Microsoft Security Bulletin MS15-033 – Kritisch
Sicherheitsrisiken in Microsoft Office könnten Remotecodeausführung zulassen (3048019)
Veröffentlicht: 14. April 2015 | Aktualisiert: 21. April 2015
Version: 1.1
Kurzfassung
Dieses Sicherheitsupdate behebt Sicherheitsrisiken in Microsoft Office. Die schwerwiegendsten Sicherheitsrisiken könnten remotecodeausführung zulassen, wenn ein Benutzer eine speziell gestaltete Microsoft Office-Datei öffnet. Ein Angreifer, der die Sicherheitsanfälligkeiten erfolgreich ausgenutzt hat, kann beliebigen Code im Kontext des aktuellen Benutzers ausführen. Kunden, deren Konten so konfiguriert sind, dass sie weniger Benutzerrechte auf dem System haben, können weniger betroffen sein als die Benutzerrechte, die mit Administratorrechten arbeiten.
Dieses Sicherheitsupdate wird für alle unterstützten Editionen der folgenden Software kritisch bewertet:
- Microsoft Word 2007, Microsoft Office 2010, Microsoft Word 2010
- Microsoft Word Viewer, Microsoft Office Compatibility Pack
- Word Automation Services auf Microsoft SharePoint Server 2010
- Microsoft Office Web-Apps Server 2010
Dieses Sicherheitsupdate ist für alle unterstützten Editionen der folgenden Software als wichtig eingestuft:
- Microsoft Word 2013
- Microsoft Office für Mac 2011, Microsoft Word für Mac 2011, Outlook für Mac für Office 365
- Word Automation Services auf Microsoft SharePoint Server 2013
- Microsoft Office Web-Apps Server 2013
Weitere Informationen finden Sie im Abschnitt "Betroffene Software" .
Das Sicherheitsupdate behebt die Sicherheitsanfälligkeiten, indem korrigiert wird, wie Microsoft Office speziell gestaltete Dateien analysiert, indem korrigiert wird, wie Office Dateien im Arbeitsspeicher verarbeitet, und indem sichergestellt wird, dass SharePoint Server benutzereingaben ordnungsgemäß sanitiert. Weitere Informationen zu den Sicherheitsrisiken finden Sie im Abschnitt "Sicherheitsrisikoinformationen ".
Weitere Informationen zu diesem Update finden Sie im Microsoft Knowledge Base-Artikel 3048019.
Betroffene Software
Die folgenden Softwareversionen oder Editionen sind betroffen. Versionen oder Editionen, die nicht aufgeführt sind, sind entweder über ihren Supportlebenszyklus oder nicht betroffen. Informationen zum Ermitteln des Supportlebenszyklus für Ihre Softwareversion oder -edition finden Sie unter Microsoft-Support Lifecycle.
Microsoft Office-Software
| Microsoft Office Suites-Software | Komponente | Maximale Sicherheitswirkung | Bewertung des aggregierten Schweregrads | Ersetzte Updates |
|---|---|---|---|---|
| Microsoft Office 2007 | ||||
| Microsoft Office 2007 Service Pack 3 | Microsoft Word 2007 Service Pack 3 (2965284) | Remoteausführung von Code | Kritisch | 2956109 in MS15-022 |
| Microsoft Office 2010 | ||||
| Microsoft Office 2010 Service Pack 2 (32-Bit-Editionen) (2965236) | Nicht zutreffend | Remoteausführung von Code | Kritisch | 2956138 in MS15-022 |
| Microsoft Office 2010 Service Pack 2 (64-Bit-Editionen) (2965236) | Nicht zutreffend | Remoteausführung von Code | Kritisch | 2956138 in MS15-022 |
| Microsoft Office 2010 Service Pack 2 (32-Bit-Editionen) | Microsoft Word 2010 Service Pack 2 (32-Bit-Editionen) (2553428) | Remoteausführung von Code | Kritisch | 2956139 in MS15-022 |
| Microsoft Office 2010 Service Pack 2 (64-Bit-Editionen) | Microsoft Word 2010 Service Pack 2 (64-Bit-Editionen) (2553428) | Remoteausführung von Code | Kritisch | 2956139 in MS15-022 |
| Microsoft Office 2013 und Microsoft Office 2013 RT | ||||
| Microsoft Office 2013 Service Pack 1 (32-Bit-Editionen) | Microsoft Word 2013 Service Pack 1 (32-Bit-Editionen) (2965224) | Remoteausführung von Code | Wichtig | 2956163 in MS15-022 |
| Microsoft Office 2013 Service Pack 1 (64-Bit-Editionen) | Microsoft Word 2013 Service Pack 1 (64-Bit-Editionen) (2965224) | Remoteausführung von Code | Wichtig | 2956163 in MS15-022 |
| Microsoft Office 2013 RT Service Pack 1 | Microsoft Word 2013 RT Service Pack 1 (2965224) [1] | Remoteausführung von Code | Wichtig | 2956163 in MS15-022 |
| Microsoft Office für Mac | ||||
| Microsoft Outlook für Mac für Office 365 (3055707) | Nicht zutreffend | Angriffe durch Rechteerweiterung | Wichtig | Keine |
| Microsoft Office für Mac 2011 (3051737) | Nicht zutreffend | Angriffe durch Rechteerweiterung | Wichtig | 3018888 in MS14-081 |
| Microsoft Office 2011 für Mac | Microsoft Word für Mac 2011 (3051737) | Remoteausführung von Code | Wichtig | 3018888 in MS14-081 |
| Andere Office-Software | ||||
| Microsoft Word Viewer (2965289) | Nicht zutreffend | Remoteausführung von Code | Kritisch | 2956188 in MS15-022 |
| Microsoft Office Compatibility Pack Service Pack 3 (2965210) | Nicht zutreffend | Remoteausführung von Code | Kritisch | 2956107 in MS15-022 |
[1]Dieses Update ist über Windows Update verfügbar.
Microsoft Office Services und Web-Apps
| Microsoft Office Services und Web-Apps | Komponente | Maximale Sicherheitswirkung | Bewertung des aggregierten Schweregrads | Ersetzte Updates |
|---|---|---|---|---|
| Microsoft SharePoint Server 2010 | ||||
| Microsoft SharePoint Server 2010 Service Pack 2 | Word Automation Services (2553164) | Remoteausführung von Code | Kritisch | 2956136 in MS15-022 |
| Microsoft SharePoint Server 2013 | ||||
| Microsoft SharePoint Server 2013 Service Pack 1 | Word Automation Services (2965215) | Remoteausführung von Code | Wichtig | 2920731 in MS15-022 |
| Microsoft Office Web-Apps 2010 | ||||
| Microsoft Office Web-Apps 2010 Service Pack 2 | Microsoft Office Web-Apps Server 2010 Service Pack 2 (2965238) | Remoteausführung von Code | Kritisch | 2956069 in MS15-022 |
| Microsoft Office Web-Apps 2013 | ||||
| Microsoft Office Web-Apps 2013 Service Pack 1 | Microsoft Office Web-Apps Server 2013 Service Pack 1[2](2965306) | Remoteausführung von Code | Wichtig | 2956158 in MS15-022 |
[2] Office Web-Apps Server kann nicht über die automatische Aktualisierung aktualisiert werden. Empfohlene Anweisungen zum Anwenden von Updates auf Office Web-Apps Server finden Sie unter Anwenden von Softwareupdates auf Office Web-Apps Server.
Häufig gestellte Fragen zum Aktualisieren
Enthält dieses Update zusätzliche sicherheitsrelevante Änderungen an Funktionen?
Ja. Zusätzlich zu den Änderungen, die für die in diesem Bulletin beschriebenen Sicherheitsrisiken aufgeführt sind, enthält dieses Update umfassende Updates für verteidigungsbezogene Updates für Microsoft Office für Mac 2011, um es sicherer zu machen.
Ich habe Microsoft Word 2010 installiert. Warum wird mir das 2965236 Update nicht angeboten?
Das 2965236 Update gilt nur für Systeme, auf denen bestimmte Konfigurationen von Microsoft Office 2010 ausgeführt werden. Einige Konfigurationen werden dem Update nicht angeboten.
Ich werde dieses Update für Software angeboten, die nicht speziell in der Tabelle "Betroffene Software" aufgeführt ist. Warum wird dieses Update angeboten?
Wenn Updates anfälligen Code behandeln, der in einer Komponente vorhanden ist, die zwischen mehreren Microsoft Office-Produkten oder zwischen mehreren Versionen desselben Microsoft Office-Produkts gemeinsam genutzt wird, gilt das Update als für alle unterstützten Produkte und Versionen, die die anfällige Komponente enthalten.
Wenn beispielsweise ein Update für Microsoft Office 2007-Produkte gilt, kann nur Microsoft Office 2007 in der Tabelle "Betroffene Software" aufgeführt sein. Das Update kann jedoch auf Microsoft Word 2007, Microsoft Excel 2007, Microsoft Visio 2007, Microsoft Compatibility Pack, Microsoft Excel Viewer oder ein anderes Microsoft Office 2007-Produkt angewendet werden, das nicht speziell in der Tabelle "Betroffene Software" aufgeführt ist.
Wenn beispielsweise ein Update für Microsoft Office 2010-Produkte gilt, kann nur Microsoft Office 2010 in der Tabelle "Betroffene Software" aufgeführt sein. Das Update kann jedoch auf Microsoft Word 2010, Microsoft Excel 2010, Microsoft Visio 2010, Microsoft Visio Viewer oder ein anderes Microsoft Office 2010-Produkt angewendet werden, das nicht ausdrücklich in der Tabelle "Betroffene Software" aufgeführt ist.
Wenn beispielsweise ein Update für Microsoft Office 2013-Produkte gilt, kann nur Microsoft Office 2013 in der Tabelle "Betroffene Software" aufgeführt sein. Das Update kann jedoch auf Microsoft Word 2013, Microsoft Excel 2013, Microsoft Visio 2013 oder ein anderes Microsoft Office 2013-Produkt angewendet werden, das nicht speziell in der Tabelle "Betroffene Software" aufgeführt ist.
Enthält dieses Update zusätzliche sicherheitsrelevante Änderungen?
Zusätzlich zu den Änderungen, die für die in diesem Bulletin beschriebenen Sicherheitsrisiken aufgeführt sind, enthält dieses Update ausführliche Updates zur Verbesserung sicherheitsrelevanter Features.
Schweregradbewertungen und Sicherheitslücken-IDs
Die folgenden Schweregradbewertungen gehen von der potenziellen maximalen Auswirkung der Sicherheitsanfälligkeit aus. Informationen zur Wahrscheinlichkeit, dass innerhalb von 30 Tagen nach der Veröffentlichung dieses Sicherheitsbulletins die Ausnutzbarkeit der Sicherheitsanfälligkeit in Bezug auf die Schweregradbewertung und die Sicherheitsauswirkungen besteht, finden Sie im Bulletinzusammenfassung vom April den Exploitability Index.
Microsoft Office-Software
| Bewertung des Schweregrads der Sicherheitsanfälligkeit und maximale Sicherheitsbeeinträchtigung durch betroffene Software | ||||||
|---|---|---|---|---|---|---|
| Betroffene Software | Sicherheitsanfälligkeit in Microsoft Office bezüglich Speicherbeschädigung – CVE-2015-1641 | Microsoft Office-Komponente nach kostenloser Sicherheitsanfälligkeit – CVE-2015-1649 | Verwendung der Microsoft Office-Komponente nach der kostenlosen Sicherheitsanfälligkeit – CVE-2015-1650 | Verwendung der Microsoft Office-Komponente nach der kostenlosen Sicherheitsanfälligkeit – CVE-2015-1651 | Sicherheitsanfälligkeit in Microsoft Outlook-App für Mac – CVE-2015-1639 | Bewertung des aggregierten Schweregrads |
| Microsoft Office 2007 | ||||||
| Microsoft Word 2007 Service Pack 3 | Wichtige Remotecodeausführung (2965284) | Kritische Remotecodeausführung (2965284) | Wichtige Remotecodeausführung (2965284) | Kritische Remotecodeausführung (2965284) | Nicht zutreffend | Kritisch |
| Microsoft Office 2010 | ||||||
| Microsoft Office 2010 Service Pack 2 (32-Bit-Editionen) | Wichtige Remotecodeausführung (2965236) | Kritische Remotecodeausführung (2965236) | Wichtige Remotecodeausführung (2965236) | Nicht zutreffend | Nicht zutreffend | Kritisch |
| Microsoft Office 2010 Service Pack 2 (64-Bit-Editionen) | Wichtige Remotecodeausführung (2965236) | Kritische Remotecodeausführung (2965236) | Wichtige Remotecodeausführung (2965236) | Nicht zutreffend | Nicht zutreffend | Kritisch |
| Microsoft Word 2010 Service Pack 2 (32-Bit-Editionen) | Wichtige Remotecodeausführung (2553428) | Kritische Remotecodeausführung (2553428) | Wichtige Remotecodeausführung (2553428) | Nicht zutreffend | Nicht zutreffend | Kritisch |
| Microsoft Word 2010 Service Pack 2 (64-Bit-Editionen) | Wichtige Remotecodeausführung (2553428) | Kritische Remotecodeausführung (2553428) | Wichtige Remotecodeausführung (2553428) | Nicht zutreffend | Nicht zutreffend | Kritisch |
| Microsoft Office 2013 und Microsoft Office 2013 RT | ||||||
| Microsoft Word 2013 Service Pack 1 (32-Bit-Editionen) | Wichtige Remotecodeausführung (2965224) | Nicht zutreffend | Wichtige Remotecodeausführung (2965224) | Nicht zutreffend | Nicht zutreffend | Wichtig |
| Microsoft Word 2013 Service Pack 1 (64-Bit-Editionen) | Wichtige Remotecodeausführung (2965224) | Nicht zutreffend | Wichtige Remotecodeausführung (2965224) | Nicht zutreffend | Nicht zutreffend | Wichtig |
| Microsoft Word 2013 RT Service Pack 1 | Wichtige Remotecodeausführung (2965224) | Nicht zutreffend | Wichtige Remotecodeausführung (2965224) | Nicht zutreffend | Nicht zutreffend | Wichtig |
| Microsoft Office für Mac | ||||||
| Microsoft Outlook für Mac für Office 365 | Nicht zutreffend | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Nicht zutreffend | Wichtige Rechteerweiterung (3055707) |
| Microsoft Office 2011 für Mac | Nicht zutreffend | Nicht verfügbar | Nicht verfügbar | Nicht zutreffend | Wichtige Rechteerweiterung (3051737) | Wichtig |
| Microsoft Word 2011 für Mac | Wichtige Remotecodeausführung (3051737) | Nicht zutreffend | Nicht verfügbar | Nicht verfügbar | Nicht zutreffend | Wichtig |
| Andere Office-Software | ||||||
| Microsoft Word Viewer | Nicht zutreffend | Kritische Remotecodeausführung (2965289) | Wichtige Remotecodeausführung (2965289) | Kritische Remotecodeausführung (2965289) | Nicht zutreffend | Kritisch |
| Microsoft Office Compatibility Pack Service Pack 3 | Wichtige Remotecodeausführung (2965210) | Kritische Remotecodeausführung (2965210) | Wichtige Remotecodeausführung (2965210) | Kritische Remotecodeausführung (2965210) | Nicht zutreffend | Kritisch |
Microsoft Office Services und Web-Apps
| Bewertung des Schweregrads der Sicherheitsanfälligkeit und maximale Sicherheitsbeeinträchtigung durch betroffene Software | ||||||
|---|---|---|---|---|---|---|
| Betroffene Software | Sicherheitsanfälligkeit in Microsoft Office bezüglich Speicherbeschädigung – CVE-2015-1641 | Microsoft Office-Komponente nach kostenloser Sicherheitsanfälligkeit – CVE-2015-1649 | Verwendung der Microsoft Office-Komponente nach der kostenlosen Sicherheitsanfälligkeit – CVE-2015-1650 | Verwendung der Microsoft Office-Komponente nach der kostenlosen Sicherheitsanfälligkeit – CVE-2015-1651 | Sicherheitsanfälligkeit in Microsoft Outlook-App für Mac – CVE-2015-1639 | Bewertung des aggregierten Schweregrads |
| Microsoft SharePoint Server 2010 | ||||||
| Word Automation Services auf Microsoft SharePoint Server 2010 Service Pack 2 | Wichtige Remotecodeausführung (2553164) | Kritische Remotecodeausführung (2553164) | Wichtige Remotecodeausführung (2553164) | Nicht zutreffend | Nicht zutreffend | Kritisch |
| Microsoft SharePoint Server 2013 | ||||||
| Word Automation Services auf Microsoft SharePoint Server 2013 Service Pack 1 | Wichtige Remotecodeausführung (2965215) | Nicht zutreffend | Wichtige Remotecodeausführung (2965215) | Nicht zutreffend | Nicht zutreffend | Wichtig |
| Microsoft Office Web-Apps 2010 | ||||||
| Microsoft Office Web-Apps Server 2010 Service Pack 2 | Wichtige Remotecodeausführung (2965238) | Kritische Remotecodeausführung (2965238) | Wichtige Remotecodeausführung (2965238) | Nicht zutreffend | Nicht zutreffend | Kritisch |
| Microsoft Office Web-Apps 2013 | ||||||
| Microsoft Office Web-Apps Server 2013 Service Pack 1 | Wichtige Remotecodeausführung (2965306) | Nicht zutreffend | Wichtige Remotecodeausführung (2965306) | Nicht zutreffend | Nicht zutreffend | Wichtig |
Informationen zu Sicherheitsrisiken
Sicherheitsanfälligkeit in Microsoft Office bezüglich Speicherbeschädigung – CVE-2015-1641
Eine Sicherheitsanfälligkeit in Microsoft Office-Software zur Remotecodeausführung ist vorhanden, wenn die Office-Software rich-Text-Formatdateien im Arbeitsspeicher nicht ordnungsgemäß verarbeitet.
Ein Angreifer, der die Sicherheitsanfälligkeit erfolgreich ausgenutzt hat, kann eine speziell gestaltete Datei verwenden, um Aktionen im Sicherheitskontext des aktuellen Benutzers auszuführen. Die Datei kann dann beispielsweise Aktionen im Namen des angemeldeten Benutzers mit den gleichen Berechtigungen wie der aktuelle Benutzer ausführen.
Die Nutzung dieser Sicherheitsanfälligkeit erfordert, dass ein Benutzer eine speziell gestaltete Datei mit einer betroffenen Version von Microsoft Office-Software öffnet. In einem E-Mail-Angriffsszenario könnte ein Angreifer die Sicherheitsanfälligkeit ausnutzen, indem er die speziell gestaltete Datei an den Benutzer sendet und den Benutzer zum Öffnen der Datei überzeugt. In einem webbasierten Angriffsszenario könnte ein Angreifer eine Website hosten (oder eine kompromittierte Website nutzen, die vom Benutzer bereitgestellte Inhalte akzeptiert oder hostet), die eine speziell gestaltete Datei enthält, die für die Ausnutzung der Sicherheitsanfälligkeit konzipiert ist. Ein Angreifer hätte keine Möglichkeit, Benutzer zu erzwingen, die Website zu besuchen. Stattdessen müsste ein Angreifer die Benutzer davon überzeugen, dies zu besuchen, in der Regel durch Klicken auf einen Link in einem Instant Messenger oder einer E-Mail-Nachricht und dann davon überzeugen, die speziell gestaltete Datei zu öffnen.
Das Sicherheitsupdate behebt die Sicherheitsanfälligkeit, indem korrigiert wird, wie Office Dateien im Arbeitsspeicher verarbeitet.
Diese Sicherheitsanfälligkeit wurde öffentlich offengelegt. Ihr wurde die Nummer für allgemeine Sicherheitsanfälligkeit und Sicherheitsanfälligkeit CVE-2015-1641 zugewiesen. Microsoft ist sich der begrenzten Angriffe bewusst, die versuchen, diese Sicherheitsanfälligkeit auszunutzen.
Mildernde Faktoren
Microsoft hat keine mildernden Faktoren für diese Sicherheitsanfälligkeit identifiziert.
Problemumgehungen
Microsoft hat keine Problemumgehungen für diese Sicherheitsanfälligkeit identifiziert.
Mehrere Microsoft Office-Komponenten, die nach kostenlosen Sicherheitsrisiken verwendet werden
Remotecodeausführungsrisiken sind in Microsoft Office-Software vorhanden, die verursacht werden, wenn die Office-Software Objekte im Arbeitsspeicher nicht ordnungsgemäß verarbeitet, während speziell gestaltete Office-Dateien analysiert werden. Dadurch könnte der Systemspeicher so beschädigt werden, dass ein Angreifer beliebigen Code ausführen kann.
Ein Angreifer, der diese Sicherheitsanfälligkeiten erfolgreich ausgenutzt hat, kann beliebigen Code im Kontext des aktuellen Benutzers ausführen. Wenn der aktuelle Benutzer mit Administratorrechten angemeldet ist, kann ein Angreifer die vollständige Kontrolle über das betroffene System übernehmen. Ein Angreifer könnte dann Programme installieren, Daten anzeigen, ändern, oder löschen oder neue Konten mit uneingeschränkten Benutzerrechten anlegen. Für Benutzer, deren Konten mit weniger Benutzerrechten im System konfiguriert sind, sind die Auswirkungen normalerweise geringer als für Benutzer, die mit Administratorrechten arbeiten.
Die Nutzung dieser Sicherheitsanfälligkeiten erfordert, dass ein Benutzer eine speziell gestaltete Datei mit einer betroffenen Version von Microsoft Office-Software öffnet. In einem E-Mail-Angriffsszenario könnte ein Angreifer die Sicherheitsanfälligkeiten ausnutzen, indem er eine speziell gestaltete Datei an den Benutzer sendet und den Benutzer zum Öffnen der Datei überzeugt. In einem webbasierten Angriffsszenario könnte ein Angreifer eine Website hosten (oder eine kompromittierte Website nutzen, die vom Benutzer bereitgestellte Inhalte akzeptiert oder hostet), die eine speziell gestaltete Datei enthält, die für die Ausnutzung der Sicherheitsrisiken konzipiert ist. Ein Angreifer hätte keine Möglichkeit, Benutzer zu erzwingen, die Website zu besuchen. Stattdessen müsste ein Angreifer die Benutzer davon überzeugen, dies zu besuchen, in der Regel durch Klicken auf einen Link in einem Instant Messenger oder einer E-Mail-Nachricht und dann davon überzeugen, die speziell gestaltete Datei zu öffnen.
Das Sicherheitsupdate behebt die Sicherheitsanfälligkeiten, indem korrigiert wird, wie Microsoft Office speziell gestaltete Dateien analysiert.
Microsoft hat Informationen über die Sicherheitsanfälligkeit durch koordinierte Offenlegung von Sicherheitsrisiken erhalten. Als dieses Sicherheitsbulletin ausgestellt wurde, hatte Microsoft keine Informationen erhalten, um anzugeben, dass diese Sicherheitsanfälligkeit öffentlich für Angriffe auf Kunden verwendet wurde.
Die folgenden Tabellen enthalten Links zum Standardeintrag für jede Sicherheitsanfälligkeit in der Liste allgemeiner Sicherheitsanfälligkeiten und Expositionen:
| Titel der Sicherheitsanfälligkeit | CVE-Nummer | Öffentlich offengelegt | Genutzt |
|---|---|---|---|
| Verwendung der Microsoft Office-Komponente nach der kostenlosen Sicherheitsanfälligkeit | CVE-2015-1650 | No | No |
Beachten Sie, dass der Vorschaubereich ein Angriffsvektor für die folgenden Sicherheitsrisiken ist:
| Titel der Sicherheitsanfälligkeit | CVE-Nummer | Öffentlich offengelegt | Genutzt |
|---|---|---|---|
| Verwendung der Microsoft Office-Komponente nach der kostenlosen Sicherheitsanfälligkeit | CVE-2015-1649 | No | No |
| Verwendung der Microsoft Office-Komponente nach der kostenlosen Sicherheitsanfälligkeit | CVE-2015-1651 | No | No |
Mildernde Faktoren
Microsoft hat keine mildernden Faktoren für diese Sicherheitsanfälligkeit identifiziert.
Problemumgehungen
Microsoft hat keine Problemumgehungen für diese Sicherheitsanfälligkeit identifiziert.
Sicherheitsanfälligkeit in Microsoft Outlook-App für Mac – CVE-2015-1639
In der Microsoft Outlook für Mac-App ist eine Erhöhung der Berechtigungslücke vorhanden, die verursacht wird, wenn die Software HTML-Zeichenfolgen nicht ordnungsgemäß saniert.
Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausgenutzt hat, könnte Inhalte lesen, die der Angreifer nicht berechtigt ist, die Identität des Opfers zu lesen oder zu verwenden, um Aktionen auf der zielbezogenen Website oder Anwendung auszuführen.
Die Nutzung dieser Sicherheitsanfälligkeit erfordert, dass ein Benutzer speziell gestaltete Inhalte anzeigt, die dann ein Skript im Kontext des Benutzers ausführen können. In einem webbasierten Angriffsszenario kann ein Angreifer eine Website hosten (oder eine kompromittierte Website nutzen, die vom Benutzer bereitgestellte Inhalte akzeptiert oder hostet), die speziell gestaltete Inhalte enthält, die für die Ausnutzung der Sicherheitsanfälligkeit vorgesehen sind. Ein Angreifer hätte keine Möglichkeit, Benutzer zu erzwingen, die Website zu besuchen. Stattdessen müsste ein Angreifer die Benutzer davon überzeugen, dies zu besuchen, in der Regel durch Klicken auf einen Link in einem Instant Messenger oder einer E-Mail-Nachricht und dann davon überzeugen, die speziell gestaltete Datei zu öffnen.
Das Sicherheitsupdate behebt die Sicherheitsanfälligkeit, indem korrigiert wird, wie Microsoft Outlook für Mac HTML-Zeichenfolgen sanitiert.
Microsoft hat Informationen über die Sicherheitsanfälligkeit durch koordinierte Offenlegung von Sicherheitsrisiken erhalten. Als dieses Sicherheitsbulletin ausgestellt wurde, hatte Microsoft keine Informationen erhalten, um anzugeben, dass diese Sicherheitsanfälligkeit öffentlich für Angriffe auf Kunden verwendet wurde.
Mildernde Faktoren
Microsoft hat keine mildernden Faktoren für diese Sicherheitsanfälligkeit identifiziert.
Problemumgehungen
Microsoft hat keine Problemumgehungen für diese Sicherheitsanfälligkeit identifiziert.
Bereitstellung von Sicherheitsupdates
Informationen zur Bereitstellung von Sicherheitsupdates finden Sie im Microsoft Knowledge Base-Artikel, auf den in der Zusammenfassung der Geschäftsleitung verwiesen wird.
Danksagungen
Microsoft erkennt die Bemühungen derJenigen in der Sicherheitscommunity, die uns dabei helfen, Kunden durch koordinierte Offenlegung von Sicherheitsrisiken zu schützen. Weitere Informationen finden Sie unter "Bestätigungen ".
Haftungsausschluss
Die in der Microsoft Knowledge Base bereitgestellten Informationen werden ohne Jegliche Garantie bereitgestellt. Microsoft lehnt alle Gewährleistungen ab, entweder ausdrücklich oder impliziert, einschließlich der Gewährleistungen der Händlerbarkeit und Eignung für einen bestimmten Zweck. In keinem Fall haftet die Microsoft Corporation oder seine Lieferanten für jegliche Schäden, einschließlich direkter, indirekter, zufälliger, Folgeschäden, Verlust von Geschäftsgewinnen oder sonderschäden, auch wenn die Microsoft Corporation oder ihre Lieferanten über die Möglichkeit solcher Schäden informiert wurden. Einige Staaten lassen den Ausschluss oder die Haftungsbeschränkung für Folge- oder Nebenschäden nicht zu, sodass die vorstehende Einschränkung möglicherweise nicht gilt.
Revisionen
- V1.0 (14. April 2015): Bulletin veröffentlicht.
- V1.1 (21. April 2015): Überarbeitetes Bulletin, um eine Erkennungsänderung für das 2553428 Update für unterstützte Editionen von Microsoft Word 2010 bekanntzugeben. Es wurden keine Änderungen an den Updatedateien vorgenommen. Kunden, die ihre Systeme bereits erfolgreich aktualisiert haben, müssen keine Maßnahmen ergreifen.
Seite generiert 2015-04-21 12:50Z-07:00.