Microsoft Security Bulletin MS16-108 – Kritisch

Sicherheitsupdate für Microsoft Exchange Server (3185883)

Veröffentlicht: 13. September 2016

Version: 1.0

Kurzfassung

Dieses Sicherheitsupdate behebt Sicherheitsrisiken in Microsoft Exchange Server. Die schwerwiegendsten Sicherheitsrisiken könnten remotecodeausführung in einigen Oracle Outside In-Bibliotheken zulassen, die in Exchange Server integriert sind, wenn ein Angreifer eine E-Mail mit einer speziell gestalteten Anlage an einen anfälligen Exchange-Server sendet.

Dieses Sicherheitsupdate wird für alle unterstützten Editionen von Microsoft Exchange Server 2007, Microsoft Exchange Server 2010, Microsoft Exchange Server 2013 und Microsoft Exchange Server 2016 kritisch bewertet. Weitere Informationen finden Sie im Abschnitt "Betroffene Software- und Sicherheitsrisikobewertungen" .

Das Sicherheitsupdate behebt die Sicherheitsanfälligkeiten, indem korrigiert wird, wie Microsoft Exchange:

  • analysiert bestimmte unstrukturierte Dateiformate.
  • behandelt offene Umleitungsanforderungen.
  • behandelt Microsoft Outlook-Besprechungseinladungsanfragen.

Weitere Informationen zu den Sicherheitsrisiken finden Sie im Abschnitt "Sicherheitsrisikoinformationen ".

Weitere Informationen zu diesem Update finden Sie im Microsoft Knowledge Base-Artikel 3185883.

Schweregradbewertungen betroffener Software und Sicherheitsrisiken

Die folgenden Softwareversionen oder Editionen sind betroffen. Versionen oder Editionen, die nicht aufgeführt sind, sind entweder über ihren Supportlebenszyklus oder nicht betroffen. Informationen zum Ermitteln des Supportlebenszyklus für Ihre Softwareversion oder -edition finden Sie unter Microsoft-Support Lifecycle.

Die für jede betroffene Software angegebenen Schweregradbewertungen gehen von der potenziellen maximalen Auswirkung der Sicherheitsanfälligkeit aus. Informationen zur Wahrscheinlichkeit, dass innerhalb von 30 Tagen nach der Veröffentlichung dieses Sicherheitsbulletins die Ausnutzbarkeit der Sicherheitsanfälligkeit in Bezug auf die Schweregradbewertung und die Sicherheitsauswirkungen besteht, lesen Sie bitte den Exploitability Index in der Bulletinzusammenfassung im September.

Microsoft Server-Software Sicherheitsanfälligkeit in Microsoft Exchange bezüglich Offenlegung von Informationen – CVE-2016-0138 Sicherheitsanfälligkeit in Microsoft Exchange Open Redirecty – CVE-2016-3378 Sicherheitsanfälligkeit in Microsoft Exchange bezüglich Rechteerweiterungen – CVE-2016-3379 Updates ersetzt*
Microsoft Exchange Server 2007
Microsoft Exchange Server 2007 Service Pack 3 (3184711) Wichtige Offenlegung von Informationen Nicht zutreffend Nicht zutreffend 3151086 in MS16-079
Microsoft Exchange Server 2010
Microsoft Exchange Server 2010 Service Pack 3 (3184728) Wichtige Offenlegung von Informationen Nicht zutreffend Nicht zutreffend 3151097 in MS16-079
Microsoft Exchange Server 2013
Microsoft Exchange Server 2013 Service Pack 1 (3184736) Wichtige Offenlegung von Informationen Moderates Spoofing Nicht zutreffend 3150501 in MS16-079
Kumulatives Microsoft Exchange Server 2013-Update 12 (3184736) Wichtige Offenlegung von Informationen Moderates Spoofing Nicht zutreffend 3150501 in MS16-079
Kumulatives Microsoft Exchange Server 2013-Update 13 (3184736) Wichtige Offenlegung von Informationen Moderates Spoofing Nicht zutreffend Keine
Microsoft Exchange Server 2016
Kumulatives Microsoft Exchange Server 2016-Update 1 (3184736) Wichtige Offenlegung von Informationen Moderates Spoofing Wichtige Rechteerweiterung 3150501 in MS16-079
Kumulatives Update 2 für Microsoft Exchange Server 2016 (3184736) Wichtige Offenlegung von Informationen Moderates Spoofing Wichtige Rechteerweiterung Keine

*Die Spalte "Updates ersetzt" zeigt nur das neueste Update in jeder Kette von abgelösten Updates an. Um eine umfassende Liste der ersetzten Updates zu erhalten, wechseln Sie zum Microsoft Update-Katalog, suchen Sie nach der UPDATE-KB-Nummer, und zeigen Sie dann Updatedetails an (Updates ersetzte Informationen finden Sie auf der Registerkarte "Paketdetails").

Oracle Außerhalb von Bibliotheken Sicherheitsrisiken

Dieses Sicherheitsupdate behebt die folgenden Sicherheitsrisiken, die in Oracle Critical Patch Update Advisory – Juli 2016 beschrieben werden:

Remotecodeausführung: CVE-2016-3575, CVE-2016-3581, CVE-2016-3582, CVE-2016-3583, CVE-2016-3595, CVE-2016-3594, CVE-2015-6014, CVE-2016-3593, CVE-2016-3592, CVE-2016-3596, CVE-2016-3591

Offenlegung von Informationen: CVE-2016-3574

Denial of Service: CVE-2016-3576, CVE-2016-3577, CVE-2016-3578, CVE-2016-3579, CVE-2016-3580, CVE-2016-3590

Betriebssystem Aggregierter Schweregrad und Auswirkungen Ersetzte Updates
Microsoft Exchange Server 2007
Microsoft Exchange Server 2007 Service Pack 3 (3184711) Kritische Remotecodeausführung 3151086 in MS16-079
Microsoft Exchange Server 2010
Microsoft Exchange Server 2010 Service Pack 3 (3184728) Kritische Remotecodeausführung 3151097 in MS16-079
Microsoft Exchange Server 2013
Microsoft Exchange Server 2013 Service Pack 1 (3184736) Kritische Remotecodeausführung 3150501 in MS16-079
Kumulatives Microsoft Exchange Server 2013-Update 12 (3184736) Kritische Remotecodeausführung 3150501 in MS16-079
Kumulatives Microsoft Exchange Server 2013-Update 13 (3184736) Kritische Remotecodeausführung Keine
Microsoft Exchange Server 2016
Kumulatives Microsoft Exchange Server 2016-Update 1 (3184736) Kritische Remotecodeausführung 3150501 in MS16-079
Kumulatives Update 2 für Microsoft Exchange Server 2016 (3184736) Kritische Remotecodeausführung Keine

Häufig gestellte Fragen zum Aktualisieren

Warum gibt Microsoft ein Sicherheitsupdate für Sicherheitsrisiken aus, die sich in Drittanbietercode befinden, Oracle Outside In-Bibliotheken?
Microsoft lizenziert eine benutzerdefinierte Implementierung der Oracle Outside In-Bibliotheken, spezifisch für das Produkt, in dem der Drittanbietercode verwendet wird. Microsoft gibt dieses Sicherheitsupdate aus, um sicherzustellen, dass alle Kunden, die diesen Drittanbietercode in Microsoft Exchange verwenden, vor diesen Sicherheitsrisiken geschützt sind. Weitere Informationen zu diesen Sicherheitsrisiken finden Sie unter Oracle Critical Patch Update Advisory – Juli 2016.

Informationen zu Sicherheitsrisiken

Sicherheitsanfälligkeit in Microsoft Exchange bezüglich Offenlegung von Informationen – CVE-2016-0138

Eine Sicherheitslücke zur Offenlegung von Informationen besteht in der Weise, wie Microsoft Exchange Server E-Mail-Nachrichten analysiert. Die Sicherheitsanfälligkeit könnte es einem Angreifer ermöglichen, vertrauliche Benutzerinformationen zu ermitteln, die in Microsoft Outlook-Anwendungen enthalten sind.

Um die Sicherheitsanfälligkeit auszunutzen, könnte ein Angreifer "Senden als" Rechte verwenden, um eine speziell gestaltete Nachricht an einen Benutzer zu senden.

Das Sicherheitsupdate behebt die Sicherheitsanfälligkeiten, indem korrigiert wird, wie Microsoft Exchange bestimmte unstrukturierte Dateiformate analysiert.

Die folgende Tabelle enthält Links zum Standardeintrag für jede Sicherheitsanfälligkeit in der Liste allgemeiner Sicherheitsrisiken und Expositionen:

**Titel der Sicherheitsanfälligkeit ** **CVE-Nummer ** Öffentlich offengelegt Genutzt
Sicherheitsanfälligkeit in Microsoft Exchange bezüglich Offenlegung von Informationen CVE-2016-0138 No No

Mildernde Faktoren

Microsoft hat keine mildernden Faktoren für diese Sicherheitsanfälligkeit identifiziert.

Problemumgehungen

Microsoft hat keine Problemumgehungen für diese Sicherheitsanfälligkeit identifiziert.

 

Sicherheitsanfälligkeit in Microsoft Exchange Open Redirecty – CVE-2016-3378

Eine offene Umleitungslücke ist in Microsoft Exchange vorhanden, die zu Spoofing führen könnte. Um die Sicherheitsanfälligkeit auszunutzen, könnte ein Angreifer einen Link senden, der eine speziell gestaltete URL enthält, und den Benutzer davon überzeugen, auf den Link zu klicken. Wenn ein authentifizierter Exchange-Benutzer auf den Link klickt, kann die Browsersitzung des authentifizierten Benutzers auf eine bösartige Website umgeleitet werden, die darauf ausgelegt ist, eine legitime Website zu imitieren. Dadurch könnte der Angreifer den Benutzer verleiten und potenziell vertrauliche Informationen erwerben, z. B. die Anmeldeinformationen des Benutzers.

Das Update behebt die Sicherheitsanfälligkeit, indem korrigiert wird, wie Exchange offene Umleitungsanforderungen verarbeitet.

Die folgende Tabelle enthält Links zum Standardeintrag für jede Sicherheitsanfälligkeit in der Liste allgemeiner Sicherheitsrisiken und Expositionen:

Titel der Sicherheitsanfälligkeit CVE-Nummer Öffentlich offengelegt Genutzt
Sicherheitsanfälligkeit in Microsoft Exchange Open Redirecty CVE-2016-3378 No No

Mildernde Faktoren

Microsoft hat keine mildernden Faktoren für diese Sicherheitsanfälligkeit identifiziert.

Problemumgehungen

Microsoft hat keine Problemumgehungen für diese Sicherheitsanfälligkeit identifiziert.

 

Sicherheitsanfälligkeit in Microsoft Exchange bezüglich Rechteerweiterungen – CVE-2016-3379

Eine Erhöhung der Berechtigungslücke besteht in der Weise, wie Microsoft Outlook Besprechungseinladungsanfragen verarbeitet. Um die Sicherheitsanfälligkeit auszunutzen, könnte ein Angreifer eine speziell gestaltete Outlook-Besprechungseinladungsanfrage mit böswilligen websiteübergreifenden Skriptingfunktionen (XSS) an einen Benutzer senden.

Das Update behebt die Sicherheitsanfälligkeit, indem korrigiert wird, wie Outlook Besprechungseinladungsanfragen verarbeitet.

Die folgende Tabelle enthält Links zum Standardeintrag für jede Sicherheitsanfälligkeit in der Liste allgemeiner Sicherheitsrisiken und Expositionen:

**Titel der Sicherheitsanfälligkeit ** **CVE-Nummer ** Öffentlich offengelegt Genutzt
Sicherheitsanfälligkeit in Microsoft Exchange bezüglich Rechteerweiterungen CVE-2016-3379 No No

Mildernde Faktoren

Microsoft hat keine mildernden Faktoren für diese Sicherheitsanfälligkeit identifiziert.

Problemumgehungen

Microsoft hat keine Problemumgehungen für diese Sicherheitsanfälligkeit identifiziert.

Bereitstellung von Sicherheitsupdates

Informationen zur Bereitstellung von Sicherheitsupdates finden Sie im Microsoft Knowledge Base-Artikel, auf den in der Zusammenfassung der Geschäftsleitung verwiesen wird.

Danksagungen

Microsoft erkennt die Bemühungen derJenigen in der Sicherheitscommunity, die uns dabei helfen, Kunden durch koordinierte Offenlegung von Sicherheitsrisiken zu schützen. Weitere Informationen finden Sie unter "Bestätigungen ".

Haftungsausschluss

Die in der Microsoft Knowledge Base bereitgestellten Informationen werden ohne Jegliche Garantie bereitgestellt. Microsoft lehnt alle Gewährleistungen ab, entweder ausdrücklich oder impliziert, einschließlich der Gewährleistungen der Händlerbarkeit und Eignung für einen bestimmten Zweck. In keinem Fall haftet die Microsoft Corporation oder seine Lieferanten für jegliche Schäden, einschließlich direkter, indirekter, zufälliger, Folgeschäden, Verlust von Geschäftsgewinnen oder sonderschäden, auch wenn die Microsoft Corporation oder ihre Lieferanten über die Möglichkeit solcher Schäden informiert wurden. Einige Staaten lassen den Ausschluss oder die Haftungsbeschränkung für Folge- oder Nebenschäden nicht zu, sodass die vorstehende Einschränkung möglicherweise nicht gilt.

Revisionen

  • V1.0 (13. September 2016): Bulletin veröffentlicht.

Seite generiert 2016-09-12 09:56-07:00.