3D-Inhalten zu öffnen, könnte auf diesem Wege beliebigen Code einschleusen und mit Benutzerrechten ausführen.
AutoDesk hat dazu bereits in der Vorwoche die Sicherheitsempfehlung ADSK-SA-2020-0002 veröffentlicht. Demnach stecken im Autodesk FBX-SDK (Software Developement Kit) sechs Schwachstellen (CVE-2020-7080 bis -7085). Drei dieser Lücken eignen sich, um eingeschleusten Code auszuführen, die andere drei Schwachstellen sind DoS-Lücken (Denial of Service). Unter den betroffenen AutoDesk-Produkten sind Maya, 3ds Max und AutoCAD.
Microsofts Sicherheitsempfehlung ADV200007 warnt vor einer öffentlich bekannt geworden DoS-Lücke in OpenSSL 1.1.1d und neuer. In OpenSSL 1.1.1g ist die Schwachstelle beseitigt. Laut Microsoft ist Windows nicht betroffen. Der Grund für Microsofts Warnung ist vielmehr, dass Dritte virtuelle Maschinen auf der Azure-Plattform betreiben könnten, in denen Linux oder andere Software läuft, die OpenSSL einsetzen.
Mit Edge (Chromium-basiert) 81.0.416.58 hat Microsoft seien neuen Browser bereits in der letzten Woche auf den gleichen Sicherheitsstand wie die zu diesem Zeitpunkt aktuelle Chrome-Version gebracht. Google hatte am 15. April ein Update auf Chrome 81.0.4044.113 bereitgestellt, um eine Sicherheitslücke zu schließen, die Google als kritisch einstuft. Allerdings hat Google gestern Abend ein neues Update auf Chrome 81.0.4044.122 veröffentlicht, das acht Lücken stopft.
Vivaldi ist mit seinem Versionszweig 2.11 noch bei Chromium 80, hat jedoch für heute die Vorstellung der neuen Browser-Version 3.0 auf Basis des aktuellen Chromium-Zweigs 81 angekündigt.
Quelle: Microsoft warnt vor Lücken in Office und Paint 3D - PC-WELT
Update 24.04.2020:
Updates für MS Office, Paint 3D und Autodesk-Software beheben Schwachstellen
Updates für Software von Microsoft und für diverse Autodesk-Software wie etwa AutoCAD beseitigen – aus Autodesks FBX SDK stammende – Sicherheitslücken.
Microsoft und Autodesk haben Security-Updates für Software veröffentlicht, die auf die Programmbibliothek Autodesk FBX zugreift. Von Microsoft gibt es Aktualisierungen für die Windows 10-spezifische "Paint"-Neuauflage Paint 3D, für Office 365 ProPlus (beziehungsweise Microsoft 365 ProPlus) sowie für die 32- und 64-Bit-Varianten von Office 2016 Click-to-Run (C2R) und Office 2019. Autodesk hat Update-Hinweise zum FBX SDK sowie zu AutoCAD, Maya, Motion Builder, Mudbox, 3ds Max, Fusion, Revit, Flame, Infraworks und Navisworks veröffentlicht.
FBX Software Development Kit als Übeltäter
Die insgesamt sechs geschlossenen Sicherheitslücken stammen ursprünglich aus dem (mittlerweile ebenfalls aktualisierten) FBX Software Development Kit von Autodesk, mit dem die Programmbibliothek erstellt wurde. Hiervon betroffen sind alle FBX-SDK-Versionen bis einschließlich 2020.0 – und somit potenziell auch Software-Projekte, die diese SDK-Versionen nutzen.
Laut Microsofts Security Advisory ADV200004 hätten Angreifer die Lücken aus der Ferne missbrauchen können, um sich dieselben Zugriffsrechtechte auf das jeweilige System zu verschaffen wie der aktuell angemeldete Nutzer. Dazu hätten sie den Nutzer laut Microsoft zunächst dazu bringen müssen, eine an ihn gesendete "speziell präparierte Datei mit 3D-Inhalten" in einem der verwundbaren Programme zu öffnen.
Autodesk hat ein eigenes, ausführliches Advisory zu den Sicherheitslücken im SDK veröffentlicht, das über die Rechteausweitung hinaus auch Denial-of-Service-Angriffe sowie das Ausführen beliebigen Programmcode (Remote Code Execution) als mögliche Folgen von Exploits der Sicherheitslücken mit den CVE-Kennungen CVE-2020-7080, CVE-2020-7081, CVE-2020-7082, CVE-2020-7083, CVE-2020-7084 und CVE-2020-7085 nennt.
Software und SDK aktualisieren
Microsoft stuft die außerplanmäßigen Updates als "wichtig" ein; Nutzer sollten die jeweilige Software also möglichst zeitnah updaten. Die Download-Links nebst weiterführenden Informationen sind Microsofts Advisory sowie der folgenden Übersicht zu entnehmen:
- Microsoft Office 2016 Click-to-Run (C2R)
- Microsoft Office 2019
- Office 365 ProPlus
- Paint 3D
- FBX-SDK: Verwundbar bis inkl. 2019.5, Update auf 2020
- Maya: Verwundbar bis inkl. 2019, Update auf 2020
- Motion Builder: Verwundbar bis inkl. 2019, Update auf 2020
- Mudbox: Verwundbar bis inkl. 2019, Update auf 2020
- 3ds Max: Verwundbar bis inkl. 2020, Update auf 2021
- Fusion: Verwundbar bis inkl. ATF 8, Update auf ATF 9
- Revit: Verwundbar bis inkl. 2020, Update auf 2021
- Flame: Verwundbar bis inkl. 2019, Update auf 2020.2
- Infraworks: Verwundbar bis inkl. 2020, Update auf 2021
- Navisworks: Verwundbar bis inkl. 2019 Update 4, Update auf 2019 Update 5 / 2020 Update 2 / 2021
- Autodesk AutoCAD: Verwundbar bis inkl. 2019, Update auf 2019.5 (FBX-SDK wurde in Version 2020 entfernt)
Entwickler finden das aktualisierte SDK auf der FBX-Website. Die Updates für die übrigen Produkte können eingeloggte Autodesk-Kunden über accounts.autodesk.com beziehen.
Quelle: Updates für MS Office, Paint 3D und Autodesk-Software beheben Schwachstellen | heise online