Microsoft Security Bulletin MS15-078 – Kritisch
Sicherheitsanfälligkeit im Microsoft-Schriftarttreiber kann Remotecodeausführung zulassen (3079904)
Veröffentlicht: 20. Juli 2015 | Aktualisiert: 29. Juli 2015
Version: 2.0
Kurzfassung
Dieses Sicherheitsupdate behebt eine Sicherheitsanfälligkeit in Microsoft Windows. Die Sicherheitsanfälligkeit könnte die Remotecodeausführung ermöglichen, wenn ein Benutzer ein speziell gestaltetes Dokument öffnet oder eine nicht vertrauenswürdige Webseite besucht, die eingebettete OpenType-Schriftarten enthält.
Dieses Sicherheitsupdate wird für alle unterstützten Versionen von Microsoft Windows kritisch bewertet. Weitere Informationen finden Sie im Abschnitt "Betroffene Software" .
Das Sicherheitsupdate behebt die Sicherheitsanfälligkeit, indem korrigiert wird, wie die Windows Adobe Type Manager Library OpenType-Schriftarten behandelt. Weitere Informationen zur Sicherheitsanfälligkeit finden Sie im Abschnitt "Sicherheitsrisikeninformationen ". Weitere Informationen zu diesem Update finden Sie im Microsoft Knowledge Base-Artikel 3079904.
Vorgeschlagene Aktionen. Die meisten Kunden haben die automatische Aktualisierung aktiviert und müssen keine Maßnahmen ergreifen, da das Update automatisch heruntergeladen und installiert wird. Kunden, die keine automatische Aktualisierung aktiviert haben oder Updates manuell installieren, können die Links im Abschnitt "Betroffene Software " verwenden, um das Update herunterzuladen und zu installieren. Weitere Informationen finden Sie im Microsoft Knowledge Base-Artikel 3079904 .
Betroffene Software
Die folgenden Softwareversionen oder Editionen sind betroffen. Versionen oder Editionen, die nicht aufgeführt sind, sind entweder über ihren Supportlebenszyklus oder nicht betroffen. Informationen zum Ermitteln des Supportlebenszyklus für Ihre Softwareversion oder -edition finden Sie unter Microsoft-Support Lifecycle.
Betriebssystem | Maximale Sicherheitswirkung | Bewertung des aggregierten Schweregrads | Ersetzte Updates |
---|---|---|---|
Windows Vista | |||
Windows Vista Service Pack 2 (3079904) | Remoteausführung von Code | Kritisch | 3077657 in MS15-077 |
Windows Vista x64 Edition Service Pack 2 (3079904) | Remoteausführung von Code | Kritisch | 3077657 in MS15-077 |
Windows Server 2008 | |||
Windows Server 2008 für 32-Bit-Systeme Service Pack 2 (3079904) | Remoteausführung von Code | Kritisch | 3077657 in MS15-077 |
Windows Server 2008 für x64-basierte Systeme Service Pack 2 (3079904) | Remoteausführung von Code | Kritisch | 3077657 in MS15-077 |
Windows Server 2008 für Itanium-basierte Systeme Service Pack 2 (3079904) | Remoteausführung von Code | Kritisch | 3077657 in MS15-077 |
Windows 7 | |||
Windows 7 für 32-Bit-Systeme Service Pack 1 (3079904) | Remoteausführung von Code | Kritisch | 3077657 in MS15-077 |
Windows 7 für x64-basierte Systeme Service Pack 1 (3079904) | Remoteausführung von Code | Kritisch | 3077657 in MS15-077 |
Windows Server 2008 R2 | |||
Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1 (3079904) | Remoteausführung von Code | Kritisch | 3077657 in MS15-077 |
Windows Server 2008 R2 für Itanium-basierte Systeme Service Pack 1 (3079904) | Remoteausführung von Code | Kritisch | 3077657 in MS15-077 |
Windows 8 und Windows 8.1 | |||
Windows 8 für 32-Bit-Systeme (3079904) | Remoteausführung von Code | Kritisch | 3077657 in MS15-077 |
Windows 8 für x64-basierte Systeme (3079904) | Remoteausführung von Code | Kritisch | 3077657 in MS15-077 |
Windows 8.1 für 32-Bit-Systeme (3079904) | Remoteausführung von Code | Kritisch | 3077657 in MS15-077 |
Windows 8.1 für x64-basierte Systeme (3079904) | Remoteausführung von Code | Kritisch | 3077657 in MS15-077 |
Windows Server 2012 und Windows Server 2012 R2 | |||
Windows Server 2012 (3079904) | Remoteausführung von Code | Kritisch | 3077657 in MS15-077 |
Windows Server 2012 R2 (3079904) | Remoteausführung von Code | Kritisch | 3077657 in MS15-077 |
Windows RT und Windows RT 8.1 | |||
Windows RT[1](3079904) | Remoteausführung von Code | Kritisch | 3077657 in MS15-077 |
Windows RT 8.1[1](3079904) | Remoteausführung von Code | Kritisch | 3077657 in MS15-077 |
Windows 10 | |||
Windows 10 für 32-Bit-Systeme[1](3074683) | Remoteausführung von Code | Kritisch | Keine |
Windows 10 für x64-basierte Systeme[1](3074683) | Remoteausführung von Code | Kritisch | Keine |
Server Core-Installationsoption | |||
Windows Server 2008 für 32-Bit-Systeme Service Pack 2 (Server Core-Installation) (3079904) | Remoteausführung von Code | Kritisch | 3077657 in MS15-077 |
Windows Server 2008 für x64-basierte Systeme Service Pack 2 (Server Core-Installation) (3079904) | Remoteausführung von Code | Kritisch | 3077657 in MS15-077 |
Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1 (Server Core-Installation) (3079904) | Remoteausführung von Code | Kritisch | 3077657 in MS15-077 |
Windows Server 2012 (Server Core-Installation) (3079904) | Remoteausführung von Code | Kritisch | 3077657 in MS15-077 |
Windows Server 2012 R2 (Server Core-Installation) (3079904) | Remoteausführung von Code | Kritisch | 3077657 in MS15-077 |
[1]Dieses Update ist nur über Windows Update verfügbar.
*Die Spalte "Updates ersetzt" zeigt nur das neueste Update in einer Kette von abgelösten Updates an. Um eine umfassende Liste der ersetzten Updates zu erhalten, wechseln Sie zum Microsoft Update-Katalog, suchen Sie nach der KB-Nummer des Updates, und zeigen Sie dann Updatedetails an (Updates ersetzte Informationen befinden sich auf der Registerkarte "Paketdetails").
Schweregradbewertungen und Sicherheitslücken-IDs
Die folgenden Schweregradbewertungen gehen von der potenziellen maximalen Auswirkung der Sicherheitsanfälligkeit aus. Informationen zur Wahrscheinlichkeit, dass innerhalb von 30 Tagen nach der Veröffentlichung dieses Sicherheitsbulletins die Ausnutzbarkeit der Sicherheitsanfälligkeit in Bezug auf die Schweregradbewertung und die Sicherheitsauswirkungen besteht, finden Sie im Bulletinzusammenfassung vom Juli den Exploitability Index.
Bewertung des Schweregrads der Sicherheitsanfälligkeit und maximale Sicherheitsbeeinträchtigung durch betroffene Software | ||
---|---|---|
Betroffene Software | Sicherheitsanfälligkeit bei OpenType-Schriftarttreibern – CVE-2015-2426 | Bewertung des aggregierten Schweregrads |
Windows Vista | ||
Windows Vista Service Pack 2 (3079904) | Kritische Remotecodeausführung | Kritisch |
Windows Vista x64 Edition Service Pack 2 (3079904) | Kritische Remotecodeausführung | Kritisch |
Windows Server 2008 | ||
Windows Server 2008 für 32-Bit-Systeme Service Pack 2 (3079904) | Kritische Remotecodeausführung | Kritisch |
Windows Server 2008 für x64-basierte Systeme Service Pack 2 (3079904) | Kritische Remotecodeausführung | Kritisch |
Windows Server 2008 für Itanium-basierte Systeme Service Pack 2 (3079904) | Kritische Remotecodeausführung | Kritisch |
Windows 7 | ||
Windows 7 für 32-Bit-Systeme Service Pack 1 (3079904) | Kritische Remotecodeausführung | Kritisch |
Windows 7 für x64-basierte Systeme Service Pack 1 (3079904) | Kritische Remotecodeausführung | Kritisch |
Windows Server 2008 R2 | ||
Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1 (3079904) | Kritische Remotecodeausführung | Kritisch |
Windows Server 2008 R2 für Itanium-basierte Systeme Service Pack 1 (3079904) | Kritische Remotecodeausführung | Kritisch |
Windows 8 und Windows 8.1 | ||
Windows 8 für 32-Bit-Systeme (3079904) | Kritische Remotecodeausführung | Kritisch |
Windows 8 für x64-basierte Systeme (3079904) | Kritische Remotecodeausführung | Kritisch |
Windows 8.1 für 32-Bit-Systeme (3079904) | Kritische Remotecodeausführung | Kritisch |
Windows 8.1 für x64-basierte Systeme (3079904) | Kritische Remotecodeausführung | Kritisch |
Windows Server 2012 und Windows Server 2012 R2 | ||
Windows Server 2012 (3079904) | Kritische Remotecodeausführung | Kritisch |
Windows Server 2012 R2 (3079904) | Kritische Remotecodeausführung | Kritisch |
Windows RT 8.1 | ||
Windows RT [1](3079904) | Kritische Remotecodeausführung | Kritisch |
Windows RT 8.1[1](3079904) | Kritische Remotecodeausführung | Kritisch |
Windows 10 | ||
Windows 10 für 32-Bit-Systeme (3074683) | Kritische Remotecodeausführung | Kritisch |
Windows 10 für x64-basierte Systeme (3074683) | Kritische Remotecodeausführung | Kritisch |
Server Core-Installationsoption | ||
Windows Server 2008 für 32-Bit-Systeme Service Pack 2 (Server Core-Installation) (3079904) | Kritische Remotecodeausführung | Kritisch |
Windows Server 2008 für x64-basierte Systeme Service Pack 2 (Server Core-Installation) (3079904) | Kritische Remotecodeausführung | Kritisch |
Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1 (Server Core-Installation) (3079904) | Kritische Remotecodeausführung | Kritisch |
Windows Server 2012 (Server Core-Installation) (3079904) | Kritische Remotecodeausführung | Kritisch |
Windows Server 2012 R2 (Server Core-Installation) (3079904) | Kritische Remotecodeausführung | Kritisch |
Informationen zu Sicherheitsrisiken
Sicherheitsanfälligkeit bei OpenType-Schriftarttreibern – CVE-2015-2426
Eine Sicherheitsanfälligkeit in Microsoft Windows zur Remotecodeausführung ist vorhanden, wenn die Windows Adobe Type Manager-Bibliothek speziell gestaltete OpenType-Schriftarten nicht ordnungsgemäß verarbeitet. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausgenutzt hat, kann die vollständige Kontrolle über das betroffene System übernehmen. Ein Angreifer könnte dann Programme installieren, Daten anzeigen, ändern, oder löschen oder neue Konten mit uneingeschränkten Benutzerrechten anlegen.
Es gibt mehrere Möglichkeiten, wie ein Angreifer diese Sicherheitsanfälligkeit ausnutzen kann, z. B. indem ein Benutzer dazu überzeugt wird, ein speziell gestaltetes Dokument zu öffnen oder einen Benutzer dazu zu überzeugen, eine nicht vertrauenswürdige Webseite zu besuchen, die eingebettete OpenType-Schriftarten enthält. Das Update behebt die Sicherheitsanfälligkeit, indem korrigiert wird, wie die Windows Adobe Type Manager-Bibliothek OpenType-Schriftarten behandelt.
Als dieses Sicherheitsbulletin ausgestellt wurde, hatte Microsoft Informationen, um anzugeben, dass diese Sicherheitsanfälligkeit öffentlich war, aber keine Informationen zur Angabe, dass diese Sicherheitsanfälligkeit zum Angriff auf Kunden verwendet wurde. Unsere Analyse hat gezeigt, dass Exploit-Code so erstellt werden könnte, dass ein Angreifer diese Sicherheitsanfälligkeit konsequent ausnutzen könnte.
Mildernde Faktoren
Microsoft hat keine mildernden Faktoren für diese Sicherheitsanfälligkeit identifiziert.
Problemumgehungen
Die folgenden Problemumgehungen können in Ihrer Situation hilfreich sein:
Umbenennen von ATMFD.DLL
Für 32-Bit-Systeme:
Geben Sie an einer Administrativen Eingabeaufforderung die folgenden Befehle ein:
cd "%windir%\system32" takeown.exe /f atmfd.dll icacls.exe atmfd.dll /save atmfd.dll.acl icacls.exe atmfd.dll /grant Administrators:(F) rename atmfd.dll x-atmfd.dll
Starten Sie das System neu.
Für 64-Bit-Systeme:
Geben Sie an einer Administrativen Eingabeaufforderung die folgenden Befehle ein:
cd "%windir%\system32" takeown.exe /f atmfd.dll icacls.exe atmfd.dll /save atmfd.dll.acl icacls.exe atmfd.dll /grant Administrators:(F) rename atmfd.dll x-atmfd.dll cd "%windir%\syswow64" takeown.exe /f atmfd.dll icacls.exe atmfd.dll /save atmfd.dll.acl icacls.exe atmfd.dll /grant Administrators:(F) rename atmfd.dll x-atmfd.dll
Starten Sie das System neu.
Optionales Verfahren für Windows 8 und höhere Betriebssysteme (ATMFD deaktivieren):
Beachten Sie, dass die Verwendung des Registrierungs-Editors schwerwiegende Probleme verursachen kann, die möglicherweise eine neu installierte Installation des Betriebssystems erfordern. Microsoft übernimmt keinerlei Garantie dafür, dass Probleme aufgrund nicht ordnungsgemäßer Verwendung des Registrierungs-Editors behoben werden können. Sie verwenden den Registrierungs-Editor auf eigene Verantwortung. Informationen zum Bearbeiten der Registrierung können Sie im Hilfethema "Ändern von Schlüsseln und Werten" im Registrierungs-Editor (Regedit.exe) anzeigen oder die Hilfethemen "Informationen in der Registrierung hinzufügen und löschen" und "Registrierungsdaten bearbeiten" in Regedt32.exe anzeigen.
Methode 1 (manuelles Bearbeiten der Systemregistrierung):
Führen Sie regedit.exe als Administrator aus.
Navigieren Sie im Registrierungs-Editor zum folgenden Unterschlüssel (oder erstellen Sie ihn), und legen Sie den DWORD-Wert auf 1 fest:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows\DisableATMFD, DWORD = 1
Schließen Sie den Registrierungs-Editor, und starten Sie das System neu.
Methode 2 (Verwenden eines skripts für die verwaltete Bereitstellung):
Erstellen Sie eine Textdatei mit dem Namen ATMFD-disable.reg , die den folgenden Text enthält:
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] "DisableATMFD"=dword:00000001
2. Run **regedit.exe**.
3. In Registry Editor, click the **File** menu and then click **Import**.
4. Navigate to and select the **ATMFD-disable.reg** file that you created in the first step.
(**Note** If your file is not listed where you expect it to be, ensure that it has not been automatically given a .txt file extension, or change the dialog’s file extension parameters to **All Files**).
5. Click **Open** and then click **OK** to close Registry Editor.
Auswirkungen der Problemumgehung. Anwendungen, die auf eingebetteter Schriftarttechnologie basieren, werden nicht ordnungsgemäß angezeigt. Das Deaktivieren von ATMFD.DLL kann dazu führen, dass bestimmte Anwendungen nicht mehr ordnungsgemäß funktionieren, wenn sie OpenType-Schriftarten verwenden. Microsoft Windows gibt keine openType-Schriftarten nativ frei. Anwendungen von Drittanbietern könnten sie jedoch installieren, und sie könnten von dieser Änderung betroffen sein.
So können Sie die Problemumgehung rückgängig machen.
Für 32-Bit-Systeme:
Geben Sie an einer Administrativen Eingabeaufforderung die folgenden Befehle ein:
cd "%windir%\system32" rename x-atmfd.dll atmfd.dll icacls.exe atmfd.dll /setowner "NT SERVICE\TrustedInstaller" icacls.exe . /restore atmfd.dll.acl
Starten Sie das System neu.
Für 64-Bit-Systeme:
Geben Sie an einer Administrativen Eingabeaufforderung die folgenden Befehle ein:
cd "%windir%\system32" rename x-atmfd.dll atmfd.dll icacls.exe atmfd.dll /setowner "NT SERVICE\TrustedInstaller" icacls.exe . /restore atmfd.dll.acl cd "%windir%\syswow64" rename x-atmfd.dll atmfd.dll icacls.exe atmfd.dll /setowner "NT SERVICE\TrustedInstaller" icacls.exe . /restore atmfd.dll.acl
2. Restart the system.
Optionales Verfahren für Windows 8 und höhere Betriebssysteme (ATMFD aktivieren):
Beachten Sie, dass die Verwendung des Registrierungs-Editors schwerwiegende Probleme verursachen kann, die möglicherweise eine neu installierte Installation des Betriebssystems erfordern. Microsoft übernimmt keinerlei Garantie dafür, dass Probleme aufgrund nicht ordnungsgemäßer Verwendung des Registrierungs-Editors behoben werden können. Sie verwenden den Registrierungs-Editor auf eigene Verantwortung. Informationen zum Bearbeiten der Registrierung können Sie im Hilfethema "Ändern von Schlüsseln und Werten" im Registrierungs-Editor (Regedit.exe) anzeigen oder die Hilfethemen "Informationen in der Registrierung hinzufügen und löschen" und "Registrierungsdaten bearbeiten" in Regedt32.exe anzeigen.
Methode 1 (manuelles Bearbeiten der Systemregistrierung):
Führen Sie regedit.exe als Administrator aus.
Navigieren Sie im Registrierungs-Editor zum folgenden Unterschlüssel, und legen Sie den DWORD-Wert auf 0 fest:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows\DisableATMFD, DWORD = 0
3. Close Registry Editor and restart the system.
Methode 2 (Verwenden eines skripts für die verwaltete Bereitstellung):
Erstellen Sie eine Textdatei mit dem Namen ATMFD-enable.reg , die den folgenden Text enthält:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"DisableATMFD"=dword:00000000
2. Run **regedit.exe**.
3. In Registry Editor, click the **File** menu and then click **Import**.
4. Navigate to and select the **ATMFD-enable.reg** file that you created in the first step.
(**Note** If your file is not listed where you expect it to be, ensure that it has not been automatically given a .txt file extension, or change the dialog’s file extension parameters to **All Files**).
5. Click **Open** and then click **OK** to close Registry Editor.
Bereitstellung von Sicherheitsupdates
Informationen zur Bereitstellung von Sicherheitsupdates finden Sie im Microsoft Knowledge Base-Artikel, auf den in der Zusammenfassung der Geschäftsleitung verwiesen wird.
Danksagungen
Microsoft erkennt die Bemühungen derJenigen in der Sicherheitscommunity, die uns dabei helfen, Kunden durch koordinierte Offenlegung von Sicherheitsrisiken zu schützen. Weitere Informationen finden Sie unter "Bestätigungen ".
Haftungsausschluss
Die in der Microsoft Knowledge Base bereitgestellten Informationen werden ohne Jegliche Garantie bereitgestellt. Microsoft lehnt alle Gewährleistungen ab, entweder ausdrücklich oder impliziert, einschließlich der Gewährleistungen der Händlerbarkeit und Eignung für einen bestimmten Zweck. In keinem Fall haftet die Microsoft Corporation oder seine Lieferanten für jegliche Schäden, einschließlich direkter, indirekter, zufälliger, Folgeschäden, Verlust von Geschäftsgewinnen oder sonderschäden, auch wenn die Microsoft Corporation oder ihre Lieferanten über die Möglichkeit solcher Schäden informiert wurden. Einige Staaten lassen den Ausschluss oder die Haftungsbeschränkung für Folge- oder Nebenschäden nicht zu, sodass die vorstehende Einschränkung möglicherweise nicht gilt.
Revisionen
- V1.0 (20. Juli 2015): Bulletin veröffentlicht.
- V2.0 (29. Juli 2015): Bulletin erneut veröffentlicht, um die Verfügbarkeit eines Updatepakets für Windows 10-Systeme bekannt zu geben. Kunden, die Windows 10 ausführen, sollten das 3074683 Update anwenden, um vor der sicherheitsanfälligkeit zu schützen, die in diesem Bulletin erläutert wird. Das Update ist nur über Windows Update verfügbar. Die meisten Kunden haben die automatische Aktualisierung aktiviert und müssen keine Maßnahmen ergreifen, da das Update automatisch heruntergeladen und installiert wird.
Seite generiert 2015-07-28 11:44Z-07:00.