Launch Printer Friendly Page Security TechCenter > Microsoft Security Bulletins > Microsoft Security Bulletin MS13-061

Microsoft Security Bulletin MS13-061 - Kritisch

Sicherheitsanfälligkeiten in Microsoft Exchange Server können Remotecodeausführung ermöglichen (2876063)

Veröffentlicht: | Aktualisiert:

Version: 3.0

Allgemeine Informationen

Kurzzusammenfassung

Dieses Sicherheitsupdate behebt drei öffentlich gemeldete Sicherheitsanfälligkeiten in Microsoft Exchange Server. Die Sicherheitsanfälligkeiten liegen in den Funktionen „WebReady Document Viewing“ und „Schutz vor Datenverlust“ des Microsoft Exchange Servers vor. Die Sicherheitsanfälligkeiten können Remotecodeausführung im Sicherheitskontext des Transcodierungsdienstes auf dem Exchange-Server ermöglichen, wenn ein Benutzer mithilfe von Outlook Web App (OWA) eine Vorschau einer speziell gestalteten Datei anzeigt. Der Transcodierungsdienst in Exchange, der für WebReady Dokument Viewing verwendet wird, verwendet die Anmeldeinformationen des LocalService-Kontos. Die Funktion „Schutz vor Datenverlust“ stellt Code bereit, der Remotecodeausführung im Sicherheitskontext des Dienstes „Filtering Management“ ermöglichen kann, wenn Exchange Server eine speziell gestaltete Nachricht erhält. Der Dienst „Filtering Management“ in Exchange verwendet die Anmeldeinformationen des LocalService-Kontos. Das LocalService-Konto verfügt auf dem lokalen System über Mindestberechtigungen und präsentiert im Netzwerk anonyme Anmeldeinformationen.

Dieses Sicherheitsupdate wird für alle unterstützten Editionen von Microsoft Exchange Server 2007, Microsoft Exchange Server 2010 und Microsoft Exchange Server 2013 als Kritisch bewertet. Weitere Informationen finden Sie im Unterabschnitt Betroffene und nicht betroffene Software in diesem Abschnitt.

Das Sicherheitsupdate behebt die Sicherheitsanfälligkeiten, indem die betroffenen Oracle Outside In-Bibliotheken auf eine nicht anfällige Version aktualisiert werden. Weitere Informationen zu den Sicherheitsanfälligkeiten finden Sie im Unterabschnitt „Häufig gestellte Fragen (FAQs)“ für den bestimmten Sicherheitsanfälligkeitseintrag unter dem nächsten Abschnitt „Informationen zu Sicherheitsanfälligkeiten“.

Empfehlung. Benutzer können die automatische Aktualisierung konfigurieren, um mithilfe des Dienstes Microsoft Update online auf Updates von Microsoft Update zu prüfen. Benutzer, die die automatische Aktualisierung aktiviert und darauf konfiguriert haben, online auf Updates von Microsoft Update zu prüfen, müssen in der Regel keine Maßnahmen ergreifen, weil dieses Sicherheitsupdate automatisch heruntergeladen und installiert wird. Benutzer, die die automatische Aktualisierung nicht aktiviert haben, müssen auf Updates von Microsoft Update prüfen und dieses Update manuell installieren. Weitere Informationen zu bestimmten Konfigurationsoptionen in der automatischen Aktualisierung in unterstützten Editionen von Windows XP und Windows Server 2003 finden Sie im Microsoft Knowledge Base-Artikel 294871. Weitere Informationen zur automatischen Aktualisierung in unterstützten Editionen von Windows Vista, Windows Server 2008, Windows 7 und Windows Server 2008 R2 finden Sie unter Automatische Aktualisierung von Windows.

Für Administratoren und für Installationen in Unternehmen bzw. für Endbenutzer, die dieses Sicherheitsupdate manuell installieren möchten, empfiehlt Microsoft, das Update sofort mit der Updateverwaltungssoftware zu installieren bzw. mithilfe des Diensts Microsoft Update auf Updates zu prüfen.

Siehe auch den Abschnitt Tools und Anleitungen zur Erkennung und Bereitstellung weiter unten in diesem Bulletin.

Bekannte Probleme. Keine

Knowledge Base-Artikel

Knowledge Base-Artikel2876063
DateiinformationenJa
SHA1/SHA2-HashesJa
Bekannte ProblemeJa

Betroffene und nicht betroffene Software

Folgende Software wurde getestet, um zu ermitteln, welche Versionen oder Editionen betroffen sind. Andere Versionen haben entweder das Ende des Lebenszyklus überschritten oder sind nicht betroffen. Besuchen Sie die Website Microsoft Support Lifecycle, um den Supportlebenszyklus für Ihre Softwareversion oder Edition zu ermitteln.

Betroffene Software

SoftwareMaximale SicherheitsauswirkungBewertung des GesamtschweregradsErsetzte Updates
Microsoft Server Software
Microsoft Exchange Server 2007 Service Pack 3 
(2873746)
RemotecodeausführungKritisch2788321 in MS13-012
Microsoft Exchange Server 2010 Service Pack 2 
(2874216)
RemotecodeausführungKritisch2746164 in MS13-012
Microsoft Exchange Server 2010 Service Pack 3 
(2866475)
RemotecodeausführungKritischKeine
Microsoft Exchange Server 2013 Kumulatives Update 1 
(2874216)
RemotecodeausführungKritischKeine
Microsoft Exchange Server 2013 Kumulatives Update 2 
(2874216)
RemotecodeausführungKritischKeine

  

Nicht betroffene Software 

Microsoft Server Software
Microsoft Exchange Server 2003 Service Pack 2 

Häufig gestellte Fragen (FAQs) zu diesem Update

Informationen zu Sicherheitsanfälligkeiten

Bewertungen des Schweregrads und Kennungen der Sicherheitsanfälligkeit

Oracle Outside In enthält mehrere ausnutzbare Sicherheitsanfälligkeiten

Informationen zum Update

Tools und Anleitungen zur Erkennung und Bereitstellung

Bereitstellung von Sicherheitsupdates

Weitere Informationen:

Microsoft Active Protections Program (MAPP)

Um den Sicherheitsschutz für Benutzer zu verbessern, stellt Microsoft den wichtigsten Sicherheitssoftwareanbietern vor der monatlichen Veröffentlichung der Sicherheitsupdates Informationen zu Sicherheitsanfälligkeiten bereit. Anbieter von Sicherheitssoftware können diese Informationen zu Sicherheitsanfälligkeiten dann verwenden, um Benutzern aktualisierten Schutz über ihre Sicherheitssoftware oder ihre Geräte bereitzustellen, z. B. Antivirus, netzwerkbasierte Angriffserkennungssysteme oder hostbasierte Angriffsverhinderungssysteme. Wenn Sie erfahren möchten, ob von den Sicherheitssoftwareanbietern aktiver Schutz verfügbar ist, besuchen Sie die von den Programmpartnern bereitgestellte Active Protections-Websites, die unter MAPP-Partner (Microsoft Active Protections Program) aufgeführt sind.

Support

So erhalten Sie Hilfe und Support zu diesem Sicherheitsupdate

Haftungsausschluss

Die Informationen der Microsoft Knowledge Base werden wie besehen und ohne jede Gewährleistung bereitgestellt. Microsoft schließt alle anderen Garantien, gleich ob ausdrücklich oder konkludent, einschließlich der Garantien der Handelsüblichkeit oder Eignung für einen bestimmten Zweck aus. In keinem Fall kann Microsoft Corporation und/oder deren jeweilige Lieferanten haftbar gemacht werden für Schäden irgendeiner Art, einschließlich direkter, indirekter, zufällig entstandener Schäden, Folgeschäden, Folgen entgangenen Gewinns oder spezieller Schäden, selbst dann nicht, wenn Microsoft Corporation und/oder deren jeweilige Lieferanten auf die mögliche Entstehung dieser Schäden hingewiesen wurde. Weil in einigen Staaten/Rechtsordnungen der Ausschluss oder die Beschränkung einer Haftung für zufällig entstandene Schäden oder Folgeschäden nicht gestattet ist, gilt die obige Einschränkung eventuell nicht für Sie.

Revisionen

  • V1.0 (13. August 2013): Bulletin veröffentlicht.
  • V2.0 (14. August 2013): Das Update 2874216 für Microsoft Exchange Server 2013 kumulatives Update 1 und Microsoft Exchange Server 2013 kumulatives Update 2 wurden entfernt, um ein Problem mit den Updates zu beheben. Weitere Informationen finden Sie in den häufig gestellten Fragen (FAQs) zu diesem Update.
  • V3.0 (27. August 2013): Das Bulletin wurde erneut veröffentlicht, um das erneute Anbieten des Updates 2874216 für Microsoft Exchange Server 2013 kumulatives Update 1 und Microsoft Exchange Server 2013 kumulatives Update 2 anzukündigen. Weitere Informationen finden Sie in den häufig gestellten Fragen (FAQs) zu diesem Update.