Microsoft Security Bulletin MS15-103 - Wichtig
Sicherheitsrisiken in Microsoft Exchange Server könnten die Offenlegung von Informationen zulassen (3089250)
Veröffentlicht: 8. September 2015
Version: 1.0
Kurzfassung
Dieses Sicherheitsupdate behebt Sicherheitsrisiken in Microsoft Exchange Server. Die schwerwiegendsten Sicherheitsrisiken könnten die Offenlegung von Informationen zulassen, wenn Outlook Web Access (OWA) webanforderungen nicht ordnungsgemäß verarbeitet und Benutzereingaben und E-Mail-Inhalte löscht.
Dieses Sicherheitsupdate ist für alle unterstützten Editionen von Microsoft Exchange Server 2013 als wichtig eingestuft. Weitere Informationen finden Sie im Abschnitt "Betroffene Software" .
Das Sicherheitsupdate behebt die Sicherheitsanfälligkeiten, indem korrigiert wird, wie Microsoft Exchange OWA Webanforderungen verarbeitet, und indem sichergestellt wird, dass OWA Benutzereingaben und E-Mail-Inhalte ordnungsgemäß sanitiert. Weitere Informationen zu den Sicherheitsrisiken finden Sie im Abschnitt "Sicherheitsrisikoinformationen ".
Weitere Informationen zu diesem Update finden Sie im Microsoft Knowledge Base-Artikel 3089250.
Betroffene Software
Die folgenden Softwareversionen oder Editionen sind betroffen. Versionen oder Editionen, die nicht aufgeführt sind, sind entweder über ihren Supportlebenszyklus oder nicht betroffen. Informationen zum Ermitteln des Supportlebenszyklus für Ihre Softwareversion oder -edition finden Sie unter Microsoft-Support Lifecycle.
| Software | Maximale Sicherheitswirkung | Bewertung des aggregierten Schweregrads | Ersetzte Updates* |
|---|---|---|---|
| Microsoft Server-Software | |||
| Kumulatives Update 8 für Microsoft Exchange Server 2013 (3087126) | Veröffentlichung von Informationen | Wichtig | 3062157 in MS15-064 |
| Kumulatives Update 9 von Microsoft Exchange Server 2013 (3087126) | Veröffentlichung von Informationen | Wichtig | 3062157 in MS15-064 |
| Microsoft Exchange Server 2013 Service Pack 1 (3087126) | Veröffentlichung von Informationen | Wichtig | 3062157 in MS15-064 |
*Die Spalte "Updates ersetzt" zeigt nur das neueste Update in jeder Kette von abgelösten Updates an. Um eine umfassende Liste der ersetzten Updates zu erhalten, wechseln Sie zum Microsoft Update-Katalog, suchen Sie nach der UPDATE-KB-Nummer, und zeigen Sie dann Updatedetails an (Updates ersetzte Informationen finden Sie auf der Registerkarte "Paketdetails").
Häufig gestellte Fragen zum Aktualisieren
Enthält dieses Update zusätzliche sicherheitsrelevante Änderungen an Funktionen?
Zusätzlich zu den Änderungen, die für die in diesem Bulletin beschriebenen Sicherheitsrisiken aufgeführt sind, enthält dieses Update ausführliche Updates zur Verbesserung sicherheitsrelevanter Features.
Schweregradbewertungen und Sicherheitslücken-IDs
Die folgenden Schweregradbewertungen gehen von der potenziellen maximalen Auswirkung der Sicherheitsanfälligkeit aus. Informationen zur Wahrscheinlichkeit, dass innerhalb von 30 Tagen nach der Veröffentlichung dieses Sicherheitsbulletins die Ausnutzbarkeit der Sicherheitsanfälligkeit in Bezug auf die Schweregradbewertung und die Sicherheitsauswirkungen besteht, lesen Sie bitte den Exploitability Index in der Bulletinzusammenfassung im September.
| Bewertung des Schweregrads der Sicherheitsanfälligkeit und maximale Sicherheitsbeeinträchtigung durch betroffene Software | ||||
|---|---|---|---|---|
| Betroffene Software | Sicherheitsanfälligkeit in Exchange-Informationen – CVE-2015-2505 | Sicherheitsanfälligkeit in Exchange-Spoofing – CVE-2015-2543 | Sicherheitsanfälligkeit in Exchange-Spoofing – CVE-2015-2544 | Bewertung des aggregierten Schweregrads |
| Microsoft Server-Software | ||||
| Microsoft Exchange Server 2013 Service Pack 1 (3087126) | Wichtige Offenlegung von Informationen | Nicht zutreffend | Wichtige Spoofing | Wichtig |
| Kumulatives Update 8 für Microsoft Exchange Server 2013 (3087126) | Wichtige Offenlegung von Informationen | Wichtige Spoofing | Wichtige Spoofing | Wichtig |
| Kumulatives Update 9 von Microsoft Exchange Server 2013 (3087126) | Wichtige Offenlegung von Informationen | Wichtige Spoofing | Wichtige Spoofing | Wichtig |
Informationen zu Sicherheitsrisiken
Sicherheitsanfälligkeit in Exchange-Informationen – CVE-2015-2505
Eine Sicherheitslücke zur Offenlegung von Informationen ist in Microsoft Exchange Server vorhanden, wenn Outlook Web Access (OWA) webanforderungen nicht ordnungsgemäß verarbeitet. Ein Angreifer, der die Sicherheitsanfälligkeit erfolgreich ausgenutzt hat, konnte Stacktrace-Details ermitteln.
Um die Sicherheitsanfälligkeit auszunutzen, müsste ein Angreifer eine speziell gestaltete Webanwendungsanforderung erstellen und dann an eine Webanwendung übermitteln. Das Sicherheitsupdate behebt die Sicherheitsanfälligkeit, indem korrigiert wird, wie Microsoft Exchange OWA Webanforderungen verarbeitet.
Microsoft hat Informationen über die Sicherheitsanfälligkeit durch koordinierte Offenlegung von Sicherheitsrisiken erhalten. Als dieses Sicherheitsbulletin ausgestellt wurde, hatte Microsoft keine Informationen erhalten, um anzugeben, dass diese Sicherheitsanfälligkeit öffentlich für Angriffe auf Kunden verwendet wurde.
Mildernde Faktoren
Microsoft hat keine mildernden Faktoren für diese Sicherheitsanfälligkeit identifiziert.
Problemumgehungen
Microsoft hat keine Problemumgehungen für diese Sicherheitsanfälligkeit identifiziert.
Mehrere Exchange-Spoofingrisiken
Spoofing-Sicherheitsrisiken sind in Microsoft Exchange Server vorhanden, wenn OWA speziell gestaltete E-Mails nicht ordnungsgemäß sanitiert. Ein authentifizierter Angreifer könnte die Sicherheitsanfälligkeiten ausnutzen, indem er eine speziell gestaltete E-Mail an einen Benutzer sendet. Ein Angreifer könnte dann HTML-Einfügungsangriffe auf betroffene Systeme ausführen und versuchen, den Benutzer dazu zu bringen, vertrauliche Informationen offenzulegen.
Um die Sicherheitsrisiken auszunutzen, muss der Benutzer auf eine speziell gestaltete URL klicken. In einem E-Mail-Angriffsszenario könnte ein Angreifer eine E-Mail-Nachricht senden, die die speziell gestaltete URL für den Benutzer über OWA enthält, um den Benutzer zu überzeugen, darauf zu klicken.
In einem webbasierten Angriffsszenario könnte ein Angreifer eine bösartige Website hosten, die als legitime Website für den Benutzer angezeigt wird. Der Angreifer hätte jedoch keine Möglichkeit, den Benutzer zu erzwingen, die bösartige Website zu besuchen. Der Angreifer müsste den Benutzer davon überzeugen, die bösartige Website zu besuchen, in der Regel, indem er den Benutzer dazu verleitet, auf einen Link in einem Instant Messenger oder einer E-Mail-Nachricht zu klicken, die den Benutzer zur bösartigen Website des Angreifers führt, und dann den Benutzer davon überzeugen, mit Inhalten auf der bösartigen Website zu interagieren.
Das Sicherheitsupdate behebt die Sicherheitsanfälligkeiten, indem sichergestellt wird, dass OWA E-Mail-Inhalte ordnungsgemäß sanitiert.
Die folgende Tabelle enthält Links zum Standardeintrag für jede Sicherheitsanfälligkeit in der Liste allgemeiner Sicherheitsrisiken und Expositionen:
| Titel der Sicherheitsanfälligkeit | CVE-Nummer | Öffentlich offengelegt | Genutzt |
|---|---|---|---|
| Sicherheitsanfälligkeit in Exchange-Spoofing | CVE-2015-2543 | No | No |
| Sicherheitsanfälligkeit in Exchange-Spoofing | CVE-2015-2544 | No | No |
Mildernde Faktoren
Microsoft hat keine mildernden Faktoren für diese Sicherheitsrisiken identifiziert.
Problemumgehungen
Microsoft hat keine Problemumgehungen für diese Sicherheitsrisiken identifiziert.
Bereitstellung von Sicherheitsupdates
Informationen zur Bereitstellung von Sicherheitsupdates finden Sie im Microsoft Knowledge Base-Artikel, auf den in der Zusammenfassung der Geschäftsleitung verwiesen wird.
Danksagungen
Microsoft erkennt die Bemühungen derJenigen in der Sicherheitscommunity, die uns dabei helfen, Kunden durch koordinierte Offenlegung von Sicherheitsrisiken zu schützen. Weitere Informationen finden Sie unter "Bestätigungen ".
Haftungsausschluss
Die in der Microsoft Knowledge Base bereitgestellten Informationen werden ohne Jegliche Garantie bereitgestellt. Microsoft lehnt alle Gewährleistungen ab, entweder ausdrücklich oder impliziert, einschließlich der Gewährleistungen der Händlerbarkeit und Eignung für einen bestimmten Zweck. In keinem Fall haftet die Microsoft Corporation oder seine Lieferanten für jegliche Schäden, einschließlich direkter, indirekter, zufälliger, Folgeschäden, Verlust von Geschäftsgewinnen oder sonderschäden, auch wenn die Microsoft Corporation oder ihre Lieferanten über die Möglichkeit solcher Schäden informiert wurden. Einige Staaten lassen den Ausschluss oder die Haftungsbeschränkung für Folge- oder Nebenschäden nicht zu, sodass die vorstehende Einschränkung möglicherweise nicht gilt.
Revisionen
- V1.0 (8. September 2015): Bulletin veröffentlicht.
Seite generiert 2015-09-03 17:14Z-07:00.