Launch Printer Friendly Page Security TechCenter > Microsoft Security Bulletins > Microsoft Security Bulletin MS13-015

Microsoft Security Bulletin MS13-015 - Hoch

Sicherheitsanfälligkeit in .NET Framework kann Erhöhung von Berechtigungen ermöglichen (2800277)

Veröffentlicht:

Version: 1.0

Allgemeine Informationen

Kurzzusammenfassung

Dieses Sicherheitsupdate behebt eine vertraulich gemeldete Sicherheitsanfälligkeit in .NET Framework. Die Sicherheitsanfälligkeit kann eine Erhöhung von Berechtigungen ermöglichen, wenn ein Benutzer eine speziell gestaltete Webseite in einem Webbrowser anzeigt, der XAML-Browseranwendungen (XBAP) ausführen kann. Die Sicherheitsanfälligkeit kann auch von Windows .NET-Anwendungen verwendet werden, um Einschränkungen durch die Codezugriffssicherheit (CAS) zu umgehen. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann die gleichen Benutzerrechte wie der aktuelle Benutzer erlangen. Für Endbenutzer, deren Konten mit weniger Benutzerrechten konfiguriert sind, kann dies geringere Auswirkungen haben als für Benutzer, die mit administrativen Benutzerrechten arbeiten.

Dieses Sicherheitsupdate wird für Microsoft .NET Framework 2.0 Service Pack 2, Microsoft .NET Framework 3.5, Microsoft .NET Framework 3.5.1, Microsoft .NET Framework 4 und Microsoft .NET Framework 4.5 unter betroffenen Editionen von Microsoft Windows als Hoch eingestuft. Weitere Informationen finden Sie im Unterabschnitt Betroffene und nicht betroffene Software in diesem Abschnitt.

Das Sicherheitsupdate behebt die Sicherheitsanfälligkeit, indem korrigiert wird, wie .NET Framework beim Ausführen eines vom Benutzer bereitgestellten Rückrufs Berechtigungen erhöht. Weitere Informationen zu den Sicherheitsanfälligkeiten finden Sie im Unterabschnitt „Häufig gestellte Fragen (FAQs)“ für den bestimmten Sicherheitsanfälligkeitseintrag im nächsten Abschnitt Informationen zu Sicherheitsanfälligkeiten.

Empfehlung. Die meisten Benutzer haben die automatische Aktualisierung aktiviert und müssen keine Maßnahmen ergreifen, da dieses Sicherheitsupdate automatisch heruntergeladen und installiert wird. Benutzer, die die automatische Aktualisierung nicht aktiviert haben, müssen auf Updates prüfen und dieses Update manuell installieren. Weitere Informationen zu bestimmten Konfigurationsoptionen bei der automatischen Aktualisierung finden Sie im Microsoft Knowledge Base-Artikel 294871.

Für Administratoren und für Installationen in Unternehmen bzw. für Endbenutzer, die dieses Sicherheitsupdate manuell installieren möchten, empfiehlt Microsoft, das Update so schnell wie möglich mit Updateverwaltungssoftware zu installieren bzw. mithilfe des Diensts Microsoft Update auf Updates zu prüfen.

Siehe auch den Abschnitt Tools und Anleitungen zur Erkennung und Bereitstellung weiter unten in diesem Bulletin.

Bekannte Probleme. Keine

Betroffene und nicht betroffene Software

Folgende Software wurde getestet, um zu ermitteln, welche Versionen oder Editionen betroffen sind. Andere Versionen haben entweder das Ende des Lebenszyklus überschritten oder sind nicht betroffen. Besuchen Sie die Website Microsoft Support Lifecycle, um den Supportlebenszyklus für Ihre Softwareversion oder Edition zu ermitteln.

Betroffene Software 

Betriebssystem Komponente Maximale Sicherheitsauswirkung Bewertung des Gesamtschweregrads Ersetzte Updates
Windows XP
Windows XP Service Pack 3 Microsoft .NET Framework 2.0 Service Pack 2
(KB2789643)

Microsoft .NET Framework 4[1]
(KB2789642)
Erhöhung von Berechtigungen Hoch KB2686828 in MS12-038 wird durch KB2789643 ersetzt

KB2686827 in MS12-038 wird durch KB2789642 ersetzt
Windows XP Professional x64 Edition Service Pack 2 Microsoft .NET Framework 2.0 Service Pack 2
(KB2789643)

Microsoft .NET Framework 4[1]
(KB2789642)
Erhöhung von Berechtigungen Hoch KB2686828 in MS12-038 wird durch KB2789643 ersetzt

KB2686827 in MS12-038 wird durch KB2789642 ersetzt
Windows Server 2003
Windows Server 2003 Service Pack 2 Microsoft .NET Framework 2.0 Service Pack 2
(KB2789643)

Microsoft .NET Framework 4[1]
(KB2789642)
Erhöhung von Berechtigungen Hoch KB2686828 in MS12-038 wird durch KB2789643 ersetzt

KB2686827 in MS12-038 wird durch KB2789642 ersetzt
Windows Server 2003 x64 Edition Service Pack 2 Microsoft .NET Framework 2.0 Service Pack 2
(KB2789643)

Microsoft .NET Framework 4[1]
(KB2789642)
Erhöhung von Berechtigungen Hoch KB2686828 in MS12-038 wird durch KB2789643 ersetzt

KB2686827 in MS12-038 wird durch KB2789642 ersetzt
Windows Server 2003 mit SP2 für Itanium-basierte Systeme Microsoft .NET Framework 2.0 Service Pack 2
(KB2789643)

Microsoft .NET Framework 4[1]
(KB2789642)
Erhöhung von Berechtigungen Hoch KB2686828 in MS12-038 wird durch KB2789643 ersetzt

KB2686827 in MS12-038 wird durch KB2789642 ersetzt
Windows Vista
Windows Vista Service Pack 2 Microsoft .NET Framework 2.0 Service Pack 2
(KB2789646)

Microsoft .NET Framework 4[1]
(KB2789642)

Microsoft .NET Framework 4.5
(KB2789648)
Erhöhung von Berechtigungen Hoch KB2686833 in MS12-038 wird durch KB2789646 ersetzt

KB2686827 in MS12-038 wird durch KB2789642 ersetzt

Keine Updates, die durch KB2789648 ersetzt werden
Windows Vista x64 Edition Service Pack 2 Microsoft .NET Framework 2.0 Service Pack 2
(KB2789646)

Microsoft .NET Framework 4[1]
(KB2789642)

Microsoft .NET Framework 4.5
(KB2789648)
Erhöhung von Berechtigungen Hoch KB2686833 in MS12-038 wird durch KB2789646 ersetzt

KB2686827 in MS12-038 wird durch KB2789642 ersetzt

Keine Updates, die durch KB2789648 ersetzt werden
Windows Server 2008
Windows Server 2008 für 32-Bit-Systeme Service Pack 2 Microsoft .NET Framework 2.0 Service Pack 2
(KB2789646)

Microsoft .NET Framework 4[1]
(KB2789642)

Microsoft .NET Framework 4.5
(KB2789648)
Erhöhung von Berechtigungen Hoch KB2686833 in MS12-038 wird durch KB2789646 ersetzt

KB2686827 in MS12-038 wird durch KB2789642 ersetzt

Keine Updates, die durch KB2789648 ersetzt werden
Windows Server 2008 für x64-basierte Systeme Service Pack 2 Microsoft .NET Framework 2.0 Service Pack 2
(KB2789646)

Microsoft .NET Framework 4[1]
(KB2789642)

Microsoft .NET Framework 4.5
(KB2789648)
Erhöhung von Berechtigungen Hoch KB2686833 in MS12-038 wird durch KB2789646 ersetzt

KB2686827 in MS12-038 wird durch KB2789642 ersetzt

Keine Updates, die durch KB2789648 ersetzt werden
Windows Server 2008 für Itanium-basierte Systeme Service Pack 2 Microsoft .NET Framework 2.0 Service Pack 2
(KB2789646)

Microsoft .NET Framework 4[1]
(KB2789642)
Erhöhung von Berechtigungen Hoch KB2686833 in MS12-038 wird durch KB2789646 ersetzt

KB2686827 in MS12-038 wird durch KB2789642 ersetzt
Windows 7
Windows 7 für 32-Bit-Systeme Microsoft .NET Framework 3.5.1
(KB2789644)

Microsoft .NET Framework 4[1]
(KB2789642)
Erhöhung von Berechtigungen Hoch KB2686830 in MS12-038 wird durch KB2789644 ersetzt

KB2686827 in MS12-038 wird durch KB2789642 ersetzt
Windows 7 für 32-Bit-Systeme Service Pack 1 Microsoft .NET Framework 3.5.1
(KB2789645)

Microsoft .NET Framework 4[1]
(KB2789642)

Microsoft .NET Framework 4.5
(KB2789648)
Erhöhung von Berechtigungen Hoch KB2686831 in MS12-038 wird durch KB2789645 ersetzt

KB2686827 in MS12-038 wird durch KB2789642 ersetzt

Keine Updates, die durch KB2789648 ersetzt werden
Windows 7 für x64-basierte Systeme Microsoft .NET Framework 3.5.1
(KB2789644)

Microsoft .NET Framework 4[1]
(KB2789642)
Erhöhung von Berechtigungen Hoch KB2686830 in MS12-038 wird durch KB2789644 ersetzt

KB2686827 in MS12-038 wird durch KB2789642 ersetzt
Windows 7 für x64-basierte Systeme Service Pack 1 Microsoft .NET Framework 3.5.1
(KB2789645)

Microsoft .NET Framework 4[1]
(KB2789642)

Microsoft .NET Framework 4.5
(KB2789648)
Erhöhung von Berechtigungen Hoch KB2686831 in MS12-038 wird durch KB2789645 ersetzt

KB2686827 in MS12-038 wird durch KB2789642 ersetzt

Keine Updates, die durch KB2789648 ersetzt werden
Windows Server 2008 R2
Windows Server 2008 R2 für x64-basierte Systeme Microsoft .NET Framework 3.5.1
(KB2789644)

Microsoft .NET Framework 4[1]
(KB2789642)
Erhöhung von Berechtigungen Hoch KB2686830 in MS12-038 wird durch KB2789644 ersetzt

KB2686827 in MS12-038 wird durch KB2789642 ersetzt
Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1 Microsoft .NET Framework 3.5.1
(KB2789645)

Microsoft .NET Framework 4[1]
(KB2789642)

Microsoft .NET Framework 4.5
(KB2789648)
Erhöhung von Berechtigungen Hoch KB2686831 in MS12-038 wird durch KB2789645 ersetzt

KB2686827 in MS12-038 wird durch KB2789642 ersetzt

Keine Updates, die durch KB2789648 ersetzt werden
Windows Server 2008 R2 für Itanium-basierte Systeme Microsoft .NET Framework 3.5.1
(KB2789644)

Microsoft .NET Framework 4[1]
(KB2789642)
Erhöhung von Berechtigungen Hoch KB2686830 in MS12-038 wird durch KB2789644 ersetzt

KB2686827 in MS12-038 wird durch KB2789642 ersetzt
Windows Server 2008 R2 für Itanium-basierte Systeme Service Pack 1 Microsoft .NET Framework 3.5.1
(KB2789645)

Microsoft .NET Framework 4[1]
(KB2789642)
Erhöhung von Berechtigungen Hoch KB2686831 in MS12-038 wird durch KB2789645 ersetzt

KB2686827 in MS12-038 wird durch KB2789642 ersetzt
Windows 8
Windows 8 für 32-Bit-Systeme Microsoft .NET Framework 3.5
(KB2789650)

Microsoft .NET Framework 4.5
(KB2789649)
Erhöhung von Berechtigungen Hoch Keine
Windows 8 für 64-Bit-Systeme Microsoft .NET Framework 3.5
(KB2789650)

Microsoft .NET Framework 4.5
(KB2789649)
Erhöhung von Berechtigungen Hoch Keine
Windows Server 2012
Windows Server 2012 Microsoft .NET Framework 3.5
(KB2789650)

Microsoft .NET Framework 4.5
(KB2789649)
Erhöhung von Berechtigungen Hoch Keine
Server Core-Installationsoption
Windows Server 2008 R2 für x64-basierte Systeme (Server Core-Installation) Microsoft .NET Framework 3.5.1 (Server Core-Installation)
(KB2789644)
Erhöhung von Berechtigungen Hoch KB2686830 in MS12-038 wird durch KB2789644 ersetzt
Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1 (Server Core-Installation) Microsoft .NET Framework 3.5.1 (Server Core-Installation)
(KB2789645)

Microsoft .NET Framework 4[1] (Server Core-Installation)
(KB2789642)

Microsoft .NET Framework 4.5 (Server Core-Installation)
(KB2789648)
Erhöhung von Berechtigungen Hoch KB2686831 in MS12-038 wird durch KB2789645 ersetzt

KB2686827 in MS12-038 wird durch KB2789642 ersetzt

Keine Updates, die durch KB2789648 ersetzt werden
Windows Server 2012 (Server Core-Installation) Microsoft .NET Framework 3.5 (Server Core-Installation)
(KB2789650)

Microsoft .NET Framework 4.5 (Server Core-Installation)
(KB2789649)
Erhöhung von Berechtigungen Hoch Keine

[1].NET Framework 4 und .NET Framework 4 Client Profile sind betroffen. Die .NET Framework Version 4 Redistributable Packages sind in zwei Profilen verfügbar: .NET Framework 4 und .NET Framework 4 Client Profile. .NET Framework 4 Client Profile ist Teil von .NET Framework 4. Die in diesem Update behobene Sicherheitsanfälligkeit betrifft sowohl .NET Framework 4 als auch .NET Framework 4 Client Profile. Weitere Informationen finden Sie im MSDN-Artikel Installieren von .NET Framework.

  

Nicht betroffene Software

Software
Microsoft .NET Framework 1.0 Service Pack 3
Microsoft .NET Framework 1.1 Service Pack 1
Microsoft .NET Framework 3.0 Service Pack 2
Microsoft .NET Framework 3.5 Service Pack 1
Microsoft .NET Framework 4.5 unter Windows RT

Häufig gestellte Fragen (FAQs) im Zusammenhang mit diesem Sicherheitsupdate

Informationen zu Sicherheitsanfälligkeiten

Bewertungen des Schweregrads und Kennungen der Sicherheitsanfälligkeit

Sicherheitsanfälligkeit bezüglich der Erhöhung von Berechtigungen bei WinForms-Rückruf – CVE-2013-0073

Informationen zum Update

Tools und Anleitungen zur Erkennung und Bereitstellung

Bereitstellung von Sicherheitsupdates

Weitere Informationen:

Danksagungen

Microsoft dankt den folgenden Personen, dass sie zum Schutz unserer Kunden mit uns zusammengearbeitet haben:

  • James Forshaw von Context Information Security für den Hinweis auf die Sicherheitsanfälligkeit bezüglich der Erhöhung von Berechtigungen bei WinForms-Rückruf (CVE-2013-0073).

Microsoft Active Protections Program (MAPP)

Um den Sicherheitsschutz für Benutzer zu verbessern, stellt Microsoft den wichtigsten Sicherheitssoftwareanbietern vor der monatlichen Veröffentlichung der Sicherheitsupdates Informationen zu Sicherheitsanfälligkeiten bereit. Anbieter von Sicherheitssoftware können diese Informationen zu Sicherheitsanfälligkeiten dann verwenden, um Benutzern aktualisierten Schutz über ihre Sicherheitssoftware oder ihre Geräte bereitzustellen, z. B. Antivirus, netzwerkbasierte Angriffserkennungssysteme oder hostbasierte Angriffsverhinderungssysteme. Wenn Sie erfahren möchten, ob von den Sicherheitssoftwareanbietern aktiver Schutz verfügbar ist, besuchen Sie die von den Programmpartnern bereitgestellte Active Protections-Websites, die unter MAPP-Partner (Microsoft Active Protections Program) aufgeführt sind.

Support

So erhalten Sie Hilfe und Support zu diesem Sicherheitsupdate

Haftungsausschluss

Die Informationen der Microsoft Knowledge Base werden wie besehen und ohne jede Gewährleistung bereitgestellt. Microsoft schließt alle anderen Garantien, gleich ob ausdrücklich oder konkludent, einschließlich der Garantien der Handelsüblichkeit oder Eignung für einen bestimmten Zweck aus. In keinem Fall kann Microsoft Corporation und/oder deren jeweilige Lieferanten haftbar gemacht werden für Schäden irgendeiner Art, einschließlich direkter, indirekter, zufällig entstandener Schäden, Folgeschäden, Folgen entgangenen Gewinns oder spezieller Schäden, selbst dann nicht, wenn Microsoft Corporation und/oder deren jeweilige Lieferanten auf die mögliche Entstehung dieser Schäden hingewiesen wurde. Weil in einigen Staaten/Rechtsordnungen der Ausschluss oder die Beschränkung einer Haftung für zufällig entstandene Schäden oder Folgeschäden nicht gestattet ist, gilt die obige Einschränkung eventuell nicht für Sie.

Revisionen

  • V1.0 (12. Februar 2013): Bulletin veröffentlicht.