Launch Printer Friendly Page Security TechCenter > Microsoft Security Bulletins > Microsoft Security Bulletin MS12-060

Microsoft Security Bulletin MS12-060 - Kritisch

Sicherheitsanfälligkeit in allgemeinen Windows-Steuerelementen kann Remotecodeausführung ermöglichen (2720573)

Veröffentlicht: | Aktualisiert:

Version: 2.1

Allgemeine Informationen

Kurzzusammenfassung

Dieses Sicherheitsupdate behebt eine vertraulich gemeldete Sicherheitsanfälligkeit in den allgemeinen Windows-Steuerelementen. Die Sicherheitsanfälligkeit kann Remotecodeausführung ermöglichen, wenn ein Benutzer eine Website besucht, die speziell gestaltete Inhalte enthält, mit denen die Sicherheitsanfälligkeit ausgenutzt werden soll. Ein Angreifer kann Benutzer jedoch nicht zum Besuch einer solchen Website zwingen. Der Angreifer muss stattdessen den Benutzer zum Besuch dieser Website verleiten, z. B. indem er den Benutzer dazu auffordert, in einer E-Mail oder einer Instant Messenger-Nachricht auf einen Link zur Website des Angreifers zu klicken. Die schädliche Datei kann auch als E-Mail-Anlage gesendet werden, aber der Angreifer muss den Benutzer dazu verleiten, die Dateianlage zu öffnen, um die Sicherheitsanfälligkeit auszunutzen.

Dieses Sicherheitsupdate wird für die gesamte unterstützte Microsoft-Software, in deren Standardinstallation die allgemeinen Windows-Steuerelemente enthalten sind, als Kritisch eingestuft. Dazu gehören alle unterstützten Editionen von Microsoft Office 2003, Microsoft Office 2007; Microsoft Office 2010 (außer x64-basierten Editionen); Microsoft SQL Server 2000 Analysis Services, Microsoft SQL Server 2000 (außer Itanium-basierten Editionen), Microsoft SQL Server 2005 (außer Microsoft SQL Server 2005 Express Edition, aber einschließlich Microsoft SQL Server 2005 Express Edition mit Advanced Services), Microsoft SQL Server 2008, Microsoft SQL Server 2008 R2, Microsoft Commerce Server 2002, Microsoft Commerce Server 2007, Microsoft Commerce Server 2009, Microsoft Commerce Server 2009 R2, Microsoft Host Integration Server 2004 Service Pack 1, Microsoft Visual FoxPro 8.0, Microsoft Visual FoxPro 9.0 und Visual Basic 6.0 Runtime. Weitere Informationen finden Sie im Unterabschnitt Betroffene und nicht betroffene Software in diesem Abschnitt.

Das Sicherheitsupdate behebt die Sicherheitsanfälligkeit, indem die anfällige Version der allgemeinen Windows-Steuerelemente deaktiviert und durch eine neue Version ersetzt wird, die die Sicherheitsanfälligkeit nicht enthält. Weitere Informationen zur Sicherheitsanfälligkeit finden Sie im Unterabschnitt „Häufig gestellte Fragen (FAQs)“ für den bestimmten Sicherheitsanfälligkeitseintrag unter dem nächsten Abschnitt Informationen zu Sicherheitsanfälligkeiten.

Empfehlung. Benutzer können die automatische Aktualisierung konfigurieren, um mithilfe des Dienstes Microsoft Update online auf Updates von Microsoft Update zu prüfen. Benutzer, die die automatische Aktualisierung aktiviert und darauf konfiguriert haben, online auf Updates von Microsoft Update zu prüfen, müssen in der Regel keine Maßnahmen ergreifen, weil dieses Sicherheitsupdate automatisch heruntergeladen und installiert wird. Benutzer, die die automatische Aktualisierung nicht aktiviert haben, müssen auf Updates von Microsoft Update prüfen und dieses Update manuell installieren. Weitere Informationen zu bestimmten Konfigurationsoptionen in der automatischen Aktualisierung in unterstützten Editionen von Windows XP und Windows Server 2003 finden Sie im Microsoft Knowledge Base-Artikel 294871. Weitere Informationen zur automatischen Aktualisierung in unterstützten Editionen von Windows Vista, Windows Server 2008, Windows 7 und Windows Server 2008 R2 finden Sie unter Automatische Aktualisierung von Windows.

Für Administratoren und für Installationen in Unternehmen bzw. für Endbenutzer, die dieses Sicherheitsupdate manuell installieren möchten, empfiehlt Microsoft, das Update sofort mit der Updateverwaltungssoftware zu installieren bzw. mithilfe des Diensts Microsoft Update auf Updates zu prüfen.

Siehe auch den Abschnitt Tools und Anleitungen zur Erkennung und Bereitstellung weiter unten in diesem Bulletin.

Bekannte Probleme. Im Microsoft Knowledge Base-Artikel 2720573 werden die derzeit bekannten Probleme dokumentiert, die durch die Installation dieses Sicherheitsupdates auftreten können. Im Artikel werden auch Lösungen für diese Probleme empfohlen. Wenn die derzeit bekannten Probleme und empfohlenen Lösungen nur auf bestimmte Veröffentlichungen dieser Software zutreffen, werden in diesem Artikel Verknüpfungen zu weiteren Artikeln bereitgestellt.

Betroffene und nicht betroffene Software

Folgende Software wurde getestet, um zu ermitteln, welche Versionen oder Editionen betroffen sind. Andere Versionen haben entweder das Ende des Lebenszyklus überschritten oder sind nicht betroffen. Besuchen Sie die Website Microsoft Support Lifecycle, um den Supportlebenszyklus für Ihre Softwareversion oder Edition zu ermitteln.

Betroffene Software

Microsoft Office Suites und Software

Office-SoftwareMaximale SicherheitsauswirkungBewertung des GesamtschweregradsErsetzte Updates
Microsoft Office Suites und Komponenten
Microsoft Office 2003 Service Pack 3
(Allgemeine Windows-Steuerelemente)
(KB2726929)
RemotecodeausführungKritischKB2597112 in MS12-027 wird durch KB2687323 oder KB2726929 ersetzt
Microsoft Office 2003 Web Components Service Pack 3
(Allgemeine Windows-Steuerelemente)
(KB2726929)
RemotecodeausführungKritischKB2597112 in MS12-027 wird durch KB2687323 oder KB2726929 ersetzt
Microsoft Office 2007 Service Pack 2
(Allgemeine Windows-Steuerelemente)
(KB2687441)
RemotecodeausführungKritischKB2598041 in MS12-027 wird durch KB2687441 ersetzt
Microsoft Office 2007 Service Pack 3
(Allgemeine Windows-Steuerelemente)
(KB2687441)
RemotecodeausführungKritischKB2598041 in MS12-027 wird durch KB2687441 ersetzt
Microsoft Office 2010 Service Pack 1 (32-Bit-Editionen)
(Allgemeine Windows-Steuerelemente)
(KB2597986)
RemotecodeausführungKritischKB2598039 in MS12-027 wird durch KB2597986 ersetzt

Microsoft SQL Server-Software

GDR-SoftwareupdatesQFE-SoftwareupdatesMaximale SicherheitsauswirkungBewertung des GesamtschweregradsErsetzte Updates
Microsoft SQL Server 2000
Microsoft SQL Server 2000 Service Pack 4
(KB983812)
Microsoft SQL Server 2000 Service Pack 4
(KB983811)
RemotecodeausführungKritischKB983808 in MS12-027 wird durch KB983812 ersetzt

KB983809 in MS12-027 wird durch KB983811 ersetzt

Microsoft SQL Server-Komponenten

Microsoft SQL ServerMaximale SicherheitsauswirkungBewertung des GesamtschweregradsErsetzte Updates
Microsoft SQL Server 2000
Microsoft SQL Server 2000 Analysis Services Service Pack 4
(KB983813)
RemotecodeausführungKritischKB983807 in MS12-027 wird durch KB983813 ersetzt
Microsoft SQL Server 2005
Microsoft SQL Server 2005 Express Edition mit Advanced Services Service Pack 4[1]
(Allgemeine Windows-Steuerelemente)
(KB2726929)
RemotecodeausführungKritischKB2597112 in MS12-027 wird durch KB2687323 oder KB2726929 ersetzt
Microsoft SQL Server 2005 für 32-Bit-Systeme Service Pack 4[1]
(Allgemeine Windows-Steuerelemente)
(KB2726929)
RemotecodeausführungKritischKB2597112 in MS12-027 wird durch KB2687323 oder KB2726929 ersetzt
Microsoft SQL Server 2005 für x64-basierte Systeme Service Pack 4[1]
(Allgemeine Windows-Steuerelemente)
(KB2726929)
RemotecodeausführungKritischKB2597112 in MS12-027 wird durch KB2687323 oder KB2726929 ersetzt
Microsoft SQL Server 2005 für Itanium-basierte Systeme Service Pack 4[1]
(Allgemeine Windows-Steuerelemente)
(KB2726929)
RemotecodeausführungKritischKB2597112 in MS12-027 wird durch KB2687323 oder KB2726929 ersetzt
Microsoft SQL Server 2008
Microsoft SQL Server 2008 für 32-Bit-Systeme Service Pack 2[2]
(Allgemeine Windows-Steuerelemente)
(KB2687441)
RemotecodeausführungKritischKB2598041 in MS12-027 wird durch KB2687441 ersetzt
Microsoft SQL Server 2008 für 32-Bit-Systeme Service Pack 3[2]
(Allgemeine Windows-Steuerelemente)
(KB2687441)
RemotecodeausführungKritischKB2598041 in MS12-027 wird durch KB2687441 ersetzt
Microsoft SQL Server 2008 für x64-basierte Systeme Service Pack 2[2]
(Allgemeine Windows-Steuerelemente)
(KB2687441)
RemotecodeausführungKritischKB2598041 in MS12-027 wird durch KB2687441 ersetzt
Microsoft SQL Server 2008 für x64-basierte Systeme Service Pack 3[2]
(Allgemeine Windows-Steuerelemente)
(KB2687441)
RemotecodeausführungKritischKB2598041 in MS12-027 wird durch KB2687441 ersetzt
Microsoft SQL Server 2008 für Itanium-basierte Systeme Service Pack 2[2]
(Allgemeine Windows-Steuerelemente)
(KB2687441)
RemotecodeausführungKritischKB2598041 in MS12-027 wird durch KB2687441 ersetzt
Microsoft SQL Server 2008 für Itanium-basierte Systeme Service Pack 3[2]
(Allgemeine Windows-Steuerelemente)
(KB2687441)
RemotecodeausführungKritischKB2598041 in MS12-027 wird durch KB2687441 ersetzt
Microsoft SQL Server 2008 R2
Microsoft SQL Server 2008 R2 für 32-Bit-Systeme[2]
(Allgemeine Windows-Steuerelemente)
(KB2687441)
RemotecodeausführungKritischKB2598041 in MS12-027 wird durch KB2687441 ersetzt
Microsoft SQL Server 2008 R2 für 32-Bit-Systeme Service Pack 1[2]
(Allgemeine Windows-Steuerelemente)
(KB2687441)
RemotecodeausführungKritischKB2598041 in MS12-027 wird durch KB2687441 ersetzt
Microsoft SQL Server 2008 R2 für 32-Bit-Systeme Service Pack 2[2]
(Allgemeine Windows-Steuerelemente)
(KB2687441)
RemotecodeausführungKritischKeine
Microsoft SQL Server 2008 R2 für x64-basierte Systeme[2]
(Allgemeine Windows-Steuerelemente)
(KB2687441)
RemotecodeausführungKritischKB2598041 in MS12-027 wird durch KB2687441 ersetzt
Microsoft SQL Server 2008 R2 für x64-basierte Systeme Service Pack 1[2]
(Allgemeine Windows-Steuerelemente)
(KB2687441)
RemotecodeausführungKritischKB2598041 in MS12-027 wird durch KB2687441 ersetzt
Microsoft SQL Server 2008 R2 für x64-basierte Systeme Service Pack 2[2]
(Allgemeine Windows-Steuerelemente)
(KB2687441)
RemotecodeausführungKritischKeine
Microsoft SQL Server 2008 R2 für Itanium-basierte Systeme[2]
(Allgemeine Windows-Steuerelemente)
(KB2687441)
RemotecodeausführungKritischKB2598041 in MS12-027 wird durch KB2687441 ersetzt
Microsoft SQL Server 2008 R2 für Itanium-basierte Systeme Service Pack 1[2]
(Allgemeine Windows-Steuerelemente)
(KB2687441)
RemotecodeausführungKritischKB2598041 in MS12-027 wird durch KB2687441 ersetzt
Microsoft SQL Server 2008 R2 für Itanium-basierte Systeme Service Pack 2[2]
(Allgemeine Windows-Steuerelemente)
(KB2687441)
RemotecodeausführungKritischKeine

[1]Dieses Update ist identisch mit dem Update für Microsoft Office 2003.

[2]Dieses Update ist identisch mit dem Update für Microsoft Office 2007.

Weitere Microsoft Server-Software

Server-SoftwareMaximale SicherheitsauswirkungBewertung des GesamtschweregradsErsetzte Updates
Microsoft Commerce Server
Microsoft Commerce Server 2002 Service Pack 4
(KB2716389)
RemotecodeausführungKritischKB2645025 in MS12-027 wird durch KB2716389 ersetzt
Microsoft Commerce Server 2007 Service Pack 2
(KB2716390)
RemotecodeausführungKritischKB2658677 in MS12-027 wird durch KB2716390 ersetzt
Microsoft Commerce Server 2009
(KB2716392)
RemotecodeausführungKritischKB2655547 in MS12-027 wird durch KB2716392 ersetzt
Microsoft Commerce Server 2009 R2
(KB2716393)
RemotecodeausführungKritischKB2658676 in MS12-027 wird durch KB2716393 ersetzt
Microsoft Host Integration Server
Microsoft Host Integration Server 2004 Service Pack 1
(KB2711207)
RemotecodeausführungKritischKeine

Microsoft Entwicklertools und Software

SoftwareMaximale SicherheitsauswirkungBewertung des GesamtschweregradsErsetzte Updates
Microsoft Visual FoxPro
Microsoft Visual FoxPro 8.0 Service Pack 1
(KB2708940)
RemotecodeausführungKritischKB2647488 in MS12-027 wird durch KB2708940 ersetzt
Microsoft Visual FoxPro 9.0 Service Pack 2
(KB2708941)
RemotecodeausführungKritischKB2647490 in MS12-027 wird durch KB2708941 ersetzt
Visual Basic
Visual Basic 6.0 Runtime
(KB2708437)
RemotecodeausführungKritischKB2641426 in MS12-027 wird durch KB2708437 ersetzt

Nicht betroffene Software 

Office und andere Software
Microsoft Office 2010 (64-Bit-Edition) Service Pack 1
Microsoft Office Web Apps
Microsoft Works 9
Microsoft Office 2008 für Mac
Microsoft Office für Mac 2011
Microsoft SQL Server 2000 Itanium Edition Service Pack 4
Microsoft SQL Server 2000 Reporting Services Service Pack 2
Microsoft SQL Server 2000 Desktop Engine (MSDE) unter Microsoft Windows Server 2003 Service Pack 2
Microsoft SQL Server 2000 Desktop Engine (MSDE 2000) Service Pack 4
Microsoft SQL Server 2005 Express Edition Service Pack 4
SQL Server Management Studio Express (SSMSE) 2005
Microsoft SQL Server 2008 Management Studio
Microsoft SQL Server 2012 für 32-Bit-Systeme
Microsoft SQL Server 2012 für x64-basierte Systeme
Microsoft BizTalk Server 2004
Microsoft BizTalk Server 2006
Microsoft BizTalk Server 2009
Microsoft Commerce Server 2009 Template Pack für SharePoint 2007
Microsoft Commerce Server 2009 Template Pack für SharePoint 2010
Microsoft Host Integration Server 2006 Service Pack 1
Microsoft Host Integration Server 2009
Microsoft Host Integration Server 2010
Microsoft Data Engine 1.0 (MSDE)
MSDE (Microsoft Data Engine) 1.0 Service Pack 4

Häufig gestellte Fragen (FAQs) im Zusammenhang mit diesem Sicherheitsupdate

Informationen zu Sicherheitsanfälligkeiten

Bewertungen des Schweregrads und Kennungen der Sicherheitsanfälligkeit

Sicherheitsanfälligkeit in MSCOMCTL.OCX bezüglich Remotecodeausführung – CVE-2012-1856

Informationen zum Update

Tools und Anleitungen zur Erkennung und Bereitstellung

Bereitstellung von Sicherheitsupdates

Weitere Informationen:

Microsoft Active Protections Program (MAPP)

Um den Sicherheitsschutz für Benutzer zu verbessern, stellt Microsoft den wichtigsten Sicherheitssoftwareanbietern vor der monatlichen Veröffentlichung der Sicherheitsupdates Informationen zu Sicherheitsanfälligkeiten bereit. Anbieter von Sicherheitssoftware können diese Informationen zu Sicherheitsanfälligkeiten dann verwenden, um Benutzern aktualisierten Schutz über ihre Sicherheitssoftware oder ihre Geräte bereitzustellen, z. B. Antivirus, netzwerkbasierte Angriffserkennungssysteme oder hostbasierte Angriffsverhinderungssysteme. Wenn Sie erfahren möchten, ob von den Sicherheitssoftwareanbietern aktiver Schutz verfügbar ist, besuchen Sie die von den Programmpartnern bereitgestellte Active Protections-Websites, die unter MAPP-Partner (Microsoft Active Protections Program) aufgeführt sind.

Support

So erhalten Sie Hilfe und Support zu diesem Sicherheitsupdate

Haftungsausschluss

Die Informationen der Microsoft Knowledge Base werden wie besehen und ohne jede Gewährleistung bereitgestellt. Microsoft schließt alle anderen Garantien, gleich ob ausdrücklich oder konkludent, einschließlich der Garantien der Handelsüblichkeit oder Eignung für einen bestimmten Zweck aus. In keinem Fall kann Microsoft Corporation und/oder deren jeweilige Lieferanten haftbar gemacht werden für Schäden irgendeiner Art, einschließlich direkter, indirekter, zufällig entstandener Schäden, Folgeschäden, Folgen entgangenen Gewinns oder spezieller Schäden, selbst dann nicht, wenn Microsoft Corporation und/oder deren jeweilige Lieferanten auf die mögliche Entstehung dieser Schäden hingewiesen wurde. Weil in einigen Staaten/Rechtsordnungen der Ausschluss oder die Beschränkung einer Haftung für zufällig entstandene Schäden oder Folgeschäden nicht gestattet ist, gilt die obige Einschränkung eventuell nicht für Sie.

Revisionen

  • V1.0 (14. August 2012): Bulletin veröffentlicht.
  • V1.1 (17. August 2012): Dem Abschnitt „Bekannte Probleme“ in der Kurzzusammenfassung wurde eine Verknüpfung zum Microsoft Knowledge Base-Artikel 2720573 hinzugefügt.
  • V1.2 (22. August 2012): Die Informationen zur Ersetzung von Sicherheitsupdates für Microsoft SQL Server 2000 Analysis Services Service Pack 4 wurden korrigiert. Dies ist lediglich eine Informationsänderung. Es wurden keine Änderungen an der Erkennungslogik oder an den Updatedateien vorgenommen.
  • V2.0 (11. Dezember 2012): Das Bulletin wurde erneut veröffentlicht, um das Update KB2687323 durch das Update KB2726929 für allgemeine Windows-Steuerelemente in allen betroffenen Varianten von Microsoft Office 2003, Microsoft Office 2003 Web Components und Microsoft SQL Server 2005 zu ersetzen.
  • V2.1 (30. Januar 2013): Es wurde erklärt, dass Endbenutzern mit dem Update KB2687323 das Update KB2726929 für allgemeine Windows-Steuerelemente in allen betroffenen Varianten von Microsoft Office 2003, Microsoft Office 2003 Web Components und Microsoft SQL Server 2005 angeboten wird. Weitere Informationen finden Sie in den häufig gestellten Fragen (FAQs) zu diesem Update.