Microsoft Security Bulletin MS12-046 - Hoch

Sicherheitsanfälligkeit in Visual Basic für Applikationen kann Remotecodeausführung ermöglichen (2707960)

Veröffentlicht: | Aktualisiert:

Version: 2.0

Allgemeine Informationen

Kurzzusammenfassung

Dieses Sicherheitsupdate behebt eine öffentlich gemeldete Sicherheitsanfälligkeit in Microsoft Visual Basic für Applikationen. Die Sicherheitsanfälligkeit kann Remotecodeausführung ermöglichen, wenn ein Benutzer eine gültige Microsoft Office-Datei (z. B. eine DOCX-Datei) öffnet, die sich im gleichen Netzwerkverzeichnis befindet wie eine speziell gestaltete DLL-Datei (Dynamic Link Library). Ein Angreifer kann dann Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten mit sämtlichen Benutzerrechten erstellen. Wenn ein Benutzer mit administrativen Benutzerberechtigungen angemeldet ist, kann ein Angreifer vollständige Kontrolle über ein betroffenes System erlangen. Für Endbenutzer, deren Konten mit weniger Benutzerrechten konfiguriert sind, kann dies geringere Auswirkungen haben als für Benutzer, die mit administrativen Benutzerrechten arbeiten.

Dieses Sicherheitsupdate wird für alle unterstützten Versionen von Microsoft Visual Basic für Applikationen SDK und für Anwendungen von Drittanbietern, in denen Microsoft Visual Basic für Applikationen verwendet wird, als Hoch eingestuft. Dieses Sicherheitsupdate wird außerdem für alle unterstützten Editionen von Microsoft Office 2003 SP 3, Microsoft Office 2007 SP 2 und Microsoft Office 2010 als Hoch eingestuft. Weitere Informationen finden Sie im Unterabschnitt Betroffene und nicht betroffene Software in diesem Abschnitt.

Das Sicherheitsupdate behebt die Sicherheitsanfälligkeit, indem korrigiert wird, wie Microsoft Visual Basic für Applikationen externe Bibliotheken lädt. Weitere Informationen zur Sicherheitsanfälligkeit finden Sie im Unterabschnitt „Häufig gestellte Fragen (FAQs)“ für den bestimmten Sicherheitsanfälligkeitseintrag unter dem nächsten Abschnitt Informationen zu Sicherheitsanfälligkeiten.

Empfehlung. Benutzer können die automatische Aktualisierung konfigurieren, um mithilfe des Dienstes Microsoft Update online auf Updates von Microsoft Update zu prüfen. Benutzer, die die automatische Aktualisierung aktiviert und darauf konfiguriert haben, online auf Updates von Microsoft Update zu prüfen, müssen in der Regel keine Maßnahmen ergreifen, weil dieses Sicherheitsupdate automatisch heruntergeladen und installiert wird. Benutzer, die die automatische Aktualisierung nicht aktiviert haben, müssen auf Updates von Microsoft Update prüfen und dieses Update manuell installieren. Weitere Informationen zu bestimmten Konfigurationsoptionen in der automatischen Aktualisierung in unterstützten Editionen von Windows XP und Windows Server 2003 finden Sie im Microsoft Knowledge Base-Artikel 294871. Weitere Informationen zur automatischen Aktualisierung in unterstützten Editionen von Windows Vista, Windows Server 2008, Windows 7 und Windows Server 2008 R2 finden Sie unter Automatische Aktualisierung von Windows.

Für Administratoren und für Installationen in Unternehmen bzw. für Endbenutzer, die dieses Sicherheitsupdate manuell installieren möchten, empfiehlt Microsoft, das Update so schnell wie möglich mit Updateverwaltungssoftware zu installieren bzw. mithilfe des Diensts Microsoft Update auf Updates zu prüfen.

Siehe auch den Abschnitt Tools und Anleitungen zur Erkennung und Bereitstellung weiter unten in diesem Bulletin.

Bekannte Probleme. Im Microsoft Knowledge Base-Artikel 2707960 werden die derzeit bekannten Probleme dokumentiert, die durch die Installation dieses Sicherheitsupdates auftreten können. Im Artikel werden auch Lösungen für diese Probleme empfohlen. Wenn die derzeit bekannten Probleme und empfohlenen Lösungen nur auf bestimmte Veröffentlichungen dieser Software zutreffen, werden in diesem Artikel Verknüpfungen zu weiteren Artikeln bereitgestellt.

Betroffene und nicht betroffene Software

Folgende Software wurde getestet, um zu ermitteln, welche Versionen oder Editionen betroffen sind. Andere Versionen haben entweder das Ende des Lebenszyklus überschritten oder sind nicht betroffen. Besuchen Sie die Website Microsoft Support Lifecycle, um den Supportlebenszyklus für Ihre Softwareversion oder Edition zu ermitteln.

Betroffene Software  

Microsoft Office Suites und Software

Office-Software Maximale SicherheitsauswirkungBewertung des GesamtschweregradsBulletins, die durch dieses Update ersetzt werden
Microsoft Office 2003 Service Pack 3[1] 
(KB2687626)
RemotecodeausführungHochKB976382 in MS10-031 wird durch KB2598361 oder KB2687626 ersetzt[2]
Microsoft Office 2007 Service Pack 2[1] 
(KB2596744)
RemotecodeausführungHochKB976321 in MS10-031 wird durch KB2596744 ersetzt
Microsoft Office 2007 Service Pack 3[1] 
(KB2596744)
RemotecodeausführungHochKeine
Microsoft Office 2010 (32-Bit-Editionen) 
(KB2598243)

Microsoft Office 2010 (32-Bit-Editionen) 
(KB2553447)
RemotecodeausführungHochKeine
Microsoft Office 2010 Service Pack 1 (32-Bit-Editionen) 
(KB2598243)

Microsoft Office 2010 Service Pack 1 (32-Bit-Editionen) 
(KB2553447)
RemotecodeausführungHochKeine
Microsoft Office 2010 (64-Bit-Editionen) 
(KB2598243)

Microsoft Office 2010 (64-Bit-Editionen) 
(KB2553447)
RemotecodeausführungHochKeine
Microsoft Office 2010 Service Pack 1 (64-Bit-Editionen) 
(KB2598243)

Microsoft Office 2010 Service Pack 1 (64-Bit-Editionen) 
(KB2553447)
RemotecodeausführungHochKeine

[1]Diese Updates für Microsoft Office gelten für alle unterstützten Microsoft Office Suites und weitere Microsoft Office-Software, die die anfällige, gemeinsam genutzte Office-Komponente enthalten. Diese beinhalten, sind aber nicht beschränkt auf, unterstützte Versionen von Microsoft Visio und Microsoft Project. Weitere Informationen finden Sie in dem nächsten Abschnitt, Häufig gestellte Fragen (FAQs) im Zusammenhang mit diesem Sicherheitsupdate.

[2]Obwohl das erneut veröffentlichte Update (KB2687626) das ursprüngliche Update (KB2598361) für Microsoft Office 2003 Service Pack 3 ersetzt, müssen Endbenutzer, die KB2598361 erfolgreich installiert haben, das Update KB2687626 nicht installieren. Weitere Informationen finden Sie in den häufig gestellten Fragen (FAQs) zu diesem Update.

Microsoft Entwicklertools und Software

SoftwareMaximale SicherheitsauswirkungBewertung des GesamtschweregradsBulletins, die durch dieses Update ersetzt werden
Microsoft Visual Basic für Applikationen[1]
(KB2688865)
RemotecodeausführungHochKB974945 in MS10-031 wird durch KB2688865 ersetzt
Microsoft Visual Basic für Applikationen SDK[2][3]RemotecodeausführungHochKeine

[1]Dieses Updatepaket gilt für unterstützte Versionen der Microsoft Visual Basic für Applikationen-Runtime (Vbe6.dll) und ist nur im Microsoft Download Center verfügbar.

[2]Die unterstützten Versionen des VBA SDK sind Microsoft Visual Basic für Applikationen SDK 6.3, Microsoft Visual Basic für Applikationen SDK 6.4 und Microsoft Visual Basic für Applikationen SDK 6.5.

[3]Die aktualisierte Version der Visual Basic für Applikationen SDK, mit der die in diesem Bulletin beschriebene Sicherheitsanfälligkeit behoben wird, ist für unabhängige Softwareanbieter von der Summit Software Company erhältlich. Weitere Informationen finden Sie in dem nächsten Abschnitt, Häufig gestellte Fragen (FAQs) im Zusammenhang mit diesem Sicherheitsupdate.

Nicht betroffene Software  

Office und andere Software
Microsoft Office 2008 für Mac
Microsoft Office für Mac 2011
Microsoft Office Compatibility Pack Service Pack 2 und Microsoft Office Compatibility Pack Service Pack 3
Microsoft Excel Viewer
Microsoft Word Viewer
Microsoft PowerPoint Viewer
Microsoft Visio Viewer 2010 und Microsoft Visio Viewer 2010 Service Pack 1

Häufig gestellte Fragen (FAQs) im Zusammenhang mit diesem Sicherheitsupdate

Informationen zu Sicherheitsanfälligkeiten

Bewertungen des Schweregrads und Kennungen der Sicherheitsanfälligkeit

Sicherheitsanfälligkeit in Visual Basic für Applikationen durch nicht sicheres Laden von Bibliotheken – CVE-2012-1854

Informationen zum Update

Tools und Anleitungen zur Erkennung und Bereitstellung

Bereitstellung von Sicherheitsupdates

Weitere Informationen:

Danksagungen

Microsoft dankt den folgenden Personen, dass sie zum Schutz unserer Kunden mit uns zusammengearbeitet haben:

  • Bai Haowen von Huawei Security Labs für den Hinweis auf die Sicherheitsanfälligkeit in Visual Basic für Applikationen durch nicht sicheres Laden von Bibliotheken (CVE-2012-1854).

Microsoft Active Protections Program (MAPP)

Um den Sicherheitsschutz für Benutzer zu verbessern, stellt Microsoft den wichtigsten Sicherheitssoftwareanbietern vor der monatlichen Veröffentlichung der Sicherheitsupdates Informationen zu Sicherheitsanfälligkeiten bereit. Anbieter von Sicherheitssoftware können diese Informationen zu Sicherheitsanfälligkeiten dann verwenden, um Benutzern aktualisierten Schutz über ihre Sicherheitssoftware oder ihre Geräte bereitzustellen, z. B. Antivirus, netzwerkbasierte Angriffserkennungssysteme oder hostbasierte Angriffsverhinderungssysteme. Wenn Sie erfahren möchten, ob von den Sicherheitssoftwareanbietern aktiver Schutz verfügbar ist, besuchen Sie die von den Programmpartnern bereitgestellte Active Protections-Websites, die unter MAPP-Partner (Microsoft Active Protections Program) aufgeführt sind.

Support

So erhalten Sie Hilfe und Support zu diesem Sicherheitsupdate

Haftungsausschluss

Die Informationen der Microsoft Knowledge Base werden wie besehen und ohne jede Gewährleistung bereitgestellt. Microsoft schließt alle anderen Garantien, gleich ob ausdrücklich oder konkludent, einschließlich der Garantien der Handelsüblichkeit oder Eignung für einen bestimmten Zweck aus. In keinem Fall kann Microsoft Corporation und/oder deren jeweilige Lieferanten haftbar gemacht werden für Schäden irgendeiner Art, einschließlich direkter, indirekter, zufällig entstandener Schäden, Folgeschäden, Folgen entgangenen Gewinns oder spezieller Schäden, selbst dann nicht, wenn Microsoft Corporation und/oder deren jeweilige Lieferanten auf die mögliche Entstehung dieser Schäden hingewiesen wurde. Weil in einigen Staaten/Rechtsordnungen der Ausschluss oder die Beschränkung einer Haftung für zufällig entstandene Schäden oder Folgeschäden nicht gestattet ist, gilt die obige Einschränkung eventuell nicht für Sie.

Revisionen

  • V1.0 (10. Juli 2012): Bulletin veröffentlicht.
  • V2.0 (13. November 2012): Das Bulletin wurde erneut veröffentlicht, um das Update KB2598361 durch das Update KB2687626 für Microsoft Office 2003 Service Pack 3 zu ersetzen und ein Problem mit digitalen Zertifikaten zu beheben, das in der Microsoft-Sicherheitsempfehlung 2749655 beschrieben ist. Weitere Informationen finden Sie in den häufig gestellten Fragen (FAQs) zu diesem Update.