Microsoft Security Bulletin MS15-009 – Kritisch

Sicherheitsupdate für Internet Explorer (3034682)

Veröffentlicht: 10. Februar 2015

Version: 1.0

Kurzzusammenfassung

Dieses Sicherheitsupdate behebt eine öffentlich bekannt gegebene und vierzig vertraulich gemeldete Sicherheitsanfälligkeiten in Internet Explorer. Die schwerwiegenderen dieser Sicherheitsanfälligkeiten können Remotecodeausführung ermöglichen, wenn ein Benutzer eine speziell gestaltete Webseite mit Internet Explorer anzeigt. Ein Angreifer, der diese Sicherheitsanfälligkeiten erfolgreich ausnutzt, kann die gleichen Benutzerrechte wie der aktuelle Benutzer erlangen. Benutzer mit Konten, die über weniger Systemrechte verfügen, sind davon möglicherweise weniger betroffen als Benutzer mit Administratorrechten.

Dieses Sicherheitsupdate wird für Internet Explorer 6 (IE 6), Internet Explorer 7 (IE 7), Internet Explorer 8 (IE 8), Internet Explorer 9 (IE 9), Internet Explorer 10 (IE 10), Internet Explorer 11 (IE 11) auf betroffenen Windows-Clients als „Kritisch“ eingestuft und für Internet Explorer 6 (IE 6), Internet Explorer 7 (IE 7), Internet Explorer 8 (IE 8), Internet Explorer 9 (IE 9), Internet Explorer 10 (IE 10), Internet Explorer 11 (IE 11) auf betroffenen Servern als „Mittel“. Weitere Informationen finden Sie im Abschnitt Betroffene Software.

Das Sicherheitsupdate behebt die Sicherheitsanfälligkeiten, indem geändert wird, wie Internet Explorer Objekte im Speicher verarbeitet. Dann werden Internet Explorer zusätzliche Berechtigungsüberprüfungen hinzugefügt, und es wird sichergestellt, dass die betroffenen Versionen von Internet Explorer die Sicherheitsfunktion ASLR richtig implementieren. Außerdem wird sichergestellt, dass domänenübergreifende Richtlinien in Internet Explorer ordnungsgemäß durchgesetzt werden. Weitere Informationen zu diesen Sicherheitsanfälligkeiten finden Sie im Abschnitt Informationen zu Sicherheitsanfälligkeiten.

Weitere Informationen zu diesem Update finden Sie im Microsoft Knowledge Base-Artikel 3034682.

Betroffene Software

Die folgenden Softwareversionen oder -Editionen sind betroffen. Versionen oder Editionen, die nicht aufgeführt sind, haben entweder das Ende ihres Supportlebenszyklus überschritten oder sind nicht betroffen. Besuchen Sie die Website Microsoft Support Lifecycle, um den Supportlebenszyklus für Ihre Softwareversion oder Edition zu ermitteln.

Betroffene Software

Betriebssystem Komponente Maximale Sicherheitsauswirkung Bewertung des Gesamtschweregrads Ersetzte Updates
Internet Explorer 6
Windows Server 2003 Service Pack 2 Internet Explorer 6
(3021952)
Remotecodeausführung Mittel 3008923 in MS14-080
Windows Server 2003 x64 Edition Service Pack 2 Internet Explorer 6
(3021952)
Remotecodeausführung Mittel 3008923 in MS14-080
Windows Server 2003 mit SP2 für Itanium-basierte Systeme Internet Explorer 6
(3021952)
Remotecodeausführung Mittel 3008923 in MS14-080
Internet Explorer 7
Windows Server 2003 Service Pack 2 Internet Explorer 7
(3021952)
Remotecodeausführung Mittel 3008923 in MS14-080
Windows Server 2003 x64 Edition Service Pack 2 Internet Explorer 7
(3021952)
Remotecodeausführung Mittel 3008923 in MS14-080
Windows Server 2003 mit SP2 für Itanium-basierte Systeme Internet Explorer 7
(3021952)
Remotecodeausführung Mittel 3008923 in MS14-080
Windows Vista Service Pack 2 Internet Explorer 7
(3021952)
Remotecodeausführung Kritisch 3008923 in MS14-080
Windows Vista x64 Edition Service Pack 2 Internet Explorer 7
(3021952)
Remotecodeausführung Kritisch 3008923 in MS14-080
Windows Server 2008 für 32-Bit-Systeme Service Pack 2 Internet Explorer 7
(3021952)
Remotecodeausführung Mittel 3008923 in MS14-080
Windows Server 2008 für x64-basierte Systeme Service Pack 2 Internet Explorer 7
(3021952)
Remotecodeausführung Mittel 3008923 in MS14-080
Windows Server 2008 für Itanium-basierte Systeme Service Pack 2 Internet Explorer 7
(3021952)
Remotecodeausführung Mittel 3008923 in MS14-080
Internet Explorer 8
Windows Server 2003 Service Pack 2 Internet Explorer 8
(3021952)
Remotecodeausführung Mittel 3008923 in MS14-080 und 3012168 in MS14-084
ODER 3008923 in MS14-080 und 3012172 in MS14-084
ODER 3008923 in MS14-080 und 3012176 in MS14-084[1]
Windows Server 2003 x64 Edition Service Pack 2 Internet Explorer 8
(3021952)
Remotecodeausführung Mittel 3008923 in MS14-080 und 3012168 in MS14-084
ODER 3008923 in MS14-080 und 3012172 in MS14-084
ODER 3008923 in MS14-080 und 3012176 in MS14-084[1]
Windows Vista Service Pack 2 Internet Explorer 8
(3021952)
Remotecodeausführung Kritisch 3008923 in MS14-080 und 3012176 in MS14-084
Windows Vista x64 Edition Service Pack 2 Internet Explorer 8
(3021952)
Remotecodeausführung Kritisch 3008923 in MS14-080 und 3012176 in MS14-084
Windows Server 2008 für 32-Bit-Systeme Service Pack 2 Internet Explorer 8
(3021952)
Remotecodeausführung Mittel 3008923 in MS14-080 und 3012176 in MS14-084
Windows Server 2008 für x64-basierte Systeme Service Pack 2 Internet Explorer 8
(3021952)
Remotecodeausführung Mittel 3008923 in MS14-080 und 3012176 in MS14-084
Windows 7 für 32-Bit-Systeme Service Pack 1 Internet Explorer 8
(3021952)
Remotecodeausführung Kritisch 3008923 in MS14-080 und 3012176 in MS14-084
Windows 7 für x64-basierte Systeme Service Pack 1 Internet Explorer 8
(3021952)
Remotecodeausführung Kritisch 3008923 in MS14-080 und 3012176 in MS14-084
Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1 Internet Explorer 8
(3021952)
Remotecodeausführung Mittel 3008923 in MS14-080 und 3012176 in MS14-084
Windows Server 2008 R2 für Itanium-basierte Systeme Service Pack 1 Internet Explorer 8
(3021952)
Remotecodeausführung Mittel 3008923 in MS14-080 und 3012176 in MS14-084
Internet Explorer 9
Windows Vista Service Pack 2 Internet Explorer 9
(3021952)
Remotecodeausführung Kritisch 3008923 in MS14-080
Windows Vista Service Pack 2 Internet Explorer 9
(3034196)[2]
Umgehung der Sicherheitsfunktion Hoch Keine
Windows Vista x64 Edition Service Pack 2 Internet Explorer 9
(3021952)
Remotecodeausführung Kritisch 3008923 in MS14-080
Windows Vista x64 Edition Service Pack 2 Internet Explorer 9
(3034196)[2]
Umgehung der Sicherheitsfunktion Hoch Keine
Windows Server 2008 für 32-Bit-Systeme Service Pack 2 Internet Explorer 9
(3021952)
Remotecodeausführung Mittel 3008923 in MS14-080
Windows Server 2008 für 32-Bit-Systeme Service Pack 2 Internet Explorer 9
(3034196)[2]
Umgehung der Sicherheitsfunktion Niedrig Keine
Windows Server 2008 für x64-basierte Systeme Service Pack 2 Internet Explorer 9
(3021952)
Remotecodeausführung Mittel 3008923 in MS14-080
Windows Server 2008 für x64-basierte Systeme Service Pack 2 Internet Explorer 9
(3034196)[2]
Umgehung der Sicherheitsfunktion Niedrig Keine
Windows 7 für 32-Bit-Systeme Service Pack 1 Internet Explorer 9
(3021952)
Remotecodeausführung Kritisch 3008923 in MS14-080
Windows 7 für 32-Bit-Systeme Service Pack 1 Internet Explorer 9
(3034196)[2]
Umgehung der Sicherheitsfunktion Hoch Keine
Windows 7 für x64-basierte Systeme Service Pack 1 Internet Explorer 9
(3021952)
Remotecodeausführung Kritisch 3008923 in MS14-080
Windows 7 für x64-basierte Systeme Service Pack 1 Internet Explorer 9
(3034196)[2]
Umgehung der Sicherheitsfunktion Hoch Keine
Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1 Internet Explorer 9
(3021952)
Remotecodeausführung Mittel 3008923 in MS14-080
Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1 Internet Explorer 9
(3034196)[2]
Umgehung der Sicherheitsfunktion Niedrig Keine
Internet Explorer 10
Windows 7 für 32-Bit-Systeme Service Pack 1 Internet Explorer 10
(3021952)
Remotecodeausführung Kritisch 3008923 in MS14-080
Windows 7 für 32-Bit-Systeme Service Pack 1 Internet Explorer 10
(3034196)[2]
Umgehung der Sicherheitsfunktion Hoch Keine
Windows 7 für x64-basierte Systeme Service Pack 1 Internet Explorer 10
(3021952)
Remotecodeausführung Kritisch 3008923 in MS14-080
Windows 7 für x64-basierte Systeme Service Pack 1 Internet Explorer 10
(3034196)[2]
Umgehung der Sicherheitsfunktion Hoch Keine
Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1 Internet Explorer 10
(3021952)
Remotecodeausführung Mittel 3008923 in MS14-080
Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1 Internet Explorer 10
(3034196)[2]
Umgehung der Sicherheitsfunktion Niedrig Keine
Windows 8 für 32-Bit-Systeme Internet Explorer 10
(3021952)
Remotecodeausführung Kritisch 3008923 und 3029449 in MS14-080
Windows 8 für 32-Bit-Systeme Internet Explorer 10
(3034196)[2]
Umgehung der Sicherheitsfunktion Hoch Keine
Windows 8 für x64-basierte Systeme Internet Explorer 10
(3021952)
Remotecodeausführung Kritisch 3008923 und 3029449 in MS14-080
Windows 8 für x64-basierte Systeme Internet Explorer 10
(3034196)[2]
Umgehung der Sicherheitsfunktion Hoch Keine
Windows Server 2012 Internet Explorer 10
(3021952)
Remotecodeausführung Mittel 3008923 und 3029449 in MS14-080
Windows Server 2012 Internet Explorer 10
(3034196)[2]
Umgehung der Sicherheitsfunktion Niedrig Keine
Windows RT Internet Explorer 10[3] (3021952) Remotecodeausführung Kritisch 3008923 und 3029449 in MS14-080
Windows RT Internet Explorer 10[3] (3034196)[2] Umgehung der Sicherheitsfunktion Hoch Keine
Internet Explorer 11
Windows 7 für 32-Bit-Systeme Service Pack 1 Internet Explorer 11
(3021952)
Remotecodeausführung Kritisch 3008923 in MS14-080
Windows 7 für 32-Bit-Systeme Service Pack 1 Internet Explorer 11
(3034196)[2]
Umgehung der Sicherheitsfunktion Hoch Keine
Windows 7 für x64-basierte Systeme Service Pack 1 Internet Explorer 11
(3021952)
Remotecodeausführung Kritisch 3008923 in MS14-080
Windows 7 für x64-basierte Systeme Service Pack 1 Internet Explorer 11
(3034196)[2]
Umgehung der Sicherheitsfunktion Hoch Keine
Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1 Internet Explorer 11
(3021952)
Remotecodeausführung Mittel 3008923 in MS14-080
Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1 Internet Explorer 11
(3034196)[2]
Umgehung der Sicherheitsfunktion Niedrig Keine
Windows 8.1 für 32-Bit-Systeme Internet Explorer 11
(3021952)
Remotecodeausführung Kritisch 3008923 in MS14-080
Windows 8.1 für 32-Bit-Systeme Internet Explorer 11
(3034196)[2]
Umgehung der Sicherheitsfunktion Hoch Keine
Windows 8.1 für x64-basierte Systeme Internet Explorer 11
(3021952)
Remotecodeausführung Kritisch 3008923 in MS14-080
Windows 8.1 für x64-basierte Systeme Internet Explorer 11
(3034196)[2]
Umgehung der Sicherheitsfunktion Hoch Keine
Windows Server 2012 R2 Internet Explorer 11
(3021952)
Remotecodeausführung Mittel 3008923 in MS14-080
Windows Server 2012 R2 Internet Explorer 11
(3034196)[2]
Umgehung der Sicherheitsfunktion Niedrig Keine
Windows RT 8.1 Internet Explorer 11[3] (3021952) Remotecodeausführung Kritisch 3008923 in MS14-080
Windows RT 8.1 Internet Explorer 11[3] (3034196)[2] Umgehung der Sicherheitsfunktion Hoch Keine

[1]Welche Updates durch das Update 3021952 ersetzt werden, hängt von der auf dem System installierten Version von VBScript ab.

[2]Benutzer, die Updates manuell installieren, müssen das Update 3021952 vor dem Update 3034196 installieren.

[3]Dieses Update ist über Windows Update verfügbar..

Hinweis Windows Technical Preview und Windows Server Technical Preview sind betroffen. Benutzer mit diesen Betriebssystemen werden aufgefordert, das Update anzuwenden, das über Windows Update verfügbar ist.

Häufig gestellte Fragen (FAQs) zu diesem Update

In der Tabelle „Betroffene Software“ sind für Internet Explorer 9, Internet Explorer 10 und Internet Explorer 11 mehrere Updatepakete aufgeführt. Muss ich diese Updates alle installieren?
Ja. Benutzer sollten alle Updates installieren, die für die Software angeboten werden, die auf ihren Systemen installiert ist. Wenn Sie Windows Update, Windows Server Update Services (WSUS) oder Microsoft Update-Katalog verwenden, wird zuerst das Update 3021952 installiert. Nach dem Neustart des Computers suchen Sie in Windows Update nach Updates, um das Update 3034196 zu beziehen und zu installieren. Ihr System ist erst nach der Installation der beiden Updates 3021952 und 3034196 umfassend geschützt.

Wenn Sie Updates manuell herunterladen und installieren, müssen Sie zuerst das Update 3021952 und danach das Update 3034196 installieren.

Weitere Informationen finden Sie im Microsoft Knowledge Base-Artikel 3021952 und im Microsoft Knowledge Base-Artikel 3034196.

Gibt es weitere Sicherheitsupdates, die ich beachten sollte?
Ja. Zur Behebung der in Sicherheitsempfehlung 3009008 beschriebenen Sicherheitsanfälligkeit werden zusätzliche Updates für Internet Explorer 11 installiert, wenn Sie das Update 3021952 installieren.

  • Bei Kunden, die Internet Explorer 11 unter Windows 7 Service Pack 1 oder Windows 2008 R2 Service Pack 1 ausführen, wird bei der Installation von Update 3021952 auch automatisch das Update 3023607 installiert. Durch das Update 3023607 werden Ausweichversuche auf SSL 3.0 automatisch deaktiviert. Wenn die Installation abgeschlossen ist, werden die Updates 3021952 und 3023607 als installierte Updates angezeigt. Weitere Informationen finden Sie im Microsoft Knowledge Base-Artikel 3023607.

    Wenn Sie Updates manuell herunterladen und installieren, müssen Sie zuerst das Update 3021952 und danach das Update 3023607 installieren.

  • Bei Kunden, die Internet Explorer 11 unter Windows 8.1, Windows 2012 R2 oder Windows RT 8.1 ausführen, werden bei der Installation von Update 3021952 auch automatisch die Updates 3023607 und 3036197 installiert. Durch das Update 3023607 werden Ausweichversuche auf SSL 3.0 automatisch deaktiviert. Das Update 3036197 ist erforderlich, damit die Gruppenrichtlinieneinstellungen zum Deaktivieren des Ausweichens auf SSL 3.0 in allen lokalisierten Sprachen angezeigt werden. Dieses Update ist in Windows 7 und Windows Server 2008 R2 bereits installiert. Wenn die Installation abgeschlossen ist, werden die Updates 3021952, 3036197 und 3023607 als installierte Updates angezeigt. Weitere Informationen finden Sie im Microsoft Knowledge Base-Artikel 3023607 und im Microsoft Knowledge Base-Artikel 3036197.

    Wenn Sie Updates manuell herunterladen und installieren, müssen Sie zuerst das Update 3021952 und danach die Updates 3023607 und 3036197 installieren.

Bewertungen des Schweregrads und Kennungen der Sicherheitsanfälligkeiten

Bei der folgenden Bewertung des Schweregrads wird die potenzielle maximale Auswirkung der Sicherheitsanfälligkeit angenommen. Informationen zur Wahrscheinlichkeit der Ausnutzung der Sicherheitsanfälligkeit in Bezug auf die Bewertung des Schweregrads und die Sicherheitsauswirkung innerhalb von 30 Tagen nach Veröffentlichung dieses Security Bulletins finden Sie im Ausnutzbarkeitsindex im Bulletin Summary für Februar.

Wo in der folgenden Tabelle angegeben, zeigen die Werte „Kritisch“, „Hoch“ und „Mittel“ Bewertungen des Schweregrads an. Weitere Informationen finden Sie unter Bewertungssystem für Security Bulletins. Wo angegeben, zeigen die im folgenden Schlüssel aufgeführten Abkürzungen maximale Auswirkung an:

Abkürzung Maximale Auswirkung
RCE Remotecodeausführung
EoP Rechteerweiterungen
ID Offenlegung von Informationen
SFB Umgehung der Sicherheitsfunktion

Bewertungen des Schweregrads und Auswirkungen

CVE-Nummer Titel der Sicherheitsanfälligkeit Internet Explorer 6 Internet Explorer 7 Internet Explorer 8 Internet Explorer 9 Internet Explorer 10 Internet Explorer 11
CVE-2014-8967 Sicherheitsanfälligkeit in Internet Explorer bezüglich Speicherbeschädigung Nicht anwendbar Nicht anwendbar Windows-Clients:
Kritisch/RCE

Windows-Server:
Mittel/RCE
Windows-Clients:
Kritisch/RCE

Windows-Server:
Mittel/RCE
Nicht anwendbar Nicht anwendbar
CVE-2015-0017 Sicherheitsanfälligkeit in Internet Explorer bezüglich Speicherbeschädigung Windows-Clients:
Kritisch/RCE

Windows-Server:
Mittel/RCE
Windows-Clients:
Kritisch/RCE

Windows-Server:
Mittel/RCE
Windows-Clients:
Kritisch/RCE

Windows-Server:
Mittel/RCE
Windows-Clients:
Kritisch/RCE

Windows-Server:
Mittel/RCE
Windows-Clients:
Kritisch/RCE

Windows-Server:
Mittel/RCE
Windows-Clients:
Kritisch/RCE

Windows-Server:
Mittel/RCE
CVE-2015-0018 Sicherheitsanfälligkeit in Internet Explorer bezüglich Speicherbeschädigung Nicht anwendbar Nicht anwendbar Nicht anwendbar Nicht anwendbar Nicht anwendbar Windows-Clients:
Kritisch/RCE

Windows-Server:
Mittel/RCE
CVE-2015-0019 Sicherheitsanfälligkeit in Internet Explorer bezüglich Speicherbeschädigung Nicht anwendbar Nicht anwendbar Nicht anwendbar Windows-Clients:
Kritisch/RCE

Windows-Server:
Mittel/RCE
Windows-Clients:
Kritisch/RCE

Windows-Server:
Mittel/RCE
Nicht anwendbar
CVE-2015-0020 Sicherheitsanfälligkeit in Internet Explorer bezüglich Speicherbeschädigung Windows-Clients:
Kritisch/RCE

Windows-Server:
Mittel/RCE
Windows-Clients:
Kritisch/RCE

Windows-Server:
Mittel/RCE
Windows-Clients:
Kritisch/RCE

Windows-Server:
Mittel/RCE
Windows-Clients:
Kritisch/RCE

Windows-Server:
Mittel/RCE
Windows-Clients:
Kritisch/RCE

Windows-Server:
Mittel/RCE
Windows-Clients:
Kritisch/RCE

Windows-Server:
Mittel/RCE
CVE-2015-0021 Sicherheitsanfälligkeit in Internet Explorer bezüglich Speicherbeschädigung Windows-Clients:
Kritisch/RCE

Windows-Server:
Mittel/RCE
Windows-Clients:
Kritisch/RCE

Windows-Server:
Mittel/RCE
Windows-Clients:
Kritisch/RCE

Windows-Server:
Mittel/RCE
Windows-Clients:
Kritisch/RCE

Windows-Server:
Mittel/RCE
Windows-Clients:
Kritisch/RCE

Windows-Server:
Mittel/RCE
Nicht anwendbar
CVE-2015-0022 Sicherheitsanfälligkeit in Internet Explorer bezüglich Speicherbeschädigung Windows-Clients:
Kritisch/RCE

Windows-Server:
Mittel/RCE
Windows-Clients:
Kritisch/RCE

Windows-Server:
Mittel/RCE
Windows-Clients:
Kritisch/RCE

Windows-Server:
Mittel/RCE
Windows-Clients:
Kritisch/RCE

Windows-Server:
Mittel/RCE
Windows-Clients:
Kritisch/RCE

Windows-Server:
Mittel/RCE
Windows-Clients:
Kritisch/RCE

Windows-Server:
Mittel/RCE
CVE-2015-0023 Sicherheitsanfälligkeit in Internet Explorer bezüglich Speicherbeschädigung Nicht anwendbar Nicht anwendbar Nicht anwendbar Nicht anwendbar Windows-Clients:
Kritisch/RCE

Windows-Server:
Mittel/RCE
Nicht anwendbar
CVE-2015-0025 Sicherheitsanfälligkeit in Internet Explorer bezüglich Speicherbeschädigung Nicht anwendbar Nicht anwendbar Nicht anwendbar Nicht anwendbar Windows-Clients:
Kritisch/RCE

Windows-Server:
Mittel/RCE
Nicht anwendbar
CVE-Nummer Titel der Sicherheitsanfälligkeit Internet Explorer 6 Internet Explorer 7 Internet Explorer 8 Internet Explorer 9 Internet Explorer 10 Internet Explorer 11
CVE-2015-0026 Sicherheitsanfälligkeit in Internet Explorer bezüglich Speicherbeschädigung Windows-Clients:
Kritisch/RCE

Windows-Server:
Mittel/RCE
Windows-Clients:
Kritisch/RCE

Windows-Server:
Mittel/RCE
Windows-Clients:
Kritisch/RCE

Windows-Server:
Mittel/RCE
Windows-Clients:
Kritisch/RCE

Windows-Server:
Mittel/RCE
Windows-Clients:
Kritisch/RCE

Windows-Server:
Mittel/RCE
Windows-Clients:
Kritisch/RCE

Windows-Server:
Mittel/RCE
CVE-2015-0027 Sicherheitsanfälligkeit in Internet Explorer bezüglich Speicherbeschädigung Nicht anwendbar Nicht anwendbar Nicht anwendbar Nicht anwendbar Windows-Clients:
Kritisch/RCE

Windows-Server:
Mittel/RCE
Windows-Clients:
Kritisch/RCE

Windows-Server:
Mittel/RCE
CVE-2015-0028 Sicherheitsanfälligkeit in Internet Explorer bezüglich Speicherbeschädigung Nicht anwendbar Nicht anwendbar Nicht anwendbar Windows-Clients:
Kritisch/RCE

Windows-Server:
Mittel/RCE
Nicht anwendbar Nicht anwendbar
CVE-2015-0029 Sicherheitsanfälligkeit in Internet Explorer bezüglich Speicherbeschädigung Windows-Clients:
Kritisch/RCE

Windows-Server:
Mittel/RCE
Nicht anwendbar Windows-Clients:
Kritisch/RCE

Windows-Server:
Mittel/RCE
Nicht anwendbar Nicht anwendbar Nicht anwendbar
CVE-2015-0030 Sicherheitsanfälligkeit in Internet Explorer bezüglich Speicherbeschädigung Windows-Clients:
Kritisch/RCE

Windows-Server:
Mittel/RCE
Windows-Clients:
Kritisch/RCE

Windows-Server:
Mittel/RCE
Windows-Clients:
Kritisch/RCE

Windows-Server:
Mittel/RCE
Windows-Clients:
Kritisch/RCE

Windows-Server:
Mittel/RCE
Windows-Clients:
Kritisch/RCE

Windows-Server:
Mittel/RCE
Windows-Clients:
Kritisch/RCE

Windows-Server:
Mittel/RCE
CVE-2015-0031 Sicherheitsanfälligkeit in Internet Explorer bezüglich Speicherbeschädigung Windows-Clients:
Kritisch/RCE

Windows-Server:
Mittel/RCE
Windows-Clients:
Kritisch/RCE

Windows-Server:
Mittel/RCE
Windows-Clients:
Kritisch/RCE

Windows-Server:
Mittel/RCE
Windows-Clients:
Kritisch/RCE

Windows-Server:
Mittel/RCE
Windows-Clients:
Kritisch/RCE

Windows-Server:
Mittel/RCE
Windows-Clients:
Kritisch/RCE

Windows-Server:
Mittel/RCE
CVE-2015-0035 Sicherheitsanfälligkeit in Internet Explorer bezüglich Speicherbeschädigung Nicht anwendbar Nicht anwendbar Nicht anwendbar Nicht anwendbar Windows-Clients:
Kritisch/RCE

Windows-Server:
Mittel/RCE
Windows-Clients:
Kritisch/RCE

Windows-Server:
Mittel/RCE
CVE-2015-0036 Sicherheitsanfälligkeit in Internet Explorer bezüglich Speicherbeschädigung Windows-Clients:
Kritisch/RCE

Windows-Server:
Mittel/RCE
Windows-Clients:
Kritisch/RCE

Windows-Server:
Mittel/RCE
Windows-Clients:
Kritisch/RCE

Windows-Server:
Mittel/RCE
Windows-Clients:
Kritisch/RCE

Windows-Server:
Mittel/RCE
Windows-Clients:
Kritisch/RCE

Windows-Server:
Mittel/RCE
Windows-Clients:
Kritisch/RCE

Windows-Server:
Mittel/RCE
CVE-2015-0037 Sicherheitsanfälligkeit in Internet Explorer bezüglich Speicherbeschädigung Nicht anwendbar Nicht anwendbar Nicht anwendbar Nicht anwendbar Nicht anwendbar Windows-Clients:
Kritisch/RCE

Windows-Server:
Mittel/RCE
CVE-2015-0038 Sicherheitsanfälligkeit in Internet Explorer bezüglich Speicherbeschädigung Nicht anwendbar Nicht anwendbar Nicht anwendbar Windows-Clients:
Kritisch/RCE

Windows-Server:
Mittel/RCE
Windows-Clients:
Kritisch/RCE

Windows-Server:
Mittel/RCE
Windows-Clients:
Kritisch/RCE

Windows-Server:
Mittel/RCE
CVE-Nummer Titel der Sicherheitsanfälligkeit Internet Explorer 6 Internet Explorer 7 Internet Explorer 8 Internet Explorer 9 Internet Explorer 10 Internet Explorer 11
CVE-2015-0039 Sicherheitsanfälligkeit in Internet Explorer bezüglich Speicherbeschädigung Nicht anwendbar Nicht anwendbar Nicht anwendbar Nicht anwendbar Windows-Clients:
Kritisch/RCE

Windows-Server:
Mittel/RCE
Windows-Clients:
Kritisch/RCE

Windows-Server:
Mittel/RCE
CVE-2015-0040 Sicherheitsanfälligkeit in Internet Explorer bezüglich Speicherbeschädigung Nicht anwendbar Nicht anwendbar Nicht anwendbar Nicht anwendbar Nicht anwendbar Windows-Clients:
Kritisch/RCE

Windows-Server:
Mittel/RCE
CVE-2015-0041 Sicherheitsanfälligkeit in Internet Explorer bezüglich Speicherbeschädigung Windows-Clients:
Kritisch/RCE

Windows-Server:
Mittel/RCE
Windows-Clients:
Kritisch/RCE

Windows-Server:
Mittel/RCE
Windows-Clients:
Kritisch/RCE

Windows-Server:
Mittel/RCE
Windows-Clients:
Kritisch/RCE

Windows-Server:
Mittel/RCE
Windows-Clients:
Kritisch/RCE

Windows-Server:
Mittel/RCE
Windows-Clients:
Kritisch/RCE

Windows-Server:
Mittel/RCE
CVE-2015-0042 Sicherheitsanfälligkeit in Internet Explorer bezüglich Speicherbeschädigung Nicht anwendbar Nicht anwendbar Nicht anwendbar Windows-Clients:
Kritisch/RCE

Windows-Server:
Mittel/RCE
Windows-Clients:
Kritisch/RCE

Windows-Server:
Mittel/RCE
Windows-Clients:
Kritisch/RCE

Windows-Server:
Mittel/RCE
CVE-2015-0043 Sicherheitsanfälligkeit in Internet Explorer bezüglich Speicherbeschädigung Nicht anwendbar Nicht anwendbar Windows-Clients:
Kritisch/RCE

Windows-Server:
Mittel/RCE
Windows-Clients:
Kritisch/RCE

Windows-Server:
Mittel/RCE
Windows-Clients:
Kritisch/RCE

Windows-Server:
Mittel/RCE
Windows-Clients:
Kritisch/RCE

Windows-Server:
Mittel/RCE
CVE-2015-0044 Sicherheitsanfälligkeit in Internet Explorer bezüglich Speicherbeschädigung Nicht anwendbar Nicht anwendbar Windows-Clients:
Kritisch/RCE

Windows-Server:
Mittel/RCE
Windows-Clients:
Kritisch/RCE

Windows-Server:
Mittel/RCE
Nicht anwendbar Nicht anwendbar
CVE-2015-0045 Sicherheitsanfälligkeit in Internet Explorer bezüglich Speicherbeschädigung Windows-Clients:
Kritisch/RCE

Windows-Server:
Mittel/RCE
Windows-Clients:
Kritisch/RCE

Windows-Server:
Mittel/RCE
Windows-Clients:
Kritisch/RCE

Windows-Server:
Mittel/RCE
Nicht anwendbar Nicht anwendbar Nicht anwendbar
CVE-2015-0046 Sicherheitsanfälligkeit in Internet Explorer bezüglich Speicherbeschädigung Nicht anwendbar Nicht anwendbar Nicht anwendbar Windows-Clients:
Kritisch/RCE

Windows-Server:
Mittel/RCE
Windows-Clients:
Kritisch/RCE

Windows-Server:
Mittel/RCE
Windows-Clients:
Kritisch/RCE

Windows-Server:
Mittel/RCE
CVE-2015-0048 Sicherheitsanfälligkeit in Internet Explorer bezüglich Speicherbeschädigung Nicht anwendbar Nicht anwendbar Nicht anwendbar Windows-Clients:
Kritisch/RCE

Windows-Server:
Mittel/RCE
Nicht anwendbar Nicht anwendbar
CVE-2015-0049 Sicherheitsanfälligkeit in Internet Explorer bezüglich Speicherbeschädigung Nicht anwendbar Nicht anwendbar Windows-Clients:
Kritisch/RCE

Windows-Server:
Mittel/RCE
Nicht anwendbar Windows-Clients:
Kritisch/RCE

Windows-Server:
Mittel/RCE
Nicht anwendbar
CVE-Nummer Titel der Sicherheitsanfälligkeit Internet Explorer 6 Internet Explorer 7 Internet Explorer 8 Internet Explorer 9 Internet Explorer 10 Internet Explorer 11
CVE-2015-0050 Sicherheitsanfälligkeit in Internet Explorer bezüglich Speicherbeschädigung Nicht anwendbar Nicht anwendbar Windows-Clients:
Kritisch/RCE

Windows-Server:
Mittel/RCE
Windows-Clients:
Kritisch/RCE

Windows-Server:
Mittel/RCE
Nicht anwendbar Nicht anwendbar
CVE-2015-0051 Sicherheitsanfälligkeit durch Umgehung der Internet Explorer ASLR Nicht anwendbar Nicht anwendbar Windows-Clients:
Hoch/SFB

Windows-Server:
Niedrig/SFB
Nicht anwendbar Nicht anwendbar Nicht anwendbar
CVE-2015-0052 Sicherheitsanfälligkeit in Internet Explorer bezüglich Speicherbeschädigung Nicht anwendbar Nicht anwendbar Nicht anwendbar Nicht anwendbar Windows-Clients:
Kritisch/RCE

Windows-Server:
Mittel/RCE
Windows-Clients:
Kritisch/RCE

Windows-Server:
Mittel/RCE
CVE-2015-0053 Sicherheitsanfälligkeit in Internet Explorer bezüglich Speicherbeschädigung Windows-Clients:
Kritisch/RCE

Windows-Server:
Mittel/RCE
Windows-Clients:
Kritisch/RCE

Windows-Server:
Mittel/RCE
Windows-Clients:
Kritisch/RCE

Windows-Server:
Mittel/RCE
Nicht anwendbar Nicht anwendbar Nicht anwendbar
CVE-2015-0054 Sicherheitsanfälligkeit in Internet Explorer bezüglich der Erhöhung von Berechtigungen Nicht anwendbar Windows-Clients:
Hoch/EoP

Windows-Server:
Niedrig/EoP
Windows-Clients:
Hoch/EoP

Windows-Server:
Niedrig/EoP
Windows-Clients:
Hoch/EoP

Windows-Server:
Niedrig/EoP
Windows-Clients:
Hoch/EoP

Windows-Server:
Niedrig/EoP
Windows-Clients:
Hoch/EoP

Windows-Server:
Niedrig/EoP
CVE-2015-0055 Sicherheitsanfälligkeit in Internet Explorer bezüglich der Erhöhung von Berechtigungen Nicht anwendbar Nicht anwendbar Nicht anwendbar Nicht anwendbar Windows-Clients:
Hoch/EoP

Windows-Server:
Niedrig/EoP
Windows-Clients:
Hoch/EoP

Windows-Server:
Niedrig/EoP
CVE-2015-0066 Sicherheitsanfälligkeit in Internet Explorer bezüglich Speicherbeschädigung Nicht anwendbar Nicht anwendbar Nicht anwendbar Nicht anwendbar Nicht anwendbar Windows-Clients:
Kritisch/RCE

Windows-Server:
Mittel/RCE
CVE-2015-0067 Sicherheitsanfälligkeit in Internet Explorer bezüglich Speicherbeschädigung Windows-Clients:
Kritisch/RCE

Windows-Server:
Mittel/RCE
Windows-Clients:
Kritisch/RCE

Windows-Server:
Mittel/RCE
Windows-Clients:
Kritisch/RCE

Windows-Server:
Mittel/RCE
Windows-Clients:
Kritisch/RCE

Windows-Server:
Mittel/RCE
Nicht anwendbar Nicht anwendbar
CVE-2015-0068 Sicherheitsanfälligkeit in Internet Explorer bezüglich Speicherbeschädigung Nicht anwendbar Nicht anwendbar Nicht anwendbar Nicht anwendbar Windows-Clients:
Kritisch/RCE

Windows-Server:
Mittel/RCE
Windows-Clients:
Kritisch/RCE

Windows-Server:
Mittel/RCE
CVE-2015-0069 Sicherheitsanfälligkeit durch Umgehung der Internet Explorer ASLR Nicht anwendbar Nicht anwendbar Nicht anwendbar Nicht anwendbar Windows-Clients:
Hoch/ID

Windows-Server:
Niedrig/ID
Windows-Clients:
Hoch/ID

Windows-Server:
Niedrig/ID
CVE-Nummer Titel der Sicherheitsanfälligkeit Internet Explorer 6 Internet Explorer 7 Internet Explorer 8 Internet Explorer 9 Internet Explorer 10 Internet Explorer 11
CVE-2015-0070 Sicherheitsanfälligkeit in Internet Explorer durch domänenübergreifende Offenlegung von Informationen Windows-Clients:
Hoch/ID

Windows-Server:
Niedrig/ID
Windows-Clients:
Hoch/ID

Windows-Server:
Niedrig/ID
Windows-Clients:
Hoch/ID

Windows-Server:
Niedrig/ID
Windows-Clients:
Hoch/ID

Windows-Server:
Niedrig/ID
Windows-Clients:
Hoch/ID

Windows-Server:
Niedrig/ID
Windows-Clients:
Hoch/ID

Windows-Server:
Niedrig/ID
CVE-2015-0071 Sicherheitsanfälligkeit durch Umgehung der Internet Explorer ASLR Nicht anwendbar Nicht anwendbar Nicht anwendbar Windows-Clients:
Hoch/SFB

Windows-Server:
Niedrig/SFB
Windows-Clients:
Hoch/SFB

Windows-Server:
Niedrig/SFB
Windows-Clients:
Hoch/SFB

Windows-Server:
Niedrig/SFB

Informationen zu Sicherheitsanfälligkeiten

Mehrere Sicherheitsanfälligkeiten bezüglich Speicherbeschädigung in Internet Explorer

Es liegen Sicherheitsanfälligkeiten bezüglich Remotecodeausführung vor, wenn Internet Explorer nicht richtig auf Objekte im Speicher zugreift. Die Sicherheitsanfälligkeiten können den Speicher so beschädigen, dass ein Angreifer im Kontext des aktuellen Benutzers beliebigen Code ausführen kann. Das Update behebt die Sicherheitsanfälligkeiten, indem geändert wird, wie Internet Explorer Objekte im Speicher verarbeitet.

Ein Angreifer kann eine speziell gestaltete Website einrichten, die diese Sicherheitsanfälligkeiten über Internet Explorer ausnutzt, und dann einen Benutzer zum Besuch der Website verleiten. Der Angreifer kann auch manipulierte Websites und Websites ausnutzen, die von Endbenutzern bereitgestellte Inhalte oder Werbemitteilungen akzeptieren oder hosten, welche wiederum speziell gestaltete Inhalte enthalten, über die diese Sicherheitsanfälligkeiten ausgenutzt werden können. Ein Angreifer kann Benutzer jedoch nicht zwingen, die vom Angreifer kontrollierten Inhalte anzuzeigen. Stattdessen muss ein Angreifer Benutzer zu Handlungen verleiten. Zu diesem Zweck werden Benutzer normalerweise dazu gebracht, auf einen Link in einer Instant Messenger- oder E-Mail-Nachricht zu klicken, wodurch die Benutzer zur Website des Angreifers gelangen, oder eine Dateianlage zu öffnen, die per E-Mail gesendet wurde.

Ein Angreifer, der diese Sicherheitsanfälligkeiten erfolgreich ausnutzt, kann die gleichen Benutzerrechte wie der aktuelle Benutzer erlangen. Wenn der aktuelle Benutzer mit administrativen Benutzerrechten angemeldet ist, kann ein Angreifer, der diese Sicherheitsanfälligkeiten erfolgreich ausnutzt, vollständige Kontrolle über ein betroffenes System erlangen. Ein Angreifer kann dann Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten mit sämtlichen Benutzerrechten erstellen. Für Systeme, auf denen Internet Explorer aktiv genutzt wird (z. B. Arbeitsstationen oder Terminalserver), besteht daher das größte Risiko.

Die folgende Tabelle enthält Links zum Standardeintrag für jede Sicherheitsanfälligkeit in der Liste allgemeiner Sicherheitsanfälligkeiten:

Titel der Sicherheitsanfälligkeit CVE-Nummer Öffentlich gemeldet Ausgenutzt
Sicherheitsanfälligkeit in Internet Explorer bezüglich Speicherbeschädigung CVE-2014-8967 Ja Nein
Sicherheitsanfälligkeit in Internet Explorer bezüglich Speicherbeschädigung CVE-2015-0017 Nein Nein
Sicherheitsanfälligkeit in Internet Explorer bezüglich Speicherbeschädigung CVE-2015-0018 Nein Nein
Sicherheitsanfälligkeit in Internet Explorer bezüglich Speicherbeschädigung CVE-2015-0019 Nein Nein
Sicherheitsanfälligkeit in Internet Explorer bezüglich Speicherbeschädigung CVE-2015-0020 Nein Nein
Sicherheitsanfälligkeit in Internet Explorer bezüglich Speicherbeschädigung CVE-2015-0021 Nein Nein
Sicherheitsanfälligkeit in Internet Explorer bezüglich Speicherbeschädigung CVE-2015-0022 Nein Nein
Sicherheitsanfälligkeit in Internet Explorer bezüglich Speicherbeschädigung CVE-2015-0023 Nein Nein
Sicherheitsanfälligkeit in Internet Explorer bezüglich Speicherbeschädigung CVE-2015-0025 Nein Nein
Sicherheitsanfälligkeit in Internet Explorer bezüglich Speicherbeschädigung CVE-2015-0026 Nein Nein
Sicherheitsanfälligkeit in Internet Explorer bezüglich Speicherbeschädigung CVE-2015-0027 Nein Nein
Sicherheitsanfälligkeit in Internet Explorer bezüglich Speicherbeschädigung CVE-2015-0028 Nein Nein
Sicherheitsanfälligkeit in Internet Explorer bezüglich Speicherbeschädigung CVE-2015-0029 Nein Nein
Sicherheitsanfälligkeit in Internet Explorer bezüglich Speicherbeschädigung CVE-2015-0030 Nein Nein
Sicherheitsanfälligkeit in Internet Explorer bezüglich Speicherbeschädigung CVE-2015-0031 Nein Nein
Sicherheitsanfälligkeit in Internet Explorer bezüglich Speicherbeschädigung CVE-2015-0035 Nein Nein
Sicherheitsanfälligkeit in Internet Explorer bezüglich Speicherbeschädigung CVE-2015-0036 Nein Nein
Sicherheitsanfälligkeit in Internet Explorer bezüglich Speicherbeschädigung CVE-2015-0037 Nein Nein
Sicherheitsanfälligkeit in Internet Explorer bezüglich Speicherbeschädigung CVE-2015-0038 Nein Nein
Sicherheitsanfälligkeit in Internet Explorer bezüglich Speicherbeschädigung CVE-2015-0039 Nein Nein
Sicherheitsanfälligkeit in Internet Explorer bezüglich Speicherbeschädigung CVE-2015-0040 Nein Nein
Sicherheitsanfälligkeit in Internet Explorer bezüglich Speicherbeschädigung CVE-2015-0041 Nein Nein
Sicherheitsanfälligkeit in Internet Explorer bezüglich Speicherbeschädigung CVE-2015-0042 Nein Nein
Sicherheitsanfälligkeit in Internet Explorer bezüglich Speicherbeschädigung CVE-2015-0043 Nein Nein
Sicherheitsanfälligkeit in Internet Explorer bezüglich Speicherbeschädigung CVE-2015-0044 Nein Nein
Sicherheitsanfälligkeit in Internet Explorer bezüglich Speicherbeschädigung CVE-2015-0045 Nein Nein
Sicherheitsanfälligkeit in Internet Explorer bezüglich Speicherbeschädigung CVE-2015-0046 Nein Nein
Sicherheitsanfälligkeit in Internet Explorer bezüglich Speicherbeschädigung CVE-2015-0048 Nein Nein
Sicherheitsanfälligkeit in Internet Explorer bezüglich Speicherbeschädigung CVE-2015-0049 Nein Nein
Sicherheitsanfälligkeit in Internet Explorer bezüglich Speicherbeschädigung CVE-2015-0050 Nein Nein
Sicherheitsanfälligkeit in Internet Explorer bezüglich Speicherbeschädigung CVE-2015-0052 Nein Nein
Sicherheitsanfälligkeit in Internet Explorer bezüglich Speicherbeschädigung CVE-2015-0053 Nein Nein
Sicherheitsanfälligkeit in Internet Explorer bezüglich Speicherbeschädigung CVE-2015-0066 Nein Nein
Sicherheitsanfälligkeit in Internet Explorer bezüglich Speicherbeschädigung CVE-2015-0067 Nein Nein
Sicherheitsanfälligkeit in Internet Explorer bezüglich Speicherbeschädigung CVE-2015-0068 Nein Nein

Schadensbegrenzende Faktoren

Für diese Sicherheitsanfälligkeit gibt es noch keine schadensbegrenzenden Faktoren.

Problemumgehungen

Für diese Sicherheitsanfälligkeiten gibt es bislang keine Problemumgehungen.

Häufig gestellte Fragen (FAQ)

Ich führe Internet Explorer unter Windows Server 2003, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 bzw. Windows Server 2012 R2 aus. Verringert dies die Sicherheitsanfälligkeiten?
Ja. Internet Explorer unter Windows Server 2003, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 und Windows Server 2012 R2 wird standardmäßig in einem eingeschränkten Modus verwendet, der als verstärkte Sicherheitskonfiguration bezeichnet wird. Die verstärkte Sicherheitskonfiguration von Internet Explorer besteht aus einer Gruppe vorkonfigurierter Internet Explorer-Einstellungen, durch die die Wahrscheinlichkeit verringert wird, dass ein Endbenutzer oder Administrator speziell gestaltete Webinhalte auf einen Server herunterlädt und dort ausführt. Dies ist ein schadensbegrenzender Faktor für Websites, die nicht zu den vertrauenswürdigen Sites von Internet Explorer hinzugefügt wurden.

Trägt EMET dazu bei, Angriffe zu verringern, bei denen versucht wird, diese Sicherheitsanfälligkeiten auszunutzen?
Ja. Das Enhanced Mitigation Experience Toolkit (EMET) ermöglicht Benutzern, schadensbegrenzende Sicherheitstechniken zu verwalten, die es Angreifern schwerer machen, Sicherheitsanfälligkeiten in einer vorhandenen Software auszunutzen. EMET trägt dazu bei, diese Sicherheitsanfälligkeiten in Internet Explorer auf Systemen zu verringern, auf denen EMET installiert und für die Funktion mit Internet Explorer konfiguriert ist.

Weitere Informationen zu EMET finden Sie unter The Enhanced Mitigation Experience Toolkit.

Mehrere Sicherheitsanfälligkeiten in Internet Explorer bezüglich Rechteerweiterungen

Die Sicherheitsanfälligkeit durch Rechteerweiterung ist gegeben, wenn Internet Explorer unter bestimmten Bedingungen Berechtigungen nicht richtig überprüft, sodass potenziell Skripts mit erweiterten Berechtigungen ausgeführt werden können. Das Update behebt die Sicherheitsanfälligkeiten, indem Internet Explorer zusätzliche Berechtigungsüberprüfungen hinzugefügt werden.

In einem webbasierten Angriffsszenario kann ein Angreifer eine Website einrichten, mit der versucht wird, diese Sicherheitsanfälligkeiten auszunutzen. Außerdem können manipulierte Websites und Websites, die von Benutzern bereitgestellte Inhalte akzeptieren oder hosten, speziell gestaltete Inhalte enthalten, über die diese Sicherheitsanfälligkeiten ausgenutzt werden können. Ein Angreifer kann Benutzer jedoch nicht zwingen, die vom Angreifer kontrollierten Inhalte anzuzeigen. Stattdessen muss ein Angreifer Benutzer zu Handlungen verleiten. Ein Angreifer kann Benutzer z. B. dazu überlisten, auf eine Verknüpfung zu klicken, mit der sie zur Site des Angreifers gelangen. Ein Angreifer, der diese Sicherheitsanfälligkeiten erfolgreich ausnutzt, kann in betroffenen Versionen von Internet Explorer Rechteerweiterungen herbeiführen.

Für sich genommen ermöglichen diese Sicherheitsanfälligkeiten nicht die Ausführung von beliebigem Code. Diese Sicherheitsanfälligkeiten können jedoch in Verbindung mit einer anderen Sicherheitsanfälligkeit ausgenutzt werden (z. B. einer Sicherheitsanfälligkeit bezüglich Remotecodeausführung), die die erweiterten Berechtigungen dahingehend ausnutzen kann, beliebigen Code auszuführen. Ein Angreifer kann z. B. eine andere Sicherheitsanfälligkeit ausnutzen, um durch Internet Explorer beliebigen Code auszuführen, doch aufgrund des Kontextes, in dem Prozesse von Internet Explorer gestartet werden, kann die Ausführung des Codes auf eine niedrige Integritätsebene eingeschränkt sein (sehr beschränkte Berechtigungen). Ein Angreifer kann diese Sicherheitsanfälligkeiten jedoch ausnutzen, um zu bewirken, dass beliebiger Code auf einer mittleren Integritätsebene (Berechtigungen des aktuellen Benutzers) ausgeführt wird.

Die folgende Tabelle enthält Links zum Standardeintrag für jede Sicherheitsanfälligkeit in der Liste allgemeiner Sicherheitsanfälligkeiten:

Titel der Sicherheitsanfälligkeit CVE-Nummer Öffentlich gemeldet Ausgenutzt
Sicherheitsanfälligkeit in Internet Explorer bezüglich der Erhöhung von Berechtigungen CVE-2015-0054 Nein Nein
Sicherheitsanfälligkeit in Internet Explorer bezüglich der Erhöhung von Berechtigungen CVE-2015-0055 Nein Nein

Schadensbegrenzende Faktoren

Die folgenden schadensbegrenzenden Faktoren könnten hilfreich für Sie sein:

  • Für sich genommen ermöglichen diese Sicherheitsanfälligkeiten nicht die Ausführung von beliebigem Code. Die Sicherheitsanfälligkeiten müssen in Verbindung mit einer anderen Sicherheitsanfälligkeit ausgenutzt werden, die wiederum Remotecodeausführung ermöglicht. Ein Angreifer kann z. B. eine andere Sicherheitsanfälligkeit ausnutzen, um durch Internet Explorer beliebigen Code auszuführen, doch aufgrund des Kontextes, in dem Prozesse von Internet Explorer gestartet werden, kann die Ausführung des Codes auf eine niedrige Integritätsebene eingeschränkt sein (sehr beschränkte Berechtigungen). Ein Angreifer kann jedoch eine beliebige dieser Sicherheitsanfälligkeiten ausnutzen, um zu bewirken, dass beliebiger Code auf einer mittleren Integritätsebene (Berechtigungen des aktuellen Benutzers) ausgeführt wird.

Problemumgehungen

Für diese Sicherheitsanfälligkeiten gibt es bislang keine Problemumgehungen.

Mehrere Sicherheitsanfälligkeiten durch Umgehung der Internet Explorer ASLR

In Internet Explorer liegen Sicherheitsanfälligkeiten durch Umgehung der Sicherheitsfunktionen vor, wenn Internet Explorer die Sicherheitsfunktion der zufälligen Anordnung des Layouts des Adressraums (ASLR) nicht verwendet. Dadurch kann ein Angreifer zuverlässiger Speicheroffsets von bestimmten Anweisungen in einer gegebenen Aufrufliste voraussagen. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann die Sicherheitsfunktion der zufälligen Anordnung des Layouts des Adressraums (ASLR) umgehen, welche dazu beiträgt, Benutzer vor einer breiten Palette von Sicherheitsanfälligkeiten zu schützen. Die Umgehung der Sicherheitsfunktion allein ermöglicht nicht die Ausführung von beliebigem Code. Allerdings kann ein Angreifer eine Sicherheitsanfälligkeit durch die Umgehung von ASLR in Verbindung mit einer anderen Sicherheitsanfälligkeit verwenden, etwa eine Sicherheitsanfälligkeit bezüglich Remotecodeausführung, um beliebigen Code auszuführen. Nach einer erfolgreichen Umgehung von ASLR z. B. kann eine Sicherheitsanfälligkeit bezüglich Remotecodeausführung ausgenutzt werden, die von ASLR blockiert wird.

In einem webbasierten Szenario erfordert die erfolgreiche Ausnutzung dieser Sicherheitsanfälligkeiten, dass ein Benutzer angemeldet ist und eine betroffene Version von Internet Explorer ausführt. Deshalb sind Systeme, auf denen häufig ein Webbrowser genutzt wird (z. B. Arbeitsstationen oder Terminalserver), am stärksten durch diese Sicherheitsanfälligkeiten gefährdet. Bei Servern ist das Risiko größer, wenn Administratoren Benutzern ermöglichen, E-Mails auf Servern zu lesen und zu durchsuchen. Es wird jedoch dringend davon abgeraten, diese Erlaubnis zu erteilen.

Das Sicherheitsupdate behebt die Sicherheitsanfälligkeiten, indem sichergestellt wird, dass die betroffenen Versionen von Internet Explorer die Sicherheitsfunktion ASLR richtig implementieren,

Die folgende Tabelle enthält Links zum Standardeintrag für jede Sicherheitsanfälligkeit in der Liste allgemeiner Sicherheitsanfälligkeiten:

Titel der Sicherheitsanfälligkeit CVE-Nummer Öffentlich gemeldet Ausgenutzt
Sicherheitsanfälligkeit durch Umgehung der Internet Explorer ASLR CVE-2015-0051 Nein Nein
Sicherheitsanfälligkeit durch Umgehung der Internet Explorer ASLR CVE-2015-0069 Nein Nein
Sicherheitsanfälligkeit durch Umgehung der Internet Explorer ASLR CVE-2015-0071 Nein Ja

Schadensbegrenzende Faktoren

Für diese Sicherheitsanfälligkeit gibt es noch keine schadensbegrenzenden Faktoren.

Problemumgehungen

Für diese Sicherheitsanfälligkeiten gibt es bislang keine Problemumgehungen.

Sicherheitsanfälligkeit in Internet Explorer durch domänenübergreifende Offenlegung von Informationen – CVE-2015-0070

Eine Sicherheitsanfälligkeit durch die Offenlegung von Informationen ist vorhanden, wenn Internet Explorer domänenübergreifende Richtlinien nicht richtig durchsetzt. Dadurch kann ein Angreifer auf Informationen in einer anderen Domäne oder einer anderen Internet Explorer-Zone zugreifen. Das Update behebt die Sicherheitsanfälligkeit, indem sichergestellt wird, dass domänenübergreifende Richtlinien in Internet Explorer ordnungsgemäß durchgesetzt werden.

In einem webbasierten Angriffsszenario kann ein Angreifer eine Website einrichten, mit der versucht wird, diese Sicherheitsanfälligkeiten auszunutzen. Außerdem können manipulierte Websites und Websites, die von Benutzern bereitgestellte Inhalte akzeptieren oder hosten, speziell gestaltete Inhalte enthalten, über die diese Sicherheitsanfälligkeiten ausgenutzt werden können. Ein Angreifer kann Benutzer jedoch nicht zwingen, die vom Angreifer kontrollierten Inhalte anzuzeigen. Stattdessen muss ein Angreifer Benutzer zu Handlungen verleiten. Ein Angreifer kann Benutzer z. B. dazu überlisten, auf eine Verknüpfung zu klicken, mit der sie zur Site des Angreifers gelangen. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann Inhalte von einer anderen Domäne oder Internet Explorer-Zone anzeigen.

Die folgende Tabelle enthält Links zum Standardeintrag für jede Sicherheitsanfälligkeit in der Liste allgemeiner Sicherheitsanfälligkeiten:

Titel der Sicherheitsanfälligkeit CVE-Nummer Öffentlich gemeldet Ausgenutzt
Sicherheitsanfälligkeit in Internet Explorer durch domänenübergreifende Offenlegung von Informationen CVE-2015-0070 Nein Nein

Schadensbegrenzende Faktoren

Für diese Sicherheitsanfälligkeit gibt es noch keine schadensbegrenzenden Faktoren.

Problemumgehungen

Für diese Sicherheitsanfälligkeit gibt es noch keine Problemumgehungen.

Häufig gestellte Fragen (FAQ)

Ich führe Internet Explorer unter Windows Server 2003, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 bzw. Windows Server 2012 R2 aus. Verringert dies die Sicherheitsanfälligkeiten?
Ja. Internet Explorer unter Windows Server 2003, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 und Windows Server 2012 R2 wird standardmäßig in einem eingeschränkten Modus verwendet, der als verstärkte Sicherheitskonfiguration bezeichnet wird. Die verstärkte Sicherheitskonfiguration von Internet Explorer besteht aus einer Gruppe vorkonfigurierter Internet Explorer-Einstellungen, durch die die Wahrscheinlichkeit verringert wird, dass ein Endbenutzer oder Administrator speziell gestaltete Webinhalte auf einen Server herunterlädt und dort ausführt. Dies ist ein schadensbegrenzender Faktor für Websites, die nicht zu den vertrauenswürdigen Sites von Internet Explorer hinzugefügt wurden.

Bereitstellung von Sicherheitsupdates

Informationen zur Bereitstellung von Sicherheitsupdates finden Sie im Microsoft Knowledge Base-Artikel, auf den hier in der Kurzfassung verwiesen wird.

Danksagung

Microsoft würdigt die Bemühungen derjenigen Benutzer der Sicherheitscommunity, die uns dabei helfen, Kunden durch eine koordinierte Offenlegung von Sicherheitsanfälligkeiten zu schützen. Weitere Informationen finden Sie unter Danksagung.

Haftungsausschluss

Die Informationen in der Microsoft Knowledge Base werden wie besehen und ohne jede Gewährleistung bereitgestellt. Microsoft schließt alle anderen Garantien, gleich ob ausdrücklich oder konkludent, einschließlich der Garantien der Handelsüblichkeit oder Eignung für einen bestimmten Zweck aus. In keinem Fall kann Microsoft Corporation und/oder deren jeweilige Lieferanten haftbar gemacht werden für Schäden irgendeiner Art, einschließlich direkter, indirekter, zufällig entstandener Schäden, Folgeschäden, Folgen entgangenen Gewinns oder spezieller Schäden, selbst dann nicht, wenn Microsoft Corporation und/oder deren jeweilige Lieferanten auf die mögliche Entstehung dieser Schäden hingewiesen wurde. Weil in einigen Staaten/Rechtsordnungen der Ausschluss oder die Beschränkung einer Haftung für zufällig entstandene Schäden oder Folgeschäden nicht gestattet ist, gilt die obige Einschränkung eventuell nicht für Sie.

Revisionen

  • V1.0 (10. Februar 2015): Bulletin veröffentlicht.

Seite generiert am 06.02.2015 um 11:24Z-08:00.