Microsoft Security Bulletin MS15-035 – Kritisch

Sicherheitsanfälligkeit in Microsoft Graphics-Komponente kann Remotecodeausführung ermöglichen (3046306)

Veröffentlicht: 14. April 2015 | Aktualisiert: 29. April 2015

Version: 1.1

Kurzzusammenfassung

Dieses Sicherheitsupdate behebt ein Sicherheitsrisiko in Microsoft Windows. Das Sicherheitsrisiko kann Remotecodeausführung ermöglichen, wenn ein Angreifer einen Benutzer erfolgreich dazu verleitet, eine speziell gestaltete Website zu besuchen, eine speziell gestaltete Datei zu öffnen oder eine Datei in einem Arbeitsverzeichnis zu öffnen, das eine speziell gestaltete Enhanced Metafile-Bilddatei (EMF) enthält. Ein Angreifer kann Benutzer jedoch nicht zum Ausführen einer solchen Aktion zwingen. Ein Angreifer muss Benutzer vielmehr zu diesen Handlungen verleiten. Zu diesem Zweck werden Benutzer normalerweise dazu gebracht, auf einen Link in einer E-Mail-Nachricht oder einer Instant Messenger-Nachricht zu klicken.

Dieses Sicherheitsupdate wird für alle unterstützten Editionen von Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 und Windows Server 2008 R2 als Kritisch eingestuft. Weitere Informationen finden Sie im Abschnitt Betroffene Software.

Das Sicherheitsupdate behebt diese Sicherheitsanfälligkeit, indem korrigiert wird, wie Windows EMF-Dateien verarbeitet. Weitere Informationen zu dieser Sicherheitsanfälligkeit finden Sie im Abschnitt Informationen zu Sicherheitsanfälligkeiten.

Weitere Informationen zu diesem Update finden Sie im Microsoft Knowledge Base-Artikel 3046306.

Betroffene Software

Die folgenden Softwareversionen oder -Editionen sind betroffen. Versionen oder Editionen, die nicht aufgeführt sind, haben entweder das Ende ihres Supportlebenszyklus überschritten oder sind nicht betroffen. Besuchen Sie die Website Microsoft Support Lifecycle, um den Supportlebenszyklus für Ihre Softwareversion oder Edition zu ermitteln.

Betriebssystem Maximale Sicherheitsauswirkung Bewertung des Gesamtschweregrads Ersetzte Updates
Windows Server 2003
Windows Server 2003 Service Pack 2
(3046306)
Remotecodeausführung Kritisch 2876331 in MS13-089
Windows Server 2003 x64 Edition Service Pack 2
(3046306)
Remotecodeausführung Kritisch 2876331 in MS13-089
Windows Server 2003 mit SP2 für Itanium-basierte Systeme
(3046306)
Remotecodeausführung Kritisch 2876331 in MS13-089
Windows Vista
Windows Vista Service Pack 2
(3046306)
Remotecodeausführung Kritisch 2876331 in MS13-089
Windows Vista x64 Edition Service Pack 2
(3046306)
Remotecodeausführung Kritisch 2876331 in MS13-089
Windows Server 2008
Windows Server 2008 für 32-Bit-Systeme Service Pack 2
(3046306)
Remotecodeausführung Kritisch 2876331 in MS13-089
Windows Server 2008 für x64-basierte Systeme Service Pack 2
(3046306)
Remotecodeausführung Kritisch 2876331 in MS13-089
Windows Server 2008 für Itanium-basierte Systeme Service Pack 2
(3046306)
Remotecodeausführung Kritisch 2876331 in MS13-089
Windows 7
Windows 7 für 32-Bit-Systeme Service Pack 1
(3046306)
Remotecodeausführung Kritisch 2876331 in MS13-089
Windows 7 für x64-basierte Systeme Service Pack 1
(3046306)
Remotecodeausführung Kritisch 2876331 in MS13-089
Windows Server 2008 R2
Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1
(3046306)
Remotecodeausführung Kritisch 2876331 in MS13-089
Windows Server 2008 R2 für Itanium-basierte Systeme Service Pack 1
(3046306)
Remotecodeausführung Kritisch 2876331 in MS13-089
Server Core-Installationsoption
Windows Server 2008 für 32-Bit-Systeme Service Pack 2 (Server Core-Installation)
(3046306)
Remotecodeausführung Kritisch 2876331 in MS13-089
Windows Server 2008 für x64-basierte Systeme Service Pack 2 (Server Core-Installation)
(3046306)
Remotecodeausführung Kritisch 2876331 in MS13-089
Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1 (Server Core-Installation)
(3046306)
Remotecodeausführung Kritisch 2876331 in MS13-089

Bewertungen des Schweregrads und Kennungen der Sicherheitsanfälligkeiten

Bei der folgenden Bewertung des Schweregrads wird die potenzielle maximale Auswirkung der Sicherheitsanfälligkeit angenommen. Informationen zur Wahrscheinlichkeit der Ausnutzung der Sicherheitsanfälligkeit in Bezug auf die Bewertung des Schweregrads und die Sicherheitsauswirkung innerhalb von 30 Tagen nach Veröffentlichung dieses Security Bulletins finden Sie im Ausnutzbarkeitsindex im Bulletin Summary für April.

Bewertung des Schweregrads und maximale Sicherheitsauswirkung nach betroffener Software
Betroffene Software Sicherheitsanfälligkeit EMF-Verarbeitung bezüglich Remotecodeausführung – CVE-2015-1645 Bewertung des Gesamtschweregrads
Windows Server 2003
Windows Server 2003 Service Pack 2
(3046306)
Kritisch
Remotecodeausführung
Kritisch
Windows Server 2003 x64 Edition Service Pack 2
(3046306)
Kritisch
Remotecodeausführung
Kritisch
Windows Server 2003 mit SP2 für Itanium-basierte Systeme
(3046306)
Kritisch
Remotecodeausführung
Kritisch
Windows Vista
Windows Vista Service Pack 2
(3046306)
Kritisch
Remotecodeausführung
Kritisch
Windows Vista x64 Edition Service Pack 2
(3046306)
Kritisch
Remotecodeausführung
Kritisch
Windows Server 2008
Windows Server 2008 für 32-Bit-Systeme Service Pack 2
(3046306)
Kritisch
Remotecodeausführung
Kritisch
Windows Server 2008 für x64-basierte Systeme Service Pack 2
(3046306)
Kritisch
Remotecodeausführung
Kritisch
Windows Server 2008 für Itanium-basierte Systeme Service Pack 2
(3046306)
Kritisch
Remotecodeausführung
Kritisch
Windows 7
Windows 7 für 32-Bit-Systeme Service Pack 1
(3046306)
Kritisch
Remotecodeausführung
Kritisch
Windows 7 für x64-basierte Systeme Service Pack 1
(3046306)
Kritisch
Remotecodeausführung
Kritisch
Windows Server 2008 R2
Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1
(3046306)
Kritisch
Remotecodeausführung
Kritisch
Windows Server 2008 R2 für Itanium-basierte Systeme Service Pack 1
(3046306)
Kritisch
Remotecodeausführung
Kritisch
Server Core-Installationsoption
Windows Server 2008 für 32-Bit-Systeme Service Pack 2 (Server Core-Installation)
(3046306)
Kritisch
Remotecodeausführung
Kritisch
Windows Server 2008 für x64-basierte Systeme Service Pack 2 (Server Core-Installation)
(3046306)
Kritisch
Remotecodeausführung
Kritisch
Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1 (Server Core-Installation)
(3046306)
Kritisch
Remotecodeausführung
Kritisch

Informationen zu Sicherheitsanfälligkeiten

Sicherheitsanfälligkeit EMF-Verarbeitung bezüglich Remotecodeausführung – CVE-2015-1645

Es liegt eine Sicherheitsanfälligkeit bezüglich Remotecodeausführung vor, die dadurch verursacht wird, wie Microsoft Windows bestimmte speziell gestaltete Enhanced Metafile (EMF)-Bildformatdateien verarbeitet. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann beliebigen Code als angemeldeter Benutzer ausführen. Ein Angreifer kann dann Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten mit sämtlichen Benutzerrechten erstellen. Wenn ein Benutzer mit administrativen Benutzerberechtigungen angemeldet ist, kann ein Angreifer vollständige Kontrolle über ein betroffenes System erlangen. Benutzer mit Konten, die über weniger Systemrechte verfügen, sind davon möglicherweise weniger betroffen als Benutzer mit Administratorrechten.

In einem webbasierten Angriffsszenario kann ein Angreifer eine speziell gestaltete Website einrichten, die diese Sicherheitsanfälligkeit über Internet Explorer ausnutzt, und dann die Benutzer zum Besuch der Website verleiten. Hierzu können auch manipulierte Websites oder Websites gehören, die von Benutzern bereitgestellte Inhalte oder Bannerwerbungen akzeptieren oder hosten. Solche Websites könnten speziell gestaltete Inhalte enthalten, mit denn die Sicherheitsanfälligkeit ausgenutzt werden kann. Ein Angreifer kann Endbenutzer jedoch nicht zum Besuch solcher Websites zwingen. Stattdessen muss ein Angreifer Benutzer dazu verleiten. Zu diesem Zweck werden Benutzer normalerweise dazu gebracht, auf einen Link in einer E-Mail-Nachricht oder einer Instant Messenger-Anfrage zu klicken.

In einem E-Mail-Angriffsszenario kann ein Angreifer die Sicherheitsanfälligkeit ausnutzen, indem er Outlook-Benutzern eine speziell gestaltete E-Mail sendet oder indem er Benutzern ein speziell gestaltetes Office-Dokument als Anlage sendet und den Benutzer dazu verleitet, die Nachricht zu lesen oder die Datei zu öffnen.

Angreifer können diese Sicherheitsanfälligkeit auch ausnutzen, indem sie eine schädliche Bilddatei auf einer Netzwerkfreigabe hosten und dann die Benutzer dazu verleiten, in Windows-Explorer zu dem Ordner zu navigieren.

Das Sicherheitsupdate behebt diese Sicherheitsanfälligkeit, indem korrigiert wird, wie Windows EMF-Dateien verarbeitet.

Microsoft hat durch eine koordinierte Offenlegung der Sicherheitsanfälligkeit Informationen zu dieser Sicherheitsanfälligkeit erhalten. Microsoft lagen zum Zeitpunkt der Veröffentlichung dieses Security Bulletins keine Informationen vor, dass diese Sicherheitsanfälligkeit öffentlich für Angriffe auf Benutzer ausgenutzt wurde.

Schadensbegrenzende Faktoren

Für diese Sicherheitsanfälligkeit gibt es noch keine schadensbegrenzenden Faktoren.

Problemumgehungen

Die folgenden Problemumgehungen könnten hilfreich für Sie sein:

  • Deaktivieren der Metadateiverarbeitung durch Änderung der Registrierung
    Endbenutzer von Windows Server 2003, die das Update 925902 installiert haben, oder Endbenutzer, die Windows Vista, Windows Server 2008, Windows 7 oder Windows Server 2008 R2 verwenden, können die Metadateiverarbeitung deaktivieren, indem sie die Registrierung ändern. Durch diese Einstellung wird das betroffene System vor Versuchen geschützt, diese Sicherheitsanfälligkeit auszunutzen.

    Verwenden der manuellen Methode: Achtung: Die unkorrekte Verwendung des Registrierungs-Editors kann schwerwiegende Probleme verursachen, die das gesamte System betreffen und eine Neuinstallation des Betriebssystems erforderlich machen. Microsoft kann nicht garantieren, dass Probleme, die von einer falschen Verwendung des Registrierungs-Editors herrühren, behoben werden können. Sie verwenden den Registrierungs-Editor auf eigene Gefahr.

    1. Klicken Sie auf Start und dann auf Ausführen, geben Sie im Feld Öffnen den Befehl Regedit ein, und klicken Sie anschließend auf OK.
    2. Suchen Sie den folgenden Registrierungsunterschlüssel, und klicken Sie darauf:

          HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\GRE_Initialize
      
    3. Zeigen Sie im Menü Bearbeiten auf Neu und klicken Sie dann auf DWORD.

    4. Geben Sie DisableMetaFiles ein, und drücken Sie die Eingabetaste.
    5. Klicken Sie im Menü Bearbeiten auf Ändern, um den Registrierungseintrag DisableMetaFiles zu ändern.
    6. Geben Sie im Datenfeld Wert den Wert 1 ein, und klicken Sie dann auf OK.
    7. Beenden Sie den Registrierungs-Editor.
    8. Starten Sie den Computer neu.

    Auswirkung der Problemumgehung. Durch das Deaktivieren der Verarbeitung von Metadateien kann die Qualität des Erscheinungsbilds von Software oder Systemkomponenten beeinträchtigt werden. Das Deaktivieren der Verarbeitung von Metadateien kann auch zum kompletten Ausfall von Software oder Systemkomponenten führen. Es wurde festgestellt, dass diese Vorgehensweise potenziell beträchtliche Auswirkungen auf die Funktionalität hat. Daher sollte deren Anwendbarkeit durch vorsichtiges Testen beurteilt werden.

    Dazu seien folgende Beispiele genannt.

    • Sie können mit dem Computer nicht drucken.
    • Einige Anwendungen auf dem Computer können keine Clipart anzeigen.
    • Einige Szenarios, bei denen OLE-Darstellung verwendet wird, werden gestört. Dies tritt insbesondere dann auf, wenn der Objektserver nicht aktiv ist.

    Weitere Informationen zu dieser Einstellung finden Sie im Microsoft Knowledge Base-Artikel 941835.

    Verwenden eines verwalteten Bereitsstellungsskripts:

    1. Speichern Sie Folgendes in einer Datei mit der Erweiterung .REG (z. B. Disable_MetaFiles.reg):

          Windows Registrierungs-Editor Version 5.00
      
          [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\GRE_Initialize]
          "DisableMetaFiles"=dword:00000001
      
    2. Führen Sie das oben angegebene Registrierungsskript mit dem folgenden Befehl an einer administrativen Eingabeaufforderung (unter Vista Administrator mit erhöhten Rechten) auf dem Zielcomputer aus:

          Regedit.exe /s Disable_MetaFiles.reg
      
    3. Starten Sie den Computer neu.

    So machen Sie die Problemumgehung rückgängig:

    1. Klicken Sie auf Start und dann auf Ausführen, geben Sie im Feld Öffnen den Befehl Regedit ein, und klicken Sie anschließend auf OK.
    2. Suchen Sie den folgenden Registrierungsunterschlüssel, und klicken Sie darauf:

          HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\GRE_Initialize
      
    3. Klicken Sie im Menü Bearbeiten auf Ändern und dann auf den Registrierungseintrag DisableMetaFiles.

    4. Geben Sie im Datenfeld Wert den Wert 0 ein, und klicken Sie dann auf OK.
    5. Beenden Sie den Registrierungs-Editor.
    6. Starten Sie den Computer neu.

Bereitstellung von Sicherheitsupdates

Informationen zur Bereitstellung von Sicherheitsupdates finden Sie im Microsoft Knowledge Base-Artikel, auf den hier in der Kurzzusammenfassung verwiesen wird.

Danksagung

Microsoft würdigt die Bemühungen derjenigen Benutzer der Sicherheitscommunity, die uns dabei helfen, Kunden durch eine koordinierte Offenlegung von Sicherheitsanfälligkeiten zu schützen. Weitere Informationen finden Sie unter Danksagung.

Haftungsausschluss

Die Informationen in der Microsoft Knowledge Base werden wie besehen und ohne jede Gewährleistung bereitgestellt. Microsoft schließt alle anderen Garantien, gleich ob ausdrücklich oder konkludent, einschließlich der Garantien der Handelsüblichkeit oder Eignung für einen bestimmten Zweck aus. In keinem Fall kann Microsoft Corporation und/oder deren jeweilige Lieferanten haftbar gemacht werden für Schäden irgendeiner Art, einschließlich direkter, indirekter, zufällig entstandener Schäden, Folgeschäden, Folgen entgangenen Gewinns oder spezieller Schäden, selbst dann nicht, wenn Microsoft Corporation und/oder deren jeweilige Lieferanten auf die mögliche Entstehung dieser Schäden hingewiesen wurde. Weil in einigen Staaten/Rechtsordnungen der Ausschluss oder die Beschränkung einer Haftung für zufällig entstandene Schäden oder Folgeschäden nicht gestattet ist, gilt die obige Einschränkung eventuell nicht für Sie.

Revisionen

  • V1.0 (14. April 2015): Bulletin veröffentlicht.
  • V1.1 (29. April 2015): Das Bulletin wurde überarbeitet, um die Informationen zu ersetzten Updates für die betroffene Software zu korrigieren. Dies ist lediglich eine Informationsänderung.

Seite generiert am 29.04.2015 um 10:40Z-07:00.