Sicherheitsupdate für Microsoft Office zum Beheben der Remotecodeausführung (3116111)
Veröffentlicht: 8. Dezember 2015 | Aktualisiert: 18. Dezember 2015
Version: 2.1
Kurzfassung
Dieses Sicherheitsupdate behebt Sicherheitsrisiken in Microsoft Office. Die schwerwiegendsten Sicherheitsrisiken könnten remotecodeausführung zulassen, wenn ein Benutzer eine speziell gestaltete Microsoft Office-Datei öffnet. Ein Angreifer, der die Sicherheitsanfälligkeiten erfolgreich ausgenutzt hat, kann beliebigen Code im Kontext des aktuellen Benutzers ausführen. Kunden, deren Konten so konfiguriert sind, dass sie weniger Benutzerrechte auf dem System haben, können weniger betroffen sein als die Benutzerrechte, die mit Administratorrechten arbeiten.
Weitere Informationen finden Sie im Abschnitt "Betroffene Software- und Sicherheitsrisikobewertungen" .
Das Sicherheitsupdate behebt die Sicherheitsanfälligkeiten, indem korrigiert wird, wie Office Objekte im Arbeitsspeicher verarbeitet.
Weitere Informationen zu den Sicherheitsrisiken finden Sie im Abschnitt "Sicherheitsrisikoinformationen ".
Schweregradbewertungen betroffener Software und Sicherheitsrisiken
Die folgenden Softwareversionen oder Editionen sind betroffen. Versionen oder Editionen, die nicht aufgeführt sind, sind entweder über ihren Supportlebenszyklus oder nicht betroffen. Informationen zum Ermitteln des Supportlebenszyklus für Ihre Softwareversion oder -edition finden Sie unter Microsoft-Support Lifecycle.
Die folgenden Schweregradbewertungen gehen von der potenziellen maximalen Auswirkung der Sicherheitsanfälligkeit aus. Informationen zur Wahrscheinlichkeit, dass innerhalb von 30 Tagen nach der Veröffentlichung dieses Sicherheitsbulletins die Ausnutzbarkeit der Sicherheitsanfälligkeit in Bezug auf die Schweregradbewertung und die Sicherheitsauswirkungen besteht, lesen Sie bitte den Exploitability Index in der Bulletinzusammenfassung im Dezember.
Microsoft Office-Software
Bewertung des Schweregrads der Sicherheitsanfälligkeit und maximale Sicherheitsbeeinträchtigung durch betroffene Software
*Die Spalte "Updates ersetzt" zeigt nur das neueste Update in einer Kette von abgelösten Updates an. Um eine umfassende Liste der ersetzten Updates zu erhalten, wechseln Sie zum Microsoft Update-Katalog, suchen Sie nach der KB-Nummer des Updates, und zeigen Sie dann Updatedetails an (Updates ersetzte Informationen befinden sich auf der Registerkarte "Paketdetails ").
Häufig gestellte Fragen zum Aktualisieren
Enthält dieses Update zusätzliche sicherheitsrelevante Änderungen an Funktionen?
Ja. Zusätzlich zu den Sicherheitsupdates, die die in diesem Bulletin beschriebenen Sicherheitsrisiken beheben, veröffentlicht Microsoft die folgenden Ausführlichen Verteidigungsupdates für Microsoft Office 2007 Service Pack 3 und Microsoft Word Viewer:
Ich habe Microsoft Word 2010 installiert. Warum wird mir das 3114403 Update nicht angeboten?
Das 3114403 Update gilt nur für Systeme, auf denen bestimmte Konfigurationen von Microsoft Office 2010 ausgeführt werden. Einige Konfigurationen werden dem Update nicht angeboten.
Ich werde dieses Update für Software angeboten, die nicht speziell als betroffen in der Tabelle "Betroffene Software und Bewertungen des Schweregrads der Sicherheitsanfälligkeit" angegeben ist. Warum wird dieses Update angeboten?
Wenn Updates anfälligen Code behandeln, der in einer Komponente vorhanden ist, die zwischen mehreren Microsoft Office-Produkten oder zwischen mehreren Versionen desselben Microsoft Office-Produkts gemeinsam genutzt wird, gilt das Update als für alle unterstützten Produkte und Versionen, die die anfällige Komponente enthalten.
Wenn beispielsweise ein Update für Microsoft Office 2007-Produkte gilt, kann nur Microsoft Office 2007 in der Tabelle "Betroffene Software" aufgeführt sein. Das Update kann jedoch auf Microsoft Word 2007, Microsoft Excel 2007, Microsoft Visio 2007, Microsoft Compatibility Pack, Microsoft Excel Viewer oder ein anderes Microsoft Office 2007-Produkt angewendet werden, das nicht speziell in der Tabelle "Betroffene Software" aufgeführt ist.
Wenn beispielsweise ein Update für Microsoft Office 2010-Produkte gilt, kann nur Microsoft Office 2010 in der Tabelle "Betroffene Software" aufgeführt sein. Das Update kann jedoch auf Microsoft Word 2010, Microsoft Excel 2010, Microsoft Visio 2010, Microsoft Visio Viewer oder ein anderes Microsoft Office 2010-Produkt angewendet werden, das nicht ausdrücklich in der Tabelle "Betroffene Software" aufgeführt ist.
Wenn beispielsweise ein Update für Microsoft Office 2013-Produkte gilt, kann nur Microsoft Office 2013 in der Tabelle "Betroffene Software" aufgeführt sein. Das Update kann jedoch auf Microsoft Word 2013, Microsoft Excel 2013, Microsoft Visio 2013 oder ein anderes Microsoft Office 2013-Produkt angewendet werden, das nicht speziell in der Tabelle "Betroffene Software" aufgeführt ist.
Informationen zu Sicherheitsrisiken
Mehrere Microsoft Office-Speicherbeschädigungsrisiken
In microsoft Office-Software sind mehrere Sicherheitsrisiken zur Remotecodeausführung vorhanden, wenn die Office-Software Objekte im Arbeitsspeicher nicht ordnungsgemäß verarbeitet. Ein Angreifer, der diese Sicherheitsanfälligkeiten erfolgreich ausgenutzt hat, kann beliebigen Code im Kontext des aktuellen Benutzers ausführen. Wenn der aktuelle Benutzer mit Administratorrechten angemeldet ist, kann ein Angreifer Kontrolle über das betroffene System übernehmen. Ein Angreifer könnte dann Programme installieren, Daten anzeigen, ändern, oder löschen oder neue Konten mit uneingeschränkten Benutzerrechten anlegen. Für Benutzer, deren Konten mit weniger Benutzerrechten im System konfiguriert sind, sind die Auswirkungen normalerweise geringer als für Benutzer, die mit Administratorrechten arbeiten.
Die Nutzung dieser Sicherheitsanfälligkeiten erfordert, dass ein Benutzer eine speziell gestaltete Datei mit einer betroffenen Version von Microsoft Office-Software öffnet. In einem E-Mail-Angriffsszenario könnte ein Angreifer die Sicherheitsanfälligkeiten ausnutzen, indem er die speziell gestaltete Datei an den Benutzer sendet und den Benutzer zum Öffnen der Datei überzeugt. In einem webbasierten Angriffsszenario könnte ein Angreifer eine Website hosten (oder eine kompromittierte Website nutzen, die vom Benutzer bereitgestellte Inhalte akzeptiert oder hostet), die eine speziell gestaltete Datei enthält, die für die Ausnutzung der Sicherheitsrisiken konzipiert ist. Ein Angreifer hätte keine Möglichkeit, Benutzer zu erzwingen, die Website zu besuchen. Stattdessen müsste ein Angreifer die Benutzer davon überzeugen, auf einen Link zu klicken, in der Regel durch eine Verlockung in einer E-Mail- oder Instant Messenger-Nachricht, und dann davon überzeugen, die speziell gestaltete Datei zu öffnen.
Das Sicherheitsupdate behebt die Sicherheitsanfälligkeiten, indem korrigiert wird, wie Office Objekte im Arbeitsspeicher verarbeitet.
Die folgenden Tabellen enthalten Links zum Standardeintrag für jede Sicherheitsanfälligkeit in der Liste allgemeiner Sicherheitsanfälligkeiten und Expositionen:
Titel der Sicherheitsanfälligkeit
CVE-Nummer
Öffentlich offengelegt
Genutzt
Sicherheitsanfälligkeit in Microsoft Office bezüglich Speicherbeschädigung
Sicherheitsanfälligkeit in Microsoft Office RCE – CVE-2015-6172
Eine Sicherheitsanfälligkeit in Remotecodeausführung besteht darin, dass Microsoft Outlook speziell gestaltete E-Mail-Nachrichten analysiert. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausgenutzt hat, kann beliebigen Code als angemeldeter Benutzer ausführen und die vollständige Kontrolle über das betroffene System übernehmen. Ein Angreifer könnte dann Programme installieren, Daten anzeigen, ändern, oder löschen oder neue Konten mit uneingeschränkten Benutzerrechten anlegen. Für Benutzer, deren Konten mit weniger Benutzerrechten im System konfiguriert sind, sind die Auswirkungen normalerweise geringer als für Benutzer, die mit Administratorrechten arbeiten.
Um die Sicherheitsanfälligkeit auszunutzen, muss der Benutzer eine speziell gestaltete E-Mail-Nachricht mit einer betroffenen Version von Microsoft Outlook öffnen oder in der Vorschau anzeigen. In einem E-Mail-Angriffsszenario könnte ein Angreifer die Sicherheitsanfälligkeit ausnutzen, indem er eine speziell gestaltete E-Mail-Nachricht an den Benutzer sendet und dann davon überzeugt, dass der Benutzer eine Vorschau anzeigt oder die E-Mail öffnet.
Arbeitsstationen und Terminalserver, auf denen Microsoft Outlook installiert wird, gefährden diese Sicherheitsanfälligkeit. Server können riskanter sein, wenn Administratoren benutzern erlauben, sich bei ihnen anzumelden, um Programme auszuführen. Bewährte Methoden raten jedoch dringend davon ab, dies zuzulassen. Das Update behebt die Sicherheitsanfälligkeit, indem korrigiert wird, wie Microsoft Outlook speziell gestaltete schädliche E-Mail-Nachrichten analysiert.
Microsoft hat Informationen zu dieser Sicherheitsanfälligkeit durch koordinierte Offenlegung von Sicherheitsrisiken erhalten. Zu dem Zeitpunkt, zu dem dieses Sicherheitsbulletin ursprünglich ausgestellt wurde, wusste Microsoft nicht, dass jeder Angriff versucht, diese Sicherheitsanfälligkeit auszunutzen.
Mildernde Faktoren
Microsoft hat keine mildernden Faktoren für diese Sicherheitsanfälligkeit identifiziert.
Problemumgehungen
Die folgenden Problemumgehungen können in Ihrer Situation hilfreich sein:
Deaktivieren der Vorschau von Nachrichten in Outlook
Zeigen Sie im Menü "Ansicht " auf "MessagePreview", klicken Sie auf "Aus ", und bestätigen Sie dann, dass alle Postfächer deaktiviert sind.
So können Sie die Problemumgehung rückgängig machen.
Zeigen Sie im Menü "Ansicht" auf "MessagePreview", und klicken Sie dann auf "Ein".
Deaktivieren des Lesens von Outlook-E-Mail-Nachrichten in HTML
Klicken Sie auf die Registerkarte Datei .
Klicken Sie auf Optionen.
Klicken Sie auf TrustCenter, und klicken Sie dann auf Trust Center Einstellungen.
Klicken Sie auf "EmailSecurity".
Aktivieren Sie unter " Nur-Text lesen" das Kontrollkästchen "Alle Standard-E-Mails lesen" im Nur-Text-Format . So können Sie die Problemumgehung rückgängig machen.
Klicken Sie auf die Registerkarte Datei .
Klicken Sie auf Optionen.
Klicken Sie auf TrustCenter, und klicken Sie dann auf Trust Center Einstellungen.
Klicken Sie auf "EmailSecurity".
Wählen Sie unter " Nur-Text lesen" die Option "Alle Standard-E-Mails in Nur-Text lesen" aus.
Deaktivieren des Flash ActiveX-Steuerelements mit Office Kill Bit
Klicken Sie auf "Start", klicken Sie auf "Ausführen", geben Sie "Regedit" in das Feld "Öffnen" ein, und klicken Sie dann auf "OK".
Navigieren Sie zum folgenden Registrierungsspeicherort:
Legen Sie den DWORD-Wert von "Compatibility Flags" auf "0x00000000" fest.
Häufig gestellte Fragen
Was ist der Umfang der Sicherheitsanfälligkeit?
Dies ist eine Sicherheitsanfälligkeit in Remotecodeausführung.
Was verursacht die Sicherheitsanfälligkeit?
Die Sicherheitsanfälligkeit wird dadurch verursacht, dass Microsoft Outlook beim Analysieren von E-Mail-Nachrichten eines bestimmten Formats eine Überprüfung fehlt.
Was kann ein Angreifer tun, um die Sicherheitsanfälligkeit zu tun?
Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausgenutzt hat, kann beliebigen Code als angemeldeter Benutzer ausführen. Wenn ein Benutzer mit Administratorrechten angemeldet ist, kann ein Angreifer die vollständige Kontrolle über das betroffene System übernehmen. Ein Angreifer könnte dann Programme installieren, Daten anzeigen, ändern, oder löschen oder neue Konten mit uneingeschränkten Benutzerrechten anlegen. Für Benutzer, deren Konten mit weniger Benutzerrechten im System konfiguriert sind, sind die Auswirkungen normalerweise geringer als für Benutzer, die mit Administratorrechten arbeiten.
Wie kann ein Angreifer die Sicherheitsanfälligkeit ausnutzen?
In einem E-Mail-Angriffsszenario könnte ein Angreifer die Sicherheitsanfälligkeit ausnutzen, indem er eine speziell gestaltete E-Mail-Nachricht an den Benutzer sendet und dann davon überzeugt, dass der Benutzer eine Vorschau anzeigt oder die E-Mail öffnet. Die Nutzung dieser Sicherheitsanfälligkeit erfordert, dass ein Benutzer eine speziell gestaltete E-Mail-Nachricht mit einer betroffenen Version von Microsoft Outlook öffnet oder in einer Vorschau anzeigt.
Welche Systeme sind in erster Linie durch die Sicherheitsanfälligkeit gefährdet?
Systeme wie Arbeitsstationen und Terminalserver, auf denen Microsoft Outlook verwendet wird, sind gefährdet. Server sind möglicherweise riskanter, wenn Administratoren benutzern erlauben, sich bei Servern anzumelden und Programme auszuführen. Bewährte Methoden raten jedoch dringend davon ab, dies zuzulassen.
Was geschieht mit dem Update?
Die Sicherheitsanfälligkeit wurde in Microsoft Outlook behoben, indem beim Analysieren von E-Mail-Nachrichten eines bestimmten Formats eine Überprüfung hinzugefügt wird.
Bereitstellung von Sicherheitsupdates
Informationen zur Bereitstellung von Sicherheitsupdates finden Sie im Microsoft Knowledge Base-Artikel, auf den in der Zusammenfassung der Geschäftsleitung verwiesen wird.
Danksagungen
Microsoft erkennt die Bemühungen derJenigen in der Sicherheitscommunity, die uns dabei helfen, Kunden durch koordinierte Offenlegung von Sicherheitsrisiken zu schützen. Weitere Informationen finden Sie unter "Bestätigungen ".
Haftungsausschluss
Die in der Microsoft Knowledge Base bereitgestellten Informationen werden ohne Jegliche Garantie bereitgestellt. Microsoft lehnt alle Gewährleistungen ab, entweder ausdrücklich oder impliziert, einschließlich der Gewährleistungen der Händlerbarkeit und Eignung für einen bestimmten Zweck. In keinem Fall haftet die Microsoft Corporation oder seine Lieferanten für jegliche Schäden, einschließlich direkter, indirekter, zufälliger, Folgeschäden, Verlust von Geschäftsgewinnen oder sonderschäden, auch wenn die Microsoft Corporation oder ihre Lieferanten über die Möglichkeit solcher Schäden informiert wurden. Einige Staaten lassen den Ausschluss oder die Haftungsbeschränkung für Folge- oder Nebenschäden nicht zu, sodass die vorstehende Einschränkung möglicherweise nicht gilt.
Revisionen
V1.0 (8. Dezember 2015): Bulletin veröffentlicht.
V1.1 (9. Dezember 2015): Bulletin überarbeitet, um den Status "Öffentlich offengelegt" und "Exploited" von CVE-2015-6124 zu korrigieren. Dies ist nur eine Informationsänderung. Kunden, die das Update erfolgreich installiert haben, müssen keine weiteren Maßnahmen ergreifen.
V2.0 (10. Dezember 2015): Bulletin überarbeitet, um ankündigen zu können, dass das 3119518 Update für Microsoft Office 2016 für Mac verfügbar ist und das 3119517 Update für Microsoft Office für Mac 2011 verfügbar ist. Weitere Informationen finden Sie im Microsoft Knowledge Base-Artikel 3119518 und microsoft Knowledge Base-Artikel 3119517.
V2.1 (18. Dezember 2015): Bulletin überarbeitet, um die Für 3101532 und 3114342 ersetzten Updates zu korrigieren und eine Problemumgehung für CVE-2015-6172 hinzuzufügen. Dies ist nur eine Informationsänderung. Kunden, die die Updates erfolgreich installiert haben, müssen keine weiteren Maßnahmen ergreifen.
This module examines how Microsoft Defender for Office 365 extends EOP protection through various tools, including Safe Attachments, Safe Links, spoofed intelligence, spam filtering policies, and the Tenant Allow/Block List.