BSI warnt vor Sicherheitslücken in Outlook

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt in seiner Meldung TW-T17-0092 vom 28.07.2017: Mehrere Sicherheitslücken in verschiedenen Versionen von Microsoft Outlook können von einem Angreifer aus dem Internet ausgenutzt werden, um die Kontrolle über Ihren Computer zu übernehmen, beliebige Programme auszuführen und persönliche Daten auszuspähen.

Davon sind offensichtlich folgende Versionen von Outlook für Windows betroffen:

  • Microsoft Outlook 2007 SP3
  • Microsoft Outlook 2010 SP2 x64
  • Microsoft Outlook 2010 SP2 x86
  • Microsoft Outlook 2013 SP1 x86
  • Microsoft Outlook 2013 SP1 x64
  • Microsoft Outlook 2013 RT SP1
  • Microsoft Outlook 2016 x64
  • Microsoft Outlook 2016 x86

Dazu gehören auch die mit dem sog. Click-to-Run-Verfahren installierten Versionen von Microsoft Office 2010, 2013 und 2016, die Outlook enthalten.
Die Empfehlung des BSI lautet:

Aktualisieren Sie Microsoft Outlook über das automatische Update, über den Microsoft Update Katalog oder über das Microsoft Download Center auf die aktuellste Version. Nehmen Sie die notwendige Aktualisierung möglichst zeitnah vor, da die Auswirkungen einer Ausnutzung der Sicherheitslücken gravierend sein können.

Systeme, bei denen das automatische Update aktiviert ist, können die notwendigen Fehlerbereinigungen seit 27.07.2017 abrufen. Für ein manuelles Update stellt das BSI entsprechende Links in seiner Warnmeldung zur Verfügung.

Um zu überprüfen, ob das Sicherheitsupdate automatisch installiert wurde, rufen Sie bei Windows 7 / 8.x / 10 die Systemsteuerungsfunktion „Programme und Features“ (bei Symbolansicht) bzw. „Programm deinstallieren“ (bei Kategorieansicht) auf und klicken oben links auf die Option „Installierte Updates“.
Bei Windows 10 Build 1703 (Creators Update) ist die klassiche Systemsteuerung nicht mehr über das Startmenü zu erreichen. Zum Aufrufen der Systemsteuerung Klicken Sie auf das Windows-Logo und geben die ersten Buchstaben, z.B. „sys“, im Suchfeld ein. Als Ergebnis sollte „Systemsteuerung (Desktop-App)“ oben in der Liste erscheinen.

In der Liste der installierten Updates sollte in der entsprechenden Gruppe „Microsoft Office 20xx“ ein Eintrag stehen:
Security Update for Microsoft Office Outlook 20xx (<Updatenummer>) xx-Bit Edition
Die Updatenummern lauten:

  • Office 2007: KB3213643
  • Office 2010: KB2956078
  • Office 2013: KB4011078
  • Office 2016: KB4011052

Bei einem manuellen Update ist ab Office 2010 zu beachten, dass das Updatepaket zur installierten Variante (32- oder 64-Bit) passt. In der Regel ist die 32-Bit-Variante installiert.