[English]Seit der Installation der Sicherheitsupdates vom 11. Juli 2023, mit denen eine Security Feature Bypass-Schwachstelle in Outlook geschlossen wurde, können einige Nutzer Hyperlinks nicht mehr ohne Einschränkungen verwenden. Entweder kommt eine Warnung oder die Hyperlinks funktionieren nicht mehr. Nun hat sich Microsoft geäußert und hat auch einen Workaround vorgeschlagen.
Anzeige
Hyperlinks lösen Outlook-Warnung aus
Ich hatte zum 19. Juli 2023 im Blog-Beitrag Outlook 2016: Links nach Update vom 11. Juli 2023 (KB5002427) kaputt – Sicherheitswarnung erscheint bei Linkanwahl die Problemberichte von Lesern aufgegriffen. Wählen Nutzer nach Installation der Sicherheitsupdates Links in Outlook zum öffnen an, erscheint ein Sicherheitshinweis.
Sicherheitshinweis für Microsoft Outlook
Microsoft Office hat ein potenzielles Sicherheitsrisiko erkannt. Dieser Speicherort ist möglicherweise nicht sicher.
Das Problem wurde im Beitrag zwar auf Office 2016 und das Sicherheitsupdate KB5002427 für Outlook 2016 bezogen. Der Fehler tritt aber auch in Outlook aus Office 365 auf, wenn die Juli 2023 Sicherheitsupdates zum Schließen der Microsoft Outlook Security Feature Bypass-Schwachstelle CVE-2023-35311 installiert sind. Phil hatte sich dann in diesem Kommentar gemeldet und schrieb:
Das Problem tritt bei uns nur auf, wenn der UNC-Pfad als FQDN angesteuert wird. Ohne Domäne geht es problemlos.
Unter Systemsteuerung, Internetoptionen, Sicherheit, Vertrauenswürdige Sites kann man den FQDN erfassen, danach geht es bei uns (file://*.domain.local)
Wurde so auch durch einen weiteren Benutzer bestätigt.
Microsoft bestätigt das Problem
Über die Kollegen von Bleeping Computer bin ich vor wenigen Stunden auf den Microsoft Supportbeitrag Outlook blocks opening FQDN and IP address hyperlinks after installing protections for Microsoft Outlook Security Feature Bypass Vulnerability released July 11, 2023 vom 20. Juli 2023 gestoßen. Dort bestätigt der Hersteller das Problem für Outlook for Microsoft 365 und schreibt:
Anzeige
Wenn Sie in Outlook Desktop auf Links in E-Mails klicken, deren Pfad zu einem vollständig qualifizierten Domänennamen (FQDN) oder einer IP-Adresse führt, wird möglicherweise ein Outlook-Warndialog mit der Fehlermeldung "Bei dieser URL ist etwas Unerwartetes schiefgelaufen" angezeigt.
Oder es wird ein "stiller" Fehler für die nicht vertrauenswürdige Datei ausgelöst.
Versucht der Benutzer Links in E-Mails in Outlook Desktop zu öffnen, bei denen der Pfad entweder auf einen FQDN oder eine IP-Adresse oder einen Hostnamenpfad verweist, wird ein Dialogfeld mit der von mir oben erwähnten Warnung "Microsoft Office hat ein potenzielles Sicherheitsrisiko erkannt. Dieser Speicherort ist möglicherweise nicht sicher." angezeigt. Laut Microsoft sei dieses Verhalten zu erwarten. Im Supportbeitrag werden die geschlossenen Schwachstellen und die Update für Outlook 2013/2016 als Ursache angegeben.
Lösungsvorschläge von Microsoft
Microsoft macht dann im Supportartikel zwei Lösungsvorschläge, wie die obigen Probleme behoben werden können. Der erste Vorschlag wurde auch von Blog-Leser Phil in diesem Kommentar skizziert.
Unter Systemsteuerung, Internetoptionen, Sicherheit, Vertrauenswürdige Sites kann man den FQDN erfassen, danach geht es bei uns
Man muss den FQDN- oder IP-Adresspfad zur Zone der vertrauenswürdigen Sites hinzufügen. Microsoft schreibt aber, dass dieser Eingriff das System anfälliger für Angriffe durch böswillige Benutzer oder bösartige Software wie Viren mache. Zudem ist sicherzustellen, dass der FQDN oder die IP-Adresse, die der zu den vertrauenswürdigen Sites hinzugefügt wird, ein gültiger URL-Pfad für das Unternehmen oder Netzwerk ist.
Statt die URL manuell in den Internetoptionen zur Zone vertrauenswürdiger Webseiten einzufügen lässt sich das Ganze auch per Gruppenrichtlinie verteilen. Microsoft liefert im Supportbeitrag einen kurzen Hinweis auf diese Möglichkeit. Vielleicht hilft es Betroffenen weiter.
PS: Wenn ich mir mal nachfolgende Link-Liste über Outlook-Probleme der letzten drei Monate anschaue, stellt sich die Frage, ob Outlook zur "Schießbudenfigur verkommen ist, die nun systematisch durch Microsoft kaputt geschossen wird".
Ähnliche Artikel
Outlook 2016: Links nach Update vom 11. Juli 2023 (KB5002427) kaputt – Sicherheitswarnung erscheint bei Linkanwahl
Outlook-Termine werden automatisch zu Teams-Besprechungen
Outlook-Start fragt nach "Fenster öffnen", Optionen zum Deaktivieren weg
Outlook.com-Suche gestört;(6./7. Juli 2023); MS Teams-Bug "doppelte Kontakte" seit Ende März 2023 ungefixt
Windows 10/11: Juni-Update können den Start von Outlook und App verhindern, Bug-Fix verfügbar
Microsoft 365 (Business) Outlook zeigt schwarze Schrift auf schwarzem Hintergrund (Web.de, GMX.de etc.)
Microsoft 365: Kein Zugriff auf Dienste, Exchange Online oder Teams und Outlook bleiben hängen
Microsoft 365: Microsofts Workaround für hängendes/langsam laufendes Outlook
Outlook 365 beschädigt seit April 2023 PDF- und Office-Dateien
Microsoft Office 2304 (Build 16327.20308): Outlook zeigt selbst signierten E-Mails als Text
Microsoft 365: Neue Fälle von installierter neue Outlook-Preview
"Testen Sie"-Falle beim neuen Outlook 365-Client; Bug im Outlook für Web
Microsoft patcht Outlook-Schwachstelle CVE-2023-29325
Outlook: Plötzlich Terminbestätigungen/-ablehnungen zu älteren Einträgen (Mai 2023)
Outlook und Teams sollen Links standardmäßig im Edge öffnen
Outlook: Problem mit Signatur Synchronisierung durch Cloudspeicheroptionen
"Testen Sie"-Falle beim neuen Outlook 365-Client; Bug im Outlook für Web
Microsoft Office Updates (11. Juli 2023)
Installiert Microsoft Office 365 sich automatisch über Office 2016/2019?
Office 365: Neuer Problembär AI.exe verursacht CPU-Last und braucht Bandbreite am Terminal Server
Office 365 OWA-Störung? Telefonische Produkt-Aktivierung; iOS-Geräte machen Probleme mit Exchange 2013
Sind Microsoft Microsoft 365/Office 365 Produkt-Keys nicht mehr unbegrenzt gültig?
Office 365 (Current Channel, Build 16501.20210) hat Probleme mit mehrseitigem Aufgabendruck
EU-Kartellbeschwerde gegen Microsoft wegen Teams-Bündelung mit Office 365
Anzeige
Per GPO, konnte ich mit allen mitteln \\domain.local nicht hinzufügen so das es funktionierte. Habs dann über die registry eingetragen, dann hats funktioniert
Danke für die Ergänzung
Wo wäre das in der registry zu hinterlegen?
Habe das gleiche Problem per GPO "Site to Zone Assignmap List" funktioniert es nicht. Was genau hast du wo in die Registry eingetragen?
file://domain.de
file:\\domain.de ?
Würde mich auch interessieren. Kriege den beschriebenen Workaround mit der GPO "Liste der Site zu Zonenzuweisungen" auch nicht ans Laufen.
Ich teste mit file:\\server\share
Warum gab es im Juli 2023 noch ein Update für Outlook 2013?
Laut https://learn.microsoft.com/en-us/lifecycle/products/outlook-2013 ist es seit April 2023 aus dem Extended Support gefallen.
Es sieht so aus, dass Microsoft die gravierendsten Schwachstellen in Office 2013 noch bis ca. Oktober 2023 fixen wird. Dann endet der Support für Windows Server 2012/R2. Mal schauen, ob das zutrifft.
Mir ist in den vergangenen Jahren aufgefallen das die alten Officeversionen nach dem EOS immer noch ca 6 Monate lang Update bekommen haben
Leider hat dies bei uns nicht funktioniert – Links werden nach wie vor geblockt bzw. eine Warnmeldung erscheint. Für die Anwender etwas nervig, aber nur deswegen wird es nicht deinstalliert ..
Bei uns erscheint diese nervige Warnmeldung auch ohne FQDN im Link, also nur mit dem Hostname: file:///\\hostname\share
Soll das so? Bekommt man diese Warnung überhaupt noch irgendwie weg? Über Vertrauenswürdige Sites bzw. GPO mit der Regel file:///\\hostname / Wert 1 hat es bei uns nicht geklappt.
Die Warnmeldung ist wohl so gewollt. file:///\\hostname\share funktioniert auch ohne Eintrag in "Vetrauenswürdige Sites", da kommt nur die Warnmeldung.
Bei Links mit FQDN oder IP wird es geblockt. Macht man die entsprechenden Einträge in "Vertrauenswürdige Sites" kommt die Warnmeldung aber die Links werden geöffnet.
Reg Einträge siehe hier:
https://learn.microsoft.com/en-us/troubleshoot/windows-client/networking/intranet-site-identified-as-an-internet-site
oder
https://admx.help/?Category=Windows_10_2016&Policy=Microsoft.Policies.InternetExplorer::IZ_Zonemaps
Heute kamen updates für Office 2016 (MSI) und C2R Versionen (2021/365 etc)
beheben die die Probleme?!
Imho nein – siehe Microsoft Office Updates (27. Juli 2023)
Hallo Zusammen,
bei DFS-Namespace-Pfaden funktioniert das Workaround weder mit GPO oder manuell.
Jemand eine Idee?
Gruß aus Berlin
Kann es evtl auch Auswirkungen auf macros haben die in einer trusted location auf \\some.domain\…\…\ liegen und seit dem patchen nicht mehr funktionieren
Gibt es diesbezüglich bereits eine Abhilfe oder Workaround?
Der Vorgang betrifft hunderte von Mitarbeitern in unserem Unternehmen und sind verwirrt wenn sie Hyperlinks öffnen wollen.
Danke
https://www.borncity.com/blog/2023/07/19/outlook-2016-links-nach-update-vom-11-juli-2023-kb5002427-kaputt-sicherheitswarnung-erscheint-bei-linkanwahl/#comment-159519