Microsoft Security Bulletin MS16-026 – Kritisch

Sicherheitsupdate für Grafikschriftarten zur Behebung der Remotecodeausführung (3143148)

Veröffentlicht: 8. März 2016

Version: 1.0

Kurzfassung

Dieses Sicherheitsupdate behebt Sicherheitsrisiken in Microsoft Windows. Je schwerwiegender die Sicherheitsrisiken die Remotecodeausführung ermöglichen könnten, wenn ein Angreifer entweder davon überzeugt, ein speziell gestaltetes Dokument zu öffnen oder eine Webseite zu besuchen, die speziell gestaltete eingebettete OpenType-Schriftarten enthält.

Dieses Sicherheitsupdate wird für alle unterstützten Editionen von Windows kritisch bewertet. Weitere Informationen finden Sie im Abschnitt "Betroffene Software" .

Das Sicherheitsupdate behebt die Sicherheitsanfälligkeiten, indem korrigiert wird, wie die Windows Adobe Type Manager-Bibliothek OpenType-Schriftarten behandelt.

Weitere Informationen zur Sicherheitsanfälligkeit finden Sie im Abschnitt "Sicherheitsrisikeninformationen ".

Weitere Informationen zu diesem Update finden Sie im Microsoft Knowledge Base-Artikel 3143148.

Schweregradbewertungen betroffener Software und Sicherheitsrisiken

Die folgenden Softwareversionen oder Editionen sind betroffen. Versionen oder Editionen, die nicht aufgeführt sind, sind entweder über ihren Supportlebenszyklus oder nicht betroffen. Informationen zum Ermitteln des Supportlebenszyklus für Ihre Softwareversion oder -edition finden Sie unter Microsoft-Support Lifecycle.

Die für jede betroffene Software angegebenen Schweregradbewertungen gehen von der potenziellen maximalen Auswirkung der Sicherheitsanfälligkeit aus. Informationen zur Wahrscheinlichkeit, dass innerhalb von 30 Tagen nach der Veröffentlichung dieses Sicherheitsbulletins die Ausnutzbarkeit der Sicherheitsanfälligkeit in Bezug auf die Schweregradbewertung und die Sicherheitsauswirkungen besteht, lesen Sie bitte den Exploitability Index in der Bulletinzusammenfassung im März.

^[1]Dieses Update ist über Windows Update verfügbar.

^[2]Windows 10-Updates sind kumulativ. Zusätzlich zu nicht sicherheitsrelevanten Updates enthalten sie auch alle Sicherheitsupdates für alle windows 10-betroffenen Sicherheitsrisiken, die mit der monatlichen Sicherheitsversion bereitgestellt werden. Das Update ist über den Windows Update-Katalog verfügbar.

Hinweis: Windows Server Technical Preview 4 ist betroffen. Kunden, die diese Betriebssysteme ausführen, werden ermutigt, das Update anzuwenden, das über Windows Update verfügbar ist.

*Die Spalte "Updates ersetzt" zeigt nur das neueste Update in jeder Kette von abgelösten Updates an. Um eine umfassende Liste der ersetzten Updates zu erhalten, wechseln Sie zum Microsoft Update-Katalog, suchen Sie nach der UPDATE-KB-Nummer, und zeigen Sie dann Updatedetails an (Updates ersetzte Informationen finden Sie auf der Registerkarte "Paketdetails").

Informationen zu Sicherheitsrisiken

Sicherheitsanfälligkeit in OpenType-Schriftartanalyse – CVE-2016-0120

Eine Denial-of-Service-Sicherheitsanfälligkeit ist in Microsoft Windows vorhanden, wenn die Windows Adobe Type Manager-Bibliothek speziell gestaltete OpenType-Schriftarten nicht ordnungsgemäß verarbeitet. Für alle Systeme mit Ausnahme von Windows 10 kann ein Angreifer, der die Sicherheitsanfälligkeit erfolgreich ausgenutzt hat, eine Denial-of-Service-Bedingung verursachen. Für Systeme mit Windows 10 könnte ein Angreifer, der die Sicherheitsanfälligkeit erfolgreich ausgenutzt hat, dazu führen, dass die Anwendung nicht mehr reagiert, sondern nicht mehr.

Es gibt mehrere Möglichkeiten, wie ein Angreifer die Sicherheitsanfälligkeit ausnutzen kann, z. B. indem er einen Benutzer zum Öffnen eines speziell gestalteten Dokuments überzeugen oder einen Benutzer dazu überzeugen kann, eine Webseite zu besuchen, die speziell gestaltete eingebettete OpenType-Schriftarten enthält. Das Update behebt die Sicherheitsanfälligkeit, indem korrigiert wird, wie die Windows Adobe Type Manager-Bibliothek OpenType-Schriftarten behandelt.

Die folgende Tabelle enthält Links zum Standardeintrag für jede Sicherheitsanfälligkeit in der Liste allgemeiner Sicherheitsrisiken und Expositionen:

Mildernde Faktoren

Microsoft hat keine mildernden Faktoren für diese Sicherheitsanfälligkeit identifiziert.

Problemumgehungen

Weitere Informationen finden Sie im Abschnitt "Problemumgehungen für OpenType Font Parsing Vulnerabilities".

Sicherheitsanfälligkeit in OpenType-Schriftartanalyse – CVE-2016-0121

In Microsoft Windows ist eine Sicherheitslücke zur Remotecodeausführung vorhanden, wenn die Windows Adobe Type Manager-Bibliothek speziell gestaltete Schriftarten nicht ordnungsgemäß verarbeitet. Für alle Systeme mit Ausnahme von Windows 10 kann ein Angreifer, der die Sicherheitsanfälligkeit erfolgreich ausgenutzt hat, Code remote ausführen. Bei Systemen mit Windows 10 kann ein Angreifer, der die Sicherheitsanfälligkeit erfolgreich ausgenutzt hat, Code in einem AppContainer-Sandkastenkontext mit eingeschränkten Berechtigungen und Funktionen ausführen. Ein Angreifer könnte dann Programme installieren, Daten anzeigen, ändern, oder löschen oder neue Konten mit uneingeschränkten Benutzerrechten anlegen.

Es gibt mehrere Möglichkeiten, wie ein Angreifer die Sicherheitsanfälligkeit ausnutzen kann, z. B. indem er einen Benutzer zum Öffnen eines speziell gestalteten Dokuments überzeugen oder einen Benutzer dazu überzeugen kann, eine Webseite zu besuchen, die speziell gestaltete eingebettete OpenType-Schriftarten enthält. Das Update behebt die Sicherheitsanfälligkeit, indem korrigiert wird, wie die Windows Adobe Type Manager-Bibliothek OpenType-Schriftarten behandelt.

Die folgende Tabelle enthält Links zum Standardeintrag für jede Sicherheitsanfälligkeit in der Liste allgemeiner Sicherheitsrisiken und Expositionen:

Mildernde Faktoren

Microsoft hat keine mildernden Faktoren für diese Sicherheitsanfälligkeit identifiziert.

Problemumgehungen

Weitere Informationen finden Sie im Abschnitt "Problemumgehungen für OpenType Font Parsing Vulnerabilities".

Problemumgehungen für Sicherheitsanfälligkeiten bei der OpenType-Schriftartanalyse

• Umbenennen von ATMFD.DLL
  Für 32-Bit-Systeme:

  1. Geben Sie an einer Administrativen Eingabeaufforderung die folgenden Befehle ein:

      cd "%windir%\system32"
      takeown.exe /f atmfd.dll
      icacls.exe atmfd.dll /save atmfd.dll.acl
      icacls.exe atmfd.dll /grant Administrators:(F) 
      rename atmfd.dll x-atmfd.dll 
  

  2. Starten Sie das System neu.

  Für 64-Bit-Systeme:

  1. Geben Sie an einer Administrativen Eingabeaufforderung die folgenden Befehle ein:

         cd "%windir%\system32"  
         takeown.exe /f atmfd.dll  
         icacls.exe atmfd.dll /save atmfd.dll.acl  
         icacls.exe atmfd.dll /grant Administrators:(F)   
         rename atmfd.dll x-atmfd.dll  
         cd "%windir%\syswow64"  
         takeown.exe /f atmfd.dll  
         icacls.exe atmfd.dll /save atmfd.dll.acl  
         icacls.exe atmfd.dll /grant Administrators:(F)   
         rename atmfd.dll x-atmfd.dll
     

  2. Starten Sie das System neu.  

  Optionales Verfahren für Windows 8 und höhere Betriebssysteme (ATMFD deaktivieren):

  Beachten Sie, dass die Verwendung des Registrierungs-Editors schwerwiegende Probleme verursachen kann, die möglicherweise eine neu installierte Installation des Betriebssystems erfordern. Microsoft übernimmt keinerlei Garantie dafür, dass Probleme aufgrund nicht ordnungsgemäßer Verwendung des Registrierungs-Editors behoben werden können. Sie verwenden den Registrierungs-Editor auf eigene Verantwortung. Informationen zum Bearbeiten der Registrierung können Sie im Hilfethema "Ändern von Schlüsseln und Werten" im Registrierungs-Editor (Regedit.exe) anzeigen oder die Hilfethemen "Informationen in der Registrierung hinzufügen und löschen" und "Registrierungsdaten bearbeiten" in Regedt32.exe anzeigen.

  Methode 1 (manuelles Bearbeiten der Systemregistrierung):

  1. Führen Sie regedit.exe als Administrator aus.

  2. Navigieren Sie im Registrierungs-Editor zum folgenden Unterschlüssel (oder erstellen Sie ihn), und legen Sie den DWORD-Wert auf 1 fest:

     HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows\DisableATMFD, DWORD = 1

  3. Schließen Sie den Registrierungs-Editor, und starten Sie das System neu.

  Methode 2 (Verwenden eines skripts für die verwaltete Bereitstellung):

  1. Erstellen Sie eine Textdatei mit dem Namen ATMFD-disable.reg , die den folgenden Text enthält:

  Windows Registry Editor Version 5.00  
  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]  
  "DisableATMFD"=dword:00000001
  

  2. Führen Sie regedit.exe aus.
  3. Klicken Sie im Registrierungs-Editor auf das Menü "Datei " und dann auf " Importieren".
  4. Navigieren Sie zu der ATMFD-disable.reg Datei, die Sie im ersten Schritt erstellt haben, und wählen Sie sie aus.
     (Hinweis : Wenn Ihre Datei nicht aufgeführt ist, wo sie erwartet wird, stellen Sie sicher, dass sie nicht automatisch eine .txt Dateierweiterung erhalten hat, oder ändern Sie die Dateierweiterungsparameter des Dialogfelds in "Alle Dateien").
  5. Klicken Sie auf " Öffnen" und dann auf "OK ", um den Registrierungs-Editor zu schließen.

  Auswirkungen der Problemumgehung. Anwendungen, die auf eingebetteter Schriftarttechnologie basieren, werden nicht ordnungsgemäß angezeigt. Das Deaktivieren von ATMFD.DLL kann dazu führen, dass bestimmte Anwendungen nicht mehr ordnungsgemäß funktionieren, wenn sie OpenType-Schriftarten verwenden. Microsoft Windows gibt keine openType-Schriftarten nativ frei. Anwendungen von Drittanbietern könnten sie jedoch installieren, und sie könnten von dieser Änderung betroffen sein.

  So können Sie die Problemumgehung rückgängig machen.

  Für 32-Bit-Systeme:

  1. Geben Sie an einer Administrativen Eingabeaufforderung die folgenden Befehle ein:

     cd "%windir%\system32"  
     rename x-atmfd.dll atmfd.dll  
     icacls.exe atmfd.dll /setowner "NT SERVICE\TrustedInstaller"  
     icacls.exe . /restore atmfd.dll.acl
     

  2. Starten Sie das System neu.  

  Für 64-Bit-Systeme:

  1. Geben Sie an einer Administrativen Eingabeaufforderung die folgenden Befehle ein:

     cd "%windir%\system32"  
     rename x-atmfd.dll atmfd.dll  
     icacls.exe atmfd.dll /setowner "NT SERVICE\TrustedInstaller"  
     icacls.exe . /restore atmfd.dll.acl  
     cd "%windir%\syswow64"  
     rename x-atmfd.dll atmfd.dll  
     icacls.exe atmfd.dll /setowner "NT SERVICE\TrustedInstaller"  
     icacls.exe . /restore atmfd.dll.acl
     

  2. Starten Sie das System neu.

  Optionales Verfahren für Windows 8 und höhere Betriebssysteme (ATMFD aktivieren):

  Beachten Sie, dass die Verwendung des Registrierungs-Editors schwerwiegende Probleme verursachen kann, die möglicherweise eine neu installierte Installation des Betriebssystems erfordern. Microsoft übernimmt keinerlei Garantie dafür, dass Probleme aufgrund nicht ordnungsgemäßer Verwendung des Registrierungs-Editors behoben werden können. Sie verwenden den Registrierungs-Editor auf eigene Verantwortung. Informationen zum Bearbeiten der Registrierung können Sie im Hilfethema "Ändern von Schlüsseln und Werten" im Registrierungs-Editor (Regedit.exe) anzeigen oder die Hilfethemen "Informationen in der Registrierung hinzufügen und löschen" und "Registrierungsdaten bearbeiten" in Regedt32.exe anzeigen.

  Methode 1 (manuelles Bearbeiten der Systemregistrierung):

  1. Führen Sie regedit.exe als Administrator aus.

  2. Navigieren Sie im Registrierungs-Editor zum folgenden Unterschlüssel, und legen Sie den DWORD-Wert auf 0 fest:

     HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows\DisableATMFD, DWORD = 0

  3. Schließen Sie den Registrierungs-Editor, und starten Sie das System neu.

  Methode 2 (Verwenden eines skripts für die verwaltete Bereitstellung):

  1. Erstellen Sie eine Textdatei mit dem Namen ATMFD-enable.reg , die den folgenden Text enthält:

     Windows Registry Editor Version 5.00  
     [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]  
     "DisableATMFD"=dword:00000000
     

  2. Führen Sie regedit.exe aus.

  3. Klicken Sie im Registrierungs-Editor auf das Menü "Datei " und dann auf " Importieren".

  4. Navigieren Sie zu der ATMFD-enable.reg Datei, die Sie im ersten Schritt erstellt haben, und wählen Sie sie aus.
     (Hinweis : Wenn Ihre Datei nicht aufgeführt ist, wo sie erwartet wird, stellen Sie sicher, dass sie nicht automatisch eine .txt Dateierweiterung erhalten hat, oder ändern Sie die Dateierweiterungsparameter des Dialogfelds in "Alle Dateien").

  5. Klicken Sie auf " Öffnen" und dann auf "OK ", um den Registrierungs-Editor zu schließen.  

  Methode 3 (Aktivieren und Verwenden des Features zum Blockieren nicht vertrauenswürdiger Schriftarten)

  Beachten Sie , dass diese Problemumgehung nur für Windows 10 gilt.

  So aktivieren, deaktivieren oder verwenden Sie den Überwachungsmodus:

  1. Öffnen Sie den Registrierungs-Editor (regedit.exe), und wechseln Sie zu HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Kernel\.

  2. Wenn der MitigationOptions-Schlüssel nicht vorhanden ist, klicken Sie mit der rechten Maustaste, und fügen Sie einen neuen QWORD-Wert (64-Bit) hinzu, und geben Sie ihn in MitigationOptions um.

  3. Aktualisieren Sie die Wertdaten des MitigationOptions-Schlüssels , und stellen Sie sicher, dass Sie Ihren vorhandenen Wert beibehalten, z. B. in der folgenden Wichtigen Notiz:

  4. So aktivieren Sie dieses Feature. Typ 1000000000000.

  5. So deaktivieren Sie dieses Feature. Typ 20000000000000.

  6. So überwachen Sie dieses Feature. Typ 30000000000000.

     Wichtig Speichern Sie Ihre vorhandenen MitigationOptions-Werte während des Updates. Wenn der aktuelle Wert beispielsweise 1000 ist, sollte der aktualisierte Wert 1000000001000 werden.

  7. Starten Sie das System neu.

Bereitstellung von Sicherheitsupdates

Informationen zur Bereitstellung von Sicherheitsupdates finden Sie im Microsoft Knowledge Base-Artikel, auf den in der Zusammenfassung der Geschäftsleitung verwiesen wird.

Danksagungen

Microsoft erkennt die Bemühungen derJenigen in der Sicherheitscommunity, die uns dabei helfen, Kunden durch koordinierte Offenlegung von Sicherheitsrisiken zu schützen. Weitere Informationen finden Sie unter "Bestätigungen ".

Haftungsausschluss

Die in der Microsoft Knowledge Base bereitgestellten Informationen werden ohne Jegliche Garantie bereitgestellt. Microsoft lehnt alle Gewährleistungen ab, entweder ausdrücklich oder impliziert, einschließlich der Gewährleistungen der Händlerbarkeit und Eignung für einen bestimmten Zweck. In keinem Fall haftet die Microsoft Corporation oder seine Lieferanten für jegliche Schäden, einschließlich direkter, indirekter, zufälliger, Folgeschäden, Verlust von Geschäftsgewinnen oder sonderschäden, auch wenn die Microsoft Corporation oder ihre Lieferanten über die Möglichkeit solcher Schäden informiert wurden. Einige Staaten lassen den Ausschluss oder die Haftungsbeschränkung für Folge- oder Nebenschäden nicht zu, sodass die vorstehende Einschränkung möglicherweise nicht gilt.

Revisionen

• V1.0 (8. März 2016): Bulletin veröffentlicht.

Seite generiert 2016-03-09 10:39-08:00.