Microsoft Security Bulletin MS14-055 - Wichtig

Sicherheitsrisiken in Microsoft Lync Server könnten denial of Service zulassen (2990928)

Veröffentlicht: 9. September 2014 | Aktualisiert: 23. September 2014

Version: 3.0

Allgemeine Informationen

Kurzfassung

Dieses Sicherheitsupdate behebt drei privat gemeldete Sicherheitsrisiken in Microsoft Lync Server. Die schwerwiegendsten dieser Sicherheitsanfälligkeiten könnten denial-of-Service zulassen, wenn ein Angreifer eine speziell gestaltete Anforderung an einen Lync-Server sendet.

Dieses Sicherheitsupdate ist für alle unterstützten Editionen von Microsoft Lync Server 2010 und Microsoft Lync Server 2013 als wichtig eingestuft. Weitere Informationen finden Sie im Abschnitt "Betroffene und nicht betroffene Software" .

Das Sicherheitsupdate behebt die Sicherheitsanfälligkeiten, indem die Art und Weise korrigiert wird, wie Lync Server Benutzereingaben sanitiert, und indem die Art und Weise korrigiert wird, wie Lync Server Ausnahmen und Null-Ableitungen verarbeitet. Weitere Informationen zu diesen Sicherheitsrisiken finden Sie im Unterabschnitt häufig gestellte Fragen (FAQ) für die spezifische Sicherheitsanfälligkeit weiter unten in diesem Bulletin.

Empfehlung  Kunden können die automatische Aktualisierung so konfigurieren, dass sie online auf Updates von Microsoft Update mithilfe des Microsoft Update-Diensts überprüft wird. Kunden, die die automatische Aktualisierung aktiviert und für die Onlineüberprüfung auf Updates von Microsoft Update konfiguriert haben, müssen in der Regel keine Maßnahmen ergreifen, da dieses Sicherheitsupdate automatisch heruntergeladen und installiert wird. Kunden, die keine automatische Aktualisierung aktiviert haben, müssen nach Updates von Microsoft Update suchen und dieses Update manuell installieren. Informationen zu bestimmten Konfigurationsoptionen bei der automatischen Aktualisierung finden Sie im Microsoft Knowledge Base-Artikel 294871.

Für Administratoren und Unternehmensinstallationen oder Endbenutzer, die dieses Sicherheitsupdate manuell installieren möchten (einschließlich Kunden, die keine automatische Aktualisierung aktiviert haben), empfiehlt Microsoft, dass Kunden das Update frühestens mithilfe der Updateverwaltungssoftware anwenden oder nach Updates mithilfe des Microsoft Update-Diensts suchen. Die Updates sind auch über die Downloadlinks in der Tabelle "Betroffene Software " weiter unten in diesem Bulletin verfügbar.

Siehe auch den Abschnitt " Erkennungs- und Bereitstellungstools und Anleitungen" weiter unten in diesem Bulletin.

Knowledge Base-Artikel

  • Knowledge Base-Artikel: 2990928
  • Dateiinformationen: Ja
  • SHA1/SHA2-Hashes: Ja
  • Bekannte Probleme: Ja

 

Betroffene und nicht betroffene Software

Die folgende Software wurde getestet, um zu ermitteln, welche Versionen oder Editionen betroffen sind. Andere Versionen oder Editionen liegen entweder über ihren Supportlebenszyklus oder sind nicht betroffen. Informationen zum Ermitteln des Supportlebenszyklus für Ihre Softwareversion oder -edition finden Sie unter Microsoft-Support Lifecycle.

Betroffene Software 

Software Maximale Sicherheitswirkung Bewertung des aggregierten Schweregrads Ersetzte Updates
Microsoft Lync Server 2010
Microsoft Lync Server 2010 (Server) (2982385) Keine Keine Schweregradbewertung[1] Keine
Microsoft Lync Server 2010 (Reaktionsgruppendienst) (2982388) Dienstverweigerung (Denial of Service) Wichtig Keine
Microsoft Lync Server 2013
Microsoft Lync Server 2013 (Server) (2986072) Dienstverweigerung (Denial of Service) Wichtig Keine
Microsoft Lync Server 2013 (Reaktionsgruppendienst) (2982389) Dienstverweigerung (Denial of Service) Wichtig Keine
Microsoft Lync Server 2013 (Kernkomponenten) (2992965) Dienstverweigerung (Denial of Service) Wichtig Keine
Microsoft Lync Server 2013 (Web Components Server) (2982390) Veröffentlichung von Informationen Wichtig 2963288 in MS14-032

[1]Schweregradbewertungen gelten nicht für dieses Update für die angegebene Software; Als umfassende Verteidigungsmaßnahme empfiehlt Microsoft jedoch, dass Kunden dieser Software dieses Sicherheitsupdate anwenden, um vor möglichen neuen Angriffsvektoren zu schützen, die in Zukunft identifiziert werden.

Nicht betroffene Software

Kommunikationsplattformen und Software
Microsoft Communicator 2005
Microsoft Communicator 2005 Web Access
Microsoft Communicator 2007
Microsoft Communicator 2007 Web Access
Microsoft Communications Server 2007
Microsoft Communications Server 2007 Speech Server
Microsoft Communications Server 2007 R2
Microsoft Communicator 2007 R2
Microsoft Communicator 2007 R2 Attendant
Microsoft Communicator 2007 R2-Gruppenchatadministrator
Microsoft Communicator 2007 R2-Gruppenchatclient
Microsoft Live Meeting 2007-Konsole
Microsoft Communicator für Mac 2011
Microsoft Communicator Mobile
Microsoft Communicator Telefon Edition
Microsoft Lync 2010 (32-Bit)
Microsoft Lync 2010 (64-Bit)
Microsoft Lync 2010 Attendee (Installation auf Administratorebene)
Microsoft Lync 2010 Attendee (Installation auf Benutzerebene)
Microsoft Lync 2010 Attendant (32-Bit)
Microsoft Lync 2010 Attendant (64-Bit)
Microsoft Lync 2010-Gruppenchat
Microsoft Lync Server 2010 Group Chat Software Development Kit
Microsoft Lync für Mac 2011
Microsoft Lync 2013 (32-Bit)
Microsoft Lync Basic 2013 (32-Bit)
Microsoft Lync 2013 (64-Bit)
Microsoft Lync Basic 2013 (64-Bit)

 

Häufig gestellte Fragen zum Aktualisieren

Warum wurde dieses Bulletin am 23. September 2014 überarbeitet?
Microsoft hat dieses Bulletin erneut veröffentlicht, um die ErneuteInofferung der 2982385 Sicherheitsupdatedatei (server.msp) für Microsoft Lync Server 2010 bekanntzugeben. Das releasierte Update behebt ein Problem im ursprünglichen Angebot, das benutzer daran gehindert hat, die Datei "server.msp" erfolgreich zu installieren. Kunden, die versucht haben, das ursprüngliche Update zu installieren, werden das 2982385 Update erneut ins Ziel geleitet und werden aufgefordert, es zu beginn anzuwenden.

Warum wurde dieses Bulletin am 15. September 2014 überarbeitet? 
Microsoft hat dieses Bulletin überarbeitet, um ein bekanntes Problem zu beheben, das verhinderte, dass Benutzer Sicherheitsupdate 2982385 für Microsoft Lync Server 2010 erfolgreich installieren. Microsoft untersucht das Verhalten, das der Installation dieses Updates zugeordnet ist, und aktualisiert dieses Bulletin, wenn weitere Informationen verfügbar sind. Als zusätzliche Vorsichtsmaßnahme hat Microsoft die Downloadlinks zum 2982385 Sicherheitsupdate entfernt.

Für Microsoft Lync Server 2010 oder Microsoft Lync Server 2013 gibt es voraussetzungen für die Installation der in diesem Bulletin aufgeführten Updates?
Ja. Vor der Installation von Updates für Microsoft Lync Server 2010 oder Microsoft Lync Server 2013 müssen die neuesten öffentlich veröffentlichten kumulativen Updates für Lync (oder OCS)-Server installiert werden. Kunden, die die automatische Aktualisierung aktiviert haben, müssen keine Maßnahmen ergreifen, da kumulative Updates automatisch heruntergeladen und installiert werden. Kunden, die die eigenständigen Pakete manuell testen und installieren, müssen sicherstellen, dass die neuesten öffentlich veröffentlichten Updates installiert werden, bevor sie die entsprechenden Updates für ihr System installieren.

Weitere Informationen finden Sie unter:

  • Für Lync Server 2013: https:
  • Für Lync Server 2010: </https:>https:

Warum behebt dieses Update mehrere gemeldete Sicherheitsrisiken? 
Dieses Update enthält Unterstützung für mehrere Sicherheitsrisiken, da sich die Änderungen, die zum Beheben dieser Probleme erforderlich sind, in verwandten Dateien befinden.

Warum stehen mehrere Updatepakete für einige betroffene Software zur Verfügung? 
Die Updates, die zur Behebung der in diesem Bulletin beschriebenen Sicherheitsrisiken erforderlich sind, werden in verschiedenen Updatepaketen angeboten, wie in der Tabelle "Betroffene Software" aufgrund des komponentenisierten Wartungsmodells für Microsoft Lync-Software angegeben.

Es stehen mehrere Updatepakete für Microsoft Lync Server 2010 und Microsoft Lync Server 2013 zur Verfügung. Muss ich alle updates installieren, die in der Tabelle "Betroffene Software" für die Software aufgeführt sind? 
Ja. Kunden sollten alle updates anwenden, die für die auf ihren Systemen installierte Software angeboten werden.

Muss ich diese Sicherheitsupdates in einer bestimmten Sequenz installieren? 
Nein Mehrere Updates für eine Version von Microsoft Lync Server-Software können in jeder Sequenz angewendet werden.

Warum wird mir nicht alle updates angeboten, die für die Version von Microsoft Lync Server aufgeführt sind, die ich auf meinem System verwende?
Die für Microsoft Lync Server 2010 oder Microsoft Lync Server 2013 aufgeführten Updates werden nur Systemen angeboten, auf denen die entsprechende Komponente installiert ist. Wenn Sie z. B. die Reaktionsgruppendienst nicht auf Ihrem System installiert haben, werden Ihnen weder Update 2982389 für Lync Server 2013 noch update 2982388 für Lync Server 2010 angeboten.

Enthält dieses Update zusätzliche sicherheitsrelevante Änderungen?
Ja. Zusätzlich zu den Änderungen, die im Abschnitt "Sicherheitsrisikoinformationen " dieses Bulletins aufgeführt sind, enthält dieses Update ausführliche Verteidigungsupdates für Microsoft Lync Server, um sicherheitsbezogene Features zu verbessern.

Was ist die Verteidigung im Detail? 
Bei der Informationssicherheit bezieht sich die Verteidigungstiefe auf einen Ansatz, bei dem mehrere Verteidigungsebenen vorhanden sind, um zu verhindern, dass Angreifer die Sicherheit eines Netzwerks oder Systems gefährden.

Ich verwende eine ältere Version der Software, die in diesem Sicherheitsbulletin erläutert wird. Wie sollte ich vorgehen? 
Die in diesem Bulletin aufgeführte betroffene Software wurde getestet, um festzustellen, welche Versionen betroffen sind. Andere Versionen sind über ihren Supportlebenszyklus hinweg. Weitere Informationen zum Produktlebenszyklus finden Sie auf der Microsoft-Support Lifecycle-Website.

Es sollte eine Priorität für Kunden sein, die über ältere Versionen der Software verfügen, um zu unterstützten Versionen zu migrieren, um potenzielle Gefährdungen durch Sicherheitsrisiken zu verhindern. Informationen zum Ermitteln des Supportlebenszyklus für Ihre Softwareversion finden Sie unter Auswählen eines Produkts für Lebenszyklusinformationen. Weitere Informationen zu Service Packs für diese Softwareversionen finden Sie unter Service Pack Lifecycle Support Policy.

Kunden, die benutzerdefinierten Support für ältere Software benötigen, müssen sich an ihren Microsoft-Kontoteammitarbeiter, den Technical Account Manager oder den entsprechenden Microsoft-Partnermitarbeiter wenden, um benutzerdefinierte Supportoptionen zu erhalten. Kunden ohne Allianz-, Premier- oder autorisierten Vertrag können sich an ihr lokales Microsoft-Vertriebsbüro wenden. Informationen zu Kontaktinformationen finden Sie auf der Microsoft Worldwide Information-Website , wählen Sie das Land in der Kontaktinformationsliste aus, und klicken Sie dann auf "Gehe", um eine Liste der Telefonnummern anzuzeigen. Wenn Sie anrufen, bitten Sie, mit dem lokalen Premier Support Sales Manager zu sprechen. Weitere Informationen finden Sie in den häufig gestellten Fragen zur Microsoft-Support Lifecycle-Richtlinie.

Schweregradbewertungen und Sicherheitslücken-IDs

Die folgenden Schweregradbewertungen gehen von der potenziellen maximalen Auswirkung der Sicherheitsanfälligkeit aus. Informationen zur Wahrscheinlichkeit, dass innerhalb von 30 Tagen nach der Veröffentlichung dieses Sicherheitsbulletins die Ausnutzbarkeit der Sicherheitsanfälligkeit in Bezug auf die Schweregradbewertung und die Sicherheitsauswirkungen besteht, lesen Sie bitte den Exploitability Index in der Bulletinzusammenfassung im September. Weitere Informationen finden Sie unter Microsoft Exploitability Index.

Bewertung des Schweregrads der Sicherheitsanfälligkeit und maximale Sicherheitsbeeinträchtigung durch betroffene Software
Betroffene Software Sicherheitsanfälligkeit in Lync – CVE-2014-4068 Sicherheitsanfälligkeit in Lync XSS bezüglich Offenlegung von Informationen – CVE-2014-4070 Sicherheitsanfälligkeit in Lync – CVE-2014-4071 Bewertung des aggregierten Schweregrads
Microsoft Lync Server 2010 (Server) Keine Schweregradbewertung Keine Schweregradbewertung Keine Schweregradbewertung Keine Schweregradbewertung
Microsoft Lync Server 2010 (Reaktionsgruppendienst) Wichtiger Denial of Service Nicht zutreffend Nicht zutreffend Wichtig
Microsoft Lync Server 2013 (Server) Nicht zutreffend Nicht zutreffend Wichtiger Denial of Service Wichtig
Microsoft Lync Server 2013 (Reaktionsgruppendienst) Wichtiger Denial of Service Nicht zutreffend Nicht zutreffend Wichtig
Microsoft Lync Server 2013 (Kernkomponenten) Wichtiger Denial of Service Nicht zutreffend Nicht zutreffend Wichtig
Microsoft Lync Server 2013 (Web Components Server) Nicht zutreffend Wichtige Offenlegung von Informationen Nicht zutreffend Wichtig

 

Sicherheitsanfälligkeit in Lync – CVE-2014-4068

In Lync Server ist eine Denial-of-Service-Sicherheitsanfälligkeit vorhanden. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausgenutzt hat, kann dazu führen, dass das betroffene System nicht mehr reagiert.

Informationen zum Anzeigen dieser Sicherheitsanfälligkeit als Standardeintrag in der Liste allgemeiner Sicherheitsanfälligkeiten finden Sie unter CVE-2014-4068.

Mildernde Faktoren

Microsoft hat keine mildernden Faktoren für diese Sicherheitsanfälligkeit identifiziert.

Problemumgehungen

Microsoft hat keine Problemumgehungen für diese Sicherheitsanfälligkeit identifiziert.

Häufig gestellte Fragen

Was ist der Umfang der Sicherheitsanfälligkeit?
Dies ist eine Denial-of-Service-Sicherheitsanfälligkeit.

Was verursacht die Sicherheitsanfälligkeit?
Die Sicherheitsanfälligkeit wird verursacht, wenn Lync Server bestimmte Ausnahmen nicht ordnungsgemäß verarbeitet.

Was kann ein Angreifer tun, um die Sicherheitsanfälligkeit zu tun?
Ein Angreifer, der die Sicherheitsanfälligkeit erfolgreich ausgenutzt hat, könnte dazu führen, dass das Zielsystem nicht mehr reagiert.

Wie kann ein Angreifer die Sicherheitsanfälligkeit ausnutzen?
Ein Remote-, nicht authentifizierter Angreifer könnte diese Sicherheitsanfälligkeit ausnutzen, indem ein speziell gestalteter Aufruf ausgeführt wird, um die nicht ordnungsgemäß behandelten Ausnahmen auszulösen.

Welche Systeme sind in erster Linie durch die Sicherheitsanfälligkeit gefährdet?
Systeme mit betroffenen Editionen von Microsoft Lync Server sind installiert, und die Lync-Clients, die eine Verbindung mit ihnen herstellen, sind durch diese Sicherheitsanfälligkeit gefährdet.

Was geschieht mit dem Update?
Das Update behebt die Sicherheitsanfälligkeit, indem die Behandlung von Ausnahmen durch Lync Server korrigiert wird.

Als dieses Sicherheitsbulletin ausgegeben wurde, wurde diese Sicherheitsanfälligkeit öffentlich offengelegt?
Nein Microsoft hat Informationen zu dieser Sicherheitsanfälligkeit durch koordinierte Offenlegung von Sicherheitsrisiken erhalten.

Als dieses Sicherheitsbulletin ausgegeben wurde, erhielt Microsoft alle Berichte, dass diese Sicherheitsanfälligkeit ausgenutzt wurde?
Nein Microsoft hatte keine Informationen erhalten, um anzugeben, dass diese Sicherheitsanfälligkeit öffentlich für Kunden verwendet wurde, als dieses Sicherheitsbulletin ursprünglich ausgestellt wurde.

Sicherheitsanfälligkeit in Lync XSS bezüglich Offenlegung von Informationen – CVE-2014-4070

Eine sicherheitsanfälligkeit bezüglich websiteübergreifender Skripterstellung (Cross Site Scripting, XSS), die zu einer Offenlegung von Informationen führen kann, ist vorhanden, wenn Lync Server nicht ordnungsgemäß gestaltete Inhalte sanitieren kann. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausgenutzt hat, kann skripts im Browser des Benutzers ausführen, um Informationen aus Websitzungen abzurufen.

Informationen zum Anzeigen dieser Sicherheitsanfälligkeit als Standardeintrag in der Liste allgemeiner Sicherheitsanfälligkeiten finden Sie unter CVE-2014-4070.

Mildernde Faktoren

Microsoft hat keine mildernden Faktoren für diese Sicherheitsanfälligkeit identifiziert.

Problemumgehungen

Die Problemumgehung bezieht sich auf eine Einstellung oder Konfigurationsänderung, die die zugrunde liegende Sicherheitsanfälligkeit nicht korrigiert, aber bekannte Angriffsvektoren blockiert, bevor Sie das Update anwenden. Microsoft hat die folgenden Problemumgehungen getestet und gibt in der Diskussion an, ob eine Problemumgehung die Funktionalität reduziert:

  • Lesen von E-Mail-Nachrichten in Nur-Text
    Um sich vor dem E-Mail-Angriffsvektor zu schützen, lesen Sie E-Mail-Nachrichten im Nur-Text-Format.

    Microsoft Outlook 2013 und Microsoft Outlook 2010-Benutzer können diese Einstellung aktivieren und E-Mail-Nachrichten anzeigen, die nicht digital signiert oder E-Mail-Nachrichten sind, die nicht nur als Nur-Text verschlüsselt sind. Digital signierte E-Mail-Nachrichten oder verschlüsselte E-Mail-Nachrichten sind von der Einstellung nicht betroffen und können in ihren ursprünglichen Formaten gelesen werden; Benutzer können diese Nachrichten jedoch auch im Nur-Text-Format anzeigen. Weitere Informationen zum Aktivieren dieser Einstellung finden Sie unter:

 

Auswirkungen der Problemumgehung. E-Mail-Nachrichten, die im Nur-Text-Format angezeigt werden, enthalten keine Bilder, spezielle Schriftarten, Animationen oder andere umfangreiche Inhalte.

Außerdem wurde Folgendes durchgeführt:

  • Die Änderungen werden auf den Vorschaubereich und auf das Öffnen von Nachrichten angewendet.

  • Bilder werden zu Anlagen, sodass sie nicht verloren gehen.

  • Da sich die Nachricht weiterhin im Rich-Text- oder HTML-Format im Speicher befindet, verhält sich das Objektmodell (benutzerdefinierte Codelösungen) möglicherweise unerwartet.

  • Legen Sie die Sicherheitszoneneinstellungen für Internet und lokales Intranet auf "Hoch" fest, um ActiveX-Steuerelemente und active Scripting in diesen Zonen zu blockieren.
    Sie können vor der Ausbeutung dieser Sicherheitsrisiken schützen, indem Sie Ihre Einstellungen für die Internetsicherheitszone ändern, um ActiveX-Steuerelemente und Active Scripting zu blockieren. Sie können dies tun, indem Sie die Sicherheit Ihres Browsers auf "Hoch" festlegen.

    Führen Sie die folgenden Schritte aus, um die Browsersicherheitsstufe in Internet Explorer zu erhöhen:

    1. Klicken Sie im Menü "Internet Explorer-Tools" auf "Internetoptionen".
    2. Klicken Sie im Dialogfeld "Internetoptionen " auf die Registerkarte "Sicherheit " und dann auf "Internet".
    3. Verschieben Sie unter "Sicherheitsstufe" für diese Zone den Schieberegler auf "Hoch". Dadurch wird die Sicherheitsstufe für alle Websites festgelegt, die Sie auf "Hoch" besuchen.
    4. Klicken Sie auf "Lokales Intranet".
    5. Verschieben Sie unter "Sicherheitsstufe" für diese Zone den Schieberegler auf "Hoch". Dadurch wird die Sicherheitsstufe für alle Websites festgelegt, die Sie auf "Hoch" besuchen.
    6. Klicken Sie auf "OK ", um die Änderungen zu übernehmen und zu Internet Explorer zurückzukehren.

    Hinweis : Wenn kein Schieberegler sichtbar ist, klicken Sie auf "Standardebene", und verschieben Sie den Schieberegler in " Hoch".

    Hinweis : Das Festlegen der Ebene auf "Hoch" kann dazu führen, dass einige Websites falsch funktionieren. Wenn Sie schwierigkeiten haben, eine Website zu verwenden, nachdem Sie diese Einstellung geändert haben und sie sicher sind, dass die Website sicher zu verwenden ist, können Sie diese Website ihrer Liste der vertrauenswürdigen Websites hinzufügen. Dadurch kann die Website auch dann ordnungsgemäß funktionieren, wenn die Sicherheitseinstellung auf "Hoch" festgelegt ist.

    Auswirkungen der Problemumgehung. Es gibt Nebenwirkungen zum Blockieren von ActiveX-Steuerelementen und Active Scripting. Viele Websites, die sich im Internet oder in einem Intranet befinden, verwenden ActiveX oder Active Scripting, um zusätzliche Funktionen bereitzustellen. Beispielsweise kann eine Online-E-Commerce-Website oder Bankwebsite ActiveX-Steuerelemente verwenden, um Menüs, Bestellformulare oder sogar Kontoauszüge bereitzustellen. Das Blockieren von ActiveX-Steuerelementen oder active Scripting ist eine globale Einstellung, die sich auf alle Internet- und Intranetwebsites auswirkt. Wenn Sie ActiveX-Steuerelemente oder Active Scripting für solche Websites nicht blockieren möchten, führen Sie die unter "Hinzufügen von Websites, denen Sie vertrauen, der Zone "Vertrauenswürdige Websites von Internet Explorer" beschriebenen Schritte aus.

    Hinzufügen von Websites, denen Sie vertrauen, zur Zone "Vertrauenswürdige Websites" von Internet Explorer

    Nachdem Sie Internet Explorer so festgelegt haben, dass ActiveX-Steuerelemente und Active Scripting in der Internetzone und in der Zone "Lokales Intranet" blockiert werden, können Sie Websites hinzufügen, die Sie der Zone "vertrauenswürdige Internet Explorer-Websites" vertrauen. Auf diese Weise können Sie weiterhin vertrauenswürdige Websites genau wie heute verwenden, während Sie sich vor diesem Angriff auf nicht vertrauenswürdige Websites schützen können. Es wird empfohlen, nur Websites hinzuzufügen, denen Sie vertrauen, der Zone "Vertrauenswürdige Websites".

    Gehen Sie hierzu folgendermaßen vor:

    1. Klicken Sie in Internet Explorer auf "Extras", dann auf "Internetoptionen" und dann auf die Registerkarte "Sicherheit ".
    2. Klicken Sie in der Zone "Webinhalt auswählen", um das aktuelle Sicherheitseinstellungsfeld anzugeben, klicken Sie auf "Vertrauenswürdige Websites", und klicken Sie dann auf "Websites".
    3. Wenn Sie Websites hinzufügen möchten, für die kein verschlüsselter Kanal erforderlich ist, klicken Sie, um das Kontrollkästchen " Serverüberprüfung erforderlich" (https:) für alle Websites in dieser Zone zu deaktivieren.
    4. Geben Sie im Feld "Diese Website zum Zonenfeld hinzufügen" die URL einer Website ein, der Sie vertrauen, und klicken Sie dann auf "Hinzufügen".
    5. Wiederholen Sie diese Schritte für jede Website, die Sie der Zone hinzufügen möchten.
    6. Klicken Sie zweimal auf "OK ", um die Änderungen zu übernehmen und zu Internet Explorer zurückzukehren.

    Hinweis: Fügen Sie alle Websites hinzu, denen Sie vertrauen, dass sie keine böswilligen Maßnahmen auf Ihrem System ergreifen. Zwei besonders, die Sie hinzufügen möchten, sind *.windowsupdate.microsoft.com und *.update.microsoft.com. Dies sind die Websites, die das Update hosten, und es erfordert ein ActiveX-Steuerelement, um das Update zu installieren.

Häufig gestellte Fragen

Was ist der Umfang der Sicherheitsanfälligkeit?
Dies ist eine Sicherheitslücke zur Offenlegung von Informationen.

Was verursacht die Sicherheitsanfälligkeit?
Die Sicherheitsanfälligkeit wird verursacht, wenn Lync Server speziell gestaltete Inhalte nicht ordnungsgemäß sanitiert.

Was ist websiteübergreifendes Skripting?
Cross-Site Scripting (XSS) ist eine Klasse von Sicherheitsrisiken, die es einem Angreifer ermöglichen kann, Skriptcode in die Sitzung eines Benutzers mit einer Website einzufügen. Die Sicherheitsanfälligkeit kann sich auf Webserver auswirken, die HTML-Seiten dynamisch generieren. Wenn diese Server Browsereingaben in die dynamischen Seiten einbetten, die sie zurück an den Bowser senden, können diese Server manipuliert werden, um böswillige Inhalte in die dynamischen Seiten einzuschließen. Dies kann das Ausführen bösartiger Skripts ermöglichen. Webbrowser können dieses Problem durch ihre Annahmen von vertrauenswürdigen Websites und deren Verwendung von Cookies zur Standard dauerhaften Zustands mit den Websites, die sie häufig verwenden, verharren. Ein XSS-Angriff ändert websiteinhalte nicht. Stattdessen wird ein neues, bösartiges Skript eingefügt, das im Browser im Kontext ausgeführt werden kann, der einem vertrauenswürdigen Server zugeordnet ist.

Was kann ein Angreifer tun, um die Sicherheitsanfälligkeit zu tun?
Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausgenutzt hat, kann skripts im Browser des Benutzers ausführen, um Informationen aus Websitzungen abzurufen.

Wie kann ein Angreifer die Sicherheitsanfälligkeit ausnutzen?
Damit diese Sicherheitsanfälligkeit ausgenutzt werden kann, muss ein Benutzer auf eine speziell gestaltete URL klicken.

In einem E-Mail-Angriffsszenario könnte ein Angreifer die Sicherheitsanfälligkeit ausnutzen, indem er eine E-Mail-Nachricht mit der speziell gestalteten URL an den Benutzer sendet und den Benutzer dazu überzeugen konnte, auf die speziell gestaltete URL zu klicken.

In einem webbasierten Angriffsszenario müsste ein Angreifer eine Website hosten, die eine speziell gestaltete URL enthält. Außerdem könnten kompromittierte Websites und Websites, die vom Benutzer bereitgestellte Inhalte akzeptieren oder hosten, speziell gestaltete Inhalte enthalten, die diese Sicherheitsanfälligkeit ausnutzen könnten. Ein Angreifer hätte keine Möglichkeit, Benutzer zu erzwingen, eine speziell gestaltete Website zu besuchen. Stattdessen müsste ein Angreifer sie davon überzeugen, die Website zu besuchen, in der Regel durch Klicken auf einen Link in einer E-Mail- oder Instant Messenger-Nachricht, die sie zur Website des Angreifers führt, und dann davon überzeugen, auf die speziell gestaltete URL zu klicken.

Welche Systeme sind in erster Linie durch die Sicherheitsanfälligkeit gefährdet?
Systeme mit betroffenen Editionen von Microsoft Lync Server sind installiert, und die Lync-Clients, die eine Verbindung mit ihnen herstellen, sind durch diese Sicherheitsanfälligkeit gefährdet.

Was geschieht mit dem Update?
Das Update behebt die Sicherheitsanfälligkeit, indem die Art und Weise korrigiert wird, wie Lync Server die Benutzereingaben saniert.

Als dieses Sicherheitsbulletin ausgegeben wurde, wurde diese Sicherheitsanfälligkeit öffentlich offengelegt?
Nein Microsoft hat Informationen zu dieser Sicherheitsanfälligkeit durch koordinierte Offenlegung von Sicherheitsrisiken erhalten.

Als dieses Sicherheitsbulletin ausgegeben wurde, erhielt Microsoft alle Berichte, dass diese Sicherheitsanfälligkeit ausgenutzt wurde?
Nein Microsoft hatte keine Informationen erhalten, um anzugeben, dass diese Sicherheitsanfälligkeit öffentlich für Kunden verwendet wurde, als dieses Sicherheitsbulletin ursprünglich ausgestellt wurde.

Sicherheitsanfälligkeit in Lync – CVE-2014-4071

In Lync Server ist eine Denial-of-Service-Sicherheitsanfälligkeit vorhanden. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausgenutzt hat, kann dazu führen, dass das betroffene System nicht mehr reagiert.

Informationen zum Anzeigen dieser Sicherheitsanfälligkeit als Standardeintrag in der Liste allgemeiner Sicherheitsanfälligkeiten finden Sie unter CVE-2014-4071.

Mildernde Faktoren

Microsoft hat keine mildernden Faktoren für diese Sicherheitsanfälligkeit identifiziert.

Problemumgehungen

Microsoft hat keine Problemumgehungen für diese Sicherheitsanfälligkeit identifiziert.

Häufig gestellte Fragen

Was ist der Umfang der Sicherheitsanfälligkeit?
Dies ist eine Denial-of-Service-Sicherheitsanfälligkeit.

Was verursacht die Sicherheitsanfälligkeit?
Die Sicherheitsanfälligkeit wird verursacht, wenn Lync Server eine Null-Ableitung nicht ordnungsgemäß verarbeitet.

Was kann ein Angreifer tun, um die Sicherheitsanfälligkeit zu tun?
Ein Angreifer, der die Sicherheitsanfälligkeit erfolgreich ausgenutzt hat, könnte dazu führen, dass das Zielsystem nicht mehr reagiert.

Wie kann ein Angreifer die Sicherheitsanfälligkeit ausnutzen?
Ein Remote-, nicht authentifizierter Angreifer könnte diese Sicherheitsanfälligkeit ausnutzen, indem eine speziell gestaltete Anforderung an einen Lync-Server gesendet wird.

Welche Systeme sind in erster Linie durch die Sicherheitsanfälligkeit gefährdet?
Systeme mit betroffenen Editionen von Microsoft Lync Server sind installiert, und die Lync-Clients, die eine Verbindung mit ihnen herstellen, sind durch diese Sicherheitsanfälligkeit gefährdet.

Was geschieht mit dem Update?
Das Update behebt die Sicherheitsanfälligkeit, indem korrigiert wird, wie Lync Server Null-Ableitungen behandelt.

Als dieses Sicherheitsbulletin ausgegeben wurde, wurde diese Sicherheitsanfälligkeit öffentlich offengelegt?
Nein Microsoft hat Informationen zu dieser Sicherheitsanfälligkeit durch koordinierte Offenlegung von Sicherheitsrisiken erhalten.

Als dieses Sicherheitsbulletin ausgegeben wurde, erhielt Microsoft alle Berichte, dass diese Sicherheitsanfälligkeit ausgenutzt wurde?
Nein Microsoft hatte keine Informationen erhalten, um anzugeben, dass diese Sicherheitsanfälligkeit öffentlich für Kunden verwendet wurde, als dieses Sicherheitsbulletin ursprünglich ausgestellt wurde.

Erkennungs- und Bereitstellungstools und Anleitungen

Es stehen mehrere Ressourcen zur Verfügung, die Administratoren bei der Bereitstellung von Sicherheitsupdates unterstützen. 

  • Mit Microsoft Baseline Security Analyzer (MBSA) können Administratoren lokale und Remotesysteme auf fehlende Sicherheitsupdates und allgemeine Sicherheitsfehler überprüfen. 
  • Windows Server Update Services (WSUS), Systems Management Server (SMS) und System Center Configuration Manager helfen Administratoren beim Verteilen von Sicherheitsupdates. 
  • Die komponenten der Updatekompatibilitäts-Evaluator, die im Lieferumfang des Application Compatibility Toolkit enthalten sind, um die Tests und Validierung von Windows-Updates für installierte Anwendungen zu optimieren. 

Informationen zu diesen und anderen verfügbaren Tools finden Sie unter "Sicherheitstools für IT-Spezialisten". 

Bereitstellung von Sicherheitsupdates

Microsoft Lync Server 2010

Referenztabelle

Die folgende Tabelle enthält die Sicherheitsupdateinformationen für diese Software.

Sicherheitsupdatedateiname Für Microsoft Lync Server 2010 (2982385):\ server.msp
\ Für Microsoft Lync Server 2010 (2982388):\ rgs.msp
Installationsschalter Siehe Microsoft Knowledge Base-Artikel 197147
Anforderung für neustarten Für dieses Update ist kein Neustart erforderlich. Das Installationsprogramm beendet die erforderlichen Dienste, wendet das Update an und startet dann die Dienste neu. Wenn die erforderlichen Dienste jedoch aus irgendeinem Grund nicht beendet werden können oder erforderliche Dateien verwendet werden, erfordert dieses Update einen Neustart. Wenn dieses Verhalten auftritt, wird eine Meldung angezeigt, in der Sie aufgefordert werden, den Neustart durchzuführen.
Entfernungsinformationen Verwenden Sie das Element "Programme hinzufügen oder entfernen" in Systemsteuerung.
Dateiinformationen Siehe Microsoft Knowledge Base-Artikel 2982385\ Siehe Microsoft Knowledge Base-Artikel 2982388
Überprüfung des Registrierungsschlüssels Für Microsoft Lync Server 2010 (server.msp):\ HKLM\Software\Microsoft\Echtzeitkommunikation{A593FD00-64F1-4288-A6F4-E699ED9DCA35}\Version = 4.0.7577.276
\ Für Microsoft Lync Server 2010 (rgs.msp):\ HKLM\Software\Microsoft\Echtzeitkommunikation{{11CFB169-07EA-489D-BF8C-D8D29525720E}\Version = 4.0.7577.276

 

Microsoft Lync Server 2013

Referenztabelle

Die folgende Tabelle enthält die Sicherheitsupdateinformationen für diese Software.

Sicherheitsupdatedateiname Für Microsoft Lync Server 2013 (2986072):\ server.msp
\ Für Microsoft Lync Server 2013 (2982389):\ rgs.msp
\ Für Microsoft Lync Server 2013 (2992965):\ OCSCore.msp
\ Für Microsoft Lync Server 2013 (2982390):\ WebComponents.msp
Installationsschalter Siehe Microsoft Knowledge Base-Artikel 197147
Anforderung für neustarten Für dieses Update ist kein Neustart erforderlich. Das Installationsprogramm beendet die erforderlichen Dienste, wendet das Update an und startet dann die Dienste neu. Wenn die erforderlichen Dienste jedoch aus irgendeinem Grund nicht beendet werden können oder erforderliche Dateien verwendet werden, erfordert dieses Update einen Neustart. Wenn dieses Verhalten auftritt, wird eine Meldung angezeigt, in der Sie aufgefordert werden, den Neustart durchzuführen.
Entfernungsinformationen Verwenden Sie das Element "Programme hinzufügen oder entfernen" in Systemsteuerung.
Dateiinformationen Siehe Microsoft Knowledge Base-Artikel 2986072\ Siehe Microsoft Knowledge Base-Artikel 2982389\ Siehe Microsoft Knowledge Base-Artikel 2992965\ Siehe Microsoft Knowledge Base-Artikel 2982390
Überprüfung des Registrierungsschlüssels Für Microsoft Lync Server 2013 (server.msp):\ HKLM\Software\Microsoft\Echtzeitkommunikation{A593FD00-64F1-4288-A6F4-E699ED9DCA35}\Version = 5.0.8308.803
\ Für Microsoft Lync Server 2013 (rgs.msp):\ HKLM\Software\Microsoft\Echtzeitkommunikation{11CFB169-07EA-489D-BF8C-D8D29525720E}\Version = 5.0.8308.803
\ Für Microsoft Lync Server 2013 (OCSCore.msp):\ HKLM\Software\Microsoft\Echtzeitkommunikation{A766C25B-A1D1-4711-A726-AC3E7CA4AAB3}\Version = 5.0.8308.803
\ Für Microsoft Lync Server 2013 (WebComponents.msp):\ HKLM\Software\Microsoft\Echtzeitkommunikation{2A65AB9C-57AD-4EC6-BD4E-BD61A7C583B3}\Version = 5.0.8308.803

 

Danksagungen

Microsoft danke ihnen für die Zusammenarbeit mit uns, um Kunden zu schützen:

  • Peter Schraffl der Telekommunikationssoftware GmbH für die Meldung der Sicherheitsanfälligkeit in Lync (CVE-2014-4068)
  • Noam Rathaus, zusammenarbeiten mit dem SecuriTeam Secure Disclosure Team von Beyond Security, um die Sicherheitsanfälligkeit in Lync XSS zur Offenlegung von Informationen zu melden (CVE-2014-4070)

Sonstige Informationen

Microsoft Active Protections Program (MAPP)

Um den Sicherheitsschutz für Kunden zu verbessern, stellt Microsoft Sicherheitsrisiken für wichtige Sicherheitssoftwareanbieter im Voraus jeder monatlichen Sicherheitsupdateversion bereit. Sicherheitssoftwareanbieter können diese Sicherheitsrisikoinformationen dann verwenden, um Kunden über ihre Sicherheitssoftware oder Geräte, z. B. Antivirensoftware, netzwerkbasierte Angriffserkennungssysteme oder hostbasierte Angriffsschutzsysteme, aktualisierte Schutzmaßnahmen bereitzustellen. Um festzustellen, ob aktive Schutzmaßnahmen von Sicherheitssoftwareanbietern verfügbar sind, wechseln Sie zu den aktiven Schutzwebsites, die von Programmpartnern bereitgestellt werden, die in Microsoft Active Protections Program (MAPP)-Partnern aufgeführt sind.

Unterstützung

So erhalten Sie Hilfe und Support für dieses Sicherheitsupdate

Haftungsausschluss

Die in der Microsoft Knowledge Base bereitgestellten Informationen werden ohne Jegliche Garantie bereitgestellt. Microsoft lehnt alle Gewährleistungen ab, entweder ausdrücklich oder impliziert, einschließlich der Gewährleistungen der Händlerbarkeit und Eignung für einen bestimmten Zweck. In keinem Fall haftet die Microsoft Corporation oder seine Lieferanten für jegliche Schäden, einschließlich direkter, indirekter, zufälliger, Folgeschäden, Verlust von Geschäftsgewinnen oder sonderschäden, auch wenn die Microsoft Corporation oder ihre Lieferanten über die Möglichkeit solcher Schäden informiert wurden. Einige Staaten lassen den Ausschluss oder die Haftungsbeschränkung für Folge- oder Nebenschäden nicht zu, sodass die vorstehende Einschränkung möglicherweise nicht gilt.

Revisionen

  • V1.0 (9. September 2014): Bulletin veröffentlicht.
  • V2.0 (15. September 2014): Bulletin überarbeitet, um Download Center-Links für microsoft Sicherheitsupdate-2982385 für Microsoft Lync Server 2010 zu entfernen. Weitere Informationen finden Sie in den Häufig gestellten Fragen zu Updates.
  • V3.0 (23. September 2014): Bulletin wurde erneut veröffentlicht, um die ErneuteInofferung der 2982385 Sicherheitsupdatedatei (server.msp) für Microsoft Lync Server 2010 bekanntzugeben. Weitere Informationen finden Sie in den Häufig gestellten Fragen zu Updates.

Seite generiert 2014-09-22 16:30Z-07:00. </https:>