Microsoft-Sicherheitsbulletin MS17-007 – Kritisch

Kumulatives Sicherheitsupdate für Microsoft Edge (4013071)

Veröffentlicht: 14. März 2017 | Aktualisiert: 8. August 2017

Version: 2.0

Kurzzusammenfassung

Dieses Sicherheitsupdate behebt Sicherheitsanfälligkeiten in Microsoft Edge. Die schwerwiegendste dieser Sicherheitsanfälligkeiten kann Remotecodeausführung ermöglichen, wenn ein Benutzer eine speziell gestaltete Webseite mit Microsoft Edge anzeigt. Ein Angreifer, der die Sicherheitsrisiken erfolgreich ausnutzt, könnte die Kontrolle über ein betroffenes System übernehmen. Ein Angreifer kann dann Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten mit sämtlichen Benutzerrechten erstellen.

Dieses Sicherheitsupdate wird für Microsoft Edge unter Windows 10 als „Kritisch“ und unter Windows Server 2016 als „Mittel“ eingestuft. Weitere Informationen finden Sie im Abschnitt „Betroffene Software“.

Das Update behebt die Sicherheitsrisiken, indem geändert wird, wie Microsoft Edge Objekte im Arbeitsspeicher verarbeitet.

Weitere Informationen zu diesen Sicherheitsrisiken finden Sie im Abschnitt „Informationen zu Sicherheitsrisiken“. Weitere Informationen zu diesem Update finden Sie im Microsoft Knowledge Base-Artikel 4013071.

Betroffene Software und Bewertungen des Schweregrads der Sicherheitsanfälligkeit

Die folgenden Softwareversionen oder -editionen sind betroffen. Versionen oder Editionen, die nicht aufgeführt sind, haben entweder das Ende ihres Supportlebenszyklus überschritten oder sind nicht betroffen. Besuchen Sie die Website Microsoft Support Lifecycle, um den Supportlebenszyklus für Ihre vorherige Softwareversion oder -edition zu ermitteln.

Bei den Bewertungen des Schweregrads für die jeweils betroffene Software wird die potenzielle maximale Auswirkung der Sicherheitsanfälligkeit angenommen. Informationen zur Wahrscheinlichkeit der Ausnutzung der Sicherheitsanfälligkeit in Bezug auf die Bewertung des Schweregrads und die Sicherheitsauswirkung innerhalb von 30 Tagen nach Veröffentlichung dieses Sicherheitsbulletins finden Sie im Ausnutzbarkeitsindex im Bulletin Summary für März.

Hinweis Im Leitfaden für Sicherheitsupdates erfahren Sie mehr über einen neuen Ansatz zur Aufnahme der Informationen über Sicherheitsupdates. Sie können Ihre Ansichten anpassen und Tabellen zu betroffener Software erstellen sowie Daten über eine RESTful-API herunterladen. Weitere Informationen finden Sie in den häufig gestellten Fragen (FAQs) zum Leitfaden für Sicherheitsupdates. Zur Erinnerung: Sicherheitsbulletins werden durch den Leitfaden für Sicherheitsupdates ersetzt. Details finden Sie in unserem Blogbeitrag Furthering our commitment to security updates.

Betroffene Software: Microsoft Edge

Betriebssystem Komponente Maximale Sicherheitsauswirkung Bewertung des Gesamtschweregrads Ersetzte Updates
Microsoft Edge
Windows 10 für 32-Bit-Systeme[1] (4025338) Microsoft Edge Remotecodeausführung Kritisch 4022727
Windows 10 für x64-basierte Systeme[1] (4025338) Microsoft Edge Remotecodeausführung Kritisch 4022727
Windows 10 Version 1511 für 32-Bit-Systeme[1] (4025338) Microsoft Edge Remotecodeausführung Kritisch 4022714
Windows 10 Version 1511 für x64-basierte Systeme[1] (4025338) Microsoft Edge Remotecodeausführung Kritisch 4022714
Windows 10 Version 1607 für 32-Bit-Systeme[1] (4025338) Microsoft Edge Remotecodeausführung Kritisch 4022715
Windows 10 Version 1607 für x64-basierte Systeme[1] (4025338) Microsoft Edge Remotecodeausführung Kritisch 4022715
Windows 10 Version 1703 für 32-Bit-Systeme[1] (4025338) Microsoft Edge Remotecodeausführung Kritisch 4022725
Windows 10 Version 1703 für x64-basierte Systeme[1] (4025338) Microsoft Edge Remotecodeausführung Kritisch 4022725
Windows Server 2016
Windows Server 2016 für x64-basierte Systeme[1] (4013429) Microsoft Edge Remotecodeausführung Mittel 3213986

[1]Updates für Windows 10 und Windows Server 2016 sind kumulativ. Das monatliche Sicherheitsupdate enthält neben nicht sicherheitsrelevanten Updates alle Sicherheitsupdates für Sicherheitsanfälligkeiten, die Windows 10 betreffen. Die Updates sind über den Microsoft Update-Katalogverfügbar. Ab dem 13. Dezember 2016 werden Details zu Windows 10 und Windows Server 2016 für die kumulativen Updates in den Versionshinweisen dokumentiert. Bitte beachten Sie die Versionshinweise zu Betriebssystem-Versionsnummern, bekannten Problemen und Informationen zur Liste der betroffenen Dateien.

*Die Spalte „Ersetzte Updates“ enthält nur das letzte Update einer beliebigen Reihe ersetzter Updates. Eine umfassende Liste mit ersetzten Updates finden Sie im Microsoft Update-Katalog in den Updatedetails unter der entsprechenden Update-KB-Nummer. (Die Informationen zu ersetzten Updates befinden sich auf der Registerkarte Paketdetails).

Häufig gestellte Fragen (FAQ) zu diesem Update

Das in diesem Bulletin besprochene Sicherheitsrisiko bezüglich der PDF-Bibliothek wird auch im Windows-PDF-Bulletin (MS17-009) erläutert, das im März veröffentlicht wird. Muss ich zum Schutz vor der Sicherheitsanfälligkeit mehrere Updates für meine spezielle System- und Microsoft Edge-Konfiguration installieren?
Nein. Kunden mit Windows 10-Systemen müssen nur das eine kumulative Update für ihr System installieren, um das System vor CVE-2017-0023 zu schützen. Das Sicherheitsrisiko bezüglich der PDF-Bibliothek wird auch im Microsoft Edge-Bulletin aufgeführt, da sich die Sicherheitskorrektur für dieses Sicherheitsrisiko auf Windows 10-Systemen in der Microsoft Edge-Komponente befindet, die im kumulativen Update ausgeliefert wird.

Bewertungen des Schweregrads und Kennungen der Sicherheitsanfälligkeiten

Bei der folgenden Bewertung des Schweregrads wird die potenzielle maximale Auswirkung der Sicherheitsanfälligkeit angenommen. Informationen zur Wahrscheinlichkeit der Ausnutzung der Sicherheitsanfälligkeit in Bezug auf die Bewertung des Schweregrads und die Sicherheitsauswirkung innerhalb von 30 Tagen nach Veröffentlichung dieses Sicherheitsbulletins finden Sie im Ausnutzbarkeitsindex im Bulletin Summary für März.

Die Werte „Kritisch”, „Hoch” und „Mittel” in der Tabelle „Bewertung des Schweregrads und Sicherheitsauswirkung“ geben die Bewertungen des Schweregrads an. Weitere Informationen finden Sie unter Bewertungssystem für Sicherheitsbulletins. In der Tabelle werden die folgenden Abkürzungen zur Angabe der maximalen Auswirkung verwendet:

Abkürzung Maximale Auswirkung
RCE Remotecodeausführung
EoP Rechteerweiterungen
ID Offenlegung von Informationen
SFB Umgehung von Sicherheitsfunktionen

Bewertung des Schweregrads und Sicherheitsauswirkung
CVE-Nummer Titel der Sicherheitsanfälligkeit Microsoft Edge
CVE-2017-0009 Sicherheitsanfälligkeit in Microsoft Browser durch Offenlegung von Information Windows-Clients:
Hoch / ID
Windows-Server:
Niedrig / ID
CVE-2017-0010 Sicherheitsrisiko im Skriptmodul bezüglich Speicherbeschädigung Windows-Clients:
Kritisch/RCE
Windows-Server:
Mittel/RCE
CVE-2017-0011 Sicherheitsanfälligkeit in Microsoft Edge bezüglich der Offenlegung von Informationen Windows-Clients:
Hoch / ID
Windows-Server:
Niedrig / ID
CVE-2017-0012 Sicherheitsanfälligkeit in Microsoft-Browser bezüglich Spoofingangriffen Windows-Clients:
Hoch/Spoofing
Windows-Server:
Niedrig/Spoofing
CVE-2017-0015 Sicherheitsrisiko im Skriptmodul bezüglich Speicherbeschädigung Windows-Clients:
Kritisch/RCE
(Nur Windows 10 und Windows 10 Version 1511 sind betroffen)
CVE-2017-0017 Sicherheitsanfälligkeit in Microsoft Edge bezüglich der Offenlegung von Informationen Windows-Clients:
Hoch / ID
Windows-Server:
Niedrig / ID
CVE-2017-0023 Sicherheitsanfälligkeit in Microsoft PDF bezüglich Speicherbeschädigung Windows-Clients:
Kritisch/RCE
Windows-Server:
Mittel/RCE
CVE-2017-0032 Sicherheitsrisiko im Skriptmodul bezüglich Speicherbeschädigung Windows-Clients:
Kritisch/RCE
Windows-Server:
Mittel/RCE
CVE-2017-0033 Sicherheitsanfälligkeit in Microsoft-Browser bezüglich Spoofingangriffen Windows-Clients:
Hoch/Spoofing
Windows-Server:
Niedrig/Spoofing
CVE-2017-0034 Sicherheitsanfälligkeit in Microsoft Edge bezüglich Speicherbeschädigung Windows-Clients:
Kritisch/RCE
(Nur Windows 10 Version 1607 ist betroffen)
Windows-Server:
Mittel/RCE
CVE-2017-0035 Sicherheitsrisiko im Skriptmodul bezüglich Speicherbeschädigung Windows-Clients:
Kritisch/RCE
Windows-Server:
Mittel/RCE
CVE-2017-0037 Sicherheitsanfälligkeit in Microsoft Browser bezüglich Speicherbeschädigung Windows-Clients:
Kritisch/RCE
Windows-Server:
Mittel/RCE
CVE-2017-0065 Sicherheitsanfälligkeit in Microsoft Browser durch Offenlegung von Information Windows-Clients:
Hoch / ID
Windows-Server:
Niedrig / ID
CVE-2017-0066 Sicherheitsanfälligkeit in Microsoft Edge bezüglich Umgehung von Sicherheitsfunktionen Windows-Clients:
Hoch/SFB
Windows-Server:
Niedrig/SFB
CVE-2017-0067 Sicherheitsrisiko im Skriptmodul bezüglich Speicherbeschädigung Windows-Clients:
Kritisch/RCE
Windows-Server:
Mittel/RCE
CVE-2017-0068 Sicherheitsanfälligkeit in Microsoft Edge bezüglich der Offenlegung von Informationen Windows-Clients:
Hoch / ID
Windows-Server:
Niedrig / ID
CVE-2017-0069 Spoofing-Sicherheitsanfälligkeit in Microsoft Edge Windows-Clients:
Hoch/Spoofing
Windows-Server:
Niedrig/Spoofing
CVE-2017-0070 Sicherheitsrisiko im Skriptmodul bezüglich Speicherbeschädigung Windows-Clients:
Kritisch/RCE
Windows-Server:
Mittel/RCE
CVE-2017-0071 Sicherheitsrisiko im Skriptmodul bezüglich Speicherbeschädigung Windows-Clients:
Kritisch/RCE
Windows-Server:
Mittel/RCE
CVE-2017-0094 Sicherheitsrisiko im Skriptmodul bezüglich Speicherbeschädigung Windows-Clients:
Kritisch/RCE
Windows-Server:
Mittel/RCE
CVE-2017-0131 Sicherheitsrisiko im Skriptmodul bezüglich Speicherbeschädigung Windows-Clients:
Hoch/RCE
Windows-Server:
Niedrig/RCE
CVE-2017-0132 Sicherheitsrisiko im Skriptmodul bezüglich Speicherbeschädigung Windows-Clients:
Kritisch/RCE
Windows-Server:
Mittel/RCE
CVE-2017-0133 Sicherheitsrisiko im Skriptmodul bezüglich Speicherbeschädigung Windows-Clients:
Kritisch/RCE
(Nur Windows 10 Versionen 1511 und 1607 sind betroffen)
Windows-Server:
Mittel/RCE
CVE-2017-0134 Sicherheitsrisiko im Skriptmodul bezüglich Speicherbeschädigung Windows-Clients:
Kritisch/RCE
Windows-Server:
Mittel/RCE
CVE-2017-0135 Umgehung von Sicherheitsfunktionen in Microsoft Edge Windows-Clients:
Hoch/SFB
Windows-Server:
Niedrig/SFB
CVE-2017-0136 Sicherheitsrisiko im Skriptmodul bezüglich Speicherbeschädigung Windows-Clients:
Kritisch/RCE
(Nur Windows 10 Version 1607 ist betroffen)
CVE-2017-0137 Sicherheitsrisiko im Skriptmodul bezüglich Speicherbeschädigung Windows-Clients:
Kritisch/RCE
Windows-Server:
Mittel/RCE
CVE-2017-0138 Sicherheitsrisiko im Skriptmodul bezüglich Speicherbeschädigung Windows-Clients:
Kritisch/RCE
Windows-Server:
Mittel/RCE
CVE-2017-0140 Umgehung von Sicherheitsfunktionen in Microsoft Edge Windows-Clients:
Hoch/SFB
(Nur Windows 10 Version 1607 ist betroffen)
Windows-Server:
Niedrig/SFB
CVE-2017-0141 Sicherheitsrisiko im Skriptmodul bezüglich Speicherbeschädigung Windows-Clients:
Kritisch/RCE
Windows-Server:
Mittel/RCE
CVE-2017-0150 Sicherheitsrisiko im Skriptmodul bezüglich Speicherbeschädigung Windows-Clients:
Kritisch/RCE
(Nur Windows 10 Version 1607 ist betroffen)
Windows-Server:
Mittel/RCE
CVE-2017-0151 Sicherheitsrisiko im Skriptmodul bezüglich Speicherbeschädigung Windows-Clients:
Kritisch/RCE
(Nur Windows 10 Version 1607 ist betroffen)
Windows-Server:
Mittel/RCE

Informationen zu Sicherheitsanfälligkeiten

Mehrere Sicherheitsrisiken in Microsoft-Skriptmodulen bezüglich Speicherbeschädigung

Es liegen mehrere Sicherheitsanfälligkeiten, die Remotecodeausführung ermöglichen können, bezüglich der Art und Weise vor, wie Microsoft-Browser Objekte im Arbeitsspeicher verarbeiten, die in Microsoft-Skriptmodulen ausgegeben werden. Die Sicherheitsrisiken können den Arbeitsspeicher so beschädigen, dass ein Angreifer im Kontext des aktuellen Benutzers beliebigen Code ausführen kann. Ein Angreifer, der diese Sicherheitsanfälligkeiten erfolgreich ausnutzt, kann die gleichen Benutzerrechte wie der aktuelle Benutzer erlangen. Wenn der aktuelle Benutzer mit Administratorrechten angemeldet ist, kann ein Angreifer, der diese Sicherheitsanfälligkeiten erfolgreich ausnutzt, die Kontrolle über ein betroffenes System übernehmen. Ein Angreifer kann dann Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten mit sämtlichen Benutzerrechten erstellen.

In einem webbasierten Angriffsszenario kann ein Angreifer eine speziell gestaltete Website einrichten, die darauf ausgelegt ist, die Sicherheitsanfälligkeiten über einen Microsoft-Browser auszunutzen, und dann einen Benutzer zum Besuch der Website verleiten. Ein Angreifer kann auch ein als „initialisierungssicher“ gekennzeichnetes ActiveX-Steuerelement in eine Anwendung oder ein Microsoft Office-Dokument einbetten, die das Grafikwiedergabemodul von Edge hostet. Der Angreifer kann auch manipulierte Websites und Websites ausnutzen, die von Endbenutzern bereitgestellte Inhalte oder Werbemitteilungen akzeptieren oder hosten. Diese Websites können speziell gestaltete Inhalte enthalten, mit denen die Sicherheitsanfälligkeiten ausgenutzt werden können.

Das Sicherheitsupdate behebt die Sicherheitsanfälligkeit, indem geändert wird, wie das betroffene Microsoft-Skriptmodul Objekte im Arbeitsspeicher verarbeitet.

Die folgende Tabelle enthält einen Link zum Standardeintrag für jedes Sicherheitsrisiko in der Liste allgemeiner Sicherheitsrisiken (Common Vulnerabilities and Exposures, CVE):

Titel der Sicherheitsanfälligkeit CVE-Nummer Öffentlich gemeldet Ausgenutzt
Sicherheitsrisiko im Skriptmodul bezüglich Speicherbeschädigung CVE-2017-0010 Nein Nein
Sicherheitsrisiko im Skriptmodul bezüglich Speicherbeschädigung CVE-2017-0015 Nein Nein
Sicherheitsrisiko im Skriptmodul bezüglich Speicherbeschädigung CVE-2017-0032 Nein Nein
Sicherheitsrisiko im Skriptmodul bezüglich Speicherbeschädigung CVE-2017-0035 Nein Nein
Sicherheitsrisiko im Skriptmodul bezüglich Speicherbeschädigung CVE-2017-0067 Nein Nein
Sicherheitsrisiko im Skriptmodul bezüglich Speicherbeschädigung CVE-2017-0070 Nein Nein
Sicherheitsrisiko im Skriptmodul bezüglich Speicherbeschädigung CVE-2017-0071 Nein Nein
Sicherheitsrisiko im Skriptmodul bezüglich Speicherbeschädigung CVE-2017-0094 Nein Nein
Sicherheitsrisiko im Skriptmodul bezüglich Speicherbeschädigung CVE-2017-0131 Nein Nein
Sicherheitsrisiko im Skriptmodul bezüglich Speicherbeschädigung CVE-2017-0132 Nein Nein
Sicherheitsrisiko im Skriptmodul bezüglich Speicherbeschädigung CVE-2017-0133 Nein Nein
Sicherheitsrisiko im Skriptmodul bezüglich Speicherbeschädigung CVE-2017-0134 Nein Nein
Sicherheitsrisiko im Skriptmodul bezüglich Speicherbeschädigung CVE-2017-0136 Nein Nein
Sicherheitsrisiko im Skriptmodul bezüglich Speicherbeschädigung CVE-2017-0137 Nein Nein
Sicherheitsrisiko im Skriptmodul bezüglich Speicherbeschädigung CVE-2017-0138 Nein Nein
Sicherheitsrisiko im Skriptmodul bezüglich Speicherbeschädigung CVE-2017-0141 Nein Nein
Sicherheitsrisiko im Skriptmodul bezüglich Speicherbeschädigung CVE-2017-0150 Nein Nein
Sicherheitsrisiko im Skriptmodul bezüglich Speicherbeschädigung CVE-2017-0151 Nein Nein

Schadensbegrenzende Faktoren

Für diese Sicherheitsrisiken gibt es noch keine schadensbegrenzenden Faktoren.

Problemumgehungen

Für diese Sicherheitsanfälligkeiten gibt es bislang keine Problemumgehungen.

Mehrere Sicherheitsanfälligkeiten in Microsoft Edge bezüglich der Offenlegung von Informationen

Es liegen mehrere Sicherheitsanfälligkeiten bezüglich der Offenlegung von Informationen vor, die darauf basieren, wie die betroffenen Komponenten Objekte im Arbeitsspeicher behandeln. Ein Angreifer, der diese Sicherheitsanfälligkeiten erfolgreich ausnutzt, kann in den Besitz von Informationen gelangen, mit denen ein Zielsystem weiter gefährdet werden kann.

In einem webbasierten Angriffsszenario kann ein Angreifer eine Website einrichten, mit der versucht wird, diese Sicherheitsanfälligkeiten auszunutzen. Außerdem können manipulierte Websites und Websites, die von Benutzern bereitgestellte Inhalte akzeptieren oder hosten, speziell gestaltete Inhalte enthalten, mit denen diese Sicherheitsanfälligkeiten ausgenutzt werden können. Ein Angreifer kann Benutzer jedoch keinesfalls zwingen, die vom Angreifer kontrollierten Inhalte anzuzeigen. Stattdessen muss ein Angreifer Benutzer zu Handlungen verleiten. Ein Angreifer kann Benutzer z. B. dazu verleiten, auf einen Link zu klicken, der zur Site des Angreifers führt.

Das Sicherheitsupdate behebt diese Sicherheitsanfälligkeiten, indem korrigiert wird, wie die betroffenen Komponenten Objekte im Arbeitsspeicher verarbeiten.

Die folgende Tabelle enthält Links zum Standardeintrag für jede Sicherheitsanfälligkeit in der Liste allgemeiner Sicherheitsanfälligkeiten:

Titel der Sicherheitsanfälligkeit CVE-Nummer Öffentlich gemeldet Ausgenutzt
Sicherheitsanfälligkeit in Microsoft Browser durch Offenlegung von Information CVE-2017-0009 Nein Nein
Sicherheitsanfälligkeit in Microsoft Edge bezüglich der Offenlegung von Informationen CVE-2017-0011 Nein Nein
Sicherheitsanfälligkeit in Microsoft Edge bezüglich der Offenlegung von Informationen CVE-2017-0017 Nein Nein
Sicherheitsanfälligkeit in Microsoft Browser durch Offenlegung von Information CVE-2017-0065 Ja Nein
Sicherheitsanfälligkeit in Microsoft Edge bezüglich der Offenlegung von Informationen CVE-2017-0068 Nein Nein

Schadensbegrenzende Faktoren

Für diese Sicherheitsrisiken gibt es noch keine schadensbegrenzenden Faktoren.

Problemumgehungen

Für diese Sicherheitsanfälligkeiten gibt es bislang keine Problemumgehungen.

Mehrere Sicherheitsrisiken in Microsoft Edge bezüglich Spoofingangriffen

Es bestehen mehrere Sicherheitsrisiken bezüglich Spoofing, wenn ein Microsoft-Browser HTTP-Antworten nicht ordnungsgemäß analysiert. Ein Angreifer, der diese Sicherheitsrisiken erfolgreich ausnutzt, kann einen Benutzer täuschen, indem er ihn an eine speziell gestaltete Website umleitet. Die speziell gestaltete Website könnte Inhalte vortäuschen oder als Angelpunkt für die Verkettung eines Angriffs dienen, mit dem andere Sicherheitsrisiken von Webdiensten ausgenutzt werden sollen.

Damit diese Sicherheitsrisiken ausgenutzt werden können, muss ein Benutzer auf eine speziell gestaltete URL klicken. In einem E-Mail-Angriffsszenario kann ein Angreifer eine E-Mail-Nachricht mit der speziell gestalteten URL an den Benutzer senden, um zu versuchen, den Benutzer dazu zu verleiten, darauf zu klicken.

In einem webbasierten Angriffsszenario kann ein Angreifer eine speziell gestaltete Website hosten, die für den Benutzer wie eine legitime Website aussieht. Der Angreifer kann den Benutzer allerdings nicht zum Besuch einer speziell gestalteten Website zwingen. Stattdessen muss der Angreifer den Benutzer dazu verleiten, die speziell gestaltete Website zu besuchen, indem der Benutzer normalerweise dazu gebracht wird, auf einen Link in einer E-Mail- oder Instant Messenger-Nachricht zu klicken. Anschließend muss der Angreifer den Benutzer dazu verleiten, mit dem Inhalt dieser schädlichen Website zu interagieren.

Das Update behebt diese Sicherheitsrisiken, indem korrigiert wird, wie Microsoft-Browser HTTP-Antworten analysieren.

Die folgende Tabelle enthält Links zum Standardeintrag für jede Sicherheitsanfälligkeit in der Liste allgemeiner Sicherheitsanfälligkeiten:

Titel der Sicherheitsanfälligkeit CVE-Nummer Öffentlich gemeldet Ausgenutzt
Sicherheitsanfälligkeit in Microsoft-Browser bezüglich Spoofingangriffen CVE-2017-0012 Ja Nein
Sicherheitsanfälligkeit in Microsoft-Browser bezüglich Spoofingangriffen CVE-2017-0033 Ja Nein
Spoofing-Sicherheitsanfälligkeit in Microsoft Edge CVE-2017-0069 Ja Nein

Schadensbegrenzende Faktoren

Für diese Sicherheitsrisiken gibt es noch keine schadensbegrenzenden Faktoren.

Problemumgehungen

Für diese Sicherheitsanfälligkeiten gibt es bislang keine Problemumgehungen.

Sicherheitsanfälligkeit in Microsoft-Browser durch Speicherbeschädigung CVE-2017-0037

Es liegt eine Sicherheitsanfälligkeit bezüglich Remotecodeausführung vor, wenn Microsoft Edge nicht richtig auf Objekte im Speicher zugreift. Durch das Sicherheitsrisiko kann der Arbeitsspeicher derart beschädigt werden, dass ein Angreifer beliebigen Code im Kontext des aktuellen Benutzers ausführen kann.

Ein Angreifer kann eine speziell gestaltete Website hosten, die darauf ausgelegt ist, die Sicherheitsanfälligkeit über Microsoft Edge auszunutzen, und dann einen Benutzer zum Besuch der Website verleiten. Der Angreifer kann auch manipulierte Websites und Websites ausnutzen, die von Endbenutzern bereitgestellte Inhalte oder Werbemitteilungen akzeptieren oder hosten, welche wiederum speziell gestaltete Inhalte enthalten, über die die Sicherheitsanfälligkeit ausgenutzt werden kann. Ein Angreifer kann Benutzer jedoch nicht zwingen, die vom Angreifer kontrollierten Inhalte anzuzeigen. Stattdessen muss ein Angreifer Benutzer zu Handlungen verleiten. Zu diesem Zweck werden Benutzer normalerweise dazu gebracht, auf einen Link in einer Instant Messenger- oder E-Mail-Nachricht zu klicken oder eine Dateianlage zu öffnen, die per E-Mail gesendet wurde.

Ein Angreifer muss diese Sicherheitsanfälligkeit mit anderen Exploits kombinieren, um Code uneingeschränkt ausführen zu können. Ein Angreifer, der mehrere Sicherheitsanfälligkeiten zu einer Exploit-Kette kombiniert, kann die gleichen Benutzerrechte erlangen wie der aktuelle Benutzer. Wenn der aktuelle Benutzer mit Administratorrechten angemeldet ist, kann ein Angreifer die Kontrolle über ein betroffenes System übernehmen. Ein Angreifer kann dann Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten mit sämtlichen Benutzerrechten erstellen.

Das Update behebt die Sicherheitsanfälligkeit, indem geändert wird, wie Microsoft Edge Objekte im Arbeitsspeicher verarbeitet.

Die folgende Tabelle enthält einen Link zum jeweiligen Standardeintrag des Sicherheitsrisikos in der Liste allgemeiner Sicherheitsrisiken (Common Vulnerabilities and Exposures, CVE):

Titel der Sicherheitsanfälligkeit CVE-Nummer Öffentlich gemeldet Ausgenutzt
Sicherheitsanfälligkeit in Microsoft Browser bezüglich Speicherbeschädigung CVE-2017-0037 Ja Nein

Schadensbegrenzende Faktoren

Für dieses Sicherheitsrisiko gibt es noch keine schadensbegrenzenden Faktoren.

Problemumgehungen

Für diese Sicherheitsanfälligkeit gibt es noch keine Problemumgehungen.

Sicherheitsanfälligkeit in Microsoft PDF bezüglich Speicherbeschädigung – CVE-2017-0023

Es liegt ein Sicherheitsrisiko bezüglich Remotecodeausführung vor, wenn die Microsoft Windows-PDF-Bibliothek Objekte im Arbeitsspeicher nicht richtig verarbeitet. Durch das Sicherheitsrisiko kann der Arbeitsspeicher so beschädigt werden, dass ein Angreifer im Kontext des aktuellen Benutzers beliebigen Code ausführen kann. Ein Angreifer, der die Sicherheitsanfälligkeit erfolgreich ausnutzt, kann die gleichen Benutzerrechte erlangen wie der aktuelle Benutzer. Wenn der aktuelle Benutzer mit Administratorrechten angemeldet ist, kann ein Angreifer die Kontrolle über ein betroffenes System übernehmen. Ein Angreifer kann dann Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten mit sämtlichen Benutzerrechten erstellen.

Um die Sicherheitsanfälligkeit auf Windows 10-Systemen mit Microsoft Edge als Standardbrowser auszunutzen, kann ein Angreifer eine speziell gestaltete Website mit bösartigem PDF-Inhalt einrichten und dann Benutzer dazu verleiten, die Website aufzurufen. Der Angreifer könnte auch manipulierte Websites oder Websites ausnutzen, die von Benutzern bereitgestellte Inhalte oder Werbeanzeigen akzeptieren oder hosten, indem er speziell gestaltete PDF-Inhalte zu solchen Websites hinzufügt. Nur Windows 10-Systeme mit Microsoft Edge als Standardbrowser können allein durch Anzeigen einer Website gefährdet werden. Die Browser aller anderen betroffenen Betriebssysteme stellen PDF-Inhalte nicht automatisch dar, sodass ein Angreifer keine Möglichkeit hat, Benutzer zum Anzeigen von Inhalten zu zwingen, die von Angreifern kontrolliert werden. Stattdessen muss ein Angreifer Benutzer dazu verleiten, ein speziell gestaltetes PDF-Dokument zu öffnen. Zu diesem Zweck werden Benutzer normalerweise dazu gebracht, auf einen Link in einer Chat- oder E-Mail-Nachricht zu klicken oder einen E-Mail-Anhang zu öffnen.

Das Update behebt das Sicherheitsrisiko, indem geändert wird, wie betroffene Systeme Objekte im Arbeitsspeicher verarbeiten.

Die folgende Tabelle enthält Links zum Standardeintrag für jede Sicherheitsanfälligkeit in der Liste allgemeiner Sicherheitsanfälligkeiten:

Titel der Sicherheitsanfälligkeit CVE-Nummer Öffentlich gemeldet Ausgenutzt
Sicherheitsanfälligkeit in Microsoft PDF bezüglich Speicherbeschädigung CVE-2017-0023 Nein Nein

Schadensbegrenzende Faktoren

Für dieses Sicherheitsrisiko gibt es noch keine schadensbegrenzenden Faktoren.

Problemumgehungen

Für diese Sicherheitsanfälligkeit gibt es noch keine Problemumgehungen.

Mehrere Sicherheitsanfälligkeiten in Microsoft Edge durch Umgehung von Sicherheitsfunktionen

Mehrere Sicherheitsanfälligkeiten durch Umgehung von Sicherheitsfunktionen liegen vor, wenn Microsoft Edge die Richtlinie für gleiche Quellen für HTML-Elemente in anderen Browserfenstern nicht korrekt anwendet.

Ein Angreifer kann einen Benutzer dazu verleiten, eine Seite mit schädlichem Inhalt zu laden. Um diese Sicherheitsanfälligkeiten auszunutzen, müsste ein Angreifer einen Benutzer dazu bringen, eine Seite zu laden oder eine Website zu besuchen. Die Seite könnte zudem in eine manipulierte Website oder ein Werbenetzwerk eingefügt sein.

Das Update behebt diese Sicherheitsanfälligkeiten, indem die Prüfung für gleiche Quellen erweitert wird, um nach Skripts zu suchen, die HTML-Elemente in anderen Browserfenstern manipulieren.

Die folgende Tabelle enthält einen Link zum jeweiligen Standardeintrag des Sicherheitsrisikos in der Liste allgemeiner Sicherheitsrisiken (Common Vulnerabilities and Exposures, CVE):

Titel der Sicherheitsanfälligkeit CVE-Nummer Öffentlich gemeldet Ausgenutzt
Sicherheitsanfälligkeit in Microsoft Edge bezüglich Umgehung von Sicherheitsfunktionen CVE-2017-0066 Nein Nein
Sicherheitsanfälligkeit in Microsoft Edge bezüglich Umgehung von Sicherheitsfunktionen CVE-2017-0135 Nein Nein
Sicherheitsanfälligkeit in Microsoft Edge bezüglich Umgehung von Sicherheitsfunktionen CVE-2017-0140 Nein Nein

Schadensbegrenzende Faktoren

Für diese Sicherheitsrisiken gibt es noch keine schadensbegrenzenden Faktoren.

Problemumgehungen

Für diese Sicherheitsanfälligkeiten gibt es bislang keine Problemumgehungen.

Sicherheitsanfälligkeit in Microsoft Edge bezüglich Speicherbeschädigung CVE-2017-0034

Es liegt eine Sicherheitsanfälligkeit bezüglich Remotecodeausführung vor, wenn Microsoft Edge nicht richtig auf Objekte im Speicher zugreift. Durch das Sicherheitsrisiko kann der Arbeitsspeicher so beschädigt werden, dass ein Angreifer im Kontext des aktuellen Benutzers beliebigen Code ausführen kann. Ein Angreifer, der die Sicherheitsanfälligkeit erfolgreich ausnutzt, kann die gleichen Benutzerrechte erlangen wie der aktuelle Benutzer. Wenn der aktuelle Benutzer mit Administratorrechten angemeldet ist, kann ein Angreifer die Kontrolle über ein betroffenes System übernehmen. Ein Angreifer kann dann Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten mit sämtlichen Benutzerrechten erstellen.

Ein Angreifer kann eine speziell gestaltete Website hosten, die darauf ausgelegt ist, die Sicherheitsanfälligkeit über Microsoft Edge auszunutzen, und dann einen Benutzer zum Besuch der Website verleiten. Der Angreifer kann auch manipulierte Websites und Websites ausnutzen, die von Endbenutzern bereitgestellte Inhalte oder Werbemitteilungen akzeptieren oder hosten, welche wiederum speziell gestaltete Inhalte enthalten, über die die Sicherheitsanfälligkeit ausgenutzt werden kann. Ein Angreifer kann Benutzer jedoch nicht zwingen, die vom Angreifer kontrollierten Inhalte anzuzeigen. Stattdessen muss ein Angreifer Benutzer zu Handlungen verleiten. Zu diesem Zweck werden Benutzer normalerweise dazu gebracht, auf einen Link in einer Chat- oder E-Mail-Nachricht zu klicken oder einen E-Mail-Anhang zu öffnen.

Das Update behebt die Sicherheitsanfälligkeit, indem geändert wird, wie Microsoft Edge Objekte im Arbeitsspeicher verarbeitet.

Die folgende Tabelle enthält einen Link zum jeweiligen Standardeintrag des Sicherheitsrisikos in der Liste allgemeiner Sicherheitsrisiken (Common Vulnerabilities and Exposures, CVE):

Titel der Sicherheitsanfälligkeit CVE-Nummer Öffentlich gemeldet Ausgenutzt
Sicherheitsanfälligkeit in Microsoft Edge bezüglich Speicherbeschädigung CVE-2017-0034 Nein Nein

Schadensbegrenzende Faktoren

Für die Sicherheitsanfälligkeit sind noch keine schadensbegrenzenden Faktoren bekannt.

Problemumgehungen

Für diese Sicherheitsanfälligkeiten gibt es bislang keine Problemumgehungen.

Bereitstellung von Sicherheitsupdates

Informationen zur Bereitstellung von Sicherheitsupdates finden Sie in dem Microsoft Knowledge Base-Artikel, auf den hier in der Kurzzusammenfassung verwiesen wird.

Danksagung

Microsoft würdigt die Bemühungen derjenigen Benutzer der Sicherheitscommunity, die uns dabei helfen, Kunden durch eine koordinierte Offenlegung von Sicherheitsanfälligkeiten zu schützen. Weitere Informationen finden Sie unter Danksagung.

Haftungsausschluss

Die Informationen der Microsoft Knowledge Base werden wie besehen und ohne jede Gewährleistung bereitgestellt. Microsoft schließt alle anderen Garantien, gleichgültig, ob ausdrücklich oder konkludent, einschließlich der Garantien der Handelsüblichkeit oder Eignung für einen bestimmten Zweck aus. In keinem Fall kann die Microsoft Corporation und/oder deren jeweilige Lieferanten haftbar gemacht werden für Schäden irgendeiner Art, einschließlich direkter, indirekter, zufällig entstandener Schäden, Folgeschäden, Folgen entgangenen Gewinns oder spezieller Schäden, selbst dann nicht, wenn Microsoft Corporation und/oder deren jeweilige Lieferanten auf die mögliche Entstehung dieser Schäden hingewiesen wurde. Weil in einigen Staaten/Rechtsordnungen der Ausschluss oder die Beschränkung einer Haftung für zufällig entstandene Schäden oder Folgeschäden nicht gestattet ist, gilt die obige Einschränkung eventuell nicht für Sie.

Revisionen

  • V1.0 (14. März 2017): Bulletin veröffentlicht.
  • V2.0 (8. August 2017): Um CVE-2017-0071 umfassend zu beheben, hat Microsoft die Sicherheitsupdates vom Juli für alle Versionen von Windows 10 veröffentlicht. Beachten Sie, dass Windows 10 für 32-Bit-Systeme, Windows 10 für x64-basierte Systeme, Windows 10 Version 1703 für 32-Bit-Systeme und Windows 10 Version 1703 für x64-basierte Systeme zur Tabelle „Betroffene Produkte“ hinzugefügt wurden, da sie ebenfalls von dieser Sicherheitsanfälligkeit betroffen sind. Microsoft empfiehlt Kunden, soweit noch nicht geschehen, die Sicherheitsupdates vom Juli 2017 zu installieren, um vor dieser Sicherheitsanfälligkeit vollständig geschützt zu sein.

Seite generiert am 02.08.2017 um 09:24-07:00.