Launch Printer Friendly Page Security TechCenter > Microsoft Security Bulletins > Microsoft Security Bulletin MS12-035

Microsoft Security Bulletin MS12-035 - Kritisch

Sicherheitsanfälligkeiten in .NET Framework können Remotecodeausführung ermöglichen (2693777)

Veröffentlicht: | Aktualisiert:

Version: 2.3

Allgemeine Informationen

Kurzzusammenfassung

Dieses Sicherheitsupdate behebt zwei vertraulich gemeldete Sicherheitsanfälligkeiten in .NET Framework. Die Sicherheitsanfälligkeiten können Remotecodeausführung auf einem Clientsystem ermöglichen, wenn ein Benutzer eine speziell gestaltete Webseite in einem Webbrowser anzeigt, der XAML-Browseranwendungen (XBAPs) ausführen kann. Für Endbenutzer, deren Konten mit weniger Benutzerrechten konfiguriert sind, kann dies geringere Auswirkungen haben als für Benutzer, die mit administrativen Benutzerrechten arbeiten.

Dieses Sicherheitsupdate wird für alle unterstützten Editionen von Microsoft .NET Framework unter allen unterstützten Editionen von Microsoft Windows als Kritisch eingestuft. Weitere Informationen finden Sie im Unterabschnitt Betroffene und nicht betroffene Software in diesem Abschnitt.

Das Sicherheitsupdate behebt die Sicherheitsanfälligkeiten, indem korrigiert wird, wie vertrauenswürdige und nicht vertrauenswürdige Daten im Serialisierungsprozess von .NET Framework verarbeitet werden. Weitere Informationen zu den Sicherheitsanfälligkeiten finden Sie im Unterabschnitt „Häufig gestellte Fragen (FAQs)“ für den bestimmten Sicherheitsanfälligkeitseintrag im nächsten Abschnitt Informationen zu Sicherheitsanfälligkeiten.

Empfehlung. Die Mehrheit der Benutzer hat die automatische Aktualisierung aktiviert und muss keine Maßnahmen ergreifen, da dieses Sicherheitsupdate automatisch heruntergeladen und installiert wird. Benutzer, die die automatische Aktualisierung nicht aktiviert haben, müssen auf Updates prüfen und dieses Update manuell installieren. Weitere Informationen zu bestimmten Konfigurationsoptionen bei der automatischen Aktualisierung finden Sie im Microsoft Knowledge Base-Artikel 294871.

Für Administratoren und für Installationen in Unternehmen bzw. für Endbenutzer, die dieses Sicherheitsupdate manuell installieren möchten, empfiehlt Microsoft, das Update sofort mit der Updateverwaltungssoftware zu installieren bzw. mithilfe des Diensts Microsoft Update auf Updates zu prüfen.

Siehe auch den Abschnitt Tools und Anleitungen zur Erkennung und Bereitstellung weiter unten in diesem Bulletin.

Bekannte Probleme. Keine

Betroffene und nicht betroffene Software

Folgende Software wurde getestet, um zu ermitteln, welche Versionen oder Editionen betroffen sind. Andere Versionen haben entweder das Ende des Lebenszyklus überschritten oder sind nicht betroffen. Besuchen Sie die Website Microsoft Support Lifecycle, um den Supportlebenszyklus für Ihre Softwareversion oder Edition zu ermitteln.

Betroffene Software

BetriebssystemKomponenteMaximale SicherheitsauswirkungBewertung des GesamtschweregradsErsetzte Updates
Windows XP
Windows XP Service Pack 3Microsoft .NET Framework 1.0 Service Pack 3
(KB2604042)
(nur Media Center Edition 2005 Service Pack 3 und Tablet PC Edition 2005 Service Pack 3)

Microsoft .NET Framework 1.1 Service Pack 1
(KB2656353)

Microsoft .NET Framework 2.0 Service Pack 2
(KB2604092)

Microsoft .NET Framework 3.0 Service Pack 2
(KB2604110)

Microsoft .NET Framework 3.5 Service Pack 1
(KB2604111)

Microsoft .NET Framework 4[1]
(KB2604121)
RemotecodeausführungKritischKB2572066 in MS11-078 wird durch KB2604042 ersetzt

KB2572067 in MS11-078 wird durch KB2656353 ersetzt

KB2518864 in MS11-044 und KB2572073 in MS11-078 und KB2633880 in MS12-016 werden durch KB2604092 ersetzt

Kein Update, das durch KB2604110 ersetzt wird

Kein Update, das durch KB2604111 ersetzt wird

KB2518870 in MS11-044 und KB2572078 in MS11-078 und KB2633870 in MS12-016 werden durch KB2604121 ersetzt
Windows XP Professional x64 Edition Service Pack 2Microsoft .NET Framework 1.1 Service Pack 1
(KB2656353)

Microsoft .NET Framework 2.0 Service Pack 2
(KB2604092)

Microsoft .NET Framework 3.0 Service Pack 2
(KB2604110)

Microsoft .NET Framework 3.5 Service Pack 1
(KB2604111)

Microsoft .NET Framework 4[1]
(KB2604121)
RemotecodeausführungKritischKB2572067 in MS11-078 wird durch KB2656353 ersetzt

KB2518864 in MS11-044 und KB2572073 in MS11-078 und KB2633880 in MS12-016 werden durch KB2604092 ersetzt

Kein Update, das durch KB2604110 ersetzt wird

Kein Update, das durch KB2604111 ersetzt wird

KB2518870 in MS11-044 und KB2572078 in MS11-078 und KB2633870 in MS12-016 werden durch KB2604121 ersetzt
Windows Server 2003
Windows Server 2003 Service Pack 2Microsoft .NET Framework 1.1 Service Pack 1
(KB2604078)

Microsoft .NET Framework 2.0 Service Pack 2
(KB2604092)

Microsoft .NET Framework 3.0 Service Pack 2
(KB2604110)

Microsoft .NET Framework 3.5 Service Pack 1
(KB2604111)

Microsoft .NET Framework 4[1]
(KB2604121)
RemotecodeausführungKritischKB2572069 in MS11-078 wird durch KB2604078 ersetzt

KB2518864 in MS11-044 und KB2572073 in MS11-078 und KB2633880 in MS12-016 werden durch KB2604092 ersetzt

Kein Update, das durch KB2604110 ersetzt wird

Kein Update, das durch KB2604111 ersetzt wird

KB2518870 in MS11-044 und KB2572078 in MS11-078 und KB2633870 in MS12-016 werden durch KB2604121 ersetzt
Windows Server 2003 x64 Edition Service Pack 2Microsoft .NET Framework 1.1 Service Pack 1
(KB2656353)

Microsoft .NET Framework 2.0 Service Pack 2
(KB2604092)

Microsoft .NET Framework 3.0 Service Pack 2
(KB2604110)

Microsoft .NET Framework 3.5 Service Pack 1
(KB2604111)

Microsoft .NET Framework 4[1]
(KB2604121)
RemotecodeausführungKritischKB2572067 in MS11-078 wird durch KB2656353 ersetzt

KB2518864 in MS11-044 und KB2572073 in MS11-078 und KB2633880 in MS12-016 werden durch KB2604092 ersetzt

Kein Update, das durch KB2604110 ersetzt wird

Kein Update, das durch KB2604111 ersetzt wird

KB2518870 in MS11-044 und KB2572078 in MS11-078 und KB2633870 in MS12-016 werden durch KB2604121 ersetzt
Windows Server 2003 mit SP2 für Itanium-basierte SystemeMicrosoft .NET Framework 1.1 Service Pack 1
(KB2656353)

Microsoft .NET Framework 2.0 Service Pack 2
(KB2604092)

Microsoft .NET Framework 3.5 Service Pack 1
(KB2604111)

Microsoft .NET Framework 4[1]
(KB2604121)
RemotecodeausführungKritischKB2572067 in MS11-078 wird durch KB2656353 ersetzt

KB2518864 in MS11-044 und KB2572073 in MS11-078 und KB2633880 in MS12-016 werden durch KB2604092 ersetzt

Kein Update, das durch KB2604111 ersetzt wird

KB2518870 in MS11-044 und KB2572078 in MS11-078 und KB2633870 in MS12-016 werden durch KB2604121 ersetzt
Windows Vista
Windows Vista Service Pack 2Microsoft .NET Framework 1.1 Service Pack 1
(KB2656353)

Microsoft .NET Framework 2.0 Service Pack 2
(KB2604094)

Microsoft .NET Framework 3.0 Service Pack 2
(KB2604105)

Microsoft .NET Framework 3.5 Service Pack 1
(KB2604111)

Microsoft .NET Framework 4[1]
(KB2604121)
RemotecodeausführungKritischKB2572067 in MS11-078 wird durch KB2656353 ersetzt

KB2518866 in MS11-044 und KB2572075 in MS11-078 und KB2633874 in MS12-016 werden durch KB2604094 ersetzt

Kein Update, das durch KB2604105 ersetzt wird

Kein Update, das durch KB2604111 ersetzt wird

KB2518870 in MS11-044 und KB2572078 in MS11-078 und KB2633870 in MS12-016 werden durch KB2604121 ersetzt
Windows Vista x64 Edition Service Pack 2Microsoft .NET Framework 1.1 Service Pack 1
(KB2656353)

Microsoft .NET Framework 2.0 Service Pack 2
(KB2604094)

Microsoft .NET Framework 3.0 Service Pack 2
(KB2604105)

Microsoft .NET Framework 3.5 Service Pack 1
(KB2604111)

Microsoft .NET Framework 4[1]
(KB2604121)
RemotecodeausführungKritischKB2572067 in MS11-078 wird durch KB2656353 ersetzt

KB2518866 in MS11-044 und KB2572075 in MS11-078 und KB2633874 in MS12-016 werden durch KB2604094 ersetzt

Kein Update, das durch KB2604105 ersetzt wird

Kein Update, das durch KB2604111 ersetzt wird

KB2518870 in MS11-044 und KB2572078 in MS11-078 und KB2633870 in MS12-016 werden durch KB2604121 ersetzt
Windows Server 2008
Windows Server 2008 für 32-Bit-Systeme Service Pack 2Microsoft .NET Framework 1.1 Service Pack 1
(KB2656353)

Microsoft .NET Framework 2.0 Service Pack 2
(KB2604094)

Microsoft .NET Framework 3.0 Service Pack 2
(KB2604105)

Microsoft .NET Framework 3.5 Service Pack 1
(KB2604111)

Microsoft .NET Framework 4[1]
(KB2604121)
RemotecodeausführungKritischKB2572067 in MS11-078 wird durch KB2656353 ersetzt

KB2518866 in MS11-044 und KB2572075 in MS11-078 und KB2633874 in MS12-016 werden durch KB2604094 ersetzt

Kein Update, das durch KB2604105 ersetzt wird

Kein Update, das durch KB2604111 ersetzt wird

KB2518870 in MS11-044 und KB2572078 in MS11-078 und KB2633870 in MS12-016 werden durch KB2604121 ersetzt
Windows Server 2008 für x64-basierte Systeme Service Pack 2Microsoft .NET Framework 1.1 Service Pack 1
(KB2656353)

Microsoft .NET Framework 2.0 Service Pack 2
(KB2604094)

Microsoft .NET Framework 3.0 Service Pack 2
(KB2604105)

Microsoft .NET Framework 3.5 Service Pack 1
(KB2604111)

Microsoft .NET Framework 4[1]
(KB2604121)
RemotecodeausführungKritischKB2572067 in MS11-078 wird durch KB2656353 ersetzt

KB2518866 in MS11-044 und KB2572075 in MS11-078 und KB2633874 in MS12-016 werden durch KB2604094 ersetzt

Kein Update, das durch KB2604105 ersetzt wird

Kein Update, das durch KB2604111 ersetzt wird

KB2518870 in MS11-044 und KB2572078 in MS11-078 und KB2633870 in MS12-016 werden durch KB2604121 ersetzt
Windows Server 2008 für Itanium-basierte Systeme Service Pack 2Microsoft .NET Framework 1.1 Service Pack 1
(KB2656353)

Microsoft .NET Framework 2.0 Service Pack 2
(KB2604094)

Microsoft .NET Framework 3.5 Service Pack 1
(KB2604111)

Microsoft .NET Framework 4[1]
(KB2604121)
RemotecodeausführungKritischKB2572067 in MS11-078 wird durch KB2656353 ersetzt

KB2518866 in MS11-044 und KB2572075 in MS11-078 und KB2633874 in MS12-016 werden durch KB2604094 ersetzt

Kein Update, das durch KB2604111 ersetzt wird

KB2518870 in MS11-044 und KB2572078 in MS11-078 und KB2633870 in MS12-016 werden durch KB2604121 ersetzt
Windows 7
Windows 7 für 32-Bit-SystemeMicrosoft .NET Framework 3.5.1
(KB2604114)

Microsoft .NET Framework 4[1]
(KB2604121)
RemotecodeausführungKritischKB2518867 in MS11-044 und KB2572076 in MS11-078 und KB2633879 in MS12-016 werden durch KB2604114 ersetzt

KB2518870 in MS11-044 und KB2572078 in MS11-078 und KB2633870 in MS12-016 werden durch KB2604121 ersetzt
Windows 7 für 32-Bit-Systeme Service Pack 1Microsoft .NET Framework 3.5.1
(KB2604115)

Microsoft .NET Framework 4[1]
(KB2604121)
RemotecodeausführungKritischKB2518869 in MS11-044 und KB2572077 in MS11-078 und KB2633873 in MS12-016 werden durch KB2604115 ersetzt

KB2518870 in MS11-044 und KB2572078 in MS11-078 und KB2633870 in MS12-016 werden durch KB2604121 ersetzt
Windows 7 für x64-basierte SystemeMicrosoft .NET Framework 3.5.1
(KB2604114)

Microsoft .NET Framework 4[1]
(KB2604121)
RemotecodeausführungKritischKB2518867 in MS11-044 und KB2572076 in MS11-078 und KB2633879 in MS12-016 werden durch KB2604114 ersetzt

KB2518870 in MS11-044 und KB2572078 in MS11-078 und KB2633870 in MS12-016 werden durch KB2604121 ersetzt
Windows 7 für x64-basierte Systeme Service Pack 1Microsoft .NET Framework 3.5.1
(KB2604115)

Microsoft .NET Framework 4[1]
(KB2604121)
RemotecodeausführungKritischKB2518869 in MS11-044 und KB2572077 in MS11-078 und KB2633873 in MS12-016 werden durch KB2604115 ersetzt

KB2518870 in MS11-044 und KB2572078 in MS11-078 und KB2633870 in MS12-016 werden durch KB2604121 ersetzt
Windows Server 2008 R2
Windows Server 2008 R2 für x64-basierte SystemeMicrosoft .NET Framework 3.5.1
(KB2604114)

Microsoft .NET Framework 4[1]
(KB2604121)
RemotecodeausführungKritischKB2518867 in MS11-044 und KB2572076 in MS11-078 und KB2633879 in MS12-016 werden durch KB2604114 ersetzt

KB2518870 in MS11-044 und KB2572078 in MS11-078 und KB2633870 in MS12-016 werden durch KB2604121 ersetzt
Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1Microsoft .NET Framework 3.5.1
(KB2604115)

Microsoft .NET Framework 4[1]
(KB2604121)
RemotecodeausführungKritischKB2518869 in MS11-044 und KB2572077 in MS11-078 und KB2633873 in MS12-016 werden durch KB2604115 ersetzt

KB2518870 in MS11-044 und KB2572078 in MS11-078 und KB2633870 in MS12-016 werden durch KB2604121 ersetzt
Windows Server 2008 R2 für Itanium-basierte SystemeMicrosoft .NET Framework 3.5.1
(KB2604114)

Microsoft .NET Framework 4[1]
(KB2604121)
RemotecodeausführungKritischKB2518867 in MS11-044 und KB2572076 in MS11-078 und KB2633879 in MS12-016 werden durch KB2604114 ersetzt

KB2518870 in MS11-044 und KB2572078 in MS11-078 und KB2633870 in MS12-016 werden durch KB2604121 ersetzt
Windows Server 2008 R2 für Itanium-basierte Systeme Service Pack 1Microsoft .NET Framework 3.5.1
(KB2604115)

Microsoft .NET Framework 4[1]
(KB2604121)
RemotecodeausführungKritischKB2518869 in MS11-044 und KB2572077 in MS11-078 und KB2633873 in MS12-016 werden durch KB2604115 ersetzt

KB2518870 in MS11-044 und KB2572078 in MS11-078 und KB2633870 in MS12-016 werden durch KB2604121 ersetzt
Server Core-Installationsoption
Windows Server 2008 R2 für x64-basierte SystemeMicrosoft .NET Framework 3.5.1
(KB2604114)
RemotecodeausführungKritischKB2518867 in MS11-044 und KB2572076 in MS11-078 und KB2633879 in MS12-016 werden durch KB2604114 ersetzt
Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1Microsoft .NET Framework 3.5.1
(KB2604115)

Microsoft .NET Framework 4[1]
(KB2604121)
RemotecodeausführungKritischKB2518869 in MS11-044 und KB2572077 in MS11-078 und KB2633873 in MS12-016 werden durch KB2604115 ersetzt

KB2518870 in MS11-044 und KB2572078 in MS11-078 und KB2633870 in MS12-016 werden durch KB2604121 ersetzt

[1].NET Framework 4 und .NET Framework 4 Client Profile sind betroffen. Die .NET Framework Version 4 Redistributable Packages sind in zwei Profilen verfügbar: .NET Framework 4 und .NET Framework 4 Client Profile. .NET Framework 4 Client Profile ist Teil von .NET Framework 4. Die in diesem Update behobene Sicherheitsanfälligkeit betrifft sowohl .NET Framework 4 als auch .NET Framework 4 Client Profile. Weitere Informationen finden Sie im MSDN-Artikel Installieren von .NET Framework.

Häufig gestellte Fragen (FAQs) im Zusammenhang mit diesem Sicherheitsupdate

Informationen zu Sicherheitsanfälligkeiten

Bewertungen des Schweregrads und Kennungen der Sicherheitsanfälligkeit

Sicherheitsanfälligkeit in der Serialisierung von .NET Framework – CVE-2012-0160

Sicherheitsanfälligkeit in der Deserialisierung von .NET Framework – CVE-2012-0161

Informationen zum Update

Tools und Anleitungen zur Erkennung und Bereitstellung

Bereitstellung von Sicherheitsupdates

Weitere Informationen:

Danksagungen

Microsoft dankt den folgenden Personen, dass sie zum Schutz unserer Kunden mit uns zusammengearbeitet haben:

  • James Forshaw von Context Information Security für den Hinweis auf die Sicherheitsanfälligkeit in Serialisierung von .NET Framework (CVE-2012-0160).
  • James Forshaw von Context Information Security für den Hinweis auf die Sicherheitsanfälligkeit in der Serialisierung von .NET Framework (CVE-2012-0161).

Microsoft Active Protections Program (MAPP)

Um den Sicherheitsschutz für Benutzer zu verbessern, stellt Microsoft den wichtigsten Sicherheitssoftwareanbietern vor der monatlichen Veröffentlichung der Sicherheitsupdates Informationen zu Sicherheitsanfälligkeiten bereit. Anbieter von Sicherheitssoftware können diese Informationen zu Sicherheitsanfälligkeiten dann verwenden, um Benutzern aktualisierten Schutz über ihre Sicherheitssoftware oder ihre Geräte bereitzustellen, z. B. Antivirus, netzwerkbasierte Angriffserkennungssysteme oder hostbasierte Angriffsverhinderungssysteme. Wenn Sie erfahren möchten, ob von den Sicherheitssoftwareanbietern aktiver Schutz verfügbar ist, besuchen Sie die von den Programmpartnern bereitgestellte Active Protections-Websites, die unter MAPP-Partner (Microsoft Active Protections Program) aufgeführt sind.

Support

So erhalten Sie Hilfe und Support zu diesem Sicherheitsupdate

Haftungsausschluss

Die Informationen der Microsoft Knowledge Base werden wie besehen und ohne jede Gewährleistung bereitgestellt. Microsoft schließt alle anderen Garantien, gleich ob ausdrücklich oder konkludent, einschließlich der Garantien der Handelsüblichkeit oder Eignung für einen bestimmten Zweck aus. In keinem Fall kann Microsoft Corporation und/oder deren jeweilige Lieferanten haftbar gemacht werden für Schäden irgendeiner Art, einschließlich direkter, indirekter, zufällig entstandener Schäden, Folgeschäden, Folgen entgangenen Gewinns oder spezieller Schäden, selbst dann nicht, wenn Microsoft Corporation und/oder deren jeweilige Lieferanten auf die mögliche Entstehung dieser Schäden hingewiesen wurde. Weil in einigen Staaten/Rechtsordnungen der Ausschluss oder die Beschränkung einer Haftung für zufällig entstandene Schäden oder Folgeschäden nicht gestattet ist, gilt die obige Einschränkung eventuell nicht für Sie.

Revisionen

  • V1.0 (8. Mai 2012): Bulletin veröffentlicht.
  • V2.0 (11. Mai 2012): Den häufig gestellten Fragen (FAQs) zu diesem Update wurde ein Eintrag hinzugefügt, um mitzuteilen, dass das Sicherheitsupdate KB2656353 die in diesem Bulletin beschriebenen Sicherheitsanfälligkeiten auf allen Systemen behebt, auf denen Microsoft .NET Framework 1.1 Service Pack 1 ausgeführt wird, mit Ausnahme von Windows Server 2003 Service Pack 2. Es gab keine Änderungen an den Sicherheitsupdatedateien. Benutzer, die dieses Update bereits erfolgreich installiert haben, müssen keine Maßnahmen ergreifen.
  • V2.1 (22. Mai 2012): Den häufig gestellten Fragen (FAQs) zu diesem Update wurde ein Eintrag hinzugefügt, um eine Erkennungsänderung für KB2604092 für Microsoft .NET Framework 2.0 Service Pack 2 und KB2604110 für Microsoft .NET Framework 3.0 Service Pack 2 anzukündigen, um ein Installationsproblem zu korrigieren. Dies ist lediglich eine Erkennungsänderung. Die Dateien des Sicherheitsupdates wurden nicht verändert. Benutzer, die ihre Systeme bereits erfolgreich aktualisiert haben, müssen keine Maßnahmen ergreifen.
  • V2.2 (10. Juli 2012): Microsoft hat dieses Bulletin überarbeitet, um auf eine kleine Erkennungsänderung in KB2604111 für Microsoft .NET Framework 3.5 Service Pack 1 hinzuweisen und ein Problem mit dem Anbieten zu beheben. Die Dateien des Sicherheitsupdates wurden nicht verändert. Benutzer, die ihre Systeme bereits erfolgreich aktualisiert haben, müssen keine Maßnahmen ergreifen.
  • V2.3 (3. Oktober 2012): Korrektur der Registrierungsschlüssel in den Bereitstellungstabellen für Microsoft .NET Framework 3.5 Service Pack 1 bei Installation unter Windows XP und für Microsoft .NET Framework 3.5 Service Pack 1 bei Installation unter Windows Server 2003. Dies ist lediglich eine Informationsänderung. An den Dateien des Sicherheitsupdates oder der Erkennungslogik wurden keine Änderungen vorgenommen.