Microsoft Security Bulletin MS13-082 – Kritisch

Sicherheitsanfälligkeiten in .NET Framework können Remotecodeausführung ermöglichen (2878890)

Veröffentlicht: 8. Oktober 2013 | Aktualisiert: 7. April 2016

Version: 1.2

Allgemeine Informationen

Kurzzusammenfassung

Dieses Sicherheitsupdate behebt zwei vertraulich gemeldete Sicherheitsanfälligkeiten und eine öffentlich gemeldete Sicherheitsanfälligkeit in Microsoft .NET Framework. Die schwerwiegendste der Sicherheitsanfälligkeiten kann Remotecodeausführung ermöglichen, wenn ein Benutzer mithilfe eines Browsers, der XBAP-Anwendungen instanziieren kann, eine Website mit einer speziell gestalteten OTF-Datei (OpenType Font) besucht.

Dieses Sicherheitsupdate wird für Microsoft .NET Framework 3.0 Service Pack 2, Microsoft .NET Framework 3.5, Microsoft .NET Framework 3.5.1, Microsoft .NET Framework 4 und Microsoft .NET Framework 4.5 unter betroffenen Editionen von Microsoft Windows als Kritisch eingestuft; für Microsoft .NET Framework 2.0 Service Pack 2 und Microsoft .NET Framework 3.5 Service Pack 1 unter betroffenen Editionen von Microsoft Windows wird es als Hoch eingestuft.

Das Sicherheitsupdate behebt die Sicherheitsanfälligkeiten, indem sichergestellt wird, dass .NET Framework OpenType-Schriftarten, digitale XML-Signaturen und Dokumenttypdefinitionen in JSON-Datencodierungen richtig verarbeitet. Weitere Informationen zu den Sicherheitsanfälligkeiten finden Sie im Unterabschnitt „Häufig gestellte Fragen (FAQs)“ für den bestimmten Sicherheitsanfälligkeitseintrag im nächsten Abschnitt Informationen zu Sicherheitsanfälligkeiten.

Empfehlung. Die meisten Benutzer haben die automatische Aktualisierung aktiviert und müssen keine Maßnahmen ergreifen, da dieses Sicherheitsupdate automatisch heruntergeladen und installiert wird. Benutzer, die die automatische Aktualisierung nicht aktiviert haben, müssen auf Updates prüfen und dieses Update manuell installieren. Weitere Informationen zu bestimmten Konfigurationsoptionen bei der automatischen Aktualisierung finden Sie im Microsoft Knowledge Base-Artikel 294871.

Für Administratoren und für Installationen in Unternehmen bzw. für Endbenutzer, die dieses Sicherheitsupdate manuell installieren möchten, empfiehlt Microsoft, das Update sofort mit der Updateverwaltungssoftware zu installieren bzw. mithilfe des Diensts Microsoft Update auf Updates zu prüfen.

Siehe auch den Abschnitt Tools und Anleitungen zur Erkennung und Bereitstellung weiter unten in diesem Bulletin.

Knowledge Base-Artikel

  • Knowledge Base-Artikel: 2878890
  • Dateiinformationen: Ja
  • SHA1/SHA2-Hashes: Ja
  • Bekannte Probleme: Keine

 

Betroffene und nicht betroffene Software

Folgende Software wurde getestet, um zu ermitteln, welche Versionen oder Editionen betroffen sind. Andere Versionen haben entweder das Ende des Lebenszyklus überschritten oder sind nicht betroffen. Besuchen Sie die Website Microsoft Support Lifecycle, um den Supportlebenszyklus für Ihre Softwareversion oder Edition zu ermitteln.

**Betriebssystem** **Komponente** **Maximale Sicherheitsauswirkung** **Bewertung des Gesamtschweregrads** **Ersetzte Updates**
**Windows XP**
Windows XP Service Pack 3 [Microsoft .NET Framework 2.0 Service Pack 2](https://www.microsoft.com/de-de/download/details.aspx?id=40506) (2863239) DoS (Denial of Service) Hoch 2804577 in [MS13-040](https://technet.microsoft.com/de-de/library/security/ms13-040)
Windows XP Service Pack 3 [Microsoft .NET Framework 3.0 Service Pack 2](https://www.microsoft.com/de-de/download/details.aspx?id=40397) (2861189) Remotecodeausführung Kritisch Keine
Windows XP Service Pack 3 [Microsoft .NET Framework 3.5 Service Pack 1](https://www.microsoft.com/de-de/download/details.aspx?id=40575) (2861697) DoS (Denial of Service) Hoch 2657424 in [MS11-100](https://technet.microsoft.com/de-de/library/security/ms11-100)
Windows XP Service Pack 3 [Microsoft .NET Framework 4](https://www.microsoft.com/de-de/download/details.aspx?id=40452)[1] (2858302) DoS (Denial of Service) Hoch 2804576 in [MS13-040](https://technet.microsoft.com/de-de/library/security/ms13-040) und 2656351 in [MS11-100](https://technet.microsoft.com/de-de/library/security/ms11-100)
Windows XP Service Pack 3 [Microsoft .NET Framework 4](https://www.microsoft.com/de-de/download/details.aspx?id=40505)[1] (2861188) Remotecodeausführung Kritisch 2832407 in [MS13-052](https://technet.microsoft.com/de-de/library/security/ms13-052)
Windows XP Professional x64 Edition Service Pack 2 [Microsoft .NET Framework 2.0 Service Pack 2](https://www.microsoft.com/de-de/download/details.aspx?id=40506) (2863239) DoS (Denial of Service) Hoch 2804577 in [MS13-040](https://technet.microsoft.com/de-de/library/security/ms13-040)
Windows XP Professional x64 Edition Service Pack 2 [Microsoft .NET Framework 3.0 Service Pack 2](https://www.microsoft.com/de-de/download/details.aspx?id=40397) (2861189) Remotecodeausführung Kritisch Keine
Windows XP Professional x64 Edition Service Pack 2 [Microsoft .NET Framework 3.5 Service Pack 1](https://www.microsoft.com/de-de/download/details.aspx?id=40575) (2861697) DoS (Denial of Service) Hoch 2657424 in [MS11-100](https://technet.microsoft.com/de-de/library/security/ms11-100)
Windows XP Professional x64 Edition Service Pack 2 [Microsoft .NET Framework 4](https://www.microsoft.com/de-de/download/details.aspx?id=40452)[1] (2858302) DoS (Denial of Service) Hoch 2804576 in [MS13-040](https://technet.microsoft.com/de-de/library/security/ms13-040) und 2656351 in [MS11-100](https://technet.microsoft.com/de-de/library/security/ms11-100)
Windows XP Professional x64 Edition Service Pack 2 [Microsoft .NET Framework 4](https://www.microsoft.com/de-de/download/details.aspx?id=40505)[1] (2861188) Remotecodeausführung Kritisch 2832407 in [MS13-052](https://technet.microsoft.com/de-de/library/security/ms13-052)
**Windows Server 2003**
Windows Server 2003 Service Pack 2 [Microsoft .NET Framework 2.0 Service Pack 2](https://www.microsoft.com/de-de/download/details.aspx?id=40506) (2863239) DoS (Denial of Service) Hoch 2804577 in [MS13-040](https://technet.microsoft.com/de-de/library/security/ms13-040)
Windows Server 2003 Service Pack 2 [Microsoft .NET Framework 3.0 Service Pack 2](https://www.microsoft.com/de-de/download/details.aspx?id=40397) (2861189) Remotecodeausführung Kritisch Keine
Windows Server 2003 Service Pack 2 [Microsoft .NET Framework 3.5 Service Pack 1](https://www.microsoft.com/de-de/download/details.aspx?id=40575) (2861697) DoS (Denial of Service) Hoch 2657424 in [MS11-100](https://technet.microsoft.com/de-de/library/security/ms11-100)
Windows Server 2003 Service Pack 2 [Microsoft .NET Framework 4](https://www.microsoft.com/de-de/download/details.aspx?id=40452)[1] (2858302) DoS (Denial of Service) Hoch 2804576 in [MS13-040](https://technet.microsoft.com/de-de/library/security/ms13-040) und 2656351 in [MS11-100](https://technet.microsoft.com/de-de/library/security/ms11-100)
Windows Server 2003 Service Pack 2 Microsoft .NET Framework 4[[1]](https://www.microsoft.com/de-de/download/details.aspx?id=40505) (2861188) Remotecodeausführung Kritisch 2832407 in [MS13-052](https://technet.microsoft.com/de-de/library/security/ms13-052)
Windows Server 2003 x64 Edition Service Pack 2 [Microsoft .NET Framework 2.0 Service Pack 2](https://www.microsoft.com/de-de/download/details.aspx?id=40506) (2863239) DoS (Denial of Service) Hoch 2804577 in [MS13-040](https://technet.microsoft.com/de-de/library/security/ms13-040)
Windows Server 2003 x64 Edition Service Pack 2 [Microsoft .NET Framework 3.0 Service Pack 2](https://www.microsoft.com/de-de/download/details.aspx?id=40397) (2861189) Remotecodeausführung Kritisch Keine
Windows Server 2003 x64 Edition Service Pack 2 [Microsoft .NET Framework 3.5 Service Pack 1](https://www.microsoft.com/de-de/download/details.aspx?id=40575) (2861697) DoS (Denial of Service) Hoch 2657424 in [MS11-100](https://technet.microsoft.com/de-de/library/security/ms11-100)
Windows Server 2003 x64 Edition Service Pack 2 [Microsoft .NET Framework 4](https://www.microsoft.com/de-de/download/details.aspx?id=40452)[1] (2858302) DoS (Denial of Service) Hoch 2804576 in [MS13-040](https://technet.microsoft.com/de-de/library/security/ms13-040) und 2656351 in [MS11-100](https://technet.microsoft.com/de-de/library/security/ms11-100)
Windows Server 2003 x64 Edition Service Pack 2 [Microsoft .NET Framework 4](https://www.microsoft.com/de-de/download/details.aspx?id=40505)[1] (2861188) Remotecodeausführung Kritisch 2832407 in [MS13-052](https://technet.microsoft.com/de-de/library/security/ms13-052)
Windows Server 2003 mit SP2 für Itanium-basierte Systeme [Microsoft .NET Framework 2.0 Service Pack 2](https://www.microsoft.com/de-de/download/details.aspx?id=40506) (2863239) DoS (Denial of Service) Hoch 2804577 in [MS13-040](https://technet.microsoft.com/de-de/library/security/ms13-040)
Windows Server 2003 mit SP2 für Itanium-basierte Systeme [Microsoft .NET Framework 3.5 Service Pack 1](https://www.microsoft.com/de-de/download/details.aspx?id=40575) (2861697) DoS (Denial of Service) Hoch 2657424 in [MS11-100](https://technet.microsoft.com/de-de/library/security/ms11-100)
Windows Server 2003 mit SP2 für Itanium-basierte Systeme [Microsoft .NET Framework 4](https://www.microsoft.com/de-de/download/details.aspx?id=40452)[1] (2858302) DoS (Denial of Service) Hoch 2804576 in [MS13-040](https://technet.microsoft.com/de-de/library/security/ms13-040) und 2656351 in [MS11-100](https://technet.microsoft.com/de-de/library/security/ms11-100)
**Windows Vista**
Windows Vista Service Pack 2 [Microsoft .NET Framework 2.0 Service Pack 2](https://www.microsoft.com/de-de/download/details.aspx?id=40466) (2863253) DoS (Denial of Service) Hoch 2804580 in [MS13-040](https://technet.microsoft.com/de-de/library/security/ms13-040)
Windows Vista Service Pack 2 [Microsoft .NET Framework 3.0 Service Pack 2](https://www.microsoft.com/de-de/download/details.aspx?id=40577) (2861190) Remotecodeausführung Kritisch Keine
Windows Vista Service Pack 2 [Microsoft .NET Framework 3.5 Service Pack 1](https://www.microsoft.com/de-de/download/details.aspx?id=40575) (2861697) DoS (Denial of Service) Hoch 2657424 in [MS11-100](https://technet.microsoft.com/de-de/library/security/ms11-100)
Windows Vista Service Pack 2 [Microsoft .NET Framework 4](https://www.microsoft.com/de-de/download/details.aspx?id=40452)[1] (2858302) DoS (Denial of Service) Hoch 2804576 in [MS13-040](https://technet.microsoft.com/de-de/library/security/ms13-040) und 2656351 in [MS11-100](https://technet.microsoft.com/de-de/library/security/ms11-100)
Windows Vista Service Pack 2 [Microsoft .NET Framework 4](https://www.microsoft.com/de-de/download/details.aspx?id=40505)[1] (2861188) Remotecodeausführung Kritisch 2832407 in [MS13-052](https://technet.microsoft.com/de-de/library/security/ms13-052)
Windows Vista Service Pack 2 [Microsoft .NET Framework 4.5](https://www.microsoft.com/de-de/download/details.aspx?id=40425) (2861193) Remotecodeausführung Kritisch 2835622 in [MS13-052](https://technet.microsoft.com/de-de/library/security/ms13-052)
Windows Vista Service Pack 2 [Microsoft .NET Framework 4.5](https://www.microsoft.com/de-de/download/details.aspx?id=40574) (2861208) DoS (Denial of Service) Hoch 2804582 in [MS13-040](https://technet.microsoft.com/de-de/library/security/ms13-040)
Windows Vista x64 Edition Service Pack 2 [Microsoft .NET Framework 2.0 Service Pack 2](https://www.microsoft.com/de-de/download/details.aspx?id=40466) (2863253) DoS (Denial of Service) Hoch 2804580 in [MS13-040](https://technet.microsoft.com/de-de/library/security/ms13-040)
Windows Vista x64 Edition Service Pack 2 [Microsoft .NET Framework 3.0 Service Pack 2](https://www.microsoft.com/de-de/download/details.aspx?id=40577) (2861190) Remotecodeausführung Kritisch Keine
Windows Vista x64 Edition Service Pack 2 [Microsoft .NET Framework 3.5 Service Pack 1](https://www.microsoft.com/de-de/download/details.aspx?id=40575) (2861697) DoS (Denial of Service) Hoch 2657424 in [MS11-100](https://technet.microsoft.com/de-de/library/security/ms11-100)
Windows Vista x64 Edition Service Pack 2 [Microsoft .NET Framework 4](https://www.microsoft.com/de-de/download/details.aspx?id=40452)[1] (2858302) DoS (Denial of Service) Hoch 2804576 in [MS13-040](https://technet.microsoft.com/de-de/library/security/ms13-040) und 2656351 in [MS11-100](https://technet.microsoft.com/de-de/library/security/ms11-100)
Windows Vista x64 Edition Service Pack 2 [Microsoft .NET Framework 4](https://www.microsoft.com/de-de/download/details.aspx?id=40505)[1] (2861188) Remotecodeausführung Kritisch 2832407 in [MS13-052](https://technet.microsoft.com/de-de/library/security/ms13-052)
Windows Vista x64 Edition Service Pack 2 [Microsoft .NET Framework 4.5](https://www.microsoft.com/de-de/download/details.aspx?id=40425) (2861193) Remotecodeausführung Kritisch 2835622 in [MS13-052](https://technet.microsoft.com/de-de/library/security/ms13-052)
Windows Vista x64 Edition Service Pack 2 [Microsoft .NET Framework 4.5](https://www.microsoft.com/de-de/download/details.aspx?id=40574) (2861208) DoS (Denial of Service) Hoch 2804582 in [MS13-040](https://technet.microsoft.com/de-de/library/security/ms13-040)
**Windows Server 2008**
Windows Server 2008 für 32-Bit-Systeme Service Pack 2 [Microsoft .NET Framework 2.0 Service Pack 2](https://www.microsoft.com/de-de/download/details.aspx?id=40466) (2863253) DoS (Denial of Service) Hoch 2804580 in [MS13-040](https://technet.microsoft.com/de-de/library/security/ms13-040)
Windows Server 2008 für 32-Bit-Systeme Service Pack 2 [Microsoft .NET Framework 3.0 Service Pack 2](https://www.microsoft.com/de-de/download/details.aspx?id=40577) (2861190) Remotecodeausführung Kritisch Keine
Windows Server 2008 für 32-Bit-Systeme Service Pack 2 [Microsoft .NET Framework 3.5 Service Pack 1](https://www.microsoft.com/de-de/download/details.aspx?id=40575) (2861697) DoS (Denial of Service) Hoch 2657424 in [MS11-100](https://technet.microsoft.com/de-de/library/security/ms11-100)
Windows Server 2008 für 32-Bit-Systeme Service Pack 2 [Microsoft .NET Framework 4](https://www.microsoft.com/de-de/download/details.aspx?id=40452)[1] (2858302) DoS (Denial of Service) Hoch 2804576 in [MS13-040](https://technet.microsoft.com/de-de/library/security/ms13-040) und 2656351 in [MS11-100](https://technet.microsoft.com/de-de/library/security/ms11-100)
Windows Server 2008 für 32-Bit-Systeme Service Pack 2 [Microsoft .NET Framework 4](https://www.microsoft.com/de-de/download/details.aspx?id=40505)[1] (2861188) Remotecodeausführung Kritisch 2832407 in [MS13-052](https://technet.microsoft.com/de-de/library/security/ms13-052)
Windows Server 2008 für 32-Bit-Systeme Service Pack 2 [Microsoft .NET Framework 4.5](https://www.microsoft.com/de-de/download/details.aspx?id=40425) (2861193) Remotecodeausführung Kritisch 2835622 in [MS13-052](https://technet.microsoft.com/de-de/library/security/ms13-052)
Windows Server 2008 für 32-Bit-Systeme Service Pack 2 [Microsoft .NET Framework 4.5](https://www.microsoft.com/de-de/download/details.aspx?id=40574) (2861208) DoS (Denial of Service) Hoch 2804582 in [MS13-040](https://technet.microsoft.com/de-de/library/security/ms13-040)
Windows Server 2008 für x64-basierte Systeme Service Pack 2 [Microsoft .NET Framework 2.0 Service Pack 2](https://www.microsoft.com/de-de/download/details.aspx?id=40466) (2863253) DoS (Denial of Service) Hoch 2804580 in [MS13-040](https://technet.microsoft.com/de-de/library/security/ms13-040)
Windows Server 2008 für x64-basierte Systeme Service Pack 2 [Microsoft .NET Framework 3.0 Service Pack 2](https://www.microsoft.com/de-de/download/details.aspx?id=40577) (2861190) Remotecodeausführung Kritisch Keine
Windows Server 2008 für x64-basierte Systeme Service Pack 2 [Microsoft .NET Framework 3.5 Service Pack 1](https://www.microsoft.com/de-de/download/details.aspx?id=40575) (2861697) DoS (Denial of Service) Hoch 2657424 in [MS11-100](https://technet.microsoft.com/de-de/library/security/ms11-100)
Windows Server 2008 für x64-basierte Systeme Service Pack 2 [Microsoft .NET Framework 4](https://www.microsoft.com/de-de/download/details.aspx?id=40452)[1] (2858302) DoS (Denial of Service) Hoch 2804576 in [MS13-040](https://technet.microsoft.com/de-de/library/security/ms13-040) und 2656351 in [MS11-100](https://technet.microsoft.com/de-de/library/security/ms11-100)
Windows Server 2008 für x64-basierte Systeme Service Pack 2 [Microsoft .NET Framework 4](https://www.microsoft.com/de-de/download/details.aspx?id=40505)[1] (2861188) Remotecodeausführung Kritisch 2832407 in [MS13-052](https://technet.microsoft.com/de-de/library/security/ms13-052)
Windows Server 2008 für x64-basierte Systeme Service Pack 2 [Microsoft .NET Framework 4.5](https://www.microsoft.com/de-de/download/details.aspx?id=40425) (2861193) Remotecodeausführung Kritisch 2835622 in [MS13-052](https://technet.microsoft.com/de-de/library/security/ms13-052)
Windows Server 2008 für x64-basierte Systeme Service Pack 2 [Microsoft .NET Framework 4.5](https://www.microsoft.com/de-de/download/details.aspx?id=40574) (2861208) DoS (Denial of Service) Hoch 2804582 in [MS13-040](https://technet.microsoft.com/de-de/library/security/ms13-040)
Windows Server 2008 für Itanium-basierte Systeme Service Pack 2 [Microsoft .NET Framework 2.0 Service Pack 2](https://www.microsoft.com/de-de/download/details.aspx?id=40466) (2863253) DoS (Denial of Service) Hoch 2804580 in [MS13-040](https://technet.microsoft.com/de-de/library/security/ms13-040)
Windows Server 2008 für Itanium-basierte Systeme Service Pack 2 [Microsoft .NET Framework 3.5 Service Pack 1](https://www.microsoft.com/de-de/download/details.aspx?id=40575) (2861697) DoS (Denial of Service) Hoch 2657424 in [MS11-100](https://technet.microsoft.com/de-de/library/security/ms11-100)
Windows Server 2008 für Itanium-basierte Systeme Service Pack 2 [Microsoft .NET Framework 4](https://www.microsoft.com/de-de/download/details.aspx?id=40452)[1] (2858302) DoS (Denial of Service) Hoch 2804576 in [MS13-040](https://technet.microsoft.com/de-de/library/security/ms13-040) und 2656351 in [MS11-100](https://technet.microsoft.com/de-de/library/security/ms11-100)
**Windows 7**
Windows 7 für 32-Bit-Systeme Service Pack 1 [Microsoft .NET Framework 3.5.1](https://www.microsoft.com/de-de/download/details.aspx?id=40547) (2861191) Remotecodeausführung Kritisch Keine
Windows 7 für 32-Bit-Systeme Service Pack 1 [Microsoft .NET Framework 3.5.1](https://www.microsoft.com/de-de/download/details.aspx?id=40562) (2861698) DoS (Denial of Service) Hoch Keine
Windows 7 für 32-Bit-Systeme Service Pack 1 [Microsoft .NET Framework 3.5.1](https://www.microsoft.com/de-de/download/details.aspx?id=40439) (2863240) DoS (Denial of Service) Hoch 2804579 in [MS13-040](https://technet.microsoft.com/de-de/library/security/ms13-040)
Windows 7 für 32-Bit-Systeme Service Pack 1 [Microsoft .NET Framework 4](https://www.microsoft.com/de-de/download/details.aspx?id=40452)[1] (2858302) DoS (Denial of Service) Hoch 2804576 in [MS13-040](https://technet.microsoft.com/de-de/library/security/ms13-040) und 2656351 in [MS11-100](https://technet.microsoft.com/de-de/library/security/ms11-100)
Windows 7 für 32-Bit-Systeme Service Pack 1 [Microsoft .NET Framework 4.5](https://www.microsoft.com/de-de/download/details.aspx?id=40574) (2861208) DoS (Denial of Service) Hoch 2804582 in [MS13-040](https://technet.microsoft.com/de-de/library/security/ms13-040)
Windows 7 für x64-basierte Systeme Service Pack 1 [Microsoft .NET Framework 3.5.1](https://www.microsoft.com/de-de/download/details.aspx?id=40547) (2861191) Remotecodeausführung Kritisch Keine
Windows 7 für x64-basierte Systeme Service Pack 1 [Microsoft .NET Framework 3.5.1](https://www.microsoft.com/de-de/download/details.aspx?id=40562) (2861698) DoS (Denial of Service) Hoch Keine
Windows 7 für x64-basierte Systeme Service Pack 1 [Microsoft .NET Framework 3.5.1](https://www.microsoft.com/de-de/download/details.aspx?id=40439) (2863240) DoS (Denial of Service) Hoch 2804579 in [MS13-040](https://technet.microsoft.com/de-de/library/security/ms13-040)
Windows 7 für x64-basierte Systeme Service Pack 1 [Microsoft .NET Framework 4](https://www.microsoft.com/de-de/download/details.aspx?id=40452)[1] (2858302) DoS (Denial of Service) Hoch 2804576 in [MS13-040](https://technet.microsoft.com/de-de/library/security/ms13-040) und 2656351 in [MS11-100](https://technet.microsoft.com/de-de/library/security/ms11-100)
Windows 7 für x64-basierte Systeme Service Pack 1 [Microsoft .NET Framework 4.5](https://www.microsoft.com/de-de/download/details.aspx?id=40574) (2861208) DoS (Denial of Service) Hoch 2804582 in [MS13-040](https://technet.microsoft.com/de-de/library/security/ms13-040)
**Windows Server 2008 R2**
Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1 [Microsoft .NET Framework 3.5.1](https://www.microsoft.com/de-de/download/details.aspx?id=40547) (2861191) Remotecodeausführung Kritisch Keine
Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1 [Microsoft .NET Framework 3.5.1](https://www.microsoft.com/de-de/download/details.aspx?id=40562) (2861698) DoS (Denial of Service) Hoch Keine
Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1 [Microsoft .NET Framework 3.5.1](https://www.microsoft.com/de-de/download/details.aspx?id=40439) (2863240) DoS (Denial of Service) Hoch 2804579 in [MS13-040](https://technet.microsoft.com/de-de/library/security/ms13-040)
Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1 [Microsoft .NET Framework 4](https://www.microsoft.com/de-de/download/details.aspx?id=40452)[1] (2858302) DoS (Denial of Service) Hoch 2804576 in [MS13-040](https://technet.microsoft.com/de-de/library/security/ms13-040) und 2656351 in [MS11-100](https://technet.microsoft.com/de-de/library/security/ms11-100)
Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1 [Microsoft .NET Framework 4.5](https://www.microsoft.com/de-de/download/details.aspx?id=40574) (2861208) DoS (Denial of Service) Hoch 2804582 in [MS13-040](https://technet.microsoft.com/de-de/library/security/ms13-040)
Windows Server 2008 R2 für Itanium-basierte Systeme Service Pack 1 [Microsoft .NET Framework 3.5.1](https://www.microsoft.com/de-de/download/details.aspx?id=40562) (2861698) DoS (Denial of Service) Hoch Keine
Windows Server 2008 R2 für Itanium-basierte Systeme Service Pack 1 [Microsoft .NET Framework 3.5.1](https://www.microsoft.com/de-de/download/details.aspx?id=40439) (2863240) DoS (Denial of Service) Hoch 2804579 in [MS13-040](https://technet.microsoft.com/de-de/library/security/ms13-040)
Windows Server 2008 R2 für Itanium-basierte Systeme Service Pack 1 [Microsoft .NET Framework 4](https://www.microsoft.com/de-de/download/details.aspx?id=40452)[1] (2858302) DoS (Denial of Service) Hoch 2804576 in [MS13-040](https://technet.microsoft.com/de-de/library/security/ms13-040) und 2656351 in [MS11-100](https://technet.microsoft.com/de-de/library/security/ms11-100)
**Windows 8**
Windows 8 für 32-Bit-Systeme [Microsoft .NET Framework 3.5](https://www.microsoft.com/de-de/download/details.aspx?id=40508) (2861194) Remotecodeausführung Kritisch Keine
Windows 8 für 32-Bit-Systeme [Microsoft .NET Framework 3.5](https://www.microsoft.com/de-de/download/details.aspx?id=40414) (2861704) DoS (Denial of Service) Hoch Keine
Windows 8 für 32-Bit-Systeme [Microsoft .NET Framework 3.5](https://www.microsoft.com/de-de/download/details.aspx?id=40482) (2863243) DoS (Denial of Service) Hoch 2804584 in [MS13-040](https://technet.microsoft.com/de-de/library/security/ms13-040)
Windows 8 für 32-Bit-Systeme [Microsoft .NET Framework 4.5](https://www.microsoft.com/de-de/download/details.aspx?id=40629) (2861702) DoS (Denial of Service) Hoch 2804583 in [MS13-040](https://technet.microsoft.com/de-de/library/security/ms13-040)
Windows 8 für 64-Bit-Systeme [Microsoft .NET Framework 3.5](https://www.microsoft.com/de-de/download/details.aspx?id=40508) (2861194) Remotecodeausführung Kritisch Keine
Windows 8 für 64-Bit-Systeme [Microsoft .NET Framework 3.5](https://www.microsoft.com/de-de/download/details.aspx?id=40414) (2861704) DoS (Denial of Service) Hoch Keine
Windows 8 für 64-Bit-Systeme [Microsoft .NET Framework 3.5](https://www.microsoft.com/de-de/download/details.aspx?id=40482) (2863243) DoS (Denial of Service) Hoch 2804584 in [MS13-040](https://technet.microsoft.com/de-de/library/security/ms13-040)
Windows 8 für 64-Bit-Systeme [Microsoft .NET Framework 4.5](https://www.microsoft.com/de-de/download/details.aspx?id=40629) (2861702) DoS (Denial of Service) Hoch 2804583 in [MS13-040](https://technet.microsoft.com/de-de/library/security/ms13-040)
**Windows Server 2012**
Windows Server 2012 [Microsoft .NET Framework 3.5](https://www.microsoft.com/de-de/download/details.aspx?id=40508) (2861194) Remotecodeausführung Kritisch Keine
Windows Server 2012 [Microsoft .NET Framework 3.5](https://www.microsoft.com/de-de/download/details.aspx?id=40414) (2861704) DoS (Denial of Service) Hoch Keine
Windows Server 2012 [Microsoft .NET Framework 3.5](https://www.microsoft.com/de-de/download/details.aspx?id=40482) (2863243) DoS (Denial of Service) Hoch 2804584 in [MS13-040](https://technet.microsoft.com/de-de/library/security/ms13-040)
Windows Server 2012 [Microsoft .NET Framework 4.5](https://www.microsoft.com/de-de/download/details.aspx?id=40629) (2861702) DoS (Denial of Service) Hoch 2804583 in [MS13-040](https://technet.microsoft.com/de-de/library/security/ms13-040)
**Windows RT**
Windows RT Microsoft .NET Framework 4.5[2] (2861702) DoS (Denial of Service) Hoch 2804583 in [MS13-040](https://technet.microsoft.com/de-de/library/security/ms13-040)
**Server Core-Installationsoption**
Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1 (Server Core-Installation) [Microsoft .NET Framework 3.5.1](https://www.microsoft.com/de-de/download/details.aspx?id=40562) (2861698) DoS (Denial of Service) Hoch Keine
Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1 (Server Core-Installation) [Microsoft .NET Framework 3.5.1](https://www.microsoft.com/de-de/download/details.aspx?id=40439) (2863240) DoS (Denial of Service) Hoch 2804579 in [MS13-040](https://technet.microsoft.com/de-de/library/security/ms13-040)
Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1 (Server Core-Installation) [Microsoft .NET Framework 4](https://www.microsoft.com/de-de/download/details.aspx?id=40452)[1] (2858302) DoS (Denial of Service) Hoch 2804576 in [MS13-040](https://technet.microsoft.com/de-de/library/security/ms13-040) und 2656351 in [MS11-100](https://technet.microsoft.com/de-de/library/security/ms11-100)
Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1 (Server Core-Installation) [Microsoft .NET Framework 4.5](https://www.microsoft.com/de-de/download/details.aspx?id=40574) (2861208) DoS (Denial of Service) Hoch 2804582 in [MS13-040](https://technet.microsoft.com/de-de/library/security/ms13-040)
Windows Server 2012 (Server Core-Installation) [Microsoft .NET Framework 3.5](https://www.microsoft.com/de-de/download/details.aspx?id=40508) (2861194) Remotecodeausführung Kritisch Keine
Windows Server 2012 (Server Core-Installation) [Microsoft .NET Framework 3.5](https://www.microsoft.com/de-de/download/details.aspx?id=40414) (2861704) DoS (Denial of Service) Hoch Keine
Windows Server 2012 (Server Core-Installation) [Microsoft .NET Framework 3.5](https://www.microsoft.com/de-de/download/details.aspx?id=40482) (2863243) DoS (Denial of Service) Hoch 2804584 in [MS13-040](https://technet.microsoft.com/de-de/library/security/ms13-040)
Windows Server 2012 (Server Core-Installation) [Microsoft .NET Framework 4.5](https://www.microsoft.com/de-de/download/details.aspx?id=40629) (2861702) DoS (Denial of Service) Hoch 2804583 in [MS13-040](https://technet.microsoft.com/de-de/library/security/ms13-040)
[1]**.NET Framework 4 und .NET Framework 4 Client Profile sind betroffen.** Die .NET Framework Version 4 Redistributable Packages sind in zwei Profilen verfügbar: .NET Framework 4 und .NET Framework 4 Client Profile. .NET Framework 4 Client Profile ist Teil von .NET Framework 4. Die in diesem Update behobene Sicherheitsanfälligkeit betrifft sowohl .NET Framework 4 als auch .NET Framework 4 Client Profile. Weitere Informationen finden Sie im MSDN-Artikel [Installieren von .NET Framework](https://msdn.microsoft.com/de-de/library/5a4x27ek).

[2]Sicherheitsupdates für Windows RT werden über Windows Update bereitgestellt.

 

Nicht betroffene Software

Software
Microsoft .NET Framework 1.0 Service Pack 3
Microsoft .NET Framework 1.1 Service Pack 1
Windows 8.1 für 32-Bit-Systeme
Windows 8.1 für 64-Bit-Systeme
Windows Server 2012 R2
Windows Server 2012 R2 (Server Core-Installation)
Windows RT 8.1

Nicht zutreffende Software

Software
Windows Server 2008 für 32-Bit-Systeme Service Pack 2 (Server Core-Installation)
Windows Server 2008 für x64-basierte Systeme Service Pack 2 (Server Core-Installation)
  Häufig gestellte Fragen (FAQs) zu diesem Update ----------------------------------------------- **CVE-2013-3128 ist in mehreren Security Bulletins beschrieben. In welcher Beziehung stehen diese Bulletins zueinander?** Die Sicherheitsanfälligkeit bei der Analyse von OpenType-Schriftarten (CVE-2013-3128 wirkt sich auf folgende Produkte aus:  - Microsoft Windows-Kernelmodustreiber (MS13-081) - Microsoft .NET Framework (MS13-082) Sie müssen nur die Updates installieren, die der Software entsprechen, die auf Ihren Systemen installiert ist. Wenn Sie mehr als eines dieser Updates installieren müssen, können diese in beliebiger Reihenfolge installiert werden. Sind Windows 8.1 Preview und Windows Server 2012 R2 Preview von einer der Sicherheitsanfälligkeiten betroffen, die in diesem Bulletin behoben werden?  Ja. Das Update 2876919 für .NET Framework 3.5 ist für Windows 8.1 Preview und Windows Server 2012 R2 Preview verfügbar. Endbenutzer, die diese Betriebssysteme ausführen, sind angehalten, das Update auf ihre Systeme herunterzuladen und zu installieren. Das Update ist auf [Windows-Update](https://update.microsoft.com/windowsupdate/) verfügbar. **Ist .NET Framework 4.5.1 Preview von einer der Sicherheitsanfälligkeiten betroffen, die in diesem Bulletin behoben werden?** Ja. Das Update 2877175 ist für .NET Framework 4.5.1 Preview unter Windows Vista Service Pack 2 oder Windows Server 2008 Service Pack 2 verfügbar. Endbenutzer, die .NET Framework 4.5.1 Preview unter diesen Betriebssystemen ausführen, sind angehalten, das Update auf ihren Systemen zu installieren. Das Update ist auf [Windows-Update](https://update.microsoft.com/windowsupdate/) verfügbar. .NET Framework 4.5.1 Preview unter Windows 8.1 Preview, Windows RT 8.1 Preview oder Windows Server 2012 R2 Preview sind nicht von den Sicherheitsanfälligkeiten betroffen, die in diesem Bulletin behoben werden. **Wie kann ich feststellen, welche Version von Microsoft .NET Framework installiert ist?** Sie können auf einem System mehrere Versionen von .NET Framework installieren und ausführen, und Sie können die Versionen in beliebiger Reihenfolge installieren. Es gibt mehrere Möglichkeiten festzustellen, welche Versionen von .NET Framework derzeit installiert sind. Weitere Informationen finden Sie im [Microsoft Knowledge Base-Artikel 318785](https://support.microsoft.com/de-de/kb/318785). **Was ist der Unterschied zwischen .NET Framework 4 und .NET Framework 4 Client Profile?** Die .NET Framework Version 4 Redistributable Packages sind in zwei Profilen verfügbar: .NET Framework 4 und .NET Framework 4 Client Profile. .NET Framework 4 Client Profile ist Teil des .NET Framework 4-Profils, das für Clientanwendungen optimiert ist. Es stellt Funktionen für die meisten Clientanwendungen bereit, einschließlich Windows Presentation Foundation (WPF), Windows Forms, Windows Communication Foundation (WCF) und ClickOnce. Dies ermöglicht eine schnellere Bereitstellung und ein kleineres Installationspaket für Anwendungen, die auf .NET Framework 4 Client Profile abzielen. Weitere Informationen finden Sie im MSDN-Artikel [.NET Framework Client Profile](https://msdn.microsoft.com/de-de/library/cc656912.aspx). **Für einige Programme der betroffenen Software stehen mehrere Updatepakete zur Verfügung. Muss ich alle Updates installieren, die in der Tabelle „Betroffene Software“ für die Software aufgeführt sind?** Ja. Benutzer sollten alle Updates installieren, die für die Software angeboten werden, die auf ihren Systemen installiert ist. **Muss ich diese Sicherheitsupdates in einer bestimmten Reihenfolge installieren?** Nein. Mehrere Updates für jeweils ein Betriebssystem können in beliebiger Reihenfolge installiert werden. **Ich verwende eine ältere Version der in diesem Security Bulletin beschriebenen Software. Was soll ich tun?** Die in diesem Bulletin aufgeführte betroffene Software wurde daraufhin getestet, welche Versionen betroffen sind. Andere Versionen haben das Ende ihrer Supportlebenszyklen erreicht. Weitere Informationen zu den Produktzyklen finden Sie auf der Website [Microsoft Support Lifecycle](https://support.microsoft.com/default.aspx?scid=fh;%5Bln%5D;lifecycle&displaylang=de). Benutzer älterer Versionen dieser Software sollten möglichst bald zu Versionen migrieren, für die Support angeboten wird, um sich vor künftigen Sicherheitsanfälligkeiten zu schützen. Informationen zum Ermitteln des Supportlebenszyklus für Ihre Softwareversion finden Sie unter [Produkt für Lebenszyklusinformationen auswählen](https://go.microsoft.com/fwlink/?linkid=169555). Weitere Informationen zu Service Packs für diese Softwareversionen finden Sie unter [Service Pack Lifecycle Support Policy](https://support.microsoft.com/?ln=de-de&scid=gp%3b%5bln%5d%3blifecycle&x=13&y=15). Benutzer, die zusätzlichen Support für ältere Software benötigen, müssen sich an ihren Microsoft-Kundenbetreuer, ihren Technical Account Manager oder den jeweiligen Microsoft-Partner wenden, um Supportangebote in Anspruch nehmen zu können. Kunden, die nicht über einen Alliance-, Premier- oder Authorized-Vertrag verfügen, können sich mit der regionalen Microsoft-Vertriebsniederlassung in Verbindung setzen. Kontaktinformationen finden Sie auf der Website [Microsoft Worldwide](https://support.microsoft.com/?ln=de-de&scid=gp%3b%5bln%5d%3blifecycle&x=13&y=15). Wählen Sie in der Liste „Kontaktinformationen“ Ihr Land aus, und klicken Sie auf **Go**. Es wird eine Telefonnummer für Ihr Land angezeigt. Wenn Sie unter der angegebenen Nummer anrufen, fragen Sie bitte nach dem regionalen Vertriebsmanager für Premier Support. Weitere Informationen finden Sie auf der Seite [Microsoft Support Lifecycle-Richtlinie – Häufig gestellte Fragen (FAQ)](https://go.microsoft.com/fwlink/?linkid=169557). Bewertungen des Schweregrads und Kennungen der Sicherheitsanfälligkeit ---------------------------------------------------------------------- Bei der folgenden Bewertung des Schweregrads wird die potenzielle maximale Auswirkung der Sicherheitsanfälligkeit angenommen. Informationen zur Wahrscheinlichkeit der Ausnutzung der Sicherheitsanfälligkeit in Bezug auf die Bewertung des Schweregrads und die Sicherheitsauswirkung innerhalb von 30 Tagen nach Veröffentlichung dieses Security Bulletins finden Sie im Ausnutzbarkeitsindex im [Bulletin Summary für Oktober](https://technet.microsoft.com/de-de/library/security/ms13-oct). Weitere Informationen finden Sie in [Microsoft-Ausnutzbarkeitsindex](https://technet.microsoft.com/de-de/security/cc998259).

**Bewertung des Schweregrads und maximale Sicherheitsauswirkung nach betroffener Software**
**Betroffene Software** **Sicherheitsanfälligkeit beim Analysieren von OpenType-Schriftarten – CVE-2013-3128** **Sicherheitsanfälligkeit durch Entity Expansion – CVE-2013-3860** **Sicherheitsanfälligkeit bei der Analyse von JSON – CVE-2013-3861** **Bewertung des Gesamtschweregrads**
**Microsoft .NET Framework 2.0 Service Pack 2**
Microsoft .NET Framework 2.0 Service Pack 2 unter Microsoft Windows XP Service Pack 3 (2863239) Nicht anwendbar **Hoch** DoS (Denial of Service) **Hoch** DoS (Denial of Service) **Hoch**
Microsoft .NET Framework 2.0 Service Pack 2 unter Microsoft Windows XP Professional x64 Edition Service Pack 2 (2863239) Nicht anwendbar **Hoch** DoS (Denial of Service) **Hoch** DoS (Denial of Service) **Hoch**
Microsoft .NET Framework 2.0 Service Pack 2 unter Microsoft Windows Server 2003 Service Pack 2 (2863239) Nicht anwendbar **Hoch** DoS (Denial of Service) **Hoch** DoS (Denial of Service) **Hoch**
Microsoft .NET Framework 2.0 Service Pack 2 unter Microsoft Windows Server 2003 x64 Edition Service Pack 2 (2863239) Nicht anwendbar **Hoch** DoS (Denial of Service) **Hoch** DoS (Denial of Service) **Hoch**
Microsoft .NET Framework 2.0 Service Pack 2 unter Microsoft Windows Server 2003 für Itanium-basierte Systeme Service Pack 2 (2863239) Nicht anwendbar **Hoch** DoS (Denial of Service) **Hoch** DoS (Denial of Service) **Hoch**
Microsoft .NET Framework 2.0 Service Pack 2 unter Windows Vista Service Pack 2 (2863253) Nicht anwendbar **Hoch** DoS (Denial of Service) **Hoch** DoS (Denial of Service) **Hoch**
Microsoft .NET Framework 2.0 Service Pack 2 unter Windows Vista x64 Edition Service Pack 2 (2863253) Nicht anwendbar **Hoch** DoS (Denial of Service) **Hoch** DoS (Denial of Service) **Hoch**
Microsoft .NET Framework 2.0 Service Pack 2 unter Windows Server 2008 für 32-Bit-Systeme Service Pack 2 (2863253) Nicht anwendbar **Hoch** DoS (Denial of Service) **Hoch** DoS (Denial of Service) **Hoch**
Microsoft .NET Framework 2.0 Service Pack 2 unter Windows Server 2008 für x64-basierte Systeme Service Pack 2 (2863253) Nicht anwendbar **Hoch** DoS (Denial of Service) **Hoch** DoS (Denial of Service) **Hoch**
Microsoft .NET Framework 2.0 Service Pack 2 unter Windows Server 2008 für Itanium-basierte Systeme Service Pack 2 (2863253) Nicht anwendbar **Hoch** DoS (Denial of Service) **Hoch** DoS (Denial of Service) **Hoch**
**Microsoft .NET Framework 3.0 Service Pack 2**
Microsoft .NET Framework 3.0 Service Pack 2 unter Microsoft Windows XP Service Pack 3 (2861189) **Kritisch** Remotecodeausführung Nicht anwendbar Nicht anwendbar **Kritisch**
Microsoft .NET Framework 3.0 Service Pack 2 bei Installation unter Windows XP Professional x64 Edition Service Pack 2 (2861189) **Kritisch** Remotecodeausführung Nicht anwendbar Nicht anwendbar **Kritisch**
Microsoft .NET Framework 3.0 Service Pack 2 unter Microsoft Windows Server 2003 Service Pack 2 (2861189) **Kritisch** Remotecodeausführung Nicht anwendbar Nicht anwendbar **Kritisch**
Microsoft .NET Framework 3.0 Service Pack 2 unter Microsoft Windows Server 2003 x64 Edition Service Pack 2 (2861189) **Kritisch** Remotecodeausführung Nicht anwendbar Nicht anwendbar **Kritisch**
Microsoft .NET Framework 3.0 Service Pack 2 unter Windows Vista Service Pack 2 (2861190) **Kritisch** Remotecodeausführung Nicht anwendbar Nicht anwendbar **Kritisch**
Microsoft .NET Framework 3.0 Service Pack 2 unter Windows Vista x64 Edition Service Pack 2 (2861190) **Kritisch** Remotecodeausführung Nicht anwendbar Nicht anwendbar **Kritisch**
Microsoft .NET Framework 3.0 Service Pack 2 unter Windows Server 2008 für 32-Bit-Systeme Service Pack 2 (2861190) **Kritisch** Remotecodeausführung Nicht anwendbar Nicht anwendbar **Kritisch**
Microsoft .NET Framework 3.0 Service Pack 2 unter Windows Server 2008 für x64-basierte Systeme Service Pack 2 (2861190) **Kritisch** Remotecodeausführung Nicht anwendbar Nicht anwendbar **Kritisch**
**Microsoft .NET Framework 3.5**
Microsoft .NET Framework 3.5 unter Windows 8 für 32-Bit-Systeme (2861194) **Kritisch** Remotecodeausführung Nicht anwendbar Nicht anwendbar **Kritisch**
Microsoft .NET Framework 3.5 unter Windows 8 für 32-Bit-Systeme (2861704) Nicht anwendbar **Hoch** DoS (Denial of Service) **Hoch** DoS (Denial of Service) **Hoch**
Microsoft .NET Framework 3.5 unter Windows 8 für 32-Bit-Systeme (2863243) Nicht anwendbar **Hoch** DoS (Denial of Service) **Hoch** DoS (Denial of Service) **Hoch**
Microsoft .NET Framework 3.5 unter Windows 8 für 64-Bit-Systeme (2861194) **Kritisch** Remotecodeausführung Nicht anwendbar Nicht anwendbar **Kritisch**
Microsoft .NET Framework 3.5 unter Windows Server 2012 (Server Core-Installation) (2861194) **Kritisch** Remotecodeausführung Nicht anwendbar Nicht anwendbar **Kritisch**
Microsoft .NET Framework 3.5 unter Windows 8 für 64-Bit-Systeme (2861704) Nicht anwendbar **Hoch** DoS (Denial of Service) **Hoch** DoS (Denial of Service) **Hoch**
Microsoft .NET Framework 3.5 unter Windows 8 für 64-Bit-Systeme (2863243) Nicht anwendbar **Hoch** DoS (Denial of Service) **Hoch** DoS (Denial of Service) **Hoch**
Microsoft .NET Framework 3.5 unter Windows Server 2012 (2861194) **Kritisch** Remotecodeausführung Nicht anwendbar Nicht anwendbar **Kritisch**
Microsoft .NET Framework 3.5 unter Windows Server 2012 (2861704) Nicht anwendbar **Hoch** DoS (Denial of Service) **Hoch** DoS (Denial of Service) **Hoch**
Microsoft .NET Framework 3.5 unter Windows Server 2012 (Server Core-Installation) (2861704) Nicht anwendbar **Hoch** DoS (Denial of Service) **Hoch** DoS (Denial of Service) **Hoch**
Microsoft .NET Framework 3.5 unter Windows Server 2012 (2863243) Nicht anwendbar **Hoch** DoS (Denial of Service) **Hoch** DoS (Denial of Service) **Hoch**
Microsoft .NET Framework 3.5 unter Windows Server 2012 (Server Core-Installation) (2863243) Nicht anwendbar **Hoch** DoS (Denial of Service) **Hoch** DoS (Denial of Service) **Hoch**
**Microsoft .NET Framework 3.5 Service Pack 1**
Microsoft .NET Framework 3.5 Service Pack 1 bei Installation unter Windows XP Service Pack 3 (2861697) Nicht anwendbar **Hoch** DoS (Denial of Service) **Hoch** DoS (Denial of Service) **Hoch**
Microsoft .NET Framework 3.5 Service Pack 1 bei Installation unter Windows XP Professional x64 Edition Service Pack 2 (2861697) Nicht anwendbar **Hoch** DoS (Denial of Service) **Hoch** DoS (Denial of Service) **Hoch**
Microsoft .NET Framework 3.5 Service Pack 1 bei Installation unter Windows Server 2003 Service Pack 2 (2861697) Nicht anwendbar **Hoch** DoS (Denial of Service) **Hoch** DoS (Denial of Service) **Hoch**
Microsoft .NET Framework 3.5 Service Pack 1 bei Installation unter Windows Server 2003 x64 Edition Service Pack 2 (2861697) Nicht anwendbar **Hoch** DoS (Denial of Service) **Hoch** DoS (Denial of Service) **Hoch**
Microsoft .NET Framework 3.5 Service Pack 1 bei Installation unter Windows Server 2003 mit SP2 für Itanium-basierte Systeme (2861697) Nicht anwendbar **Hoch** DoS (Denial of Service) **Hoch** DoS (Denial of Service) **Hoch**
Microsoft .NET Framework 3.5 Service Pack 1 bei Installation unter Windows XP Service Pack 2 (2861697) Nicht anwendbar **Hoch** DoS (Denial of Service) **Hoch** DoS (Denial of Service) **Hoch**
Microsoft .NET Framework 3.5 Service Pack 1 bei Installation unter Windows Vista x64 Edition Service Pack 2 (2861697) Nicht anwendbar **Hoch** DoS (Denial of Service) **Hoch** DoS (Denial of Service) **Hoch**
Microsoft .NET Framework 3.5 Service Pack 1 unter Windows Server 2008 für 32-Bit-Systeme Service Pack 2 (2861697) Nicht anwendbar **Hoch** DoS (Denial of Service) **Hoch** DoS (Denial of Service) **Hoch**
Microsoft .NET Framework 3.5 Service Pack 1 unter Windows Server 2008 für x64-basierte Systeme Service Pack 2 (2861697) Nicht anwendbar **Hoch** DoS (Denial of Service) **Hoch** DoS (Denial of Service) **Hoch**
Microsoft .NET Framework 3.5 Service Pack 1 bei Installation unter Windows Server 2008 für Itanium-basierte Systeme Service Pack 2\*\* (2861697) Nicht anwendbar **Hoch** DoS (Denial of Service) **Hoch** DoS (Denial of Service) **Hoch**
**Microsoft .NET Framework 3.5.1**
Microsoft .NET Framework 3.5.1 unter Windows 7 für 32-Bit-Systeme Service Pack 1 (2861191) **Kritisch** Remotecodeausführung Nicht anwendbar Nicht anwendbar **Kritisch**
Microsoft .NET Framework 3.5.1 unter Windows 7 für 32-Bit-Systeme Service Pack 1 (2861698) Nicht anwendbar **Hoch** DoS (Denial of Service) **Hoch** DoS (Denial of Service) **Hoch**
Microsoft .NET Framework 3.5.1 unter Windows 7 für 32-Bit-Systeme Service Pack 1 (2863240) Nicht anwendbar **Hoch** DoS (Denial of Service) **Hoch** DoS (Denial of Service) **Hoch**
Microsoft .NET Framework 3.5.1 unter Windows 7 für x64-basierte Systeme Service Pack 1 (2861191) **Kritisch** Remotecodeausführung Nicht anwendbar Nicht anwendbar **Kritisch**
Microsoft .NET Framework 3.5.1 unter Windows 7 für x64-basierte Systeme Service Pack 1 (2861698) Nicht anwendbar **Hoch** DoS (Denial of Service) **Hoch** DoS (Denial of Service) **Hoch**
Microsoft .NET Framework 3.5.1 unter Windows 7 für x64-basierte Systeme Service Pack 1 (2863240) Nicht anwendbar **Hoch** DoS (Denial of Service) **Hoch** DoS (Denial of Service) **Hoch**
Microsoft .NET Framework 3.5.1 unter Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1 (2861191) **Kritisch** Remotecodeausführung Nicht anwendbar Nicht anwendbar **Kritisch**
Microsoft .NET Framework 3.5.1 unter Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1 (2861698) Nicht anwendbar **Hoch** DoS (Denial of Service) **Hoch** DoS (Denial of Service) **Hoch**
Microsoft .NET Framework 3.5.1 unter Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1 (Server Core-Installation) (2861698) Nicht anwendbar **Hoch** DoS (Denial of Service) **Hoch** DoS (Denial of Service) **Hoch**
Microsoft .NET Framework 3.5.1 unter Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1 (2863240) Nicht anwendbar **Hoch** DoS (Denial of Service) **Hoch** DoS (Denial of Service) **Hoch**
Microsoft .NET Framework 3.5.1 unter Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1 (Server Core-Installation) (2863240) Nicht anwendbar **Hoch** DoS (Denial of Service) **Hoch** DoS (Denial of Service) **Hoch**
Microsoft .NET Framework 3.5.1 unter Windows Server 2008 R2 für Itanium-basierte Systeme Service Pack 1 (2861698) Nicht anwendbar **Hoch** DoS (Denial of Service) **Hoch** DoS (Denial of Service) **Hoch**
Microsoft .NET Framework 3.5.1 unter Windows Server 2008 R2 für Itanium-basierte Systeme Service Pack 1 (2863240) Nicht anwendbar **Hoch** DoS (Denial of Service) **Hoch** DoS (Denial of Service) **Hoch**
**Microsoft .NET Framework 4**
Microsoft .NET Framework 4 unter Microsoft Windows XP Service Pack 3 (2858302)[1] Nicht anwendbar **Hoch** DoS (Denial of Service) **Hoch** DoS (Denial of Service) **Hoch**
Microsoft .NET Framework 4 unter Microsoft Windows XP Service Pack 3 (2861188)[1] **Kritisch** Remotecodeausführung Nicht anwendbar Nicht anwendbar **Kritisch**
Microsoft .NET Framework 4 unter Microsoft Windows XP Professional x64 Edition Service Pack 2 (2858302)[1] Nicht anwendbar **Hoch** DoS (Denial of Service) **Hoch** DoS (Denial of Service) **Hoch**
Microsoft .NET Framework 4 unter Microsoft Windows XP Professional x64 Edition Service Pack 2 (2861188)[1] **Kritisch** Remotecodeausführung Nicht anwendbar Nicht anwendbar **Kritisch**
Microsoft .NET Framework 4 unter Microsoft Windows Server 2003 Service Pack 2 (2858302)[1] Nicht anwendbar **Hoch** DoS (Denial of Service) **Hoch** DoS (Denial of Service) **Hoch**
Microsoft .NET Framework 4 unter Microsoft Windows Server 2003 Service Pack 2 (2861188)[1] **Kritisch** Remotecodeausführung Nicht anwendbar Nicht anwendbar **Kritisch**
Microsoft .NET Framework 4 unter Microsoft Windows Server 2003 x64 Edition Service Pack 2 (2858302)[1] Nicht anwendbar **Hoch** DoS (Denial of Service) **Hoch** DoS (Denial of Service) **Hoch**
Microsoft .NET Framework 4 unter Microsoft Windows Server 2003 x64 Edition Service Pack 2 (2861188)[1] **Kritisch** Remotecodeausführung Nicht anwendbar Nicht anwendbar **Kritisch**
Microsoft .NET Framework 4 unter Microsoft Windows Server 2003 für Itanium-basierte Systeme Service Pack 2 (2858302)[1] Nicht anwendbar **Hoch** DoS (Denial of Service) **Hoch** DoS (Denial of Service) **Hoch**
Microsoft .NET Framework 4 unter Windows Vista Service Pack 2 (2858302)[1] Nicht anwendbar **Hoch** DoS (Denial of Service) **Hoch** DoS (Denial of Service) **Hoch**
Microsoft .NET Framework 4 unter Windows Vista Service Pack 2 (2861188)[1] **Kritisch** Remotecodeausführung Nicht anwendbar Nicht anwendbar **Kritisch**
Microsoft .NET Framework 4 unter Windows Vista x64 Edition Service Pack 2 (2858302)[1] Nicht anwendbar **Hoch** DoS (Denial of Service) **Hoch** DoS (Denial of Service) **Hoch**
Microsoft .NET Framework 4 unter Windows Vista x64 Edition Service Pack 2 (2861188)[1] **Kritisch** Remotecodeausführung Nicht anwendbar Nicht anwendbar **Kritisch**
Microsoft .NET Framework 4 unter Windows Server 2008 für 32-Bit-Systeme Service Pack 2 (2858302)[1] Nicht anwendbar **Hoch** DoS (Denial of Service) **Hoch** DoS (Denial of Service) **Hoch**
Microsoft .NET Framework 4 unter Windows Server 2008 für 32-Bit-Systeme Service Pack 2 (2861188)[1] **Kritisch** Remotecodeausführung Nicht anwendbar Nicht anwendbar **Kritisch**
Microsoft .NET Framework 4 unter Windows Server 2008 für x64-basierte Systeme Service Pack 2 (2858302)[1] Nicht anwendbar **Hoch** DoS (Denial of Service) **Hoch** DoS (Denial of Service) **Hoch**
Microsoft .NET Framework 4 unter Windows Server 2008 für x64-basierte Systeme Service Pack 2 (2861188)[1] **Kritisch** Remotecodeausführung Nicht anwendbar Nicht anwendbar **Kritisch**
Microsoft .NET Framework 4 unter Windows Server 2008 für Itanium-basierte Systeme Service Pack 2 (2858302)[1] Nicht anwendbar **Hoch** DoS (Denial of Service) **Hoch** DoS (Denial of Service) **Hoch**
Microsoft .NET Framework 4 unter Windows 7 für 32-Bit-Systeme Service Pack 1 (2858302)[1] Nicht anwendbar **Hoch** DoS (Denial of Service) **Hoch** DoS (Denial of Service) **Hoch**
Microsoft .NET Framework 4 unter Windows 7 für x64-basierte Systeme Service Pack 1 (2858302)[1] Nicht anwendbar **Hoch** DoS (Denial of Service) **Hoch** DoS (Denial of Service) **Hoch**
Microsoft .NET Framework 4 unter Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1 (2858302)[1] Nicht anwendbar **Hoch** DoS (Denial of Service) **Hoch** DoS (Denial of Service) **Hoch**
Microsoft .NET Framework 4 bei Installation unter Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1 (Server Core-Installation) (2858302)[1] Nicht anwendbar **Hoch** DoS (Denial of Service) **Hoch** DoS (Denial of Service) **Hoch**
Microsoft .NET Framework 4 unter Windows Server 2008 R2 für Itanium-basierte Systeme Service Pack 1 (2858302)[1] Nicht anwendbar **Hoch** DoS (Denial of Service) **Hoch** DoS (Denial of Service) **Hoch**
**Microsoft .NET Framework 4.5**
Microsoft .NET Framework 4.5 unter Windows Vista Service Pack 2 (2861193) **Kritisch** Remotecodeausführung Nicht anwendbar Nicht anwendbar **Kritisch**
Microsoft .NET Framework 4.5 unter Windows Vista Service Pack 2 (2861208) Nicht anwendbar **Hoch** DoS (Denial of Service) **Hoch** DoS (Denial of Service) **Hoch**
Microsoft .NET Framework 4.5 unter Windows Vista x64 Edition Service Pack 2 (2861193) **Kritisch** Remotecodeausführung Nicht anwendbar Nicht anwendbar **Kritisch**
Microsoft .NET Framework 4.5 unter Windows Vista x64 Edition Service Pack 2 (2861208) Nicht anwendbar **Hoch** DoS (Denial of Service) **Hoch** DoS (Denial of Service) **Hoch**
Microsoft .NET Framework 4.5 unter Windows Server 2008 für 32-Bit-Systeme Service Pack 2 (2861193) **Kritisch** Remotecodeausführung Nicht anwendbar Nicht anwendbar **Kritisch**
Microsoft .NET Framework 4.5 unter Windows Server 2008 für 32-Bit-Systeme Service Pack 2 (2861208) Nicht anwendbar **Hoch** DoS (Denial of Service) **Hoch** DoS (Denial of Service) **Hoch**
Microsoft .NET Framework 4.5 unter Windows Server 2008 für x64-basierte Systeme Service Pack 2 (2861193) **Kritisch** Remotecodeausführung Nicht anwendbar Nicht anwendbar **Kritisch**
Microsoft .NET Framework 4.5 unter Windows Server 2008 für x64-basierte Systeme Service Pack 2 (2861208) Nicht anwendbar **Hoch** DoS (Denial of Service) **Hoch** DoS (Denial of Service) **Hoch**
Microsoft .NET Framework 4.5 unter Windows 7 für 32-Bit-Systeme Service Pack 1 (2861208) Nicht anwendbar **Hoch** DoS (Denial of Service) **Hoch** DoS (Denial of Service) **Hoch**
Microsoft .NET Framework 4.5 unter Windows 7 für x64-basierte Systeme Service Pack 1 (2861208) Nicht anwendbar **Hoch** DoS (Denial of Service) **Hoch** DoS (Denial of Service) **Hoch**
Microsoft .NET Framework 4.5 unter Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1 (2861208) Nicht anwendbar **Hoch** DoS (Denial of Service) **Hoch** DoS (Denial of Service) **Hoch**
Microsoft .NET Framework 4.5 bei Installation unter Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1 (Server Core-Installation) (2861208) Nicht anwendbar **Hoch** DoS (Denial of Service) **Hoch** DoS (Denial of Service) **Hoch**
Microsoft .NET Framework 4.5 unter Windows 8 für 32-Bit-Systeme (2861702) Nicht anwendbar **Hoch** DoS (Denial of Service) **Hoch** DoS (Denial of Service) **Hoch**
Microsoft .NET Framework 4.5 unter Windows 8 für 64-Bit-Systeme (2861702) Nicht anwendbar **Hoch** DoS (Denial of Service) **Hoch** DoS (Denial of Service) **Hoch**
Microsoft .NET Framework 4.5 unter Windows Server 2012 (2861702) Nicht anwendbar **Hoch** DoS (Denial of Service) **Hoch** DoS (Denial of Service) **Hoch**
Microsoft .NET Framework 4.5 unter Windows Server 2012 (Server Core-Installation) (2861702) Nicht anwendbar **Hoch** DoS (Denial of Service) **Hoch** DoS (Denial of Service) **Hoch**
Microsoft .NET Framework 4.5 unter Windows RT (2861702) Nicht anwendbar **Hoch** DoS (Denial of Service) **Hoch** DoS (Denial of Service) **Hoch**
[1]**.NET Framework 4 und .NET Framework 4 Client Profile sind betroffen.** Die .NET Framework Version 4 Redistributable Packages sind in zwei Profilen verfügbar: .NET Framework 4 und .NET Framework 4 Client Profile. .NET Framework 4 Client Profile ist Teil von .NET Framework 4. Die in diesem Update behobene Sicherheitsanfälligkeit betrifft sowohl .NET Framework 4 als auch .NET Framework 4 Client Profile. Weitere Informationen finden Sie im MSDN-Artikel [Installieren von .NET Framework](https://msdn.microsoft.com/de-de/library/5a4x27ek).

 

Sicherheitsanfälligkeit beim Analysieren von OpenType-Schriftarten – CVE-2013-3128

Es liegt eine Sicherheitsanfälligkeit bezüglich Remotecodeausführung vor, die dadurch verursacht wird, wie betroffene Komponenten speziell gestaltete OTF-Schriftartdateien (OpenType Fonts) verarbeiten. Die Sicherheitsanfälligkeit kann Remotecodeausführung ermöglichen, wenn ein Benutzer eine Website besucht, auf der eine XAML-Browseranwendung (XBAP) gehostet wird, die eine speziell gestaltete OTF-Datei enthält. Nutzt ein Angreifer diese Sicherheitsanfälligkeit erfolgreich aus, kann er die vollständige Kontrolle über ein betroffenes System erlangen. Ein Angreifer kann dann Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten mit sämtlichen Benutzerrechten erstellen.

Informationen zum Anzeigen dieser Sicherheitsanfälligkeit als Standardeintrag in der Liste allgemeiner Sicherheitsanfälligkeiten finden Sie unter CVE-2013-3128.

Schadensbegrenzende Faktoren

Für diese Sicherheitsanfälligkeit gibt es noch keine schadensbegrenzenden Faktoren.

Problemumgehungen

Für diese Sicherheitsanfälligkeit gibt es bislang keine Problemumgehungen.

Häufig gestellte Fragen (FAQs)

Worin genau besteht diese Sicherheitsanfälligkeit?
Diese Sicherheitsanfälligkeit kann Remotecodeausführung ermöglichen.

Was ist die Ursache dieser Sicherheitsanfälligkeit?
Die Sicherheitsanfälligkeit wird verursacht, wenn .NET Framework versucht, eine speziell gestaltete OTF-Schriftart (OpenType Font) zu analysieren, die in eine XAML-Browseranwendung (XBAP) eingebettet ist.

Was ist das OpenType-Schriftartformat?
OpenType ist ein Schriftartformat, das von Microsoft und Adobe gemeinschaftlich als Erweiterung des TrueType-Schriftartformats von Apple entwickelt wurde. Eine OpenType-Schriftartdatei enthält Daten in Tabellenformat, die entweder aus einer TrueType- oder PostScript-Konturenschriftart besteht. Rasterprogramme verwenden Kombinationen von Daten aus den Tabellen, die in der Schriftart enthalten sind, um die Konturen von TrueType- oder PostScript-Symbolkonturen darzustellen. Weitere Informationen finden Sie in den Häufig gestellten Fragen zur Microsoft-Typografie OpenType.

Was kann ein Angreifer über diese Sicherheitsanfälligkeit erreichen?
In einem webbasierten Szenario kann ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, im Namen des Zielbenutzers willkürlich beliebigen Code ausführen. Wenn ein Benutzer mit administrativen Benutzerberechtigungen angemeldet ist, kann ein Angreifer vollständige Kontrolle über ein betroffenes System erlangen. Ein Angreifer kann dann Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten mit sämtlichen Benutzerrechten erstellen. Für Endbenutzer, deren Konten mit weniger Benutzerrechten konfiguriert sind, kann dies geringere Auswirkungen haben als für Benutzer, die mit administrativen Benutzerrechten arbeiten.

Wie gehen Angreifer vor, um diese Sicherheitsanfälligkeit auszunutzen?
In einem Angriffsszenario kann ein Angreifer eine XAML-Browseranwendung (XBAP) hosten, die eine speziell gestaltete OTF-Datei auf einer Website enthält. Ein Angreifer kann Benutzer nicht zum Besuch einer solchen Website zwingen. Er muss den Benutzer zu einem Besuch dieser Webseite verleiten. Zu diesem Zweck wird der Benutzer normalerweise dazu gebracht, in einer E-Mail oder einer Instant Messenger-Anfrage auf einen Link zur Website des Angreifers zu klicken. Ein Angreifer kann diese Sicherheitsanfälligkeit auch ausnutzen, indem er speziell gestaltete Webinhalte in Bannerwerbungen einbettet oder Webinhalte mithilfe anderer Methoden an betroffene Systeme liefert.

Was ist eine XAML-Browseranwendung (XBAP)?
Eine XAML-Browseranwendung (XBAP) kombiniert Funktionen sowohl einer Webanwendung als auch einer Rich Client-Anwendung. Ebenso wie Webanwendungen können XBAPs auf einem Webserver veröffentlicht und in Internet Explorer gestartet werden. Ebenso wie Rich Client-Anwendungen können XBAPs die Möglichkeiten von Windows Presentation Foundation (WPF) nutzen. Weitere Informationen zu XBAPs finden Sie in dem MSDN-Artikel XAML-Browseranwendungen von Windows Presentation Foundation im Überblick.

Für welche Systeme stellt diese Sicherheitsanfälligkeit hauptsächlich ein Risiko dar?
Alle Systeme, auf denen betroffene Versionen von .NET Framework ausgeführt werden, sind von dieser Sicherheitsanfälligkeit betroffen.

Für welche Systeme stellt diese Sicherheitsanfälligkeit hauptsächlich ein Risiko dar?
Im webbasierten Szenario muss ein Benutzer angemeldet sein und Websites mit einem Webbrowser besuchen, der XBAP-Anwendungen instanziieren kann, damit diese Sicherheitsanfälligkeit erfolgreich ausgenutzt wird. Für Systeme, auf denen häufig ein Webbrowser genutzt wird (z. B. Arbeitsstationen oder Terminalserver), besteht daher das größte Risiko. Bei Servern ist das Risiko größer, wenn Administratoren Benutzern ermöglichen, E-Mails auf Servern zu lesen und zu durchsuchen. Es wird jedoch dringend davon abgeraten, diese Erlaubnis zu erteilen.

Was bewirkt das Update?
Das Update behebt die Sicherheitsanfälligkeit, indem gewährleistet wird, dass .NET Framework OpenType-Schriftarten richtig verarbeitet.

War diese Sicherheitsanfälligkeit zum Zeitpunkt der Veröffentlichung dieses Security Bulletins bereits öffentlich bekannt?
Nein. Microsoft hat Informationen zu dieser Sicherheitsanfälligkeit durch eine koordinierte Offenlegung der Sicherheitsanfälligkeit erhalten.

Lagen Microsoft zum Zeitpunkt der Veröffentlichung dieses Security Bulletins Informationen vor, dass diese Sicherheitsanfälligkeit bereits ausgenutzt wurde?
Nein. Microsoft lagen zum Zeitpunkt der Erstveröffentlichung dieses Security Bulletins keine Informationen vor, dass diese Sicherheitsanfälligkeit öffentlich für Angriffe auf Benutzer ausgenutzt wurde.

 

Sicherheitsanfälligkeit durch Entity Expansion – CVE-2013-3860

In .NET Framework liegt eine Sicherheitsanfälligkeit bezüglich Denial-of-Service vor, mit der ein Angreifer bewirken kann, dass ein Server oder eine Anwendung abstürzt oder nicht mehr reagiert.

Informationen zum Anzeigen dieser Sicherheitsanfälligkeit als Standardeintrag in der Liste allgemeiner Sicherheitsanfälligkeiten finden Sie unter CVE-2013-3860.

Schadensbegrenzende Faktoren

Schadensbegrenzung bezieht sich auf eine Einstellung, häufige Konfiguration oder allgemeine empfohlene Vorgehensweise, die in einem Standardzustand existieren und den Schweregrad der Ausnutzung einer Sicherheitsanfälligkeit verringern können. Die folgenden schadensbegrenzenden Faktoren könnten hilfreich für Sie sein:

  • Betroffene Systeme akzeptieren standardmäßig keine digitalen XML-Signaturen und überprüfen diese. Eine Anwendung auf einem betroffenen System muss speziell codiert sein, um diesen Datentyp zu akzeptieren und anschließend dessen Echtheit zu überprüfen. Wenn außerdem die speziell gestalteten XML-Daten nicht beständig sind, wird die Reaktionsfähigkeit der Anwendung nach einem Neustart wiederhergestellt und bleibt auch erhalten, es sei denn, die speziell gestalteten Daten werden wieder eingeführt.

Problemumgehungen

Für diese Sicherheitsanfälligkeit gibt es bislang keine Problemumgehungen.

Häufig gestellte Fragen (FAQs)

Worin genau besteht diese Sicherheitsanfälligkeit?
Es handelt sich bei dieser Sicherheitsanfälligkeit um einen Denial-of-Service-Angriff.

Was ist die Ursache dieser Sicherheitsanfälligkeit?
Die Sicherheitsanfälligkeit wird verursacht, wenn .NET Framework versucht, eine speziell gestaltete Dokumenttypdefinition (DTD) für XML-Daten zu analysieren, wenn eine digitale XML-Signatur überprüft wird.

Was ist DTD?
DTD steht für Dokumenttypdefinition und ist ein Dateiformattyp, mit dem in XML und anderen Markup Languages das Markup identifiziert wird, mit dem ein Dokument formatiert wird.

Was kann ein Angreifer über diese Sicherheitsanfälligkeit erreichen?
Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann bewirken, dass eine Anwendung oder ein Server abstürzt oder nicht mehr reagiert, bis ein Administrator die Anwendung oder den Server neu startet.

Wie gehen Angreifer vor, um diese Sicherheitsanfälligkeit auszunutzen?
In einem Angriffsszenario sendet der Angreifer digital signierte XML-Daten mit einer speziell gestalteten DTD an eine Anwendung, die XML-Daten mit digitalen Signaturen analysiert und überprüft.

Für welche Systeme stellt diese Sicherheitsanfälligkeit hauptsächlich ein Risiko dar?
Alle Systeme, auf denen betroffene Versionen von .NET Framework ausgeführt werden, sind von dieser Sicherheitsanfälligkeit betroffen.

Was bewirkt das Update?
Das Update behebt die Sicherheitsanfälligkeit, indem gewährleistet wird, dass .NET Framework digitale XML-Signaturen richtig überprüft.

War diese Sicherheitsanfälligkeit zum Zeitpunkt der Veröffentlichung dieses Security Bulletins bereits öffentlich bekannt?
Nein. Microsoft hat Informationen zu dieser Sicherheitsanfälligkeit durch eine koordinierte Offenlegung der Sicherheitsanfälligkeit erhalten.

Lagen Microsoft zum Zeitpunkt der Veröffentlichung dieses Security Bulletins Informationen vor, dass diese Sicherheitsanfälligkeit bereits ausgenutzt wurde?
Nein. Microsoft lagen zum Zeitpunkt der Erstveröffentlichung dieses Security Bulletins keine Informationen vor, dass diese Sicherheitsanfälligkeit öffentlich für Angriffe auf Benutzer ausgenutzt wurde.

 

Sicherheitsanfälligkeit bei der Analyse von JSON – CVE-2013-3861

In .NET Framework liegt eine Sicherheitsanfälligkeit bezüglich Denial-of-Service vor, mit der ein Angreifer bewirken kann, dass ein Server oder eine Anwendung abstürzt oder nicht mehr reagiert.

Informationen zum Anzeigen dieser Sicherheitsanfälligkeit als Standardeintrag in der Liste allgemeiner Sicherheitsanfälligkeiten finden Sie unter CVE-2013-3861.

Schadensbegrenzende Faktoren

Schadensbegrenzung bezieht sich auf eine Einstellung, häufige Konfiguration oder allgemeine empfohlene Vorgehensweise, die in einem Standardzustand existieren und den Schweregrad der Ausnutzung einer Sicherheitsanfälligkeit verringern können. Die folgenden schadensbegrenzenden Faktoren könnten hilfreich für Sie sein:

  • In einem Angriffsszenario reagieren nur betroffene Server nicht mehr. Die Auswirkungen bei betroffenen Clientsystemen gehen dahin, dass deren Kommunikation mit einem nicht mehr reagierenden Server verhindert, dass Anwendungsinhalte wiedergegeben werden.
  • Betroffene Systeme akzeptieren standardmäßig keine JSON-Daten und überprüfen diese. Eine Anwendung auf einem betroffenen System muss speziell codiert sein, um diesen Datentyp zu akzeptieren und anschließend dessen Echtheit zu überprüfen. Wenn die speziell gestalteten JSON-Daten nicht beständig sind, wird die Reaktionsfähigkeit der Anwendung nach einem Neustart wiederhergestellt. Nur wenn ein betroffener Server Benutzereingaben akzeptiert und diese an ein Clientsystem sendet, reagiert das Clientsystem nicht mehr.

Problemumgehungen

Für diese Sicherheitsanfälligkeit gibt es bislang keine Problemumgehungen.

Häufig gestellte Fragen (FAQs)

Worin genau besteht diese Sicherheitsanfälligkeit?
Es handelt sich bei dieser Sicherheitsanfälligkeit um einen Denial-of-Service-Angriff.

Was ist die Ursache dieser Sicherheitsanfälligkeit?
Die Sicherheitsanfälligkeit wird verursacht, wenn .NET Framework versucht, speziell gestaltete JSON-Daten (JavaScript Object Notation) zu analysieren.

Was ist JSON?
JSON steht für JavaScript Object Notation und ist ein offenes Standardformat für von Menschen lesbaren Datenaustausch. Es basiert auf der Skripterstellungssprache JavaScript, unterstützt aber viele Sprachen und wird hauptsächlich dazu verwendet, Daten zwischen Servern und Webanwendungen zu übertragen.

Was kann ein Angreifer über diese Sicherheitsanfälligkeit erreichen?
Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann bewirken, dass eine Anwendung oder ein Server abstürzt oder nicht mehr reagiert, bis ein Administrator die Anwendung oder den Server neu startet.

Wie gehen Angreifer vor, um diese Sicherheitsanfälligkeit auszunutzen?
In einem Angriffsszenario sendet ein Angreifer JSON-Daten mit bestimmten Zeichenfolgensequenzen an eine Anwendung, die JSON-Daten analysiert.

Für welche Systeme stellt diese Sicherheitsanfälligkeit hauptsächlich ein Risiko dar?
Alle Systeme, auf denen betroffene Versionen von .NET Framework ausgeführt werden, sind von dieser Sicherheitsanfälligkeit betroffen.

Was bewirkt das Update?
Das Update behebt die Sicherheitsanfälligkeit, indem gewährleistet wird, dass .NET Framework JSON-Datencodierungen richtig verarbeitet.

War diese Sicherheitsanfälligkeit zum Zeitpunkt der Veröffentlichung dieses Security Bulletins bereits öffentlich bekannt?
Ja. Diese Sicherheitsanfälligkeit wurde veröffentlicht.

Lagen Microsoft zum Zeitpunkt der Veröffentlichung dieses Security Bulletins Informationen vor, dass diese Sicherheitsanfälligkeit bereits ausgenutzt wurde?
Nein. Microsoft lagen zum Zeitpunkt der Erstveröffentlichung dieses Security Bulletins keine Informationen vor, dass diese Sicherheitsanfälligkeit öffentlich für Angriffe auf Benutzer ausgenutzt wurde.

 

Tools und Anleitungen zur Erkennung und Bereitstellung

Es stehen mehrere Ressourcen zur Verfügung, um Administratoren bei der Bereitstellung von Sicherheitsupdates zu helfen. 

  • Der Microsoft Baseline Security Analyzer (MBSA) ermöglicht Administratoren die Überprüfung von lokalen und Remotesystemen im Hinblick auf fehlende Sicherheitsupdates sowie auf häufig falsch konfigurierte Sicherheitsparameter. 
  • Windows-Server Update Services (WSUS), Systems Management Server (SMS) und System Center Configuration Manager helfen Administratoren beim Verteilen von Sicherheitsupdates. 
  • Die im Anwendungskompatibilitäts-Toolkit enthaltenen Komponenten zur Updatekompatibilitätsbewertung helfen dabei, die Vereinbarkeit von Windows-Updates mit installierten Anwendungen zu testen und zu überprüfen. 

Weitere Informationen zu diesen und weiteren verfügbaren Tools finden Sie unter Sicherheitstools

Bereitstellung von Sicherheitsupdates

Betroffene Software

Um Informationen zum jeweiligen Sicherheitsupdate für Ihre betroffene Software zu erhalten, klicken Sie auf den entsprechenden Link:

Windows XP (alle Editionen)

Referenztabelle

Die folgende Tabelle enthält die Informationen zu Sicherheitsupdates für diese Software.

Aufnahme in zukünftige Service Packs Das Update für dieses Problem wird in einem zukünftigen Service Pack oder Update-Rollup enthalten sein.
Dateinamen der Sicherheitsupdates Für Microsoft .NET Framework 2.0 Service Pack 2 bei Installation unter Windows XP Service Pack 3:
NDP20SP2-KB2863239-x86.exe

Für Microsoft .NET Framework 3.0 Service Pack 2 bei Installation unter Windows XP Service Pack 3:
NDP30SP2-KB2861189-x86.exe

Für Microsoft .NET Framework 3.5 Service Pack 1 bei Installation unter Windows XP Service Pack 3:
NDP35SP1-KB2861697-x86.exe

Für Microsoft .NET Framework 4 unter Windows XP Service Pack 3:
NDP40-KB2858302-v2-x86.exe
NDP40-KB2861188-x86.exe

Für Microsoft .NET Framework 2.0 Service Pack 2 bei Installation unter Windows XP Professional x64 Edition Service Pack 2:
NDP20SP2-KB2863239-x64.exe

Für Microsoft .NET Framework 3.0 Service Pack 2 bei Installation unter Windows XP Professional x64 Edition Service Pack 2:
NDP30SP2-KB2861189-x64.exe

Für Microsoft .NET Framework 3.5 Service Pack 1 bei Installation unter Microsoft Windows XP Professional x64 Edition Service Pack 2:
NDP35SP1-KB2861697-x64.exe

Für Microsoft .NET Framework 4 unter Windows XP Professional x64 Edition Service Pack 2:
NDP40-KB2858302-v2-x64.exe
NDP40-KB2861188-x64.exe
Installationsoptionen Siehe Microsoft Knowledge Base-Artikel 2844699.
Aktualisieren der Protokolldatei Für Microsoft .NET Framework 2.0 Service Pack 2
Microsoft .NET Framework 2.0-KB2863239_\*-msi0.txt
Microsoft .NET Framework 2.0-KB2863239_\*.html

Für Microsoft .NET Framework 3.0 Service Pack 2:
Microsoft .NET Framework 3.0-KB2861189_\*-msi0.txt
Microsoft .NET Framework 3.0-KB2861189_\*.html

Für Microsoft .NET Framework 3.5 Service Pack 1:
Microsoft .NET Framework 3.5-KB2861697_\*-msi0.txt
Microsoft .NET Framework 3.5-KB2861697_\*.html

Für Microsoft .NET Framework 4:
KB2858302v2\_\*\_\*-Microsoft .NET Framework 4 Client Profile-MSP0.txt
KB2858302v2\_\*\_\*.html
Für Microsoft .NET Framework 4:
KB2861188\_\*\_\*-Microsoft .NET Framework 4 Client Profile-MSP0.txt
KB2861188\_\*\_\*.html
Neustartanforderung In einigen Fällen erfordert dieses Update keinen Neustart des Computers. Falls die erforderlichen Dateien bei der Installation des Updates gerade verwendet werden, müssen Sie allerdings einen Neustart durchführen. In diesem Fall wird eine Meldung angezeigt, die über den erforderlichen Neustart informiert.

Damit nicht unbedingt ein Neustart ausgeführt werden muss, beenden Sie alle betroffenen Dienste, und schließen Sie alle Anwendungen, die auf die betroffenen Dateien zugreifen, bevor Sie das Sicherheitsupdate installieren. Weitere Informationen zu potenziellen Gründen für einen Neustart finden Sie im Microsoft Knowledge Base-Artikel 887012.
Informationen zur Deinstallation Verwenden Sie die Option Software in der Systemsteuerung.
Dateiinformationen Siehe Microsoft Knowledge Base-Artikel 2878890.
Überprüfung des Registrierungsschlüssels Für Microsoft .NET Framework 2.0 Service Pack 2
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Microsoft .NET Framework 2.0 Service Pack 2\SP2\KB2863239
"ThisVersionInstalled" = "Y"

Für Microsoft .NET Framework 3.0 Service Pack 2:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Microsoft .NET Framework 3.0 Service Pack 2\SP2\KB2861189
"ThisVersionInstalled" = "Y"

Für Microsoft .NET Framework 3.5 Service Pack 1:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Microsoft .NET Framework 3.5 SP1\SP1\KB2861697
"ThisVersionInstalled" = "Y"

Für Microsoft .NET Framework 4 unter allen unterstützten 32-Bit-Editionen von Windows XP:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Microsoft .NET Framework 4 Client Profile\KB2858302v2
"ThisVersionInstalled" = "Y"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Microsoft .NET Framework 4 Client Profile\KB2861188
"ThisVersionInstalled" = "Y"

Für Microsoft .NET Framework 4 unter allen unterstützten x64-basierten Editionen von Windows XP:
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Updates\Microsoft .NET Framework 4 Client Profile\KB2858302v2
"ThisVersionInstalled" = "Y"
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Updates\Microsoft .NET Framework 4 Client Profile\KB2861188
"ThisVersionInstalled" = "Y"

Windows Server 2003 (alle Editionen)

Referenztabelle

Die folgende Tabelle enthält die Informationen zu Sicherheitsupdates für diese Software.

Aufnahme in zukünftige Service Packs Das Update für dieses Problem wird in einem zukünftigen Service Pack oder Update-Rollup enthalten sein.
Dateinamen der Sicherheitsupdates Für Microsoft .NET Framework 2.0 Service Pack 2 unter allen unterstützten 32-Bit-Editionen von Windows Server 2003:
NDP20SP2-KB2863239-x86.exe

Für Microsoft .NET Framework 3.0 Service Pack 2 unter allen unterstützten 32-Bit-Editionen von Windows Server 2003:
NDP30SP2-KB2861189-x86.exe

Für Microsoft .NET Framework 3.5 Service Pack 1 bei Installation unter Windows Server 2003 Service Pack 2:
NDP35SP1-KB2861697-x86.exe

Für Microsoft .NET Framework 4 unter allen unterstützten 32-Bit-Editionen von Windows Server 2003:
NDP40-KB2858302-v2-x86.exe
NDP40-KB2861188-x86.exe

Für Microsoft .NET Framework 2.0 Service Pack 2 unter allen unterstützten x64-basierten Editionen von Windows Server 2003:
NDP20SP2-KB2863239-x64.exe

Für Microsoft .NET Framework 3.0 Service Pack 2 unter allen unterstützten x64-basierten Editionen von Windows Server 2003:
NDP30SP2-KB2861189-x64.exe

Für Microsoft .NET Framework 3.5 Service Pack 1 bei Installation unter Windows Server 2003 x64 Edition Service Pack 2:
NDP35SP1-KB2861697-x64.exe

Für Microsoft .NET Framework 4 unter allen unterstützten x64-basierten Editionen von Windows Server 2003:
NDP40-KB2858302-v2-x64.exe
NDP40-KB2861188-x64.exe

Für Microsoft .NET Framework 2.0 Service Pack 2 unter allen unterstützten Itanium-basierten Editionen von Windows Server 2003:
NDP20SP2-KB2863239-IA64.exe

Für Microsoft .NET Framework 3.5 Service Pack 1 bei Installation unter Windows Server 2003 mit SP2 für Itanium-basierte Systeme:
NDP35SP1-KB2861697-IA64.exe

Für Microsoft .NET Framework 4 unter allen unterstützten Itanium-basierten Editionen von Windows Server 2003:
NDP40-KB2858302-v2-IA64.exe
Installationsoptionen Siehe Microsoft Knowledge Base-Artikel 2844699.
Aktualisieren der Protokolldatei Für Microsoft .NET Framework 2.0 Service Pack 2
Microsoft .NET Framework 2.0-KB2863239_\*-msi0.txt
Microsoft .NET Framework 2.0-KB2863239_\*.html

Für Microsoft .NET Framework 3.0 Service Pack 2:
Microsoft .NET Framework 3.0-KB2861189_\*-msi0.txt
Microsoft .NET Framework 3.0-KB2861189_\*.html

Für Microsoft .NET Framework 3.5 Service Pack 1:
Microsoft .NET Framework 3.5-KB2861697_\*-msi0.txt
Microsoft .NET Framework 3.5-KB2861697_\*.html

Für Microsoft .NET Framework 4:
KB2858302v2\_\*\_\*-Microsoft .NET Framework 4 Client Profile-MSP0.txt
KB2858302v2\_\*\_\*.html
KB2861188\_\*\_\*-Microsoft .NET Framework 4 Client Profile-MSP0.txt
KB2861188\_\*\_\*.html
Neustartanforderung In einigen Fällen erfordert dieses Update keinen Neustart des Computers. Falls die erforderlichen Dateien bei der Installation des Updates gerade verwendet werden, müssen Sie allerdings einen Neustart durchführen. In diesem Fall wird eine Meldung angezeigt, die über den erforderlichen Neustart informiert.

Damit nicht unbedingt ein Neustart ausgeführt werden muss, beenden Sie alle betroffenen Dienste, und schließen Sie alle Anwendungen, die auf die betroffenen Dateien zugreifen, bevor Sie das Sicherheitsupdate installieren. Weitere Informationen zu potenziellen Gründen für einen Neustart finden Sie im Microsoft Knowledge Base-Artikel 887012.
Informationen zur Deinstallation Verwenden Sie die Option Software in der Systemsteuerung.
Dateiinformationen Siehe Microsoft Knowledge Base-Artikel 2878890.
Überprüfung des Registrierungsschlüssels Für Microsoft .NET Framework 2.0 Service Pack 2
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Microsoft .NET Framework 2.0 Service Pack 2\SP2\KB2863239
"ThisVersionInstalled" = "Y"

Für Microsoft .NET Framework 3.0 Service Pack 2:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Microsoft .NET Framework 3.0 Service Pack 2\SP2\KB2861189
"ThisVersionInstalled" = "Y"

Microsoft .NET Framework 3.5 Service Pack 1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Microsoft .NET Framework 3.5 SP1\SP1\KB2861697
"ThisVersionInstalled" = "Y"

Für Microsoft .NET Framework 4 unter allen unterstützten 32-Bit-Editionen von Windows Server 2003:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Microsoft .NET Framework 4 Client Profile\KB2858302v2
"ThisVersionInstalled" = "Y"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Microsoft .NET Framework 4 Client Profile\KB2861188
"ThisVersionInstalled" = "Y"

Für Microsoft .NET Framework 4 unter allen unterstützten x64-basierten Editionen von Windows Server 2003:
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Updates\Microsoft .NET Framework 4 Client Profile\KB2858302v2
"ThisVersionInstalled" = "Y"
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Updates\Microsoft .NET Framework 4 Client Profile\KB2861188
"ThisVersionInstalled" = "Y"

Für Microsoft .NET Framework 4 unter allen unterstützten Itanium-basierten Editionen von Windows Server 2003:
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Updates\Microsoft .NET Framework 4 Client Profile\KB2858302v2
"ThisVersionInstalled" = "Y"

Windows Vista (alle Editionen)

Referenztabelle

Die folgende Tabelle enthält die Informationen zu Sicherheitsupdates für diese Software.

Aufnahme in zukünftige Service Packs Das Update für dieses Problem wird in einem zukünftigen Service Pack oder Update-Rollup enthalten sein.
Dateinamen der Sicherheitsupdates Für Microsoft .NET Framework 2.0 Service Pack 2 unter allen unterstützten 32-Bit-Editionen von Windows Vista:
Windows6.0-KB2863253-x86.msu

Für Microsoft .NET Framework 3.0 Service Pack 2 unter allen unterstützten 32-Bit-Editionen von Windows Vista:
Windows6.0-KB2861190-x86.msu

Für Microsoft .NET Framework 3.5 Service Pack 1 bei Installation unter Windows Vista Service Pack 2:
NDP35SP1-KB2861697-x86.exe

Für Microsoft .NET Framework 4 unter allen unterstützten 32-Bit-Editionen von Windows Vista:
NDP40-KB2858302-v2-x86.exe
NDP40-KB2861188-x86.exe

Für Microsoft .NET Framework 4.5 bei Installation unter allen unterstützten 32-Bit-Editionen von Windows Vista:
NDP45-KB2861193-x86.exe
NDP45-KB2861208-x86.exe

Für Microsoft .NET Framework 2.0 Service Pack 2 unter allen unterstützten x64-basierten Editionen von Windows Vista:
Windows6.0-KB2863253-x64.msu

Für Microsoft .NET Framework 3.0 Service Pack 2 unter allen unterstützten x64-basierten Editionen von Windows Vista:
Windows6.0-KB2861190-x64.msu

Für Microsoft .NET Framework 3.5 Service Pack 1 bei Installation unter Windows Vista x64 Edition Service Pack 2:
NDP35SP1-KB2861697-x64.exe

Für Microsoft .NET Framework 4 unter allen unterstützten x64-basierten Editionen von Windows Vista:
NDP40-KB2858302-v2-x64.exe
NDP40-KB2861188-x64.exe

Für Microsoft .NET Framework 4.5 unter allen unterstützten x64-basierten Editionen von Windows Vista:
NDP45-KB2861193-x64.exe
NDP45-KB2861208-x64.exe
Installationsoptionen Siehe Microsoft Knowledge Base-Artikel 2844699.
Aktualisieren der Protokolldatei Für Microsoft .NET Framework 2.0 Service Pack 2
Nicht anwendbar

Für Microsoft .NET Framework 3.0 Service Pack 2:
Nicht anwendbar

Für Microsoft .NET Framework 3.5 Service Pack 1:
Microsoft .NET Framework 3.5-KB2861697_\*-msi0.txt
Microsoft .NET Framework 3.5-KB2861697_\*.html

Für Microsoft .NET Framework 4:
KB2858302v2\_\*\_\*-Microsoft .NET Framework 4 Client Profile-MSP0.txt
KB2858302v2\_\*\_\*.html
KB2861188\_\*\_\*-Microsoft .NET Framework 4 Client Profile-MSP0.txt
KB2861188\_\*\_\*.html

Für Microsoft .NET Framework 4.5:
KB2861193\_\*\_\*-Microsoft .NET Framework 4.5-MSP0.txt
KB2861193\_\*\_\*.html
KB2861208\_\*\_\*-Microsoft .NET Framework 4.5-MSP0.txt
KB2861208\_\*\_\*.html
Neustartanforderung Für dieses Update ist kein Neustart des Computers erforderlich. Das Installationsprogramm beendet die erforderlichen Dienste, installiert das Update und startet die Dienste dann neu. Wenn jedoch die erforderlichen Dienste aus irgendwelchen Gründen nicht beendet werden können oder benötigte Dateien aktuell verwendet werden, ist für dieses Update ein Neustart des Computers erforderlich. In diesem Fall wird eine Meldung angezeigt, die über den erforderlichen Neustart informiert.
Informationen zur Deinstallation Klicken Sie auf Systemsteuerung und dann auf Sicherheit. Klicken Sie unter Windows Update auf Installierte Updates anzeigen, und treffen Sie eine Auswahl in der Liste der Updates.
Dateiinformationen Siehe Microsoft Knowledge Base-Artikel 2878890.
Überprüfung des Registrierungsschlüssels Für Microsoft .NET Framework 2.0 Service Pack 2
Hinweis: Es ist kein Registrierungsschlüssel vorhanden, um die Anwesenheit dieses Updates zu belegen. Verwenden Sie WMI, um die Anwesenheit dieses Updates festzustellen.

Für Microsoft .NET Framework 3.0 Service Pack 2:
Hinweis: Es ist kein Registrierungsschlüssel vorhanden, um die Anwesenheit dieses Updates zu belegen.

Für Microsoft .NET Framework 3.5 Service Pack 1:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Microsoft .NET Framework 3.5 Service Pack 1\SP1\KB2861697
"ThisVersionInstalled" = "Y"

Für Microsoft .NET Framework 4 unter allen unterstützten 32-Bit-Editionen von Windows Vista:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Microsoft .NET Framework 4 Client Profile\KB2858302v2
"ThisVersionInstalled" = "Y"

Für Microsoft .NET Framework 4 unter allen unterstützten x64-basierten Editionen von Windows Vista:
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Updates\Microsoft .NET Framework 4 Client Profile\KB2858302v2
"ThisVersionInstalled" = "Y"
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Updates\Microsoft .NET Framework 4 Client Profile\KB2861188
"ThisVersionInstalled" = "Y"

Für Microsoft .NET Framework 4.5:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Microsoft .NET Framework 4.5\KB2861193
"ThisVersionInstalled" = "Y"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Microsoft .NET Framework 4.5\KB2861208
"ThisVersionInstalled" = "Y"

Windows Server 2008 (alle Editionen)

Referenztabelle

Die folgende Tabelle enthält die Informationen zu Sicherheitsupdates für diese Software.

Aufnahme in zukünftige Service Packs Das Update für dieses Problem wird in einem zukünftigen Service Pack oder Update-Rollup enthalten sein.
Dateinamen der Sicherheitsupdates Für Microsoft .NET Framework 2.0 Service Pack 2 unter Windows Server 2008 für 32-Bit-Systeme Service Pack 2:
Windows6.0-KB2863253-x86.msu

Für Microsoft .NET Framework 3.0 Service Pack 2 unter Windows Server 2008 für 32-Bit-Systeme Service Pack 2:
Windows6.0-KB2861190-x86.msu

Für Microsoft .NET Framework 3.5 Service Pack 1 unter Windows Server 2008 für 32-Bit-Systeme Service Pack 2:
NDP35SP1-KB2861697-x86.exe

Für Microsoft .NET Framework 4 unter Windows Server 2008 für 32-Bit Systeme Service Pack 2:
NDP40-KB2858302-v2-x86.exe
NDP40-KB2861188-x86.exe

Für Microsoft .NET Framework 4.5 unter Windows Server 2008 für 32-Bit-Systeme Service Pack 2:
NDP45-KB2861193-x86.exe
NDP45-KB2861208-x86.exe

Für Microsoft .NET Framework 2.0 Service Pack 2 unter Windows Server 2008 für x64-basierte Systeme Service Pack 2:
Windows6.0-KB2863253-x64.msu

Für Microsoft .NET Framework 3.0 Service Pack 2 unter Windows Server 2008 für x64-basierte Systeme Service Pack 2:
Windows6.0-KB2861190-x64.msu

Für Microsoft .NET Framework 3.5 Service Pack 1 unter Windows Server 2008 für x64-basierte Systeme Service Pack 2:
NDP35SP1-KB2861697-x64.exe

Für Microsoft .NET Framework 4 unter Windows Server 2008 für x64-basierte Systeme Service Pack 2:
NDP40-KB2858302-v2-x64.exe
NDP40-KB2861188-x64.exe

Für Microsoft .NET Framework 4.5 unter Windows Server 2008 für x64-basierte Systeme Service Pack 2:
NDP45-KB2861193-x64.exe
NDP45-KB2861208-x64.exe

Für Microsoft .NET Framework 2.0 Service Pack 2 unter allen unterstützten Itanium-basierten Editionen von Windows Server 2008:
Windows6.0-KB2863253-ia64.msu

Für Microsoft .NET Framework 3.5 Service Pack 1 unter Windows Server 2008 für Itanium-basierte Systeme Service Pack 2:
NDP35SP1-KB2861697-IA64.exe

Für Microsoft .NET Framework 4 unter Windows Server 2008 für Itanium-basierte Systeme Service Pack 2:
NDP40-KB2858302-v2-IA64.exe
Installationsoptionen Siehe Microsoft Knowledge Base-Artikel 2844699.
Aktualisieren der Protokolldatei Für Microsoft .NET Framework 2.0 Service Pack 2
Nicht anwendbar

Für Microsoft .NET Framework 3.0 Service Pack 2:
Nicht anwendbar

Für Microsoft .NET Framework 3.5 Service Pack 1:
Microsoft .NET Framework 3.5-KB2861697_\*-msi0.txt
Microsoft .NET Framework 3.5-KB2861697_\*.html

Für Microsoft .NET Framework 4:
KB2858302v2\_\*\_\*-Microsoft .NET Framework 4 Client Profile-MSP0.txt
KB2858302v2\_\*\_\*.html
KB2861188\_\*\_\*-Microsoft .NET Framework 4 Client Profile-MSP0.txt
KB2861188\_\*\_\*.html

Für Microsoft .NET Framework 4.5:
KB2861193\_\*\_\*-Microsoft .NET Framework 4.5-MSP0.txt
KB2861193\_\*\_\*.html
KB2861208\_\*\_\*-Microsoft .NET Framework 4.5-MSP0.txt
KB2861208\_\*\_\*.html
Neustartanforderung Für dieses Update ist kein Neustart des Computers erforderlich. Das Installationsprogramm beendet die erforderlichen Dienste, installiert das Update und startet die Dienste dann neu. Wenn jedoch die erforderlichen Dienste aus irgendwelchen Gründen nicht beendet werden können oder benötigte Dateien aktuell verwendet werden, ist für dieses Update ein Neustart des Computers erforderlich. In diesem Fall wird eine Meldung angezeigt, die über den erforderlichen Neustart informiert.
Informationen zur Deinstallation Klicken Sie auf Systemsteuerung und dann auf Sicherheit. Klicken Sie unter Windows Update auf Installierte Updates anzeigen, und treffen Sie eine Auswahl in der Liste der Updates.
Dateiinformationen Siehe Microsoft Knowledge Base-Artikel 2878890.
Überprüfung des Registrierungsschlüssels Für Microsoft .NET Framework 2.0 Service Pack 2
Hinweis: Es ist kein Registrierungsschlüssel vorhanden, um die Anwesenheit dieses Updates zu belegen. Verwenden Sie WMI, um die Anwesenheit dieses Updates festzustellen.

Für Microsoft .NET Framework 3.0 Service Pack 2:
Hinweis: Es ist kein Registrierungsschlüssel vorhanden, um die Anwesenheit dieses Updates zu belegen.

Für Microsoft .NET Framework 3.5 Service Pack 1:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Microsoft .NET Framework 3.5 Service Pack 1\SP1\KB2861697
"ThisVersionInstalled" = "Y"

Für Microsoft .NET Framework 4 unter allen unterstützten 32-Bit-Editionen von Windows Server 2008:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Microsoft .NET Framework 4 Client Profile\KB2858302v2
"ThisVersionInstalled" = "Y"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Microsoft .NET Framework 4 Client Profile\KB2861188
"ThisVersionInstalled" = "Y"

Für Microsoft .NET Framework 4 unter allen unterstützten x64-basierten Editionen von Windows Server 2008:
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Updates\Microsoft .NET Framework 4 Client Profile\KB2858302v2
"ThisVersionInstalled" = "Y"
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Updates\Microsoft .NET Framework 4 Client Profile\KB2861188
"ThisVersionInstalled" = "Y"

Für Microsoft .NET Framework 4 unter allen unterstützten Itanium-basierten Editionen von Windows Server 2008:
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Updates\Microsoft .NET Framework 4 Client Profile\KB2858302v2
"ThisVersionInstalled" = "Y"

Für Microsoft .NET Framework 4.5:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Microsoft .NET Framework 4.5\KB2861193
"ThisVersionInstalled" = "Y"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Microsoft .NET Framework 4.5\KB2861208
"ThisVersionInstalled" = "Y"

Windows 7 (alle Editionen)

Referenztabelle

Die folgende Tabelle enthält die Informationen zu Sicherheitsupdates für diese Software.

Aufnahme in zukünftige Service Packs Das Update für dieses Problem wird in einem zukünftigen Service Pack oder Update-Rollup enthalten sein.
Dateiname des Sicherheitsupdates Für Microsoft .NET Framework 3.5.1 unter Windows 7 für 32-Bit-Systeme Service Pack 1:
Windows6.1-KB2861191-x86.msu
Windows6.1-KB2861698-x86.msu
Windows6.1-KB2863240-x86.msu

Für Microsoft .NET Framework 4 unter Windows 7 für 32-Bit-Systeme Service Pack 1:
NDP40-KB2858302-v2-x86.exe

Für Microsoft .NET Framework 4.5 unter Windows 7 für 32-Bit-Systeme Service Pack 1:
NDP45-KB2861208-x86.exe

Für Microsoft .NET Framework 3.5.1 unter Windows 7 für x64-basierte Systeme Service Pack 1:
Windows6.1-KB2861191-x64.msu
Windows6.1-KB2861698-x64.msu
Windows6.1-KB2863240-x64.msu

Für Microsoft .NET Framework 4 unter Windows 7 für x64-basierte Systeme Service Pack 1:
NDP40-KB2858302-v2-x64.exe

Für Microsoft .NET Framework 4.5 unter Windows 7 für x64-basierte Systeme Service Pack 1:
NDP45-KB2861208-x64.exe
Installationsoptionen Siehe Microsoft Knowledge Base-Artikel 2844699.
Aktualisieren der Protokolldatei Für Microsoft .NET Framework 3.5.1:
Nicht anwendbar.

Für Microsoft .NET Framework 4:
KB2858302v2\_\*\_\*-Microsoft .NET Framework 4 Client Profile-MSP0.txt
KB2858302v2\_\*\_\*.html

Für Microsoft .NET Framework 4.5:
KB2861208\_\*\_\*-Microsoft .NET Framework 4.5-MSP0.txt
KB22861208\_\*\_\*.html
Neustartanforderung Für dieses Update ist kein Neustart des Computers erforderlich. Das Installationsprogramm beendet die erforderlichen Dienste, installiert das Update und startet die Dienste dann neu. Wenn jedoch die erforderlichen Dienste aus irgendwelchen Gründen nicht beendet werden können oder benötigte Dateien aktuell verwendet werden, ist für dieses Update ein Neustart des Computers erforderlich. In diesem Fall wird eine Meldung angezeigt, die über den erforderlichen Neustart informiert.
Informationen zur Deinstallation Um dieses Update zu entfernen, klicken Sie auf Systemsteuerung und dann auf System und Sicherheit. Klicken Sie unter Windows Update auf Installierte Updates anzeigen, und wählen Sie das Update aus der angezeigten Liste aus.
Dateiinformationen Siehe Microsoft Knowledge Base-Artikel 2878890.
Überprüfung des Registrierungsschlüssels Für Microsoft .NET Framework 3.5.1:
Hinweis: Es ist kein Registrierungsschlüssel vorhanden, um die Anwesenheit dieses Updates zu belegen. Verwenden Sie WMI, um die Anwesenheit dieses Updates festzustellen.

Für Microsoft .NET Framework 4 unter allen unterstützten 32-Bit-Editionen von Windows 7:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Microsoft .NET Framework 4 Client Profile\KB2858302v2
"ThisVersionInstalled" = "Y"

Für Microsoft .NET Framework 4 unter allen unterstützten x64-basierten Editionen von Windows 7:
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Updates\Microsoft .NET Framework 4 Client Profile\KB2858302v2
"ThisVersionInstalled" = "Y"

Für Microsoft .NET Framework 4.5:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Microsoft .NET Framework 4.5\KB2861208
"ThisVersionInstalled" = "Y"

Windows Server 2008 R2 (alle Editionen)

Referenztabelle

Die folgende Tabelle enthält die Informationen zu Sicherheitsupdates für diese Software.

Aufnahme in zukünftige Service Packs Das Update für dieses Problem wird in einem zukünftigen Service Pack oder Update-Rollup enthalten sein.
Dateiname des Sicherheitsupdates Für Microsoft .NET Framework 3.5.1 unter Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1:
Windows6.1-KB2861698-x64.msu
Windows6.1-KB2863240-x64.msu
Windows6.1-KB2861191-x64.msu

Für Microsoft .NET Framework 4 unter Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1:
NDP40-KB2858302-v2-x64.exe

Für Microsoft .NET Framework 4.5 unter Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1:
NDP45-KB2861208-x64.exe

Für Microsoft .NET Framework 3.5.1 unter Windows Server 2008 R2 für Itanium-basierte Systeme Service Pack 1:
Windows6.1-KB2861698-ia64.msu
Windows6.1-KB2863240-ia64.msu

Für Microsoft .NET Framework 4 unter Windows Server 2008 R2 für Itanium-basierte Systeme Service Pack 1:
NDP40-KB2858302-v2-ia64.exe
Installationsoptionen Siehe Microsoft Knowledge Base-Artikel 2844699.
Aktualisieren der Protokolldatei Für Microsoft .NET Framework 3.5.1:
Nicht anwendbar

Für Microsoft .NET Framework 4:
KB2858302v2\_\*\_\*-Microsoft .NET Framework 4 Client Profile-MSP0.txt
KB2858302v2\_\*\_\*.html

Für Microsoft .NET Framework 4.5:
KB2861208\_\*\_\*-Microsoft .NET Framework 4.5-MSP0.txt
KB2861208\_\*\_\*.html
Neustartanforderung Für dieses Update ist kein Neustart des Computers erforderlich. Das Installationsprogramm beendet die erforderlichen Dienste, installiert das Update und startet die Dienste dann neu. Wenn jedoch die erforderlichen Dienste aus irgendwelchen Gründen nicht beendet werden können oder benötigte Dateien aktuell verwendet werden, ist für dieses Update ein Neustart des Computers erforderlich. In diesem Fall wird eine Meldung angezeigt, die über den erforderlichen Neustart informiert.
Informationen zur Deinstallation Um dieses Update zu entfernen, klicken Sie auf Systemsteuerung und dann auf System und Sicherheit. Klicken Sie unter Windows Update auf Installierte Updates anzeigen, und wählen Sie das Update aus der angezeigten Liste aus.
Dateiinformationen Siehe Microsoft Knowledge Base-Artikel 2878890.
Überprüfung des Registrierungsschlüssels Für Microsoft .NET Framework 3.5.1:
Hinweis: Es ist kein Registrierungsschlüssel vorhanden, um die Anwesenheit dieses Updates zu belegen. Verwenden Sie WMI, um die Anwesenheit dieses Updates festzustellen.

Für Microsoft .NET Framework 4:
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Updates\Microsoft .NET Framework 4 Client Profile\KB2858302v2
"ThisVersionInstalled" = "Y"

Für Microsoft .NET Framework 4.5:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Microsoft .NET Framework 4.5\KB2861208
"ThisVersionInstalled" = "Y"

Windows 8 (alle Editionen)

Referenztabelle

Die folgende Tabelle enthält die Informationen zu Sicherheitsupdates für diese Software.

Aufnahme in zukünftige Service Packs Das Update für dieses Problem wird in einem zukünftigen Service Pack oder Update-Rollup enthalten sein.
Dateiname des Sicherheitsupdates Für Microsoft .NET Framework 3.5 unter Windows 8 für 32-Bit-Systeme:
Windows8-RT-KB2861194-x86.msu
Windows8-RT-KB2861704-x86.msu
Windows8-RT-KB2863243-x86.msu

Für Microsoft .NET Framework 4.5 unter Windows 8 für 32-Bit-Systeme:
Windows8-RT-KB2861702-x86.msu

Für Microsoft .NET Framework 3.5 unter Windows 8 für 64-Bit-Systeme:
Windows8-RT-KB2861194-x64.msu
Windows8-RT-KB2861704-x64.msu
Windows8-RT-KB2863243-x64.msu

Für Microsoft .NET Framework 4.5 unter Windows 8 für 64-Bit-Systeme:
Windows8-RT-KB2861702-x64.msu
Installationsoptionen Siehe Microsoft Knowledge Base-Artikel 2844699.
Neustartanforderung Für dieses Update ist kein Neustart des Computers erforderlich. Das Installationsprogramm beendet die erforderlichen Dienste, installiert das Update und startet die Dienste dann neu. Wenn jedoch die erforderlichen Dienste aus irgendwelchen Gründen nicht beendet werden können oder benötigte Dateien aktuell verwendet werden, ist für dieses Update ein Neustart des Computers erforderlich. In diesem Fall wird eine Meldung angezeigt, die über den erforderlichen Neustart informiert.
Informationen zur Deinstallation Um dieses Update zu entfernen, klicken Sie auf Systemsteuerung und dann auf System und Sicherheit. Klicken Sie unter Windows Update auf Installierte Updates, und wählen Sie das Update aus der angezeigten Liste aus.
Dateiinformationen Siehe Microsoft Knowledge Base-Artikel 2878890.
Überprüfung des Registrierungsschlüssels Für Microsoft .NET Framework 3.5:
Hinweis: Es ist kein Registrierungsschlüssel vorhanden, um die Anwesenheit dieses Updates zu belegen. Verwenden Sie WMI, um die Anwesenheit dieses Updates festzustellen.

Für Microsoft .NET Framework 4.5:
Hinweis: Es ist kein Registrierungsschlüssel vorhanden, um die Anwesenheit dieses Updates zu belegen. Verwenden Sie WMI, um die Anwesenheit dieses Updates festzustellen.

Windows Server 2012 (alle Editionen)

Referenztabelle

Die folgende Tabelle enthält die Informationen zu Sicherheitsupdates für diese Software.

Aufnahme in zukünftige Service Packs Das Update für dieses Problem wird in einem zukünftigen Service Pack oder Update-Rollup enthalten sein.
Dateiname des Sicherheitsupdates Für Microsoft .NET Framework 3.5 unter Windows Server 2012:
Windows8-RT-KB2861194-x64.msu
Windows8-RT-KB2861704-x64.msu
Windows8-RT-KB2863243-x64.msu

Für Microsoft .NET Framework 4.5 unter Windows Server 2012:
Windows8-RT-KB2861702-x64.msu
Installationsoptionen Siehe Microsoft Knowledge Base-Artikel 2844699.
Neustartanforderung Für dieses Update ist kein Neustart des Computers erforderlich. Das Installationsprogramm beendet die erforderlichen Dienste, installiert das Update und startet die Dienste dann neu. Wenn jedoch die erforderlichen Dienste aus irgendwelchen Gründen nicht beendet werden können oder benötigte Dateien aktuell verwendet werden, ist für dieses Update ein Neustart des Computers erforderlich. In diesem Fall wird eine Meldung angezeigt, die über den erforderlichen Neustart informiert.
Informationen zur Deinstallation Um dieses Update zu entfernen, klicken Sie auf Systemsteuerung und dann auf System und Sicherheit. Klicken Sie unter Windows Update auf Installierte Updates, und wählen Sie das Update aus der angezeigten Liste aus.
Dateiinformationen Siehe Microsoft Knowledge Base-Artikel 2878890.
Überprüfung des Registrierungsschlüssels Hinweis: Es ist kein Registrierungsschlüssel vorhanden, um die Anwesenheit dieses Updates zu belegen.
### Windows RT (alle Editionen) Die folgende Tabelle enthält die Informationen zu Sicherheitsupdates für diese Software.

Bereitstellung Für Microsoft .NET Framework 4.5 unter Windows RT:
Das Update 2861702 ist nur über Windows-Update verfügbar.
Neustartanforderung Ja, Sie müssen das System neu starten, nachdem Sie dieses Sicherheitsupdate installiert haben.
Informationen zur Deinstallation Um dieses Update zu entfernen, klicken Sie auf Systemsteuerung und dann auf System und Sicherheit. Klicken Sie unter Windows Update auf Installierte Updates, und wählen Sie das Update aus der angezeigten Liste aus.
Dateiinformationen Siehe Microsoft Knowledge Base-Artikel 2878890.
  Danksagungen ------------ Microsoft [dankt](https://technet.microsoft.com/de-de/security/gg309157.aspx) den folgenden Personen, dass sie zum Schutz unserer Kunden mit uns zusammengearbeitet haben: - Einer Person, die mit der [Zero Day Initiative](https://www.zerodayinitiative.com/) von [HP](https://www.hpenterprisesecurity.com/products) zusammenarbeitet, aber anonym bleiben möchte, für den Hinweis auf die Sicherheitsanfälligkeit beim Analysieren von OpenType-Schriftarten (CVE-2013-3128). - James Forshaw von [Context Information Security](https://www.contextis.com/) für den Hinweis auf die Sicherheitsanfälligkeit durch Entity Expansion (CVE-2013-3860). Weitere Informationen: ---------------------- ### Microsoft Active Protections Program (MAPP) Um den Sicherheitsschutz für Benutzer zu verbessern, stellt Microsoft den wichtigsten Sicherheitssoftwareanbietern vor der monatlichen Veröffentlichung der Sicherheitsupdates Informationen zu Sicherheitsanfälligkeiten bereit. Anbieter von Sicherheitssoftware können diese Informationen zu Sicherheitsanfälligkeiten dann verwenden, um Benutzern aktualisierten Schutz über ihre Sicherheitssoftware oder ihre Geräte bereitzustellen, z. B. Antivirus, netzwerkbasierte Angriffserkennungssysteme oder hostbasierte Angriffsverhinderungssysteme. Wenn Sie erfahren möchten, ob von den Sicherheitssoftwareanbietern aktiver Schutz verfügbar ist, besuchen Sie die von den Programmpartnern bereitgestellte Active Protections-Websites, die unter [MAPP-Partner (Microsoft Active Protections Program)](https://technet.microsoft.com/de-de/security/dn467918) aufgeführt sind. ### Support **So erhalten Sie Hilfe und Support zu diesem Sicherheitsupdate** - Hilfe beim Installieren von Updates: [Support für Microsoft Update](https://support.microsoft.com/gp/windows-update-issues/de-de) - Sicherheitslösungen für IT-Experten: [TechNet Sicherheit – Problembehandlung und Support](https://technet.microsoft.com/de-de/security/bb980617.aspx) - So schützen Sie Ihren Computer, auf dem Windows ausgeführt wird, vor Viren und schädlicher Software: [Viruslösung und Security Center](https://www.microsoft.com/de-de/security/default.aspx) - Lokaler Support entsprechend Ihrem Land: [Internationaler Support](https://support.microsoft.com/common/international.aspx?ln=de) ### Haftungsausschluss Die Informationen der Microsoft Knowledge Base werden wie besehen und ohne jede Gewährleistung bereitgestellt. Microsoft schließt alle anderen Garantien, gleich ob ausdrücklich oder konkludent, einschließlich der Garantien der Handelsüblichkeit oder Eignung für einen bestimmten Zweck aus. In keinem Fall kann Microsoft Corporation und/oder deren jeweilige Lieferanten haftbar gemacht werden für Schäden irgendeiner Art, einschließlich direkter, indirekter, zufällig entstandener Schäden, Folgeschäden, Folgen entgangenen Gewinns oder spezieller Schäden, selbst dann nicht, wenn Microsoft Corporation und/oder deren jeweilige Lieferanten auf die mögliche Entstehung dieser Schäden hingewiesen wurde. Weil in einigen Staaten/Rechtsordnungen der Ausschluss oder die Beschränkung einer Haftung für zufällig entstandene Schäden oder Folgeschäden nicht gestattet ist, gilt die obige Einschränkung eventuell nicht für Sie. ### Revisionen - V1.0 (8. Oktober 2013): Bulletin veröffentlicht. - V1.1 (10. Oktober 2013): Das Bulletin wurde überarbeitet, um anzuzeigen, dass Server Core-Installationen von Windows Server 2012 von der im Update 2861194 behobenen Sicherheitsanfälligkeit betroffen sind. Dies ist lediglich eine Informationsänderung. Es wurden keine Änderungen an der Erkennungslogik oder an den Sicherheitsupdatedateien vorgenommen. Benutzer, die ihre Systeme bereits erfolgreich aktualisiert haben, müssen keine Maßnahmen ergreifen. - V1.2 (7. April 2016): Korrigierte Downloadlinks für Microsoft .NET Framework 3.5.1 unter Windows 7 und Windows 2008 R2. Diese Änderung dient lediglich zur Information. Kunden, die das Update bereits erfolgreich auf ihren Systemen installiert haben, müssen nichts weiter unternehmen. *Seite generiert am 16.05.2014 um 23:59Z-07:00.*