Microsoft-Sicherheitsbulletin MS17-007 – Kritisch

Kumulatives Sicherheitsupdate für Microsoft Edge (4013071)

Veröffentlicht: 14. März 2017 | Aktualisiert: 8. August 2017

Version: 2.0

Dieses Sicherheitsupdate behebt Sicherheitsanfälligkeiten in Microsoft Edge. Die schwerwiegendste dieser Sicherheitsanfälligkeiten kann Remotecodeausführung ermöglichen, wenn ein Benutzer eine speziell gestaltete Webseite mit Microsoft Edge anzeigt. Ein Angreifer, der die Sicherheitsrisiken erfolgreich ausnutzt, könnte die Kontrolle über ein betroffenes System übernehmen. Ein Angreifer kann dann Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten mit sämtlichen Benutzerrechten erstellen.

Dieses Sicherheitsupdate wird für Microsoft Edge unter Windows 10 als „Kritisch“ und unter Windows Server 2016 als „Mittel“ eingestuft. Weitere Informationen finden Sie im Abschnitt „Betroffene Software“.

Das Update behebt die Sicherheitsrisiken, indem geändert wird, wie Microsoft Edge Objekte im Arbeitsspeicher verarbeitet.

Weitere Informationen zu diesen Sicherheitsrisiken finden Sie im Abschnitt „Informationen zu Sicherheitsrisiken“. Weitere Informationen zu diesem Update finden Sie im Microsoft Knowledge Base-Artikel 4013071.

Die folgenden Softwareversionen oder -editionen sind betroffen. Versionen oder Editionen, die nicht aufgeführt sind, haben entweder das Ende ihres Supportlebenszyklus überschritten oder sind nicht betroffen. Besuchen Sie die Website Microsoft Support Lifecycle, um den Supportlebenszyklus für Ihre vorherige Softwareversion oder -edition zu ermitteln.

Bei den Bewertungen des Schweregrads für die jeweils betroffene Software wird die potenzielle maximale Auswirkung der Sicherheitsanfälligkeit angenommen. Informationen zur Wahrscheinlichkeit der Ausnutzung der Sicherheitsanfälligkeit in Bezug auf die Bewertung des Schweregrads und die Sicherheitsauswirkung innerhalb von 30 Tagen nach Veröffentlichung dieses Sicherheitsbulletins finden Sie im Ausnutzbarkeitsindex im Bulletin Summary für März.

Hinweis Im Leitfaden für Sicherheitsupdates erfahren Sie mehr über einen neuen Ansatz zur Aufnahme der Informationen über Sicherheitsupdates. Sie können Ihre Ansichten anpassen und Tabellen zu betroffener Software erstellen sowie Daten über eine RESTful-API herunterladen. Weitere Informationen finden Sie in den häufig gestellten Fragen (FAQs) zum Leitfaden für Sicherheitsupdates. Zur Erinnerung: Sicherheitsbulletins werden durch den Leitfaden für Sicherheitsupdates ersetzt. Details finden Sie in unserem Blogbeitrag Furthering our commitment to security updates.

Betroffene Software: Microsoft Edge

Betriebssystem

Komponente

Maximale Sicherheitsauswirkung

Bewertung des Gesamtschweregrads

Ersetzte Updates

Microsoft Edge

Windows 10 für 32-Bit-Systeme [1]
(4025338)

Microsoft Edge

Remotecodeausführung

Kritisch

4022727

Windows 10 für x64-basierte Systeme [1]
(4025338)

Microsoft Edge

Remotecodeausführung

Kritisch

4022727

Windows 10 Version 1511 für 32-Bit-Systeme [1]
(4025338)

Microsoft Edge

Remotecodeausführung

Kritisch

4022714

Windows 10 Version 1511 für x64-basierte Systeme [1]
(4025338)

Microsoft Edge

Remotecodeausführung

Kritisch

4022714

Windows 10 Version 1607 für 32-Bit-Systeme [1]
(4025338)

Microsoft Edge

Remotecodeausführung

Kritisch

4022715

Windows 10 Version 1607 für x64-basierte Systeme [1]
(4025338)

Microsoft Edge

Remotecodeausführung

Kritisch

4022715

Windows 10 Version 1703 für 32-Bit-Systeme [1]
(4025338)

Microsoft Edge

Remotecodeausführung

Kritisch

4022725

Windows 10 Version 1703 für x64-basierte Systeme [1]
(4025338)

Microsoft Edge

Remotecodeausführung

Kritisch

4022725

Windows Server 2016

Windows Server 2016 für x64-basierte Systeme [1]
(4013429)

Microsoft Edge

Remotecodeausführung

Mittel

3213986

[1]Updates für Windows 10 und Windows Server 2016 sind kumulativ. Das monatliche Sicherheitsupdate enthält neben nicht sicherheitsrelevanten Updates alle Sicherheitsupdates für Sicherheitsanfälligkeiten, die Windows 10 betreffen. Die Updates sind über den Microsoft Update-Katalog verfügbar. Ab dem 13. Dezember 2016 werden Details zu Windows 10 und Windows Server 2016 für die kumulativen Updates in den Versionshinweisen dokumentiert. Bitte beachten Sie die Versionshinweise zu Betriebssystem-Versionsnummern, bekannten Problemen und Informationen zur Liste der betroffenen Dateien.

*Die Spalte „Ersetzte Updates“ enthält nur das letzte Update einer beliebigen Reihe ersetzter Updates. Eine umfassende Liste mit ersetzten Updates finden Sie im Microsoft Update-Katalog in den Updatedetails unter der entsprechenden Update-KB-Nummer. (Die Informationen zu ersetzten Updates befinden sich auf der Registerkarte Paketdetails).

Das in diesem Bulletin besprochene Sicherheitsrisiko bezüglich der PDF-Bibliothek wird auch im Windows-PDF-Bulletin (MS17-009) erläutert, das im März veröffentlicht wird. Muss ich zum Schutz vor der Sicherheitsanfälligkeit mehrere Updates für meine spezielle System- und Microsoft Edge-Konfiguration installieren? 
Nein. Kunden mit Windows 10-Systemen müssen nur das eine kumulative Update für ihr System installieren, um das System vor CVE-2017-0023 zu schützen. Das Sicherheitsrisiko bezüglich der PDF-Bibliothek wird auch im Microsoft Edge-Bulletin aufgeführt, da sich die Sicherheitskorrektur für dieses Sicherheitsrisiko auf Windows 10-Systemen in der Microsoft Edge-Komponente befindet, die im kumulativen Update ausgeliefert wird.

Bei der folgenden Bewertung des Schweregrads wird die potenzielle maximale Auswirkung der Sicherheitsanfälligkeit angenommen. Informationen zur Wahrscheinlichkeit der Ausnutzung der Sicherheitsanfälligkeit in Bezug auf die Bewertung des Schweregrads und die Sicherheitsauswirkung innerhalb von 30 Tagen nach Veröffentlichung dieses Sicherheitsbulletins finden Sie im Ausnutzbarkeitsindex im Bulletin Summary für März.

Die Werte „Kritisch”, „Hoch” und „Mittel” in der Tabelle „Bewertung des Schweregrads und Sicherheitsauswirkung“ geben die Bewertungen des Schweregrads an. Weitere Informationen finden Sie unter Bewertungssystem für Sicherheitsbulletins. In der Tabelle werden die folgenden Abkürzungen zur Angabe der maximalen Auswirkung verwendet:

Abkürzung

Maximale Auswirkung

RCE

Remotecodeausführung

EoP

Rechteerweiterungen

ID

Offenlegung von Informationen

SFB

Umgehung von Sicherheitsfunktionen

 


Bewertung des Schweregrads und Sicherheitsauswirkung

CVE-Nummer

Titel der Sicherheitsanfälligkeit

Microsoft Edge

CVE-2017-0009

Sicherheitsanfälligkeit in Microsoft Browser durch Offenlegung von Information

Windows-Clients:
Hoch / ID

Windows-Server:
Niedrig / ID

CVE-2017-0010

Sicherheitsrisiko im Skriptmodul bezüglich Speicherbeschädigung

Windows-Clients:
Kritisch/RCE

Windows-Server:
Mittel/RCE

CVE-2017-0011

Sicherheitsanfälligkeit in Microsoft Edge bezüglich der Offenlegung von Informationen

Windows-Clients:
Hoch / ID

Windows-Server:
Niedrig / ID

CVE-2017-0012

Sicherheitsanfälligkeit in Microsoft-Browser bezüglich Spoofingangriffen

Windows-Clients:
Hoch/Spoofing

Windows-Server:
Niedrig/Spoofing

CVE-2017-0015

Sicherheitsrisiko im Skriptmodul bezüglich Speicherbeschädigung

Windows-Clients:
Kritisch/RCE
(Nur Windows 10 und Windows 10 Version 1511 sind betroffen)

CVE-2017-0017

Sicherheitsanfälligkeit in Microsoft Edge bezüglich der Offenlegung von Informationen

Windows-Clients:
Hoch / ID

Windows-Server:
Niedrig / ID

CVE-2017-0023

Sicherheitsanfälligkeit in Microsoft PDF bezüglich Speicherbeschädigung

Windows-Clients:
Kritisch/RCE

Windows-Server:
Mittel/RCE

CVE-2017-0032

Sicherheitsrisiko im Skriptmodul bezüglich Speicherbeschädigung

Windows-Clients:
Kritisch/RCE

Windows-Server:
Mittel/RCE

CVE-2017-0033

Sicherheitsanfälligkeit in Microsoft-Browser bezüglich Spoofingangriffen

Windows-Clients:
Hoch/Spoofing

Windows-Server:
Niedrig/Spoofing

CVE-2017-0034

Sicherheitsanfälligkeit in Microsoft Edge bezüglich Speicherbeschädigung

Windows-Clients:
Kritisch/RCE
(Nur Windows 10 Version 1607 ist betroffen)

Windows-Server:
Mittel/RCE

CVE-2017-0035

Sicherheitsrisiko im Skriptmodul bezüglich Speicherbeschädigung

Windows-Clients:
Kritisch/RCE

Windows-Server:
Mittel/RCE

CVE-2017-0037

Sicherheitsanfälligkeit in Microsoft Browser bezüglich Speicherbeschädigung

Windows-Clients:
Kritisch/RCE

Windows-Server:
Mittel/RCE

CVE-2017-0065

Sicherheitsanfälligkeit in Microsoft Browser durch Offenlegung von Information

Windows-Clients:
Hoch / ID

Windows-Server:
Niedrig / ID

CVE-2017-0066

Sicherheitsanfälligkeit in Microsoft Edge bezüglich Umgehung von Sicherheitsfunktionen

Windows-Clients:
Hoch/SFB

Windows-Server:
Niedrig/SFB

CVE-2017-0067

Sicherheitsrisiko im Skriptmodul bezüglich Speicherbeschädigung

Windows-Clients:
Kritisch/RCE

Windows-Server:
Mittel/RCE

CVE-2017-0068

Sicherheitsanfälligkeit in Microsoft Edge bezüglich der Offenlegung von Informationen

Windows-Clients:
Hoch / ID

Windows-Server:
Niedrig / ID

CVE-2017-0069

Spoofing-Sicherheitsanfälligkeit in Microsoft Edge

Windows-Clients:
Hoch/Spoofing

Windows-Server:
Niedrig/Spoofing

CVE-2017-0070

Sicherheitsrisiko im Skriptmodul bezüglich Speicherbeschädigung

Windows-Clients:
Kritisch/RCE

Windows-Server:
Mittel/RCE

CVE-2017-0071

Sicherheitsrisiko im Skriptmodul bezüglich Speicherbeschädigung

Windows-Clients:
Kritisch/RCE

Windows-Server:
Mittel/RCE

CVE-2017-0094

Sicherheitsrisiko im Skriptmodul bezüglich Speicherbeschädigung

Windows-Clients:
Kritisch/RCE

Windows-Server:
Mittel/RCE

CVE-2017-0131

Sicherheitsrisiko im Skriptmodul bezüglich Speicherbeschädigung

Windows-Clients:
Hoch/RCE

Windows-Server:
Niedrig/RCE

CVE-2017-0132

Sicherheitsrisiko im Skriptmodul bezüglich Speicherbeschädigung

Windows-Clients:
Kritisch/RCE

Windows-Server:
Mittel/RCE

CVE-2017-0133

Sicherheitsrisiko im Skriptmodul bezüglich Speicherbeschädigung

Windows-Clients:
Kritisch/RCE
(Nur Windows 10 Versionen 1511 und 1607 sind betroffen)

Windows-Server:
Mittel/RCE

CVE-2017-0134

Sicherheitsrisiko im Skriptmodul bezüglich Speicherbeschädigung

Windows-Clients:
Kritisch/RCE

Windows-Server:
Mittel/RCE

CVE-2017-0135

Umgehung von Sicherheitsfunktionen in Microsoft Edge

Windows-Clients:
Hoch/SFB

Windows-Server:
Niedrig/SFB

CVE-2017-0136

Sicherheitsrisiko im Skriptmodul bezüglich Speicherbeschädigung

Windows-Clients:
Kritisch/RCE
(Nur Windows 10 Version 1607 ist betroffen)

CVE-2017-0137

Sicherheitsrisiko im Skriptmodul bezüglich Speicherbeschädigung

Windows-Clients:
Kritisch/RCE

Windows-Server:
Mittel/RCE

CVE-2017-0138

Sicherheitsrisiko im Skriptmodul bezüglich Speicherbeschädigung

Windows-Clients:
Kritisch/RCE

Windows-Server:
Mittel/RCE

CVE-2017-0140

Umgehung von Sicherheitsfunktionen in Microsoft Edge

Windows-Clients:
Hoch/SFB
(Nur Windows 10 Version 1607 ist betroffen)

Windows-Server:
Niedrig/SFB

CVE-2017-0141

Sicherheitsrisiko im Skriptmodul bezüglich Speicherbeschädigung

Windows-Clients:
Kritisch/RCE

Windows-Server:
Mittel/RCE

CVE-2017-0150

Sicherheitsrisiko im Skriptmodul bezüglich Speicherbeschädigung

Windows-Clients:
Kritisch/RCE
(Nur Windows 10 Version 1607 ist betroffen)

Windows-Server:
Mittel/RCE

CVE-2017-0151

Sicherheitsrisiko im Skriptmodul bezüglich Speicherbeschädigung

Windows-Clients:
Kritisch/RCE
(Nur Windows 10 Version 1607 ist betroffen)

Windows-Server:
Mittel/RCE

Mehrere Sicherheitsrisiken in Microsoft-Skriptmodulen bezüglich Speicherbeschädigung

Es liegen mehrere Sicherheitsanfälligkeiten, die Remotecodeausführung ermöglichen können, bezüglich der Art und Weise vor, wie Microsoft-Browser Objekte im Arbeitsspeicher verarbeiten, die in Microsoft-Skriptmodulen ausgegeben werden. Die Sicherheitsrisiken können den Arbeitsspeicher so beschädigen, dass ein Angreifer im Kontext des aktuellen Benutzers beliebigen Code ausführen kann. Ein Angreifer, der diese Sicherheitsanfälligkeiten erfolgreich ausnutzt, kann die gleichen Benutzerrechte wie der aktuelle Benutzer erlangen. Wenn der aktuelle Benutzer mit Administratorrechten angemeldet ist, kann ein Angreifer, der diese Sicherheitsanfälligkeiten erfolgreich ausnutzt, die Kontrolle über ein betroffenes System übernehmen. Ein Angreifer kann dann Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten mit sämtlichen Benutzerrechten erstellen.

In einem webbasierten Angriffsszenario kann ein Angreifer eine speziell gestaltete Website einrichten, die darauf ausgelegt ist, die Sicherheitsanfälligkeiten über einen Microsoft-Browser auszunutzen, und dann einen Benutzer zum Besuch der Website verleiten. Ein Angreifer kann auch ein als „initialisierungssicher“ gekennzeichnetes ActiveX-Steuerelement in eine Anwendung oder ein Microsoft Office-Dokument einbetten, die das Grafikwiedergabemodul von Edge hostet. Der Angreifer kann auch manipulierte Websites und Websites ausnutzen, die von Endbenutzern bereitgestellte Inhalte oder Werbemitteilungen akzeptieren oder hosten. Diese Websites können speziell gestaltete Inhalte enthalten, mit denen die Sicherheitsanfälligkeiten ausgenutzt werden können.

Das Sicherheitsupdate behebt die Sicherheitsanfälligkeit, indem geändert wird, wie das betroffene Microsoft-Skriptmodul Objekte im Arbeitsspeicher verarbeitet.

Die folgende Tabelle enthält einen Link zum Standardeintrag für jedes Sicherheitsrisiko in der Liste allgemeiner Sicherheitsrisiken (Common Vulnerabilities and Exposures, CVE):

Titel der Sicherheitsanfälligkeit

CVE-Nummer

Öffentlich gemeldet

Ausgenutzt

Sicherheitsrisiko im Skriptmodul bezüglich Speicherbeschädigung

CVE-2017-0010

Nein

Nein

Sicherheitsrisiko im Skriptmodul bezüglich Speicherbeschädigung

CVE-2017-0015

Nein

Nein

Sicherheitsrisiko im Skriptmodul bezüglich Speicherbeschädigung

CVE-2017-0032

Nein

Nein

Sicherheitsrisiko im Skriptmodul bezüglich Speicherbeschädigung

CVE-2017-0035

Nein

Nein

Sicherheitsrisiko im Skriptmodul bezüglich Speicherbeschädigung

CVE-2017-0067

Nein

Nein

Sicherheitsrisiko im Skriptmodul bezüglich Speicherbeschädigung

CVE-2017-0070

Nein

Nein

Sicherheitsrisiko im Skriptmodul bezüglich Speicherbeschädigung

CVE-2017-0071

Nein

Nein

Sicherheitsrisiko im Skriptmodul bezüglich Speicherbeschädigung

CVE-2017-0094

Nein

Nein

Sicherheitsrisiko im Skriptmodul bezüglich Speicherbeschädigung

CVE-2017-0131

Nein

Nein

Sicherheitsrisiko im Skriptmodul bezüglich Speicherbeschädigung

CVE-2017-0132

Nein

Nein

Sicherheitsrisiko im Skriptmodul bezüglich Speicherbeschädigung

CVE-2017-0133

Nein

Nein

Sicherheitsrisiko im Skriptmodul bezüglich Speicherbeschädigung

CVE-2017-0134

Nein

Nein

Sicherheitsrisiko im Skriptmodul bezüglich Speicherbeschädigung

CVE-2017-0136

Nein

Nein

Sicherheitsrisiko im Skriptmodul bezüglich Speicherbeschädigung

CVE-2017-0137

Nein

Nein

Sicherheitsrisiko im Skriptmodul bezüglich Speicherbeschädigung

CVE-2017-0138

Nein

Nein

Sicherheitsrisiko im Skriptmodul bezüglich Speicherbeschädigung

CVE-2017-0141

Nein

Nein

Sicherheitsrisiko im Skriptmodul bezüglich Speicherbeschädigung

CVE-2017-0150

Nein

Nein

Sicherheitsrisiko im Skriptmodul bezüglich Speicherbeschädigung

CVE-2017-0151

Nein

Nein

Schadensbegrenzende Faktoren

Für diese Sicherheitsrisiken gibt es noch keine schadensbegrenzenden Faktoren.

Problemumgehungen

Für diese Sicherheitsanfälligkeiten gibt es bislang keine Problemumgehungen.

Mehrere Sicherheitsanfälligkeiten in Microsoft Edge bezüglich der Offenlegung von Informationen

Es liegen mehrere Sicherheitsanfälligkeiten bezüglich der Offenlegung von Informationen vor, die darauf basieren, wie die betroffenen Komponenten Objekte im Arbeitsspeicher behandeln. Ein Angreifer, der diese Sicherheitsanfälligkeiten erfolgreich ausnutzt, kann in den Besitz von Informationen gelangen, mit denen ein Zielsystem weiter gefährdet werden kann.

In einem webbasierten Angriffsszenario kann ein Angreifer eine Website einrichten, mit der versucht wird, diese Sicherheitsanfälligkeiten auszunutzen. Außerdem können manipulierte Websites und Websites, die von Benutzern bereitgestellte Inhalte akzeptieren oder hosten, speziell gestaltete Inhalte enthalten, mit denen diese Sicherheitsanfälligkeiten ausgenutzt werden können. Ein Angreifer kann Benutzer jedoch keinesfalls zwingen, die vom Angreifer kontrollierten Inhalte anzuzeigen. Stattdessen muss ein Angreifer Benutzer zu Handlungen verleiten. Ein Angreifer kann Benutzer z. B. dazu verleiten, auf einen Link zu klicken, der zur Site des Angreifers führt.

Das Sicherheitsupdate behebt diese Sicherheitsanfälligkeiten, indem korrigiert wird, wie die betroffenen Komponenten Objekte im Arbeitsspeicher verarbeiten.

Die folgende Tabelle enthält Links zum Standardeintrag für jede Sicherheitsanfälligkeit in der Liste allgemeiner Sicherheitsanfälligkeiten:

Titel der Sicherheitsanfälligkeit

CVE-Nummer

Öffentlich gemeldet

Ausgenutzt

Sicherheitsanfälligkeit in Microsoft Browser durch Offenlegung von Information

CVE-2017-0009

Nein

Nein

Sicherheitsanfälligkeit in Microsoft Edge bezüglich der Offenlegung von Informationen

CVE-2017-0011

Nein

Nein

Sicherheitsanfälligkeit in Microsoft Edge bezüglich der Offenlegung von Informationen

CVE-2017-0017

Nein

Nein

Sicherheitsanfälligkeit in Microsoft Browser durch Offenlegung von Information

CVE-2017-0065

Ja

Nein

Sicherheitsanfälligkeit in Microsoft Edge bezüglich der Offenlegung von Informationen

CVE-2017-0068

Nein

Nein

Schadensbegrenzende Faktoren

Für diese Sicherheitsrisiken gibt es noch keine schadensbegrenzenden Faktoren.

Problemumgehungen

Für diese Sicherheitsanfälligkeiten gibt es bislang keine Problemumgehungen.

Mehrere Sicherheitsrisiken in Microsoft Edge bezüglich Spoofingangriffen

Es bestehen mehrere Sicherheitsrisiken bezüglich Spoofing, wenn ein Microsoft-Browser HTTP-Antworten nicht ordnungsgemäß analysiert. Ein Angreifer, der diese Sicherheitsrisiken erfolgreich ausnutzt, kann einen Benutzer täuschen, indem er ihn an eine speziell gestaltete Website umleitet. Die speziell gestaltete Website könnte Inhalte vortäuschen oder als Angelpunkt für die Verkettung eines Angriffs dienen, mit dem andere Sicherheitsrisiken von Webdiensten ausgenutzt werden sollen.

Damit diese Sicherheitsrisiken ausgenutzt werden können, muss ein Benutzer auf eine speziell gestaltete URL klicken. In einem E-Mail-Angriffsszenario kann ein Angreifer eine E-Mail-Nachricht mit der speziell gestalteten URL an den Benutzer senden, um zu versuchen, den Benutzer dazu zu verleiten, darauf zu klicken.

In einem webbasierten Angriffsszenario kann ein Angreifer eine speziell gestaltete Website hosten, die für den Benutzer wie eine legitime Website aussieht. Der Angreifer kann den Benutzer allerdings nicht zum Besuch einer speziell gestalteten Website zwingen. Stattdessen muss der Angreifer den Benutzer dazu verleiten, die speziell gestaltete Website zu besuchen, indem der Benutzer normalerweise dazu gebracht wird, auf einen Link in einer E-Mail- oder Instant Messenger-Nachricht zu klicken. Anschließend muss der Angreifer den Benutzer dazu verleiten, mit dem Inhalt dieser schädlichen Website zu interagieren.

Das Update behebt diese Sicherheitsrisiken, indem korrigiert wird, wie Microsoft-Browser HTTP-Antworten analysieren.

Die folgende Tabelle enthält Links zum Standardeintrag für jede Sicherheitsanfälligkeit in der Liste allgemeiner Sicherheitsanfälligkeiten:

Titel der Sicherheitsanfälligkeit

CVE-Nummer

Öffentlich gemeldet

Ausgenutzt

Sicherheitsanfälligkeit in Microsoft-Browser bezüglich Spoofingangriffen

CVE-2017-0012

Ja

Nein

Sicherheitsanfälligkeit in Microsoft-Browser bezüglich Spoofingangriffen

CVE-2017-0033

Ja

Nein

Spoofing-Sicherheitsanfälligkeit in Microsoft Edge

CVE-2017-0069

Ja

Nein

Schadensbegrenzende Faktoren

Für diese Sicherheitsrisiken gibt es noch keine schadensbegrenzenden Faktoren.

Problemumgehungen

Für diese Sicherheitsanfälligkeiten gibt es bislang keine Problemumgehungen.

Sicherheitsanfälligkeit in Microsoft-Browser durch Speicherbeschädigung CVE-2017-0037

Es liegt eine Sicherheitsanfälligkeit bezüglich Remotecodeausführung vor, wenn Microsoft Edge nicht richtig auf Objekte im Speicher zugreift. Durch das Sicherheitsrisiko kann der Arbeitsspeicher derart beschädigt werden, dass ein Angreifer beliebigen Code im Kontext des aktuellen Benutzers ausführen kann.

Ein Angreifer kann eine speziell gestaltete Website hosten, die darauf ausgelegt ist, die Sicherheitsanfälligkeit über Microsoft Edge auszunutzen, und dann einen Benutzer zum Besuch der Website verleiten. Der Angreifer kann auch manipulierte Websites und Websites ausnutzen, die von Endbenutzern bereitgestellte Inhalte oder Werbemitteilungen akzeptieren oder hosten, welche wiederum speziell gestaltete Inhalte enthalten, über die die Sicherheitsanfälligkeit ausgenutzt werden kann. Ein Angreifer kann Benutzer jedoch nicht zwingen, die vom Angreifer kontrollierten Inhalte anzuzeigen. Stattdessen muss ein Angreifer Benutzer zu Handlungen verleiten. Zu diesem Zweck werden Benutzer normalerweise dazu gebracht, auf einen Link in einer Instant Messenger- oder E-Mail-Nachricht zu klicken oder eine Dateianlage zu öffnen, die per E-Mail gesendet wurde.

Ein Angreifer muss diese Sicherheitsanfälligkeit mit anderen Exploits kombinieren, um Code uneingeschränkt ausführen zu können. Ein Angreifer, der mehrere Sicherheitsanfälligkeiten zu einer Exploit-Kette kombiniert, kann die gleichen Benutzerrechte erlangen wie der aktuelle Benutzer. Wenn der aktuelle Benutzer mit Administratorrechten angemeldet ist, kann ein Angreifer die Kontrolle über ein betroffenes System übernehmen. Ein Angreifer kann dann Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten mit sämtlichen Benutzerrechten erstellen.

Das Update behebt die Sicherheitsanfälligkeit, indem geändert wird, wie Microsoft Edge Objekte im Arbeitsspeicher verarbeitet.

Die folgende Tabelle enthält einen Link zum jeweiligen Standardeintrag des Sicherheitsrisikos in der Liste allgemeiner Sicherheitsrisiken (Common Vulnerabilities and Exposures, CVE):

Titel der Sicherheitsanfälligkeit

CVE-Nummer

Öffentlich gemeldet

Ausgenutzt

Sicherheitsanfälligkeit in Microsoft Browser bezüglich Speicherbeschädigung

CVE-2017-0037

Ja

Nein

Schadensbegrenzende Faktoren

Für dieses Sicherheitsrisiko gibt es noch keine schadensbegrenzenden Faktoren.

Problemumgehungen

Für diese Sicherheitsanfälligkeit gibt es noch keine Problemumgehungen.

Sicherheitsanfälligkeit in Microsoft PDF bezüglich Speicherbeschädigung – CVE-2017-0023

Es liegt ein Sicherheitsrisiko bezüglich Remotecodeausführung vor, wenn die Microsoft Windows-PDF-Bibliothek Objekte im Arbeitsspeicher nicht richtig verarbeitet. Durch das Sicherheitsrisiko kann der Arbeitsspeicher so beschädigt werden, dass ein Angreifer im Kontext des aktuellen Benutzers beliebigen Code ausführen kann. Ein Angreifer, der die Sicherheitsanfälligkeit erfolgreich ausnutzt, kann die gleichen Benutzerrechte erlangen wie der aktuelle Benutzer. Wenn der aktuelle Benutzer mit Administratorrechten angemeldet ist, kann ein Angreifer die Kontrolle über ein betroffenes System übernehmen. Ein Angreifer kann dann Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten mit sämtlichen Benutzerrechten erstellen.

Um die Sicherheitsanfälligkeit auf Windows 10-Systemen mit Microsoft Edge als Standardbrowser auszunutzen, kann ein Angreifer eine speziell gestaltete Website mit bösartigem PDF-Inhalt einrichten und dann Benutzer dazu verleiten, die Website aufzurufen. Der Angreifer könnte auch manipulierte Websites oder Websites ausnutzen, die von Benutzern bereitgestellte Inhalte oder Werbeanzeigen akzeptieren oder hosten, indem er speziell gestaltete PDF-Inhalte zu solchen Websites hinzufügt. Nur Windows 10-Systeme mit Microsoft Edge als Standardbrowser können allein durch Anzeigen einer Website gefährdet werden. Die Browser aller anderen betroffenen Betriebssysteme stellen PDF-Inhalte nicht automatisch dar, sodass ein Angreifer keine Möglichkeit hat, Benutzer zum Anzeigen von Inhalten zu zwingen, die von Angreifern kontrolliert werden. Stattdessen muss ein Angreifer Benutzer dazu verleiten, ein speziell gestaltetes PDF-Dokument zu öffnen. Zu diesem Zweck werden Benutzer normalerweise dazu gebracht, auf einen Link in einer Chat- oder E-Mail-Nachricht zu klicken oder einen E-Mail-Anhang zu öffnen.

Das Update behebt das Sicherheitsrisiko, indem geändert wird, wie betroffene Systeme Objekte im Arbeitsspeicher verarbeiten.

Die folgende Tabelle enthält Links zum Standardeintrag für jede Sicherheitsanfälligkeit in der Liste allgemeiner Sicherheitsanfälligkeiten:

Titel der Sicherheitsanfälligkeit

CVE-Nummer

Öffentlich gemeldet

Ausgenutzt

Sicherheitsanfälligkeit in Microsoft PDF bezüglich Speicherbeschädigung

CVE-2017-0023

Nein

Nein

Schadensbegrenzende Faktoren

Für dieses Sicherheitsrisiko gibt es noch keine schadensbegrenzenden Faktoren.

Problemumgehungen

Für diese Sicherheitsanfälligkeit gibt es noch keine Problemumgehungen.

Mehrere Sicherheitsanfälligkeiten in Microsoft Edge durch Umgehung von Sicherheitsfunktionen

Mehrere Sicherheitsanfälligkeiten durch Umgehung von Sicherheitsfunktionen liegen vor, wenn Microsoft Edge die Richtlinie für gleiche Quellen für HTML-Elemente in anderen Browserfenstern nicht korrekt anwendet.

Ein Angreifer kann einen Benutzer dazu verleiten, eine Seite mit schädlichem Inhalt zu laden. Um diese Sicherheitsanfälligkeiten auszunutzen, müsste ein Angreifer einen Benutzer dazu bringen, eine Seite zu laden oder eine Website zu besuchen. Die Seite könnte zudem in eine manipulierte Website oder ein Werbenetzwerk eingefügt sein.

Das Update behebt diese Sicherheitsanfälligkeiten, indem die Prüfung für gleiche Quellen erweitert wird, um nach Skripts zu suchen, die HTML-Elemente in anderen Browserfenstern manipulieren.

Die folgende Tabelle enthält einen Link zum jeweiligen Standardeintrag des Sicherheitsrisikos in der Liste allgemeiner Sicherheitsrisiken (Common Vulnerabilities and Exposures, CVE):

Titel der Sicherheitsanfälligkeit

CVE-Nummer

Öffentlich gemeldet

Ausgenutzt

Sicherheitsanfälligkeit in Microsoft Edge bezüglich Umgehung von Sicherheitsfunktionen

CVE-2017-0066

Nein

Nein

Sicherheitsanfälligkeit in Microsoft Edge bezüglich Umgehung von Sicherheitsfunktionen

CVE-2017-0135

Nein

Nein

Sicherheitsanfälligkeit in Microsoft Edge bezüglich Umgehung von Sicherheitsfunktionen

CVE-2017-0140

Nein

Nein

Schadensbegrenzende Faktoren

Für diese Sicherheitsrisiken gibt es noch keine schadensbegrenzenden Faktoren.

Problemumgehungen

Für diese Sicherheitsanfälligkeiten gibt es bislang keine Problemumgehungen.

Sicherheitsanfälligkeit in Microsoft Edge bezüglich Speicherbeschädigung CVE-2017-0034

Es liegt eine Sicherheitsanfälligkeit bezüglich Remotecodeausführung vor, wenn Microsoft Edge nicht richtig auf Objekte im Speicher zugreift. Durch das Sicherheitsrisiko kann der Arbeitsspeicher so beschädigt werden, dass ein Angreifer im Kontext des aktuellen Benutzers beliebigen Code ausführen kann. Ein Angreifer, der die Sicherheitsanfälligkeit erfolgreich ausnutzt, kann die gleichen Benutzerrechte erlangen wie der aktuelle Benutzer. Wenn der aktuelle Benutzer mit Administratorrechten angemeldet ist, kann ein Angreifer die Kontrolle über ein betroffenes System übernehmen. Ein Angreifer kann dann Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten mit sämtlichen Benutzerrechten erstellen.

Ein Angreifer kann eine speziell gestaltete Website hosten, die darauf ausgelegt ist, die Sicherheitsanfälligkeit über Microsoft Edge auszunutzen, und dann einen Benutzer zum Besuch der Website verleiten. Der Angreifer kann auch manipulierte Websites und Websites ausnutzen, die von Endbenutzern bereitgestellte Inhalte oder Werbemitteilungen akzeptieren oder hosten, welche wiederum speziell gestaltete Inhalte enthalten, über die die Sicherheitsanfälligkeit ausgenutzt werden kann. Ein Angreifer kann Benutzer jedoch nicht zwingen, die vom Angreifer kontrollierten Inhalte anzuzeigen. Stattdessen muss ein Angreifer Benutzer zu Handlungen verleiten. Zu diesem Zweck werden Benutzer normalerweise dazu gebracht, auf einen Link in einer Chat- oder E-Mail-Nachricht zu klicken oder einen E-Mail-Anhang zu öffnen.

Das Update behebt die Sicherheitsanfälligkeit, indem geändert wird, wie Microsoft Edge Objekte im Arbeitsspeicher verarbeitet.

Die folgende Tabelle enthält einen Link zum jeweiligen Standardeintrag des Sicherheitsrisikos in der Liste allgemeiner Sicherheitsrisiken (Common Vulnerabilities and Exposures, CVE):

Titel der Sicherheitsanfälligkeit

CVE-Nummer

Öffentlich gemeldet

Ausgenutzt

Sicherheitsanfälligkeit in Microsoft Edge bezüglich Speicherbeschädigung

CVE-2017-0034

Nein

Nein

Schadensbegrenzende Faktoren

Für die Sicherheitsanfälligkeit sind noch keine schadensbegrenzenden Faktoren bekannt.

Problemumgehungen

Für diese Sicherheitsanfälligkeiten gibt es bislang keine Problemumgehungen.

Informationen zur Bereitstellung von Sicherheitsupdates finden Sie in dem Microsoft Knowledge Base-Artikel, auf den hier in der Kurzzusammenfassung verwiesen wird.

Microsoft würdigt die Bemühungen derjenigen Benutzer der Sicherheitscommunity, die uns dabei helfen, Kunden durch eine koordinierte Offenlegung von Sicherheitsanfälligkeiten zu schützen. Weitere Informationen finden Sie unter Danksagung.

Die Informationen der Microsoft Knowledge Base werden wie besehen und ohne jede Gewährleistung bereitgestellt. Microsoft schließt alle anderen Garantien, gleichgültig, ob ausdrücklich oder konkludent, einschließlich der Garantien der Handelsüblichkeit oder Eignung für einen bestimmten Zweck aus. In keinem Fall kann die Microsoft Corporation und/oder deren jeweilige Lieferanten haftbar gemacht werden für Schäden irgendeiner Art, einschließlich direkter, indirekter, zufällig entstandener Schäden, Folgeschäden, Folgen entgangenen Gewinns oder spezieller Schäden, selbst dann nicht, wenn Microsoft Corporation und/oder deren jeweilige Lieferanten auf die mögliche Entstehung dieser Schäden hingewiesen wurde. Weil in einigen Staaten/Rechtsordnungen der Ausschluss oder die Beschränkung einer Haftung für zufällig entstandene Schäden oder Folgeschäden nicht gestattet ist, gilt die obige Einschränkung eventuell nicht für Sie.

  • V1.0 (14. März 2017): Bulletin veröffentlicht.
  • V2.0 (8. August 2017): Um CVE-2017-0071 umfassend zu beheben, hat Microsoft die Sicherheitsupdates vom Juli für alle Versionen von Windows 10 veröffentlicht. Beachten Sie, dass Windows 10 für 32-Bit-Systeme, Windows 10 für x64-basierte Systeme, Windows 10 Version 1703 für 32-Bit-Systeme und Windows 10 Version 1703 für x64-basierte Systeme zur Tabelle „Betroffene Produkte“ hinzugefügt wurden, da sie ebenfalls von dieser Sicherheitsanfälligkeit betroffen sind. Microsoft empfiehlt Kunden, soweit noch nicht geschehen, die Sicherheitsupdates vom Juli 2017 zu installieren, um vor dieser Sicherheitsanfälligkeit vollständig geschützt zu sein.
Seite generiert am 02.08.2017 um 09:24-07:00.
Anzeigen: