Microsoft Security Bulletin MS16-079 – Wichtig
Sicherheitsupdate für Microsoft Exchange Server (3160339)
Veröffentlicht: 14. Juni 2016
Version: 1.0
Kurzfassung
Dieses Sicherheitsupdate behebt Sicherheitsrisiken in Microsoft Exchange Server. Die schwerwiegendsten Sicherheitsrisiken könnten die Offenlegung von Informationen ermöglichen, wenn ein Angreifer eine speziell gestaltete Bild-URL in einer Outlook Web Access (OWA)-Nachricht sendet, die ohne Warnung oder Filterung aus der vom Angreifer gesteuerten URL geladen wird.
Dieses Sicherheitsupdate ist für alle unterstützten Editionen von Microsoft Exchange Server 2007, Microsoft Exchange Server 2010, Microsoft Exchange Server 2013 und Microsoft Exchange Server 2016 wichtig. Weitere Informationen finden Sie im Abschnitt "Betroffene Software- und Sicherheitsrisikobewertungen" .
Das Sicherheitsupdate behebt die Sicherheitsanfälligkeiten, indem korrigiert wird, wie Microsoft Exchange HTML-Nachrichten analysiert. Weitere Informationen zu den Sicherheitsrisiken finden Sie im Abschnitt "Sicherheitsrisikoinformationen ".
Weitere Informationen zu diesem Update finden Sie im Microsoft Knowledge Base-Artikel 3160339.
Schweregradbewertungen betroffener Software und Sicherheitsrisiken
Die folgenden Softwareversionen oder Editionen sind betroffen. Versionen oder Editionen, die nicht aufgeführt sind, sind entweder über ihren Supportlebenszyklus oder nicht betroffen. Informationen zum Ermitteln des Supportlebenszyklus für Ihre Softwareversion oder -edition finden Sie unter Microsoft-Support Lifecycle.
Die für jede betroffene Software angegebenen Schweregradbewertungen gehen von der potenziellen maximalen Auswirkung der Sicherheitsanfälligkeit aus. Informationen zur Wahrscheinlichkeit, dass innerhalb von 30 Tagen nach der Veröffentlichung dieses Sicherheitsbulletins die Ausnutzbarkeit der Sicherheitsanfälligkeit in Bezug auf die Schweregradbewertung und die Sicherheitsauswirkungen besteht, lesen Sie bitte den Exploitability Index in der Bulletinzusammenfassung vom Juni.
| Microsoft Server-Software | Sicherheitsanfälligkeit in Microsoft Exchange bezüglich Offenlegung von Informationen – CVE-2016-0028 | Oracle Outside In Libraries Elevation of Privilege Vulnerabilities: CVE-2015-6013 CVE-2015-6014 CVE-2015-6015 | Updates ersetzt* |
|---|---|---|---|
| Microsoft Exchange Server 2007 | |||
| Microsoft Exchange Server 2007 Service Pack 3 (3151086) | Nicht zutreffend | Wichtige Rechteerweiterung | 2996150 in MS14-075 |
| Microsoft Exchange Server 2010 | |||
| Microsoft Exchange Server 2010 Service Pack 3 (3151097) | Nicht zutreffend | Wichtige Rechteerweiterung | 2986475 in MS14-075 |
| Microsoft Exchange Server 2013 | |||
| Microsoft Exchange Server 2013 Service Pack 1 (3150501) | Wichtige Offenlegung von Informationen | Wichtige Rechteerweiterung | 3124557 in MS16-010 |
| Kumulatives Microsoft Exchange Server 2013-Update 11 (3150501) | Wichtige Offenlegung von Informationen | Wichtige Rechteerweiterung | 3124557 in MS16-010 |
| Kumulatives Microsoft Exchange Server 2013-Update 12 (3150501) | Wichtige Offenlegung von Informationen | Wichtige Rechteerweiterung | Keine |
| Microsoft Exchange Server 2016 | |||
| Microsoft Exchange Server 2016 (3150501) | Wichtige Offenlegung von Informationen | Wichtige Rechteerweiterung | 3124557 in MS16-010 |
| Kumulatives Update 1 von Microsoft Exchange Server 2016 (3150501) | Wichtige Offenlegung von Informationen | Wichtige Rechteerweiterung | Keine |
*Die Spalte "Updates ersetzt" zeigt nur das neueste Update in jeder Kette von abgelösten Updates an. Um eine umfassende Liste der ersetzten Updates zu erhalten, wechseln Sie zum Microsoft Update-Katalog, suchen Sie nach der UPDATE-KB-Nummer, und zeigen Sie dann Updatedetails an (Updates ersetzte Informationen finden Sie auf der Registerkarte "Paketdetails").
Häufig gestellte Fragen zum Aktualisieren
Warum gibt Microsoft ein Sicherheitsupdate für Sicherheitsrisiken aus, die sich in Drittanbietercode befinden, Oracle Outside In-Bibliotheken? Microsoft lizenziert eine benutzerdefinierte Implementierung der Oracle Outside In-Bibliotheken, spezifisch für das Produkt, in dem der Drittanbietercode verwendet wird. Microsoft gibt dieses Sicherheitsupdate aus, um sicherzustellen, dass alle Kunden, die diesen Drittanbietercode in Microsoft Exchange verwenden, vor diesen Sicherheitsrisiken geschützt sind. Weitere Informationen zu diesen Sicherheitsrisiken finden Sie unter Oracle Critical Patch Update Advisory – Januar 2016.
Enthalten diese Updates zusätzliche sicherheitsrelevante Änderungen an Funktionen?
Die updates, die in der Tabelle mit den Bewertungen für betroffene Software und Sicherheitsanfälligkeit aufgeführt sind, umfassen ausführliche Verteidigungsupdates, um sicherheitsbezogene Features zu verbessern, zusätzlich zu den Änderungen, die für die in diesem Bulletin beschriebene Sicherheitsanfälligkeit aufgeführt sind.
Informationen zu Sicherheitsrisiken
Sicherheitsanfälligkeit in Microsoft Exchange bezüglich Offenlegung von Informationen – CVE-2016-0028
Eine E-Mail-Filterumgehung ist so vorhanden, wie Microsoft Exchange HTML-Nachrichten analysiert, die die Offenlegung von Informationen ermöglichen könnten. Ein Angreifer, der die Sicherheitsanfälligkeit erfolgreich ausgenutzt hat, könnte einen Benutzer online identifizieren, fingerabdrucken und nachverfolgen, wenn der Benutzer E-Mail-Nachrichten mit Outlook Web Access (OWA) anzeigt. Ein Angreifer könnte diese Sicherheitsanfälligkeit auch mit einem anderen kombinieren, z. B. eine cross-Site Request Forgery (CSRF), um den Angriff zu verstärken.
Um die Sicherheitsanfälligkeit auszunutzen, könnte ein Angreifer speziell gestaltete Bild-URLs in OWA-Nachrichten enthalten, die ohne Warnung oder Filterung aus der vom Angreifer gesteuerten URL geladen werden können. Dieser Rückrufvektor bietet eine Informationsentdeckungstaktik, die in Webbeacons und anderen Arten von Tracking-Systemen verwendet wird. Das Update korrigiert die Art und Weise, wie Exchange HTML-Nachrichten analysiert.
Die folgende Tabelle enthält Links zum Standardeintrag für jede Sicherheitsanfälligkeit in der Liste allgemeiner Sicherheitsrisiken und Expositionen:
| Titel der Sicherheitsanfälligkeit | CVE-Nummer | Öffentlich offengelegt | Genutzt |
|---|---|---|---|
| Sicherheitsanfälligkeit in Microsoft Exchange bezüglich Offenlegung von Informationen | CVE-2016-0028 | No | No |
Mildernde Faktoren
Microsoft hat keine mildernden Faktoren für diese Sicherheitsanfälligkeit identifiziert.
Problemumgehungen
Microsoft hat keine Problemumgehungen für diese Sicherheitsanfälligkeit identifiziert.
Oracle außerhalb der Rechteerweiterungen von Bibliotheken
Dieses Sicherheitsupdate behebt die folgenden Sicherheitsrisiken, die in Oracle Critical Patch Update Advisory – Januar 2016 beschrieben werden:
- CVE-2015-6013: Oracle Outside in 8.5.2 WK4-Stapelpufferüberlauf
- CVE-2015-6014: Oracle Outside In 8.5.2 DOC-Stapelpufferüberlauf
- CVE-2015-6015: Oracle OIT 8.5.2 Paradox DB Stack Overflow
Bereitstellung von Sicherheitsupdates
Informationen zur Bereitstellung von Sicherheitsupdates finden Sie im Microsoft Knowledge Base-Artikel, auf den in der Zusammenfassung der Geschäftsleitung verwiesen wird.
Danksagungen
Microsoft erkennt die Bemühungen derJenigen in der Sicherheitscommunity, die uns dabei helfen, Kunden durch koordinierte Offenlegung von Sicherheitsrisiken zu schützen. Weitere Informationen finden Sie unter "Bestätigungen ".
Haftungsausschluss
Die in der Microsoft Knowledge Base bereitgestellten Informationen werden ohne Jegliche Garantie bereitgestellt. Microsoft lehnt alle Gewährleistungen ab, entweder ausdrücklich oder impliziert, einschließlich der Gewährleistungen der Händlerbarkeit und Eignung für einen bestimmten Zweck. In keinem Fall haftet die Microsoft Corporation oder seine Lieferanten für jegliche Schäden, einschließlich direkter, indirekter, zufälliger, Folgeschäden, Verlust von Geschäftsgewinnen oder sonderschäden, auch wenn die Microsoft Corporation oder ihre Lieferanten über die Möglichkeit solcher Schäden informiert wurden. Einige Staaten lassen den Ausschluss oder die Haftungsbeschränkung für Folge- oder Nebenschäden nicht zu, sodass die vorstehende Einschränkung möglicherweise nicht gilt.
Revisionen
- V1.0 (14. Juni 2016): Bulletin veröffentlicht.
Seite generiert 2016-06-08 10:44-07:00.