Microsoft Security Bulletin MS15-084 – Wichtig
Sicherheitsrisiken in XML Core Services könnten die Offenlegung von Informationen zulassen (3080129)
Veröffentlicht: 11. August 2015
Version: 1.0
Kurzfassung
Dieses Sicherheitsupdate behebt Sicherheitsrisiken in Microsoft Windows und Microsoft Office. Die Sicherheitsrisiken könnten die Offenlegung von Informationen ermöglichen, indem entweder Speicheradressen verfügbar werden, wenn ein Benutzer auf einen speziell gestalteten Link klickt oder explizit die Verwendung von SSL (Secure Sockets Layer) 2.0 zulässt. In allen Fällen hätte ein Angreifer jedoch keine Möglichkeit, Benutzer zu zwingen, auf einen speziell gestalteten Link zu klicken. Ein Angreifer müsste Benutzer davon überzeugen, auf den Link zu klicken, in der Regel durch eine Verlockung in einer E-Mail- oder Instant Messenger-Nachricht.
Dieses Sicherheitsupdate ist für die folgende Software als wichtig eingestuft:
- Microsoft XML Core Services 3.0 und Microsoft XML Core Services 6.0 für alle unterstützten Versionen von Microsoft Windows mit Ausnahme von Windows 10, was nicht betroffen ist.
- Microsoft XML Core Services 5.0 unter Microsoft Office 2007 Service Pack 3
- Microsoft XML Core Services 5.0 für Microsoft InfoPath 2007 Service Pack 3
Weitere Informationen finden Sie im Abschnitt "Betroffene Software" .
Das Sicherheitsupdate behebt die Sicherheitsanfälligkeiten, indem geändert wird, wie Microsoft XML Core Services Daten zurückgibt, die von der API angefordert werden, und indem MSXML so konfiguriert wird, dass standardmäßig sicherere Netzwerkprotokolle verwendet werden. Weitere Informationen zu den Sicherheitsrisiken finden Sie im Abschnitt "Sicherheitsrisikoinformationen ".
Weitere Informationen zu diesem Update finden Sie im Microsoft Knowledge Base-Artikel 3080129.
Betroffene Software
Die folgenden Softwareversionen oder Editionen sind betroffen. Versionen oder Editionen, die nicht aufgeführt sind, sind entweder über ihren Supportlebenszyklus oder nicht betroffen. Informationen zum Ermitteln des Supportlebenszyklus für Ihre Softwareversion oder -edition finden Sie unter Microsoft-Support Lifecycle.
Microsoft Windows
| Betriebssystem | Komponente | Maximale Sicherheitswirkung | Bewertung des aggregierten Schweregrads | Ersetzte Updates |
|---|---|---|---|---|
| Windows Vista | ||||
| Windows Vista Service Pack 2 (3076895) | Microsoft XML Core Services 3.0 und Microsoft XML Core Services 6.0 | Veröffentlichung von Informationen | Wichtig | 3046482 in MS15-039 2939576 in MS14-033 |
| Windows Vista x64 Edition Service Pack 2 (3076895) | Microsoft XML Core Services 3.0 und Microsoft XML Core Services 6.0 | Veröffentlichung von Informationen | Wichtig | 3046482 in MS15-039 2939576 in MS14-033 |
| Windows Server 2008 | ||||
| Windows Server 2008 für 32-Bit-Systeme Service Pack 2 (3076895) | Microsoft XML Core Services 3.0 und Microsoft XML Core Services 6.0 | Veröffentlichung von Informationen | Wichtig | 3046482 in MS15-039 2939576 in MS14-033 |
| Windows Server 2008 für x64-basierte Systeme Service Pack 2 (3076895) | Microsoft XML Core Services 3.0 und Microsoft XML Core Services 6.0 | Veröffentlichung von Informationen | Wichtig | 3046482 in MS15-039 2939576 in MS14-033 |
| Windows Server 2008 für Itanium-basierte Systeme Service Pack 2 (3076895) | Microsoft XML Core Services 3.0 und Microsoft XML Core Services 6.0 | Veröffentlichung von Informationen | Wichtig | 3046482 in MS15-039 2939576 in MS14-033 |
| Windows 7 | ||||
| Windows 7 für 32-Bit-Systeme Service Pack 1 (3076895) | Microsoft XML Core Services 3.0 und Microsoft XML Core Services 6.0 | Veröffentlichung von Informationen | Wichtig | 3046482 in MS15-039 2939576 in MS14-033 |
| Windows 7 für x64-basierte Systeme Service Pack 1 (3076895) | Microsoft XML Core Services 3.0 und Microsoft XML Core Services 6.0 | Veröffentlichung von Informationen | Wichtig | 3046482 in MS15-039 2939576 in MS14-033 |
| Windows Server 2008 R2 | ||||
| Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1 (3076895) | Microsoft XML Core Services 3.0 und Microsoft XML Core Services 6.0 | Veröffentlichung von Informationen | Wichtig | 3046482 in MS15-039 2939576 in MS14-033 |
| Windows Server 2008 R2 für Itanium-basierte Systeme Service Pack 1 (3076895) | Microsoft XML Core Services 3.0 und Microsoft XML Core Services 6.0 | Veröffentlichung von Informationen | Wichtig | 3046482 in MS15-039 2939576 in MS14-033 |
| Windows 8 und Windows 8.1 | ||||
| Windows 8 für 32-Bit-Systeme (3076895) | Microsoft XML Core Services 3.0 und Microsoft XML Core Services 6.0 | Veröffentlichung von Informationen | Wichtig | 2939576 in MS14-033 |
| Windows 8 für x64-basierte Systeme (3076895) | Microsoft XML Core Services 3.0 und Microsoft XML Core Services 6.0 | Veröffentlichung von Informationen | Wichtig | 2939576 in MS14-033 |
| Windows 8.1 für 32-Bit-Systeme (3076895) | Microsoft XML Core Services 3.0 und Microsoft XML Core Services 6.0 | Veröffentlichung von Informationen | Wichtig | 2939576 in MS14-033 |
| Windows 8.1 für x64-basierte Systeme (3076895) | Microsoft XML Core Services 3.0 und Microsoft XML Core Services 6.0 | Veröffentlichung von Informationen | Wichtig | 2939576 in MS14-033 |
| Windows Server 2012 und Windows Server 2012 R2 | ||||
| Windows Server 2012 (3076895) | Microsoft XML Core Services 3.0 und Microsoft XML Core Services 6.0 | Veröffentlichung von Informationen | Wichtig | 2939576 in MS14-033 |
| Windows Server 2012 R2 (3076895) | Microsoft XML Core Services 3.0 und Microsoft XML Core Services 6.0 | Veröffentlichung von Informationen | Wichtig | 2939576 in MS14-033 |
| Windows RT und Windows RT 8.1 | ||||
| Windows RT[1](3076895) | Microsoft XML Core Services 3.0 und Microsoft XML Core Services 6.0 | Veröffentlichung von Informationen | Wichtig | 2939576 in MS14-033 |
| Windows RT 8.1[1](3076895) | Microsoft XML Core Services 3.0 und Microsoft XML Core Services 6.0 | Veröffentlichung von Informationen | Wichtig | 2939576 in MS14-033 |
| Server Core-Installationsoption | ||||
| Windows Server 2008 für 32-Bit-Systeme Service Pack 2 (Server Core-Installation) (3076895) | Microsoft XML Core Services 3.0 und Microsoft XML Core Services 6.0 | Veröffentlichung von Informationen | Wichtig | 3046482 in MS15-039 2939576 in MS14-033 |
| Windows Server 2008 für x64-basierte Systeme Service Pack 2 (Server Core-Installation) (3076895) | Microsoft XML Core Services 3.0 und Microsoft XML Core Services 6.0 | Veröffentlichung von Informationen | Wichtig | 3046482 in MS15-039 2939576 in MS14-033 |
| Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1 (Server Core-Installation) (3076895) | Microsoft XML Core Services 3.0 und Microsoft XML Core Services 6.0 | Veröffentlichung von Informationen | Wichtig | 3046482 in MS15-039 2939576 in MS14-033 |
| Windows Server 2012 (Server Core-Installation) (3076895) | Microsoft XML Core Services 3.0 und Microsoft XML Core Services 6.0 | Veröffentlichung von Informationen | Wichtig | 2939576 in MS14-033 |
| Windows Server 2012 R2 (Server Core-Installation) (3076895) | Microsoft XML Core Services 3.0 und Microsoft XML Core Services 6.0 | Veröffentlichung von Informationen | Wichtig | 2939576 in MS14-033 |
[1]Dieses Update ist nur über Windows Update verfügbar.
*Die Spalte "Updates ersetzt" zeigt nur das neueste Update in einer Kette von abgelösten Updates an. Um eine umfassende Liste der ersetzten Updates zu erhalten, wechseln Sie zum Microsoft Update-Katalog, suchen Sie nach der KB-Nummer des Updates, und zeigen Sie dann Updatedetails an (Updates ersetzte Informationen befinden sich auf der Registerkarte "Paketdetails").
Hinweis: Windows Server Technical Preview 2 ist betroffen. Kunden, die dieses Betriebssystem ausführen, werden aufgefordert, das Update anzuwenden, das über Windows Update verfügbar ist.
Microsoft Office
| Office-Software | Komponente | Maximale Sicherheitswirkung | Bewertung des aggregierten Schweregrads | Ersetzte Updates |
|---|---|---|---|---|
| Microsoft Office-Suites und -Komponenten | ||||
| Microsoft Office 2007 Service Pack 3 (2825645) | Microsoft XML Core Services 5.0 | Veröffentlichung von Informationen | Wichtig | 2687499 in MS13-002 |
| Andere Microsoft Office-Software | ||||
| Microsoft InfoPath 2007 Service Pack 3 (2825645) | Microsoft XML Core Services 5.0 | Veröffentlichung von Informationen | Wichtig | 2687499 in MS13-002 |
*Die Spalte "Updates ersetzt" zeigt nur das neueste Update in einer Kette von abgelösten Updates an. Um eine umfassende Liste der ersetzten Updates zu erhalten, wechseln Sie zum Microsoft Update-Katalog, suchen Sie nach der KB-Nummer des Updates, und zeigen Sie dann Updatedetails an (Updates ersetzte Informationen befinden sich auf der Registerkarte "Paketdetails").
Schweregradbewertungen und Sicherheitslücken-IDs
Die folgenden Schweregradbewertungen gehen von der potenziellen maximalen Auswirkung der Sicherheitsanfälligkeit aus. Informationen zur Wahrscheinlichkeit, dass innerhalb von 30 Tagen nach der Veröffentlichung dieses Sicherheitsbulletins die Ausnutzbarkeit der Sicherheitsanfälligkeit in Bezug auf die Schweregradbewertung und die Sicherheitsauswirkungen besteht, lesen Sie bitte den Exploitability Index in der Zusammenfassung des Bulletins august.
| Bewertung des Schweregrads der Sicherheitsanfälligkeit und maximale Sicherheitsbeeinträchtigung durch betroffene Software | ||||
|---|---|---|---|---|
| Betroffene Software | MSXML Information Disclosure Vulnerability – CVE-2015-2434 | MSXML Information Disclosure Vulnerability – CVE-2015-2440 | MSXML Information Disclosure Vulnerability – CVE-2015-2471 | Bewertung des aggregierten Schweregrads |
| Windows Vista | ||||
| Microsoft XML Core Services 3.0 unter Windows Vista Service Pack 2 (3076895) | Wichtige Offenlegung von Informationen | Wichtige Offenlegung von Informationen | Wichtige Offenlegung von Informationen | Wichtig |
| Microsoft XML Core Services 3.0 unter Windows Vista x64 Edition Service Pack 2 (3076895) | Wichtige Offenlegung von Informationen | Wichtige Offenlegung von Informationen | Wichtige Offenlegung von Informationen | Wichtig |
| Microsoft XML Core Services 6.0 unter Windows Vista x64 Edition Service Pack 2 (3076895) | Nicht zutreffend | Wichtige Offenlegung von Informationen | Nicht zutreffend | Wichtig |
| Windows Server 2008 | ||||
| Microsoft XML Core Services 3.0 unter Windows Server 2008 für 32-Bit-Systeme Service Pack 2 (3076895) | Wichtige Offenlegung von Informationen | Wichtige Offenlegung von Informationen | Wichtige Offenlegung von Informationen | Wichtig |
| Microsoft XML Core Services 6.0 unter Windows Server 2008 für 32-Bit-Systeme Service Pack 2 (3076895) | Nicht zutreffend | Wichtige Offenlegung von Informationen | Nicht zutreffend | Wichtig |
| Microsoft XML Core Services 3.0 unter Windows Server 2008 für x64-basierte Systeme Service Pack 2 (3076895) | Wichtige Offenlegung von Informationen | Wichtige Offenlegung von Informationen | Wichtige Offenlegung von Informationen | Wichtig |
| Microsoft XML Core Services 6.0 unter Windows Server 2008 für x64-basierte Systeme Service Pack 2 (3076895) | Nicht zutreffend | Wichtige Offenlegung von Informationen | Nicht zutreffend | Wichtig |
| Microsoft XML Core Services 3.0 unter Windows Server 2008 für Itanium-basierte Systeme Service Pack 2 (3076895) | Wichtige Offenlegung von Informationen | Wichtige Offenlegung von Informationen | Wichtige Offenlegung von Informationen | Wichtig |
| Microsoft XML Core Services 6.0 unter Windows Server 2008 für Itanium-basierte Systeme Service Pack 2 (3076895) | Nicht zutreffend | Wichtige Offenlegung von Informationen | Nicht zutreffend | Wichtig |
| Windows 7 | ||||
| Microsoft XML Core Services 3.0 unter Windows 7 für 32-Bit-Systeme Service Pack 1 (3076895) | Wichtige Offenlegung von Informationen | Wichtige Offenlegung von Informationen | Wichtige Offenlegung von Informationen | Wichtig |
| Microsoft XML Core Services 6.0 unter Windows 7 für 32-Bit-Systeme Service Pack 1 (3076895) | Nicht zutreffend | Wichtige Offenlegung von Informationen | Nicht zutreffend | Wichtig |
| Microsoft XML Core Services 3.0 unter Windows 7 für x64-basierte Systeme Service Pack 1 (3076895) | Wichtige Offenlegung von Informationen | Wichtige Offenlegung von Informationen | Wichtige Offenlegung von Informationen | Wichtig |
| Microsoft XML Core Services 6.0 unter Windows 7 für x64-basierte Systeme Service Pack 1 (3076895) | Nicht zutreffend | Wichtige Offenlegung von Informationen | Nicht zutreffend | Wichtig |
| Windows Server 2008 R2 | ||||
| Microsoft XML Core Services 3.0 unter Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1 (3076895) | Wichtige Offenlegung von Informationen | Wichtige Offenlegung von Informationen | Wichtige Offenlegung von Informationen | Wichtig |
| Microsoft XML Core Services 6.0 unter Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1 (3076895) | Nicht zutreffend | Wichtige Offenlegung von Informationen | Nicht zutreffend | Wichtig |
| Microsoft XML Core Services 3.0 unter Windows Server 2008 R2 für Itanium-basierte Systeme Service Pack 1 (3076895) | Wichtige Offenlegung von Informationen | Wichtige Offenlegung von Informationen | Wichtige Offenlegung von Informationen | Wichtig |
| Microsoft XML Core Services 6.0 unter Windows Server 2008 R2 für Itanium-basierte Systeme Service Pack 1 (3076895) | Nicht zutreffend | Wichtige Offenlegung von Informationen | Nicht zutreffend | Wichtig |
| Windows 8 und Windows 8.1 | ||||
| Microsoft XML Core Services 3.0 unter Windows 8 für 32-Bit-Systeme (3076895) | Wichtige Offenlegung von Informationen | Wichtige Offenlegung von Informationen | Wichtige Offenlegung von Informationen | Wichtig |
| Microsoft XML Core Services 6.0 unter Windows 8 für 32-Bit-Systeme (3076895) | Nicht zutreffend | Wichtige Offenlegung von Informationen | Nicht zutreffend | Wichtig |
| Microsoft XML Core Services 3.0 unter Windows 8 für x64-basierte Systeme (3076895) | Wichtige Offenlegung von Informationen | Wichtige Offenlegung von Informationen | Wichtige Offenlegung von Informationen | Wichtig |
| Microsoft XML Core Services 6.0 unter Windows 8 für x64-basierte Systeme (3076895) | Nicht zutreffend | Wichtige Offenlegung von Informationen | Nicht zutreffend | Wichtig |
| Microsoft XML Core Services 3.0 unter Windows 8.1 für 32-Bit-Systeme (3076895) | Wichtige Offenlegung von Informationen | Wichtige Offenlegung von Informationen | Wichtige Offenlegung von Informationen | Wichtig |
| Microsoft XML Core Services 6.0 unter Windows 8.1 für 32-Bit-Systeme (3076895) | Nicht zutreffend | Wichtige Offenlegung von Informationen | Nicht zutreffend | Wichtig |
| Microsoft XML Core Services 3.0 unter Windows 8.1 für x64-basierte Systeme (3076895) | Wichtige Offenlegung von Informationen | Wichtige Offenlegung von Informationen | Wichtige Offenlegung von Informationen | Wichtig |
| Microsoft XML Core Services 6.0 unter Windows 8.1 für x64-basierte Systeme (3076895) | Nicht zutreffend | Wichtige Offenlegung von Informationen | Nicht zutreffend | Wichtig |
| Windows Server 2012 und Windows Server 2012 R2 | ||||
| Microsoft XML Core Services 3.0 unter Windows Server 2012 (3076895) | Wichtige Offenlegung von Informationen | Wichtige Offenlegung von Informationen | Wichtige Offenlegung von Informationen | Wichtig |
| Microsoft XML Core Services 6.0 unter Windows Server 2012 (3076895) | Nicht zutreffend | Wichtige Offenlegung von Informationen | Nicht zutreffend | Wichtig |
| Microsoft XML Core Services 3.0 unter Windows Server 2012 R2 (3076895) | Wichtige Offenlegung von Informationen | Wichtige Offenlegung von Informationen | Wichtige Offenlegung von Informationen | Wichtig |
| Microsoft XML Core Services 6.0 unter Windows Server 2012 R2 (3076895) | Nicht zutreffend | Wichtige Offenlegung von Informationen | Nicht zutreffend | Wichtig |
| Windows RT und Windows RT 8.1 | ||||
| Microsoft XML Core Services 3.0 unter Windows RT (3076895) | Wichtige Offenlegung von Informationen | Wichtige Offenlegung von Informationen | Wichtige Offenlegung von Informationen | Wichtig |
| Microsoft XML Core Services 6.0 unter Windows RT (3076895) | Nicht zutreffend | Wichtige Offenlegung von Informationen | Nicht zutreffend | Wichtig |
| Microsoft XML Core Services 3.0 unter Windows RT 8.1 (3076895) | Wichtige Offenlegung von Informationen | Wichtige Offenlegung von Informationen | Wichtige Offenlegung von Informationen | Wichtig |
| Microsoft XML Core Services 6.0 unter Windows RT 8.1 (3076895) | Nicht zutreffend | Wichtige Offenlegung von Informationen | Nicht zutreffend | Wichtig |
| Server Core-Installationsoption | ||||
| Microsoft XML Core Services 3.0 unter Windows Server 2008 für 32-Bit-Systeme Service Pack 2 (Server Core-Installation) (3076895) | Wichtige Offenlegung von Informationen | Wichtige Offenlegung von Informationen | Wichtige Offenlegung von Informationen | Wichtig |
| Microsoft XML Core Services 6.0 unter Windows Server 2008 für 32-Bit-Systeme Service Pack 2 (Server Core-Installation) (3076895) | Nicht zutreffend | Wichtige Offenlegung von Informationen | Nicht zutreffend | Wichtig |
| Microsoft XML Core Services 3.0 unter Windows Server 2008 für x64-basierte Systeme Service Pack 2 (Server Core-Installation) (3076895) | Wichtige Offenlegung von Informationen | Wichtige Offenlegung von Informationen | Wichtige Offenlegung von Informationen | Wichtig |
| Microsoft XML Core Services 6.0 unter Windows Server 2008 für x64-basierte Systeme Service Pack 2 (Server Core-Installation) (3076895) | Nicht zutreffend | Wichtige Offenlegung von Informationen | Nicht zutreffend | Wichtig |
| Microsoft XML Core Services 3.0 unter Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1 (Server Core-Installation) (3076895) | Wichtige Offenlegung von Informationen | Wichtige Offenlegung von Informationen | Wichtige Offenlegung von Informationen | Wichtig |
| Microsoft XML Core Services 6.0 unter Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1 (Server Core-Installation) (3076895) | Nicht zutreffend | Wichtige Offenlegung von Informationen | Nicht zutreffend | Wichtig |
| Microsoft XML Core Services 3.0 unter Windows Server 2012 (Server Core-Installation) (3076895) | Wichtige Offenlegung von Informationen | Wichtige Offenlegung von Informationen | Wichtige Offenlegung von Informationen | Wichtig |
| Microsoft XML Core Services 6.0 unter Windows Server 2012 (Server Core-Installation) (3076895) | Nicht zutreffend | Wichtige Offenlegung von Informationen | Nicht zutreffend | Wichtig |
| Microsoft XML Core Services 3.0 unter Windows Server 2012 R2 (Server Core-Installation) (3076895) | Wichtige Offenlegung von Informationen | Wichtige Offenlegung von Informationen | Wichtige Offenlegung von Informationen | Wichtig |
| Microsoft XML Core Services 6.0 unter Windows Server 2012 R2 (Server Core-Installation) (3076895) | Nicht zutreffend | Wichtige Offenlegung von Informationen | Nicht zutreffend | Wichtig |
| Microsoft Office 2007 | ||||
| Microsoft XML Core Services 5.0 unter Microsoft Office 2007 Service Pack 2 (2825645) | Wichtige Offenlegung von Informationen | Wichtige Offenlegung von Informationen | Wichtige Offenlegung von Informationen | Wichtig |
| Microsoft XML Core Services 5.0 unter Microsoft Office 2007 Service Pack 3 (2825645) | Nicht zutreffend | Wichtige Offenlegung von Informationen | Nicht zutreffend | Wichtig |
| Microsoft InfoPath 2007 | ||||
| Microsoft XML Core Services 5.0 unter Windows Server 2008 für 32-Bit-Systeme Service Pack 2 (2825645) | Nicht zutreffend | Wichtige Offenlegung von Informationen | Nicht zutreffend | Wichtig |
Häufig gestellte Fragen zum Aktualisieren
Welche Version von Microsoft XML Core Services ist auf meinem System installiert?
Einige Versionen von Microsoft XML Core Services sind in Microsoft Windows enthalten; andere werden mit Nicht-Betriebssystemsoftware von Microsoft oder Drittanbietern installiert. Einige sind auch als separate Downloads verfügbar. Die folgende Tabelle zeigt, welche Versionen von Microsoft XML Core Services in Microsoft Windows enthalten sind und welche mit der Installation zusätzlicher Microsoft- oder Drittanbietersoftware installiert werden.
| Betriebssystem | MSXML 3.0 und MSXML 6.0 | MSXML 5.0 |
|---|---|---|
| Windows Vista | Ausgeliefert mit Betriebssystem | Installiert mit zusätzlicher Software |
| Windows Server 2008 | Ausgeliefert mit Betriebssystem | Installiert mit zusätzlicher Software |
| Windows 7 | Ausgeliefert mit Betriebssystem | Installiert mit zusätzlicher Software |
| Windows Server 2008 R2 | Ausgeliefert mit Betriebssystem | Installiert mit zusätzlicher Software |
| Windows 8 und Windows 8.1 | Ausgeliefert mit Betriebssystem | Installiert mit zusätzlicher Software |
| Windows Server 2012 und Windows Server 2012 R2 | Ausgeliefert mit Betriebssystem | Installiert mit zusätzlicher Software |
Informationen zu Sicherheitsrisiken
Mehrere MSXML-Sicherheitsrisiken zur Offenlegung von Informationen
Sicherheitsrisiken zur Offenlegung von Informationen sind vorhanden, wenn Microsoft XML Core Services (MSXML) explizit die Verwendung von Ssl (Secure Sockets Layer) 2.0 zulässt. Ein Angreifer, der diese Sicherheitsanfälligkeiten erfolgreich ausgenutzt hat, könnte Teile des verschlüsselten Netzwerkinformationsdatenverkehrs entschlüsseln.
In einem MiTM-Angriffsszenario (Man-in-the-Middle) könnte ein Angreifer eine verschlüsselte SSL 2.0-Sitzung erzwingen und dann Teile des verschlüsselten Netzwerkinformationsdatenverkehrs entschlüsseln. Dieses Update behebt das Problem, indem MSXML so konfiguriert wird, dass standardmäßig sicherere Netzwerkprotokolle anstelle von SSL 2.0 verwendet werden.
Die folgende Tabelle enthält Links zum Standardeintrag für jede Sicherheitsanfälligkeit in der Liste allgemeiner Sicherheitsrisiken und Expositionen:
| Titel der Sicherheitsanfälligkeit | CVE-Nummer | Öffentlich offengelegt | Genutzt |
|---|---|---|---|
| MSXML Information Disclosure Vulnerability | CVE-2015-2434 | No | No |
| MSXML Information Disclosure Vulnerability | CVE-2015-2471 | No | No |
Mildernde Faktoren
Microsoft hat keine mildernden Faktoren für diese Sicherheitsanfälligkeit identifiziert.
Problemumgehungen
Microsoft hat keine Problemumgehungen für diese Sicherheitsanfälligkeit identifiziert.
MSXML Information Disclosure Vulnerability – CVE-2015-2440
Eine Sicherheitslücke zur Offenlegung von Informationen ist vorhanden, wenn Microsoft XML Core Services (MSXML) Speicheradressen verfügbar macht, die nicht für die öffentliche Offenlegung vorgesehen sind. Ein Angreifer könnte diese Sicherheitsanfälligkeit zur Offenlegung von Informationen kombinieren, um die Randomisierung des Adressraumlayouts (ADDRESS Space Layout Randomization, ASLR) zu umgehen. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausgenutzt hat, könnte potenziell private Daten lesen. Die Sicherheitsanfälligkeit würde es einem Angreifer nicht erlauben, Code auszuführen oder Benutzerrechte direkt zu erhöhen, aber der Angreifer könnte es verwenden, um Informationen zu erhalten, um das betroffene System weiter zu kompromittieren.
Um die Sicherheitsanfälligkeit auszunutzen, könnte ein Angreifer eine speziell gestaltete Website hosten, die zum Aufrufen von MSXML über Internet Explorer konzipiert ist. Ein Angreifer hätte jedoch keine Möglichkeit, einen Benutzer zu erzwingen, eine solche Website zu besuchen. Stattdessen müsste ein Angreifer in der Regel einen Benutzer davon überzeugen, entweder auf einen Link in einer E-Mail-Nachricht oder auf einen Link in einer Instant Messenger-Anforderung zu klicken, die dann den Benutzer zur Website bringen würde. Das Update behebt die Sicherheitsanfälligkeit, indem geändert wird, wie Microsoft XML Core Services Datenanforderungen zurückgibt.
Microsoft hat Informationen zu dieser Sicherheitsanfälligkeit durch koordinierte Offenlegung von Sicherheitsrisiken erhalten. Als dieses Sicherheitsbulletin ausgestellt wurde, hatte Microsoft keine Informationen erhalten, um anzugeben, dass diese Sicherheitsanfälligkeit öffentlich für Angriffe auf Kunden verwendet wurde.
Mildernde Faktoren
Microsoft hat keine mildernden Faktoren für diese Sicherheitsanfälligkeit identifiziert.
Problemumgehungen
Microsoft hat keine Problemumgehungen für diese Sicherheitsanfälligkeit identifiziert.
Bereitstellung von Sicherheitsupdates
Informationen zur Bereitstellung von Sicherheitsupdates finden Sie im Microsoft Knowledge Base-Artikel, auf den in der Zusammenfassung der Geschäftsleitung verwiesen wird.
Danksagungen
Microsoft erkennt die Bemühungen derJenigen in der Sicherheitscommunity, die uns dabei helfen, Kunden durch koordinierte Offenlegung von Sicherheitsrisiken zu schützen. Weitere Informationen finden Sie unter "Bestätigungen ".
Haftungsausschluss
Die in der Microsoft Knowledge Base bereitgestellten Informationen werden ohne Jegliche Garantie bereitgestellt. Microsoft lehnt alle Gewährleistungen ab, entweder ausdrücklich oder impliziert, einschließlich der Gewährleistungen der Händlerbarkeit und Eignung für einen bestimmten Zweck. In keinem Fall haftet die Microsoft Corporation oder seine Lieferanten für jegliche Schäden, einschließlich direkter, indirekter, zufälliger, Folgeschäden, Verlust von Geschäftsgewinnen oder sonderschäden, auch wenn die Microsoft Corporation oder ihre Lieferanten über die Möglichkeit solcher Schäden informiert wurden. Einige Staaten lassen den Ausschluss oder die Haftungsbeschränkung für Folge- oder Nebenschäden nicht zu, sodass die vorstehende Einschränkung möglicherweise nicht gilt.
Revisionen
- V1.0 (08 11. 2015): Bulletin veröffentlicht.
Seite generiert 2015-08-10 11:15Z-07:00.