Microsoft Office Updates (11. Juli 2023)

Update[English]Am 11. Juli 2023 (zweiter Dienstag im Monat, Microsoft Patchday) hat Microsoft mehrere sicherheitsrelevante Updates für noch unterstützte Microsoft Office Versionen und andere Produkte veröffentlicht. Mit dem April 2023-Patchday endete der Support für Office 2013 – aber es wurden auch im Juli noch Schwachstellen geschlossen. Nachfolgend finden Sie eine Übersicht über die verfügbaren Updates.


Anzeige

Eine Übersicht über die Updates finden Sie auf dieser Webseite (und hier für diesen Monat). Details sind in den verlinkten KB-Artikeln dokumentiert. Die Updates stehen für die installierbare MSI-Version von Microsoft Office bereit (die Click-to-Run-Pakete beziehen die Updates über andere Kanäle). Office 2019 erscheint nicht in der Liste, da es über Click-to-Run-Pakete verteilt wird und Sicherheitsupdates über die Office Update-Funktion erhält.

Office 2016

Die folgenden Sicherheitsupdates wurden für Office 2016 veröffentlicht.

Excel 2016

Für Excel 2016 wurde das Sicherheitsupdate KB5002426 freigegeben. Das Sicherheitsupdate behebt die Schwachstelle CVE-2023-33162 (eine Microsoft Excel Information Disclosure Vulnerability, über die Informationen offen gelegt werden können).

Der Angriff selbst kann nur lokal ausgeführt werden (kann vom Angreifer erfolgen, indem er ein Opfer durch Social Engineering dazu bringt, eine speziell gestaltete Datei von einer Website herunterzuladen und zu öffnen, was zu einem lokalen Angriff auf den Computer des Opfers führt, bei dem Daten durchsickern könnten). Ein Angreifer, der diese Sicherheitslücke erfolgreich ausnutzt, könnte möglicherweise kleine Teile des Heap-Speichers lesen.

Office 2016

Für Office 2016 werden übergreifend die nachfolgenden Sicherheitspatches freigegeben, um Schwachstellen zu schließen:

  • KB4475581: Schließt die Remotecodeausführungs-Schwachstelle CVE-2023-33153 in Microsoft Outlook. Ein Angreifer könnte eine speziell gestaltete Datei an den Benutzer senden oder aus dem Internet herunterladen lassen und ihn dazu bringen, die Datei zu öffnen.
  • KB4493154: Dieses Sicherheitsupdate behebt eine Remotecode-Ausführungs-Schwachstelle CVE-2023-33149 in  Microsoft Office graphics.
  • KB5002058: Behebt eine Remotecode-Ausführungs-Schwachstelle CVE-2023-33152 in Microsoft ActiveX für Remotecodeausführung.
  • KB5002419: Dieses Sicherheitsupdate behebt eine Remotecode-Ausführungs-Schwachstelle CVE-2023-33149 in Microsoft Office graphics.

Zusätzlich gibt es weitere Patches für die nachfolgenden Anwendungen. Auch das Outlook-Vorschaufenster ist ein Angriffsvektor, es erfordert aber eine zusätzliche Benutzerinteraktion.

Outlook 2016

In Outlook 2016 wurden mit Update KB5002427 die Spoofing-Schwachstellen CVE-2023-33151 und CVE-2023-35311 adressiert. Klickt der Benutzer auf eine speziell gestaltete URL, kann er vom Angreifer kompromittiert werden. Das Ausnutzen dieser Sicherheitsanfälligkeit könnte die Offenlegung von NetNTLMv2-Hashes ermöglichen.

Das Update hat den Effekt, dass Links nicht mehr funktionieren (siehe Artikel am Beitragsende).

Word 2016

Mit Update KB5002406 wird eine Sicherheitsanfälligkeit CVE-2023-33150 zur der Umgehung von Microsoft Office-Sicherheitsfunktionen in Word beseitigt. Um die Sicherheitslücke auszunutzen, muss das Opfer eine speziell gestaltete Datei (per E-Mail zugeschickt oder per Download heruntergeladen) öffnen und die Office-Sicherheitsabfrage(n) durchklicken. Ein Angreifer hätte keine Möglichkeit, Benutzer zum Öffnen der Datei zu zwingen.


Anzeige

Das Vorschaufenster für Anhänge, das aufgerufen wird, wenn ein Benutzer auf die Vorschau einer angehängten Datei klickt, ist ein Angriffsvektor; das E-Mail-Vorschaufenster selbst ist es jedoch nicht. Die erfolgreiche Ausnutzung dieser Sicherheitsanfälligkeit würde es einem Angreifer ermöglichen, die geschützte Office-Ansicht zu umgehen.

Details zu den Office-Updates sind den verlinkten KB-Artikeln zu entnehmen.

Office 2013

Für Office 2013 muss das Service Pack 1 für Microsoft Office 2013 installiert sein. Die folgenden Sicherheitsupdates wurden veröffentlicht (sind die gleichen Patches wie für Office 2016).

  • Excel 2013: Description of the security update for Excel 2013: July 11, 2023 (KB5002434)
  • Office 2013: Description of the security update for Office 2013: July 11, 2023 (KB4464506)
  • Office 2013: Description of the security update for Office 2013: July 11, 2023 (KB5001952)
  • Office 2013: Description of the security update for Office 2013: July 11, 2023 (KB5002069)
  • Office 2013: Description of the security update for Office 2013: July 11, 2023 (KB5002400)
  • Outlook 2013: Description of the security update for Outlook 2013: July 11, 2023 (KB5002432)
  • Word 2013: Description of the security update for Word 2013: July 11, 2023 (KB5002411

Details zu den Office-Updates sind den verlinkten KB-Artikeln zu entnehmen.

Weitere Updates für Office/SharePoint Server

Microsoft hat außerdem Sicherheitsupdates für verschiedene Versionen von Microsoft SharePoint Server veröffentlicht.

SharePoint Server Subscription Edition

SharePoint Server 2019

Microsoft SharePoint Server 2016

Office Online Server

Ergänzung: Bisher aufgetretene Probleme sind im nachfolgend verlinkten Blog-Beitrag mit der Patchday-Nachlese zusammen gefasst.

Ähnliche Artikel:
Microsoft Security Update Summary (11. Juli 2023)
Patchday: Windows 10-Updates (11. Juli 2023)
Patchday: Windows 11/Server 2022-Updates (11. Juli 2023)
Windows 7/Server 2008 R2; Server 2012 R2: Updates (11. Juli 2023)
Microsoft Office Updates (11. Juli 2023)
Microsoft Office Updates (27. Juli 2023)

Microsoft: Patchday-Nachlese Juli 2023
Outlook 2016:: Links nach Update vom 11. Juli 2023 (KB5002427) kaputt – Sicherheitswarnung erscheint bei Linkanwahl

Office und Windows HTML RCE-Schwachstelle CVE-2023-36884 erlaubt Systemübernahme
Windows: Weiterhin Malware in Kernel-Treibern ladbar (RedDriver-Angriff)
China-Hacker (Storm-0558) in Microsofts Cloud, Outlook Online-Konten gehackt


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Office, Sicherheit, Update abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

6 Antworten zu Microsoft Office Updates (11. Juli 2023)

  1. Siegfried sagt:

    Moin, ach, Microsoft…ob ich mal irgendwann wieder einen Patchday erlebe, bei dem ich kurz vorher NICHT denke "was wohl dieses Mal wieder schief geht?". Nach dem Schreck vor einiger Zeit, daß WS 2022 VMs nicht mehr booten wollten (Secure Boot ausschalten half ja) nun eine Überraschung mit WS 2019. Im Test hatte keine VM ein Problem, im Produktivsystem aber doch zwei, die nach dem Neustart kein Netzwerk mehr hatten…scheinbar war Windows der Treiber aus den aktuellen (!) VMWare Tools nicht mehr gut genug. Ließ sich aber fix wieder installieren. Ärgerlich ist es trotzdem.

  2. André sagt:

    Mahlzeit,

    hat noch jemand das Problem, dass die Junk-Filter nicht mehr funktionieren? In unserer IT-Landschaft wurde nichts umkofiguriert, jedoch landen seit dem späten Vormittag alle externen Mails in den Posteingängen. Das geschieht auch, wenn der Absender lokal im Outlook auf die zu blockierende Liste eingetragen wird. Exchange 2016 und O365 Outlook.

    Viele Grüße

  3. Björn sagt:

    KB5002427 sorgt dafür, dass beim Versuch, Links in Outlook zu öffnen, ein Sicherheitshinweis kommt. Vertrauenswürdige Speicherorte, die man via GPO in Office hinzugefügt hat, bringen keine Abhilfe und unter Outlook selbst gibt es diese Möglichkeit gar nicht.

    Die einzige "Lösung" bisher ist scheinbar, das Update KB5002427 wieder zu deinstallieren, damit holt man sich dann aber halt auch wieder die Sicherheitslücken ins System…

  4. Bochsler sagt:

    Gibt es zum Fall von Outllok und dessen Link nun eine Definitive Lösung?
    Wir verwenden Outlook Version 2309 und haben dasselbe Problem mit zum Beispiel eines Links wie "\\Servername\Pfad$\ABCD\Serviceportfolio\

    Hoffe um Lösungen
    Besten Dank

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.