Microsoft Security Bulletin MS16-108 – Kritisch
Sicherheitsupdate für Microsoft Exchange Server (3185883)
Veröffentlicht: 13. September 2016
Version: 1.0
Kurzfassung
Dieses Sicherheitsupdate behebt Sicherheitsrisiken in Microsoft Exchange Server. Die schwerwiegendsten Sicherheitsrisiken könnten remotecodeausführung in einigen Oracle Outside In-Bibliotheken zulassen, die in Exchange Server integriert sind, wenn ein Angreifer eine E-Mail mit einer speziell gestalteten Anlage an einen anfälligen Exchange-Server sendet.
Dieses Sicherheitsupdate wird für alle unterstützten Editionen von Microsoft Exchange Server 2007, Microsoft Exchange Server 2010, Microsoft Exchange Server 2013 und Microsoft Exchange Server 2016 kritisch bewertet. Weitere Informationen finden Sie im Abschnitt "Betroffene Software- und Sicherheitsrisikobewertungen" .
Das Sicherheitsupdate behebt die Sicherheitsanfälligkeiten, indem korrigiert wird, wie Microsoft Exchange:
- analysiert bestimmte unstrukturierte Dateiformate.
- behandelt offene Umleitungsanforderungen.
- behandelt Microsoft Outlook-Besprechungseinladungsanfragen.
Weitere Informationen zu den Sicherheitsrisiken finden Sie im Abschnitt "Sicherheitsrisikoinformationen ".
Weitere Informationen zu diesem Update finden Sie im Microsoft Knowledge Base-Artikel 3185883.
Schweregradbewertungen betroffener Software und Sicherheitsrisiken
Die folgenden Softwareversionen oder Editionen sind betroffen. Versionen oder Editionen, die nicht aufgeführt sind, sind entweder über ihren Supportlebenszyklus oder nicht betroffen. Informationen zum Ermitteln des Supportlebenszyklus für Ihre Softwareversion oder -edition finden Sie unter Microsoft-Support Lifecycle.
Die für jede betroffene Software angegebenen Schweregradbewertungen gehen von der potenziellen maximalen Auswirkung der Sicherheitsanfälligkeit aus. Informationen zur Wahrscheinlichkeit, dass innerhalb von 30 Tagen nach der Veröffentlichung dieses Sicherheitsbulletins die Ausnutzbarkeit der Sicherheitsanfälligkeit in Bezug auf die Schweregradbewertung und die Sicherheitsauswirkungen besteht, lesen Sie bitte den Exploitability Index in der Bulletinzusammenfassung im September.
Microsoft Server-Software | Sicherheitsanfälligkeit in Microsoft Exchange bezüglich Offenlegung von Informationen – CVE-2016-0138 | Sicherheitsanfälligkeit in Microsoft Exchange Open Redirecty – CVE-2016-3378 | Sicherheitsanfälligkeit in Microsoft Exchange bezüglich Rechteerweiterungen – CVE-2016-3379 | Updates ersetzt* |
---|---|---|---|---|
Microsoft Exchange Server 2007 | ||||
Microsoft Exchange Server 2007 Service Pack 3 (3184711) | Wichtige Offenlegung von Informationen | Nicht zutreffend | Nicht zutreffend | 3151086 in MS16-079 |
Microsoft Exchange Server 2010 | ||||
Microsoft Exchange Server 2010 Service Pack 3 (3184728) | Wichtige Offenlegung von Informationen | Nicht zutreffend | Nicht zutreffend | 3151097 in MS16-079 |
Microsoft Exchange Server 2013 | ||||
Microsoft Exchange Server 2013 Service Pack 1 (3184736) | Wichtige Offenlegung von Informationen | Moderates Spoofing | Nicht zutreffend | 3150501 in MS16-079 |
Kumulatives Microsoft Exchange Server 2013-Update 12 (3184736) | Wichtige Offenlegung von Informationen | Moderates Spoofing | Nicht zutreffend | 3150501 in MS16-079 |
Kumulatives Microsoft Exchange Server 2013-Update 13 (3184736) | Wichtige Offenlegung von Informationen | Moderates Spoofing | Nicht zutreffend | Keine |
Microsoft Exchange Server 2016 | ||||
Kumulatives Microsoft Exchange Server 2016-Update 1 (3184736) | Wichtige Offenlegung von Informationen | Moderates Spoofing | Wichtige Rechteerweiterung | 3150501 in MS16-079 |
Kumulatives Update 2 für Microsoft Exchange Server 2016 (3184736) | Wichtige Offenlegung von Informationen | Moderates Spoofing | Wichtige Rechteerweiterung | Keine |
*Die Spalte "Updates ersetzt" zeigt nur das neueste Update in jeder Kette von abgelösten Updates an. Um eine umfassende Liste der ersetzten Updates zu erhalten, wechseln Sie zum Microsoft Update-Katalog, suchen Sie nach der UPDATE-KB-Nummer, und zeigen Sie dann Updatedetails an (Updates ersetzte Informationen finden Sie auf der Registerkarte "Paketdetails").
Oracle Außerhalb von Bibliotheken Sicherheitsrisiken
Dieses Sicherheitsupdate behebt die folgenden Sicherheitsrisiken, die in Oracle Critical Patch Update Advisory – Juli 2016 beschrieben werden:
Remotecodeausführung: CVE-2016-3575, CVE-2016-3581, CVE-2016-3582, CVE-2016-3583, CVE-2016-3595, CVE-2016-3594, CVE-2015-6014, CVE-2016-3593, CVE-2016-3592, CVE-2016-3596, CVE-2016-3591
Offenlegung von Informationen: CVE-2016-3574
Denial of Service: CVE-2016-3576, CVE-2016-3577, CVE-2016-3578, CVE-2016-3579, CVE-2016-3580, CVE-2016-3590
Betriebssystem | Aggregierter Schweregrad und Auswirkungen | Ersetzte Updates |
---|---|---|
Microsoft Exchange Server 2007 | ||
Microsoft Exchange Server 2007 Service Pack 3 (3184711) | Kritische Remotecodeausführung | 3151086 in MS16-079 |
Microsoft Exchange Server 2010 | ||
Microsoft Exchange Server 2010 Service Pack 3 (3184728) | Kritische Remotecodeausführung | 3151097 in MS16-079 |
Microsoft Exchange Server 2013 | ||
Microsoft Exchange Server 2013 Service Pack 1 (3184736) | Kritische Remotecodeausführung | 3150501 in MS16-079 |
Kumulatives Microsoft Exchange Server 2013-Update 12 (3184736) | Kritische Remotecodeausführung | 3150501 in MS16-079 |
Kumulatives Microsoft Exchange Server 2013-Update 13 (3184736) | Kritische Remotecodeausführung | Keine |
Microsoft Exchange Server 2016 | ||
Kumulatives Microsoft Exchange Server 2016-Update 1 (3184736) | Kritische Remotecodeausführung | 3150501 in MS16-079 |
Kumulatives Update 2 für Microsoft Exchange Server 2016 (3184736) | Kritische Remotecodeausführung | Keine |
Häufig gestellte Fragen zum Aktualisieren
Warum gibt Microsoft ein Sicherheitsupdate für Sicherheitsrisiken aus, die sich in Drittanbietercode befinden, Oracle Outside In-Bibliotheken?
Microsoft lizenziert eine benutzerdefinierte Implementierung der Oracle Outside In-Bibliotheken, spezifisch für das Produkt, in dem der Drittanbietercode verwendet wird. Microsoft gibt dieses Sicherheitsupdate aus, um sicherzustellen, dass alle Kunden, die diesen Drittanbietercode in Microsoft Exchange verwenden, vor diesen Sicherheitsrisiken geschützt sind. Weitere Informationen zu diesen Sicherheitsrisiken finden Sie unter Oracle Critical Patch Update Advisory – Juli 2016.
Informationen zu Sicherheitsrisiken
Sicherheitsanfälligkeit in Microsoft Exchange bezüglich Offenlegung von Informationen – CVE-2016-0138
Eine Sicherheitslücke zur Offenlegung von Informationen besteht in der Weise, wie Microsoft Exchange Server E-Mail-Nachrichten analysiert. Die Sicherheitsanfälligkeit könnte es einem Angreifer ermöglichen, vertrauliche Benutzerinformationen zu ermitteln, die in Microsoft Outlook-Anwendungen enthalten sind.
Um die Sicherheitsanfälligkeit auszunutzen, könnte ein Angreifer "Senden als" Rechte verwenden, um eine speziell gestaltete Nachricht an einen Benutzer zu senden.
Das Sicherheitsupdate behebt die Sicherheitsanfälligkeiten, indem korrigiert wird, wie Microsoft Exchange bestimmte unstrukturierte Dateiformate analysiert.
Die folgende Tabelle enthält Links zum Standardeintrag für jede Sicherheitsanfälligkeit in der Liste allgemeiner Sicherheitsrisiken und Expositionen:
**Titel der Sicherheitsanfälligkeit ** | **CVE-Nummer ** | Öffentlich offengelegt | Genutzt |
---|---|---|---|
Sicherheitsanfälligkeit in Microsoft Exchange bezüglich Offenlegung von Informationen | CVE-2016-0138 | No | No |
Mildernde Faktoren
Microsoft hat keine mildernden Faktoren für diese Sicherheitsanfälligkeit identifiziert.
Problemumgehungen
Microsoft hat keine Problemumgehungen für diese Sicherheitsanfälligkeit identifiziert.
Sicherheitsanfälligkeit in Microsoft Exchange Open Redirecty – CVE-2016-3378
Eine offene Umleitungslücke ist in Microsoft Exchange vorhanden, die zu Spoofing führen könnte. Um die Sicherheitsanfälligkeit auszunutzen, könnte ein Angreifer einen Link senden, der eine speziell gestaltete URL enthält, und den Benutzer davon überzeugen, auf den Link zu klicken. Wenn ein authentifizierter Exchange-Benutzer auf den Link klickt, kann die Browsersitzung des authentifizierten Benutzers auf eine bösartige Website umgeleitet werden, die darauf ausgelegt ist, eine legitime Website zu imitieren. Dadurch könnte der Angreifer den Benutzer verleiten und potenziell vertrauliche Informationen erwerben, z. B. die Anmeldeinformationen des Benutzers.
Das Update behebt die Sicherheitsanfälligkeit, indem korrigiert wird, wie Exchange offene Umleitungsanforderungen verarbeitet.
Die folgende Tabelle enthält Links zum Standardeintrag für jede Sicherheitsanfälligkeit in der Liste allgemeiner Sicherheitsrisiken und Expositionen:
Titel der Sicherheitsanfälligkeit | CVE-Nummer | Öffentlich offengelegt | Genutzt |
---|---|---|---|
Sicherheitsanfälligkeit in Microsoft Exchange Open Redirecty | CVE-2016-3378 | No | No |
Mildernde Faktoren
Microsoft hat keine mildernden Faktoren für diese Sicherheitsanfälligkeit identifiziert.
Problemumgehungen
Microsoft hat keine Problemumgehungen für diese Sicherheitsanfälligkeit identifiziert.
Sicherheitsanfälligkeit in Microsoft Exchange bezüglich Rechteerweiterungen – CVE-2016-3379
Eine Erhöhung der Berechtigungslücke besteht in der Weise, wie Microsoft Outlook Besprechungseinladungsanfragen verarbeitet. Um die Sicherheitsanfälligkeit auszunutzen, könnte ein Angreifer eine speziell gestaltete Outlook-Besprechungseinladungsanfrage mit böswilligen websiteübergreifenden Skriptingfunktionen (XSS) an einen Benutzer senden.
Das Update behebt die Sicherheitsanfälligkeit, indem korrigiert wird, wie Outlook Besprechungseinladungsanfragen verarbeitet.
Die folgende Tabelle enthält Links zum Standardeintrag für jede Sicherheitsanfälligkeit in der Liste allgemeiner Sicherheitsrisiken und Expositionen:
**Titel der Sicherheitsanfälligkeit ** | **CVE-Nummer ** | Öffentlich offengelegt | Genutzt |
---|---|---|---|
Sicherheitsanfälligkeit in Microsoft Exchange bezüglich Rechteerweiterungen | CVE-2016-3379 | No | No |
Mildernde Faktoren
Microsoft hat keine mildernden Faktoren für diese Sicherheitsanfälligkeit identifiziert.
Problemumgehungen
Microsoft hat keine Problemumgehungen für diese Sicherheitsanfälligkeit identifiziert.
Bereitstellung von Sicherheitsupdates
Informationen zur Bereitstellung von Sicherheitsupdates finden Sie im Microsoft Knowledge Base-Artikel, auf den in der Zusammenfassung der Geschäftsleitung verwiesen wird.
Danksagungen
Microsoft erkennt die Bemühungen derJenigen in der Sicherheitscommunity, die uns dabei helfen, Kunden durch koordinierte Offenlegung von Sicherheitsrisiken zu schützen. Weitere Informationen finden Sie unter "Bestätigungen ".
Haftungsausschluss
Die in der Microsoft Knowledge Base bereitgestellten Informationen werden ohne Jegliche Garantie bereitgestellt. Microsoft lehnt alle Gewährleistungen ab, entweder ausdrücklich oder impliziert, einschließlich der Gewährleistungen der Händlerbarkeit und Eignung für einen bestimmten Zweck. In keinem Fall haftet die Microsoft Corporation oder seine Lieferanten für jegliche Schäden, einschließlich direkter, indirekter, zufälliger, Folgeschäden, Verlust von Geschäftsgewinnen oder sonderschäden, auch wenn die Microsoft Corporation oder ihre Lieferanten über die Möglichkeit solcher Schäden informiert wurden. Einige Staaten lassen den Ausschluss oder die Haftungsbeschränkung für Folge- oder Nebenschäden nicht zu, sodass die vorstehende Einschränkung möglicherweise nicht gilt.
Revisionen
- V1.0 (13. September 2016): Bulletin veröffentlicht.
Seite generiert 2016-09-12 09:56-07:00.