Microsoft Security Bulletin MS15-044 – Kritisch

Veröffentlicht: 12. Mai 2015 | Aktualisiert: 23. Juni 2015

Version: 2.1

Dieses Sicherheitsupdate behebt Sicherheitsrisiken in Microsoft Windows, Microsoft .NET Framework, Microsoft Office, Microsoft Lync und Microsoft Silverlight. Die schwerwiegendsten Sicherheitsrisiken könnten remotecodeausführung zulassen, wenn ein Benutzer ein speziell gestaltetes Dokument öffnet oder eine nicht vertrauenswürdige Webseite besucht, die eingebettete TrueType-Schriftarten enthält.

Dieses Sicherheitsupdate ist für unterstützte Versionen von Microsoft Windows und allen betroffenen Editionen von Microsoft .NET Framework, Microsoft Office, Microsoft Lync und Microsoft Silverlight kritisch bewertet. Weitere Informationen finden Sie im Abschnitt "Betroffene Software" .

Das Sicherheitsupdate behebt die Sicherheitsanfälligkeiten, indem korrigiert wird, wie die Windows DirectWrite-Bibliothek OpenType- und TrueType-Schriftarten behandelt. Weitere Informationen zu den Sicherheitsrisiken finden Sie im Abschnitt "Sicherheitsrisikoinformationen ".

Weitere Informationen zu diesem Update finden Sie im Microsoft Knowledge Base-Artikel 3057110.

Die folgenden Softwareversionen oder Editionen sind betroffen. Versionen oder Editionen, die nicht aufgeführt sind, sind entweder über ihren Supportlebenszyklus oder nicht betroffen. Informationen zum Ermitteln des Supportlebenszyklus für Ihre Softwareversion oder -edition finden Sie unter Microsoft-Support Lifecycle.

Die für jede betroffene Software angegebenen Schweregradbewertungen gehen von der potenziellen maximalen Auswirkung der Sicherheitsanfälligkeit aus. Informationen zur Wahrscheinlichkeit, dass innerhalb von 30 Tagen nach der Veröffentlichung dieses Sicherheitsbulletins die Ausnutzbarkeit der Sicherheitsanfälligkeit in Bezug auf die Schweregradbewertung und die Sicherheitsauswirkungen besteht, lesen Sie bitte den Exploitability Index in der Bulletinzusammenfassung vom Mai.

HinweisUpdates sind für Windows Technical Preview und Windows Server Technical Preview verfügbar. Kunden, die Preview-Editionen ausführen, werden empfohlen, die Updates anzuwenden, die über Windows Update bereitgestellt werden. Updates sind auch für Microsoft .NET Framework 4.6 RC verfügbar, die nur über das Microsoft Download Center verfügbar sind.

^[1]. Net Framework 4 und .NET Framework 4 Client Profile betroffen.

^[2]Dieses Update ist nur über Windows Update verfügbar.

^[1]Dieses Update ist nur im Microsoft Download Center verfügbar.

Warum werden einige der Updatedateien in diesem Bulletin auch in anderen Bulletins aufgeführt, die im Mai veröffentlicht wurden?
Einige der in diesem Bulletin aufgeführten Updatedateien werden auch in anderen Bulletins bezeichnet, die im Mai aufgrund überlappender betroffener Software veröffentlicht werden. Obwohl die verschiedenen Bulletins separate Sicherheitsrisiken behandeln, wurden die Sicherheitsupdates nach Möglichkeit und angemessen konsolidiert, weshalb das Auftreten einiger identischer Updatedateien in mehreren Bulletins vorhanden ist.

Beachten Sie, dass identische Updatedateien, die mit mehreren Bulletins versenden, nicht mehr als einmal installiert werden müssen.

Für einige der betroffenen Software stehen mehrere Updatepakete zur Verfügung. Muss ich alle updates installieren, die in der Tabelle "Betroffene Software" für die Software aufgeführt sind?
Ja. Kunden sollten alle updates anwenden, die für die auf ihren Systemen installierte Software angeboten werden. Wenn mehrere Updates angewendet werden, können sie in beliebiger Reihenfolge installiert werden.

Gewusst wie bestimmen, welche Version von Microsoft .NET Framework installiert ist?
Sie können mehrere Versionen von .NET Framework auf einem System installieren und ausführen, und Sie können die Versionen in beliebiger Reihenfolge installieren. Weitere Informationen finden Sie im Microsoft Knowledge Base-Artikel 318785.

Was ist der Unterschied zwischen .NET Framework 4 und .NET Framework 4 Client Profile?
Die .NET Framework Version 4 redistributable packages are available in two profiles: .NET Framework 4 and .NET Framework 4 Client Profile. Das .NET Framework 4-Clientprofil ist eine Teilmenge des .NET Framework 4-Profils, das für Clientanwendungen optimiert ist. Sie bietet Funktionen für die meisten Clientanwendungen, einschließlich Windows Presentation Foundation (WPF), Windows Forms, Windows Communication Foundation (WCF) und ClickOnce-Features. Dies ermöglicht eine schnellere Bereitstellung und ein kleineres Installationspaket für Anwendungen, die auf .NET Framework 4 Client Profile abzielen. Weitere Informationen finden Sie im MSDN-Artikel .NET Framework-Clientprofil.

Muss ich diese Sicherheitsupdates in einer bestimmten Sequenz installieren?
Nein Mehrere Updates für ein bestimmtes System können in einer beliebigen Reihenfolge angewendet werden.

Ich werde ein Microsoft Office-Update für Software angeboten, das nicht speziell in der Tabelle "Betroffene Software" aufgeführt ist. Warum wird dieses Update angeboten?
Wenn Updates anfälligen Code behandeln, der in einer Komponente vorhanden ist, die zwischen mehreren Microsoft Office-Produkten oder zwischen mehreren Versionen desselben Microsoft Office-Produkts gemeinsam genutzt wird, gilt das Update als für alle unterstützten Produkte und Versionen, die die anfällige Komponente enthalten.

Wenn beispielsweise ein Update für Microsoft Office 2007-Produkte gilt, kann nur Microsoft Office 2007 in der Tabelle "Betroffene Software" aufgeführt sein. Das Update kann jedoch auf Microsoft Word 2007, Microsoft Excel 2007, Microsoft Visio 2007, Microsoft Compatibility Pack, Microsoft Excel Viewer oder ein anderes Microsoft Office 2007-Produkt angewendet werden, das nicht speziell in der Tabelle "Betroffene Software" aufgeführt ist. Wenn ein Update für Microsoft Office 2010-Produkte gilt, kann nur Microsoft Office 2010 speziell in der Tabelle "Betroffene Software" aufgeführt werden. Das Update kann jedoch auf Microsoft Word 2010, Microsoft Excel 2010, Microsoft Visio 2010, Microsoft Visio Viewer oder ein anderes Microsoft Office 2010-Produkt angewendet werden, das nicht ausdrücklich in der Tabelle "Betroffene Software" aufgeführt ist.

Weitere Informationen zu diesem Verhalten und empfohlenen Aktionen finden Sie im Microsoft Knowledge Base-Artikel 830335. Eine Liste der Microsoft Office-Produkte, auf die ein Update angewendet werden kann, finden Sie im Microsoft Knowledge Base-Artikel, der dem jeweiligen Update zugeordnet ist.

Ich verwende Office 2010, das als betroffene Software aufgeführt ist. Warum wird das Update nicht angeboten?
Das Update wird nur Systemen angeboten, die Microsoft Office 2010 unter unterstützten Editionen von Windows Server 2003 ausführen. Das Update gilt nicht für andere unterstützte Konfigurationen, da der anfällige Code nicht vorhanden ist.

Gibt es verwandte nicht sicherheitsrelevante Updates, die Kunden zusammen mit dem Sicherheitsupdate der Microsoft Live Meeting Console installieren sollten?
Ja, zusätzlich zur Veröffentlichung eines Sicherheitsupdates für die Microsoft Live Meeting Console hat Microsoft die folgenden nicht sicherheitsrelevanten Updates für das OCS-Konferenz-Add-In für Outlook veröffentlicht. Gegebenenfalls empfiehlt Microsoft, dass Kunden diese Updates installieren, um ihre Systeme auf dem neuesten Stand zu halten:

• OCS-Konferenz-Add-In für Outlook (32-Bit) (3051468)
• OCS-Konferenz-Add-In für Outlook (64-Bit) (3051468)

Weitere Informationen finden Sie im Microsoft Knowledge Base-Artikel 3051468 .

Warum ist das Update für Lync 2010 Attendee (Installation auf Benutzerebene) nur im Microsoft Download Center verfügbar?
Microsoft veröffentlicht das Update nur für Lync 2010 Attendee (Installation auf Benutzerebene) im Microsoft Download Center . Da die Installation von Lync 2010 Attendee auf Benutzerebene über eine Lync-Sitzung behandelt wird, sind Verteilungsmethoden wie automatische Aktualisierungen für diese Art von Installationsszenario nicht geeignet.

Welche Webbrowser unterstützen Microsoft Silverlight-Anwendungen?
Um Microsoft Silverlight-Anwendungen auszuführen, müssen die meisten Webbrowser, einschließlich Microsoft Internet Explorer, Microsoft Silverlight installiert und das entsprechende Plug-In aktiviert werden. Weitere Informationen zu Microsoft Silverlight finden Sie auf der offiziellen Website von Microsoft Silverlight. Weitere Informationen zum Deaktivieren oder Entfernen von Plug-Ins finden Sie in der Dokumentation Ihres Browsers.

Welche Versionen von Microsoft Silverlight 5 sind von der Sicherheitsanfälligkeit betroffen?
Microsoft Silverlight Build 5.1.40416.00, der der aktuelle Build von Microsoft Silverlight ab dem Zeitpunkt der ersten Veröffentlichung dieses Bulletins war, behebt die Sicherheitsanfälligkeit und ist nicht betroffen. Builds von Microsoft Silverlight vor 5.1.40416.00 sind betroffen.

Gewusst wie wissen, welche Version und welcher Build von Microsoft Silverlight derzeit auf meinem System installiert ist?
Wenn Microsoft Silverlight bereits auf Ihrem Computer installiert ist, können Sie die Seite "Microsoft Silverlight abrufen" aufrufen, die angibt, welche Version und welcher Build von Microsoft Silverlight derzeit auf Ihrem System installiert ist. Alternativ können Sie das Feature "Add-Ons verwalten" der aktuellen Versionen von Microsoft Internet Explorer verwenden, um die Version zu ermitteln und Informationen zu erstellen, die derzeit auf Ihrem System installiert sind.

Sie können auch die Versionsnummer von sllauncher.exe im Verzeichnis "%ProgramFiles%\Microsoft Silverlight" (auf x86 Microsoft Windows-Systemen) oder im Verzeichnis "%ProgramFiles(x86)%\Microsoft Silverlight" (auf x64 Microsoft Windows-Systemen) manuell überprüfen.

Darüber hinaus finden Sie unter Microsoft Windows die Versions- und Buildinformationen der aktuell installierten Version von Microsoft Silverlight in der Registrierung unter [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Silverlight]:Version auf x86 Microsoft Windows-Systemen oder [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Silverlight]:Version auf x64 Microsoft Windows-Systemen.

Unter Apple Mac OS finden Sie die Versions- und Buildinformationen der aktuell installierten Version von Microsoft Silverlight wie folgt:

1. Öffnen des Finders
2. Wählen Sie das Systemlaufwerk aus, und wechseln Sie zum Ordner Internet-Plug-Ins - Bibliothek
3. Klicken Sie mit der rechten Maustaste auf die Datei Silverlight.Plugin (wenn die Maus nur eine Schaltfläche hat, drücken Sie beim Klicken auf die Datei die STRG-TASTE ), um das Kontextmenü anzuzeigen, und klicken Sie dann auf "Paketinhalte anzeigen".
4. Suchen Sie im Inhaltsordner nach der Datei "info.plist ", und öffnen Sie sie mit einem Editor. Er enthält einen Eintrag wie folgt, der ihnen die Versionsnummer anzeigt:
   SilverlightVersion
   5.1.40416.00

Die mit diesem Sicherheitsupdate für Microsoft Silverlight 5 installierte Version ist 5.1.40416.00. Wenn Ihre Versionsnummer von Microsoft Silverlight 5 höher oder gleich dieser Versionsnummer ist, ist Ihr System nicht anfällig.

Gewusst wie Aktualisieren meiner Version von Microsoft Silverlight?
Das Feature für automatische Updates von Microsoft Silverlight hilft sicherzustellen, dass Ihre Microsoft Silverlight-Installation mit der neuesten Version von Microsoft Silverlight, Microsoft Silverlight-Funktionen und Sicherheitsfeatures auf dem neuesten Stand gehalten wird. Weitere Informationen zum Automatischen Aktualisieren von Microsoft Silverlight finden Sie im Microsoft Silverlight Updater. Windows-Benutzer, die das Feature für automatische Updates von Microsoft Silverlight deaktiviert haben, können sich bei Microsoft Update registrieren, um die neueste Version von Microsoft Silverlight zu erhalten, oder die neueste Version von Microsoft Silverlight manuell mithilfe des Downloadlinks in der Tabelle "Betroffene Software" im vorherigen Abschnitt, betroffene und nicht betroffene Software herunterladen. Informationen zum Bereitstellen von Microsoft Silverlight in einer Unternehmensumgebung finden Sie im Silverlight Enterprise-Bereitstellungshandbuch.

Wird dieses Update meine Version von Silverlight aktualisieren?
Das 3056819 aktualisieren frühere Versionen von Silverlight auf Silverlight, Version 5.1.40416.00. Microsoft empfiehlt, ein Upgrade auf die in diesem Bulletin beschriebene Sicherheitsanfälligkeit zu aktualisieren.

Wo finde ich zusätzliche Informationen zum Silverlight-Produktlebenszyklus?
Informationen zum Lebenszyklus, die für Silverlight spezifisch sind, finden Sie in der Microsoft Silverlight-Support-Lifecycle-Richtlinie.

Eine Sicherheitslücke zur Offenlegung von Informationen ist in Microsoft Windows vorhanden, wenn die Windows DirectWrite-Bibliothek OpenType-Schriftarten nicht ordnungsgemäß behandelt. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausgenutzt hat, konnte potenziell Daten lesen, die nicht offengelegt werden sollen. Beachten Sie, dass diese Sicherheitsanfälligkeit es einem Angreifer nicht gestatten würde, Code auszuführen oder seine Benutzerrechte direkt zu erhöhen, es könnte jedoch verwendet werden, um Informationen zu erhalten, mit denen versucht werden könnte, das betroffene System weiter zu kompromittieren.

Um die Sicherheitsanfälligkeit auszunutzen, könnte ein Angreifer eine speziell gestaltete Website hosten, die darauf ausgelegt ist, die Sicherheitsanfälligkeit auszunutzen, und dann einen Benutzer davon überzeugen, die Website anzuzeigen. Dies kann auch kompromittierte Websites und Websites umfassen, die vom Benutzer bereitgestellte Inhalte oder Werbung akzeptieren oder hosten. In allen Fällen hätte ein Angreifer jedoch keine Möglichkeit, Benutzer zu erzwingen, solche Websites zu besuchen. Stattdessen müsste ein Angreifer die Benutzer davon überzeugen, eine Website zu besuchen, in der Regel durch Verlockungen in Instant Messenger oder E-Mail-Nachrichten.

Das Update behebt die Sicherheitsanfälligkeit, indem korrigiert wird, wie die Windows DirectWrite-Bibliothek OpenType-Schriftarten behandelt. Microsoft hat Informationen über die Sicherheitsanfälligkeit durch koordinierte Offenlegung von Sicherheitsrisiken erhalten. Als dieses Sicherheitsbulletin ausgestellt wurde, hatte Microsoft keine Informationen erhalten, um anzugeben, dass diese Sicherheitsanfälligkeit öffentlich für Angriffe auf Kunden verwendet wurde.

Microsoft hat keine mildernden Faktoren für diese Sicherheitsanfälligkeit identifiziert.

Microsoft hat keine Problemumgehungen für diese Sicherheitsanfälligkeit identifiziert.

Eine Sicherheitslücke zur Remotecodeausführung ist vorhanden, wenn Komponenten von Windows, .NET Framework, Office, Lync und Silverlight trueType-Schriftarten nicht ordnungsgemäß verarbeiten. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausgenutzt hat, kann die vollständige Kontrolle über das betroffene System übernehmen. Ein Angreifer könnte dann Programme installieren, Daten anzeigen, ändern, oder löschen oder neue Konten mit uneingeschränkten Benutzerrechten anlegen.

Es gibt mehrere Möglichkeiten, wie ein Angreifer diese Sicherheitsanfälligkeit ausnutzen könnte, z. B. indem ein Benutzer dazu überzeugt wird, ein speziell gestaltetes Dokument zu öffnen oder zu überzeugen, eine nicht vertrauenswürdige Webseite zu besuchen, die eingebettete TrueType-Schriftarten enthält.

Das Update behebt die Sicherheitsanfälligkeit, indem korrigiert wird, wie die Windows DirectWrite-Bibliothek TrueType-Schriftarten behandelt. Microsoft hat Informationen über die Sicherheitsanfälligkeit durch koordinierte Offenlegung von Sicherheitsrisiken erhalten. Als dieses Sicherheitsbulletin ausgestellt wurde, hatte Microsoft keine Informationen erhalten, um anzugeben, dass diese Sicherheitsanfälligkeit öffentlich für Angriffe auf Kunden verwendet wurde.

Microsoft hat keine mildernden Faktoren für diese Sicherheitsanfälligkeit identifiziert.

Microsoft hat keine Problemumgehungen für diese Sicherheitsanfälligkeit identifiziert.

Informationen zur Bereitstellung von Sicherheitsupdates finden Sie im Microsoft Knowledge Base-Artikel, auf den in der Zusammenfassung der Geschäftsleitung verwiesen wird.

Microsoft erkennt die Bemühungen derJenigen in der Sicherheitscommunity, die uns dabei helfen, Kunden durch koordinierte Offenlegung von Sicherheitsrisiken zu schützen. Weitere Informationen finden Sie unter "Bestätigungen ".

Die in der Microsoft Knowledge Base bereitgestellten Informationen werden ohne Jegliche Garantie bereitgestellt. Microsoft lehnt alle Gewährleistungen ab, entweder ausdrücklich oder impliziert, einschließlich der Gewährleistungen der Händlerbarkeit und Eignung für einen bestimmten Zweck. In keinem Fall haftet die Microsoft Corporation oder seine Lieferanten für jegliche Schäden, einschließlich direkter, indirekter, zufälliger, Folgeschäden, Verlust von Geschäftsgewinnen oder sonderschäden, auch wenn die Microsoft Corporation oder ihre Lieferanten über die Möglichkeit solcher Schäden informiert wurden. Einige Staaten lassen den Ausschluss oder die Haftungsbeschränkung für Folge- oder Nebenschäden nicht zu, sodass die vorstehende Einschränkung möglicherweise nicht gilt.

• V1.0 (12. Mai 2015): Bulletin veröffentlicht.
• V2.0 (21. Mai 2015): Bulletin überarbeitet, um die Verfügbarkeit eines neuen Updates (3065979) bekanntzugeben, das ein bekanntes Problem behebt, das einige Kunden nach der Installation des 3045171 Sicherheitsupdates auf allen unterstützten Editionen von Windows 7/Windows 2008 R2 und früheren Systemen erlebt haben. Das 3045171 Sicherheitsupdates führt dazu, dass Kundenanwendungen abstürzen, während sie versuchen, textkonturbasierte Pfadobjekte mit GDI+ zu erstellen. Kunden, die dieses bekannte Problem haben, können das Problem beheben, indem Sie das 3065979 Update installieren. Weitere Informationen und Downloadlinks finden Sie im Microsoft Knowledge Base-Artikel 3065979 .
• V2.1 (23. Juni 2015): Bulletin überarbeitet, um eine Erkennungsänderung im 3056819 Update für Microsoft Silverlight 5 anzukündigen. Dies ist nur eine Erkennungsänderung. Kunden, die ihre Systeme bereits erfolgreich aktualisiert haben, müssen keine Maßnahmen ergreifen.

Seite generiert 2016-08-29 09:25-07:00.