Microsoft Security Bulletin MS15-035 – Kritisch

Sicherheitsanfälligkeit in der Microsoft-Grafikkomponente könnte Remotecodeausführung zulassen (3046306)

Veröffentlicht: 14. April 2015 | Aktualisiert: 29. April 2015

Version: 1.1

Kurzfassung

Dieses Sicherheitsupdate behebt eine Sicherheitsanfälligkeit in Microsoft Windows. Die Sicherheitsanfälligkeit könnte die Remotecodeausführung ermöglichen, wenn ein Angreifer einen Benutzer erfolgreich davon überzeugt, zu einer speziell gestalteten Website zu navigieren, eine speziell gestaltete Datei zu öffnen oder zu einem Arbeitsverzeichnis zu navigieren, das eine speziell gestaltete EMF-Bilddatei (Enhanced Metafile) enthält. In allen Fällen hätte ein Angreifer jedoch keine Möglichkeit, benutzer dazu zu zwingen, solche Aktionen zu ergreifen; Ein Angreifer müsste die Benutzer dazu überzeugen, in der Regel durch Verlockungen in E-Mail- oder Instant Messenger-Nachrichten.

Dieses Sicherheitsupdate ist für alle unterstützten Editionen von Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 und Windows Server 2008 R2 kritisch bewertet. Weitere Informationen finden Sie im Abschnitt "Betroffene Software" .

Das Sicherheitsupdate behebt die Sicherheitsanfälligkeit, indem korrigiert wird, wie EMF-Dateien von Windows verarbeitet werden. Weitere Informationen zur Sicherheitsanfälligkeit finden Sie im Abschnitt "Sicherheitsrisikeninformationen ".

Weitere Informationen zu diesem Update finden Sie im Microsoft Knowledge Base-Artikel 3046306.

Betroffene Software

Die folgenden Softwareversionen oder Editionen sind betroffen. Versionen oder Editionen, die nicht aufgeführt sind, sind entweder über ihren Supportlebenszyklus oder nicht betroffen. Informationen zum Ermitteln des Supportlebenszyklus für Ihre Softwareversion oder -edition finden Sie unter Microsoft-Support Lifecycle.

Schweregradbewertungen und Sicherheitslücken-IDs

Die folgenden Schweregradbewertungen gehen von der potenziellen maximalen Auswirkung der Sicherheitsanfälligkeit aus. Informationen zur Wahrscheinlichkeit, dass innerhalb von 30 Tagen nach der Veröffentlichung dieses Sicherheitsbulletins die Ausnutzbarkeit der Sicherheitsanfälligkeit in Bezug auf die Schweregradbewertung und die Sicherheitsauswirkungen besteht, finden Sie im Bulletinzusammenfassung vom April den Exploitability Index.

Informationen zu Sicherheitsrisiken

Sicherheitsanfälligkeit in EMF-Verarbeitung von Remotecodeausführung – CVE-2015-1645

Eine Sicherheitsanfälligkeit in Remotecodeausführung besteht darin, dass Microsoft Windows bestimmte, speziell gestaltete EMF-Bildformatdateien (Enhanced Metafile) nicht ordnungsgemäß verarbeitet. Ein Angreifer, der die Sicherheitsanfälligkeit erfolgreich ausgenutzt hat, kann beliebigen Code als angemeldeter Benutzer ausführen. Ein Angreifer könnte dann Programme installieren, Daten anzeigen, ändern, oder löschen oder neue Konten mit uneingeschränkten Benutzerrechten anlegen. Wenn ein Benutzer mit Administratorrechten angemeldet ist, kann ein Angreifer die vollständige Kontrolle über das betroffene System übernehmen. Für Benutzer, deren Konten mit weniger Benutzerrechten im System konfiguriert sind, sind die Auswirkungen normalerweise geringer als für Benutzer, die mit Administratorrechten arbeiten.

In einem webbasierten Angriffsszenario könnte ein Angreifer eine speziell gestaltete Website hosten, die darauf ausgelegt ist, die Sicherheitsanfälligkeit über Internet Explorer auszunutzen, und dann die Benutzer davon überzeugen, die Website anzuzeigen. Dies kann auch kompromittierte Websites oder Websites umfassen, die vom Benutzer bereitgestellte Inhalte oder Banneranzeigen akzeptieren oder hosten; Solche Websites könnten speziell gestaltete Inhalte enthalten, die darauf ausgelegt sind, die Sicherheitsanfälligkeit auszunutzen. In allen Fällen hätte ein Angreifer jedoch keine Möglichkeit, Benutzer zu erzwingen, solche Websites zu besuchen. Stattdessen müsste ein Angreifer die Benutzer dazu überzeugen, in der Regel durch Klicken auf einen Link in einer E-Mail- oder Instant Messenger-Anforderung.

In einem E-Mail-Angriffsszenario könnte ein Angreifer die Sicherheitsanfälligkeit ausnutzen, indem Outlook-Benutzer eine speziell gestaltete E-Mail senden oder ihnen ein speziell gestaltetes Office-Dokument als Anlage senden und den Benutzer überzeugen, die Nachricht zu lesen oder die Datei zu öffnen.

Ein Angreifer könnte diese Sicherheitsanfälligkeit auch ausnutzen, indem eine schädliche Bilddatei auf einer Netzwerkfreigabe gehostet wird und Benutzer überzeugen, zum Ordner im Windows-Explorer zu navigieren.

Das Sicherheitsupdate behebt die Sicherheitsanfälligkeit, indem korrigiert wird, wie EMF-Dateien von Windows verarbeitet werden.

Microsoft hat Informationen zu dieser Sicherheitsanfälligkeit durch koordinierte Offenlegung von Sicherheitsrisiken erhalten. Als dieses Sicherheitsbulletin ausgestellt wurde, hatte Microsoft keine Informationen erhalten, um anzugeben, dass diese Sicherheitsanfälligkeit öffentlich für Angriffe auf Kunden verwendet wurde.

Mildernde Faktoren

Microsoft hat keine mildernden Faktoren für diese Sicherheitsanfälligkeit identifiziert.

Problemumgehungen

Die folgenden Problemumgehungen können in Ihrer Situation hilfreich sein:

• Deaktivieren der Metadateiverarbeitung durch Ändern der Registrierung
  Windows Server 2003-Kunden, die das 925902 Update oder Kunden mit Windows Vista, Windows Server 2008, Windows 7 oder Windows Server 2008 R2 angewendet haben, können die Metadateiverarbeitung durch Ändern der Registrierung deaktivieren. Diese Einstellung schützt das betroffene System vor Versuchen, diese Sicherheitsanfälligkeit auszunutzen.

  Verwenden der manuellen Methode:

  Warnung , wenn Sie den Registrierungs-Editor falsch verwenden, können schwerwiegende Probleme auftreten, die möglicherweise erfordern, dass Sie Ihr Betriebssystem neu installieren müssen. Microsoft kann nicht garantieren, dass Probleme, die von einer falschen Verwendung des Registrierungseditors herrühren, behoben werden können. Sie verwenden den Registrierungs-Editor auf eigene Verantwortung.

  1. Klicken Sie auf "Start", klicken Sie auf "Ausführen", geben Sie "Regedit" in das Feld "Öffnen" ein, und klicken Sie dann auf "OK".

  2. Klicken Sie auf den folgenden Registrierungsunterschlüssel:

         HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\GRE_Initialize
     

  3. Zeigen Sie im Menü "Bearbeiten " auf "Neu", und klicken Sie dann auf "DWORD".

  4. Geben Sie DisableMetaFiles ein, und drücken Sie dann die EINGABETASTE.

  5. Klicken Sie im Menü "Bearbeiten " auf " Ändern ", um den Registrierungseintrag "DisableMetaFiles" zu ändern.

  6. Geben Sie in das Datenfeld Wert den Wert 1 ein, und klicken Sie dann auf OK.

  7. Beenden Sie den Registrierungs-Editor.

  8. Starten Sie den Computer neu.

  Auswirkungen der Problemumgehung. Durch das Deaktivieren der Verarbeitung von Metadateien kann das Auftreten von Software- oder Systemkomponenten in der Qualität verringert werden. Das Deaktivieren der Verarbeitung von Metadateien kann auch dazu führen, dass die Software- oder Systemkomponenten vollständig fehlschlagen. Es wurde identifiziert, dass sie erhebliche Auswirkungen auf die Funktionalität hat und sorgfältig ausgewertet und getestet werden sollte, um ihre Anwendbarkeit zu ermitteln.

  Einige Beispiele dafür sind:

  • Sie können nicht auf dem Computer drucken.
  • Einige Anwendungen auf dem Computer können ClipArt möglicherweise nicht anzeigen.
  • Einige Szenarien, die ole-Rendering erfordern, können möglicherweise nicht mehr ausgeführt werden. Insbesondere tritt er auf, wenn der Objektserver nicht aktiv ist.

  Weitere Informationen zu dieser Einstellung finden Sie im Microsoft Knowledge Base-Artikel 941835.

  Verwenden eines Skripts für die verwaltete Bereitstellung:

  1. Speichern Sie Folgendes in einer Datei mit einer . REG-Erweiterung (z. B. Disable_MetaFiles.reg):

         Windows Registry Editor Version 5.00
     
         [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\GRE_Initialize]
         "DisableMetaFiles"=dword:00000001
     

  2. Führen Sie das obige Registrierungsskript auf dem Zielcomputer mit dem folgenden Befehl von einem Administrator (unter Vista, einer Eingabeaufforderung mit erhöhten Rechten) aus:

         Regedit.exe /s Disable_MetaFiles.reg
     

  3. Starten Sie den Computer neu.

  Rückgängigmachen der Problemumgehung:

  1. Klicken Sie auf "Start", klicken Sie auf "Ausführen", geben Sie "Regedit" in das Feld "Öffnen" ein, und klicken Sie dann auf "OK".

  2. Klicken Sie auf den folgenden Registrierungsunterschlüssel:

         HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\GRE_Initialize
     

  3. Klicken Sie im Menü "Bearbeiten " auf "Ändern" im Registrierungseintrag "DisableMetaFiles".

  4. Geben Sie im Feld "Wert" "0" ein, und klicken Sie dann auf "OK".

  5. Beenden Sie den Registrierungs-Editor.

  6. Starten Sie den Computer neu.

Bereitstellung von Sicherheitsupdates

Informationen zur Bereitstellung von Sicherheitsupdates finden Sie im Microsoft Knowledge Base-Artikel, auf den in der Zusammenfassung der Geschäftsleitung verwiesen wird.

Danksagungen

Microsoft erkennt die Bemühungen derJenigen in der Sicherheitscommunity, die uns dabei helfen, Kunden durch koordinierte Offenlegung von Sicherheitsrisiken zu schützen. Weitere Informationen finden Sie unter "Bestätigungen ".

Haftungsausschluss

Die in der Microsoft Knowledge Base bereitgestellten Informationen werden ohne Jegliche Garantie bereitgestellt. Microsoft lehnt alle Gewährleistungen ab, entweder ausdrücklich oder impliziert, einschließlich der Gewährleistungen der Händlerbarkeit und Eignung für einen bestimmten Zweck. In keinem Fall haftet die Microsoft Corporation oder seine Lieferanten für jegliche Schäden, einschließlich direkter, indirekter, zufälliger, Folgeschäden, Verlust von Geschäftsgewinnen oder sonderschäden, auch wenn die Microsoft Corporation oder ihre Lieferanten über die Möglichkeit solcher Schäden informiert wurden. Einige Staaten lassen den Ausschluss oder die Haftungsbeschränkung für Folge- oder Nebenschäden nicht zu, sodass die vorstehende Einschränkung möglicherweise nicht gilt.

Revisionen

• V1.0 (14. April 2015): Bulletin veröffentlicht.
• V1.1 (29. April 2015): Bulletin überarbeitet, um Update-Ersatzeinträge für alle betroffenen Software zu korrigieren. Dies ist nur eine Informationsänderung.

Seite generiert 2015-04-29 10:40Z-07:00.