Security Bulletin

Microsoft Security Bulletin MS13-045 - Hoch

Sicherheitsanfälligkeit in der Windows Essentials kann Offenlegung von Informationen ermöglichen (2813707)

Veröffentlicht: Dienstag, 14. Mai 2013 | Aktualisiert: Mittwoch, 15. Mai 2013

Version: 1.1

Allgemeine Informationen

Kurzzusammenfassung

Dieses Sicherheitsupdate behebt eine vertraulich gemeldete Sicherheitsanfälligkeit in Windows Essentials. Die Sicherheitsanfälligkeit kann eine Offenlegung von Informationen ermöglichen, wenn ein Benutzer eine speziell gestaltete URL mit Windows Writer öffnet. Ein Angreifer, der die Sicherheitsanfälligkeit erfolgreich ausnutzt, kann Proxyeinstellungen von Windows Writer außer Kraft setzen und Dateien überschreiben, die dem Benutzer auf dem Zielsystem zugänglich sind. In einem webbasierten Angriffsszenario kann eine Website einen speziell gestalteten Link enthalten, mit dem diese Sicherheitsanfälligkeit ausgenutzt wird. Ein Angreifer muss Benutzer dazu verleiten, die Website zu besuchen und den speziell gestalteten Link zu öffnen.

Dieses Sicherheitsupdate wird für Windows Writer bei Installation unter allen unterstützten Editionen von Microsoft Windows als Hoch eingestuft. Weitere Informationen finden Sie im Unterabschnitt Betroffene und nicht betroffene Software in diesem Abschnitt.

Das Sicherheitsupdate behebt die Sicherheitsanfälligkeit, indem korrigiert wird, wie Windows Writer URL-Parameter verarbeitet. Weitere Informationen zur Sicherheitsanfälligkeit finden Sie im Unterabschnitt „Häufig gestellte Fragen (FAQs)“ für den bestimmten Sicherheitsanfälligkeitseintrag unter dem nächsten Abschnitt Informationen zu Sicherheitsanfälligkeiten.

Empfehlung. Microsoft empfiehlt Benutzern, dieses Sicherheitsupdate so schnell wie möglich zu installieren.

Siehe auch den Abschnitt Tools und Anleitungen zur Erkennung und Bereitstellung weiter unten in diesem Bulletin.

Knowledge Base-Artikel

Knowledge Base-Artikel 2813707
Dateiinformationen Ja
SHA1/SHA2-Hashes Ja
Bekannte Probleme Keine

Betroffene und nicht betroffene Software

Folgende Software wurde getestet, um zu ermitteln, welche Versionen oder Editionen betroffen sind. Andere Versionen haben entweder das Ende des Lebenszyklus überschritten oder sind nicht betroffen. Besuchen Sie die Website Microsoft Support Lifecycle, um den Supportlebenszyklus für Ihre Softwareversion oder Edition zu ermitteln.

Betroffene Software

Betriebssystem Maximale Sicherheitsauswirkung Bewertung des Gesamtschweregrads Ersetzte Updates
Windows Essentials 2011[1] Offenlegung von Informationen Hoch Keine
Windows Essentials 2012[1]
(2813707)
Offenlegung von Informationen Hoch Keine
[1]Für Windows Essentials 2011 ist kein Update verfügbar. Weitere Informationen finden Sie in den häufig gestellten Fragen (FAQs) zu diesem Update. [2]Dieses Update steht nur zum Herunterladen zur Verfügung. Häufig gestellte Fragen (FAQs) zu diesem Update ----------------------------------------------- **Wo ist das Update für Windows Essentials 2011?** Für Windows Essentials 2011 ist kein Update verfügbar. Microsoft empfiehlt allen Endbenutzern, diese Versionsaktualisierung auf Windows Essentials 2012 zu verwenden. Windows Essentials 2012 steht auf der Downloadseite [Windows Essentials](https://get.live.com/) zur Verfügung. **Was kann ich tun, wenn ich meine Version von Windows Essentials nicht aktualisieren kann?** Endbenutzer, die ihre Version von Windows Essentials nicht aktualisieren können, können den Windows Writer-Handler deaktivieren. Weitere Informationen zum Deaktivieren des Windows Writer-Handlers finden Sie in der Problemumgehung im Abschnitt **Sicherheitsanfälligkeit in Windows Essentials bezüglich fehlerhafter URI-Handhabung – CVE-2013-0096**. **Ich verwende eine ältere Version der in diesem Security Bulletin beschriebenen Software. Was soll ich tun?** Die in diesem Bulletin aufgeführte betroffene Software wurde daraufhin getestet, welche einzelnen Versionen betroffen sind. Andere Versionen haben das Ende ihrer Supportlebenszyklen erreicht. Weitere Informationen zu den Produktzyklen finden Sie auf der Website [Microsoft Support Lifecycle](https://support.microsoft.com/default.aspx?scid=fh;%5Bln%5D;lifecycle&displaylang=de). Benutzer älterer Versionen dieser Software sollten möglichst bald zu Versionen migrieren, für die Support angeboten wird, um sich vor künftigen Sicherheitsanfälligkeiten zu schützen. Informationen zum Ermitteln des Supportlebenszyklus für Ihre Softwareversion finden Sie unter [Produkt für Lebenszyklusinformationen auswählen](https://go.microsoft.com/fwlink/?linkid=169555). Weitere Informationen zu Service Packs für diese Softwareversionen finden Sie unter [Service Pack Lifecycle Support Policy](https://support.microsoft.com/?ln=de-de&scid=gp%3b%5bln%5d%3blifecycle&x=13&y=15). Benutzer, die zusätzlichen Support für ältere Software benötigen, müssen sich an ihren Microsoft-Kundenbetreuer, ihren Technical Account Manager oder den jeweiligen Microsoft-Partner wenden, um Supportangebote in Anspruch nehmen zu können. Kunden, die nicht über einen Alliance-, Premier- oder Authorized-Vertrag verfügen, können sich mit der regionalen Microsoft-Vertriebsniederlassung in Verbindung setzen. Kontaktinformationen finden Sie auf der Website [Microsoft Worldwide](https://support.microsoft.com/?ln=de-de&scid=gp%3b%5bln%5d%3blifecycle&x=13&y=15). Wählen Sie in der Liste „Kontaktinformationen“ Ihr Land aus, und klicken Sie auf **Go**. Es wird eine Telefonnummer für Ihr Land angezeigt. Wenn Sie unter der angegebenen Nummer anrufen, fragen Sie bitte nach dem regionalen Vertriebsmanager für Premier Support. Weitere Informationen finden Sie auf der Seite [Microsoft Support Lifecycle-Richtlinie – Häufig gestellte Fragen (FAQ)](https://go.microsoft.com/fwlink/?linkid=169557). ### **Informationen zu Sicherheitsanfälligkeiten** Bewertungen des Schweregrads und Kennungen der Sicherheitsanfälligkeit ---------------------------------------------------------------------- Bei der folgenden Bewertung des Schweregrads wird die potenzielle maximale Auswirkung der Sicherheitsanfälligkeit angenommen. Informationen zur Wahrscheinlichkeit der Ausnutzung der Sicherheitsanfälligkeit in Bezug auf die Bewertung des Schweregrads und die Sicherheitsauswirkung innerhalb von 30 Tagen nach Veröffentlichung dieses Security Bulletins finden Sie im Ausnutzbarkeitsindex im [Bulletin Summary für Mai](https://technet.microsoft.com/security/bulletin/ms13-may). Weitere Informationen finden Sie in [Microsoft-Ausnutzbarkeitsindex](https://technet.microsoft.com/de-de/security/cc998259).

Bewertung des Schweregrads und maximale Sicherheitsauswirkung nach betroffener Software
Betroffene Software Sicherheitsanfälligkeit in Windows Essentials bezüglich fehlerhafter URI-Handhabung – CVE-2013-0096 Bewertung des Gesamtschweregrads
Windows Essentials 2011 Hoch
Offenlegung von Informationen
Hoch
Windows Essentials 2012 Hoch
Offenlegung von Informationen
Hoch
Sicherheitsanfälligkeit in Windows Essentials bezüglich fehlerhafter URI-Handhabung – CVE-2013-0096 --------------------------------------------------------------------------------------------------- Es liegt eine Sicherheitsanfälligkeit durch Offenlegung von Informationen vor, die dadurch verursacht wird, dass Windows Writer eine speziell gestaltete URL nicht richtig verarbeitet. Ein Angreifer, der die Sicherheitsanfälligkeit erfolgreich ausnutzt, kann Proxyeinstellungen von Windows Writer außer Kraft setzen und Dateien überschreiben, die dem Benutzer auf dem Zielsystem zugänglich sind. Informationen zum Anzeigen dieser Sicherheitsanfälligkeit als Standardeintrag in der Liste allgemeiner Sicherheitsanfälligkeiten finden Sie unter [CVE-2013-0096](https://www.cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2013-0096). #### Schadensbegrenzende Faktoren Schadensbegrenzung bezieht sich auf eine Einstellung, häufige Konfiguration oder allgemeine empfohlene Vorgehensweise, die in einem Standardzustand existieren und den Schweregrad der Ausnutzung einer Sicherheitsanfälligkeit verringern können. Die folgenden schadensbegrenzenden Faktoren könnten hilfreich für Sie sein: - In einem webbasierten Angriffsszenario muss ein Angreifer eine Website hosten und einen Benutzer dazu verleiten, auf eine speziell gestaltete URL zu klicken, um diese Sicherheitsanfälligkeit auszunutzen. Ein Angreifer kann Endbenutzer jedoch nicht zum Besuch solcher Websites zwingen. Er muss den Benutzer zum Besuch dieser Website verleiten. Zu diesem Zweck wird der Benutzer meist dazu gebracht, in einer E-Mail oder einer Instant Messenger-Nachricht auf einen Link zur Website des Angreifers zu klicken. #### Problemumgehungen Problemumgehung bezieht sich auf eine Einstellung oder Konfigurationsänderung, die die zugrunde liegende Sicherheitsanfälligkeit nicht behebt, sondern die bekannten Angriffsmethoden blockiert, bevor Sie das Update installieren. Microsoft hat die folgenden Problemumgehungen getestet und gibt in der Beschreibung an, ob eine Problembehebung die Funktionalität einschränkt: - **Übernehmen der Microsoft Fix it-Lösung „Windows Writer deaktivieren“, wodurch die Ausnutzung dieser Sicherheitsanfälligkeit verhindert wird** Im [Microsoft Knowledge Base-Artikel 2813707](https://support.microsoft.com/kb/2813707) finden Sie Informationen zum Aktivieren bzw. Deaktivieren dieser Problemumgehung mithilfe der automatisierten **Microsoft Fix it**-Lösung. **Auswirkung der Problemumgehung:** Benutzer, die ihre Systeme mit dieser Problemumgehung konfiguriert haben, können keine Anfragen vom Windows Writer-Handler mehr bearbeiten, die normalerweise Windows Writer starten würden. #### Häufig gestellte Fragen (FAQs) **Worin genau besteht diese Sicherheitsanfälligkeit?** Dies ist eine Sicherheitsanfälligkeit, die sich auf die Offenlegung von Informationen bezieht. **Was ist die Ursache dieser Sicherheitsanfälligkeit?** Die Sicherheitsanfälligkeit wird dadurch verursacht, dass Windows Writer URL-Parameter nicht richtig verarbeitet. **Was ist Windows Essentials?** Windows Essentials ist eine Suite von Produkten, die in einem einfachen Download verfügbar ist. Die Suite beinhaltet Photo Gallery, Mail, Movie Maker, Writer, Family Safety, Bing Bar und Microsoft Silverlight. **Was ist Windows Writer?** Windows Writer ist eine Clientanwendung für Windows, die Benutzern eine Möglichkeit bietet, Bloginhalt online zu erstellen, zu aktualisieren und zu verwalten. Die Anwendung ist Bestandteil der kostenlosen Windows Essentials Softwaresuite, die mehrere Anwendungen (wie Messenger, Mail, Photo Gallery und Movie Maker) umfasst, die allgemeine Aufgaben im Verbraucherraum durchführen. **Was kann ein Angreifer über diese Sicherheitsanfälligkeit erreichen?** Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann Proxyeinstellungen von Windows Writer außer Kraft setzen und Dateien überschreiben, die dem Benutzer auf dem Zielsystem zugänglich sind. **Wie gehen Angreifer vor, um diese Sicherheitsanfälligkeit auszunutzen?** Diese Sicherheitsanfälligkeit kann ausgenutzt werden, wenn ein Benutzer Writer mit einer speziell gestalteten URL öffnen muss. In einem E-Mail-Angriffsszenario kann ein Angreifer die Sicherheitsanfälligkeit ausnutzen, indem er eine E-Mail-Nachricht mit der speziell gestalteten URL an einen Benutzer sendet und den Benutzer dazu verleitet, auf die speziell gestaltete URL zu klicken. In einem webbasierten Angriffsszenario muss ein Angreifer eine Website hosten, die eine speziell gestaltete URL enthält. Außerdem können manipulierte Websites und Websites, die von Benutzern bereitgestellte Inhalte akzeptieren oder hosten, speziell gestaltete Inhalte enthalten, über die diese Sicherheitsanfälligkeit ausgenutzt werden kann. Ein Angreifer kann Benutzer nicht zum Besuch einer speziell gestalteten Website zwingen. Stattdessen muss ein Angreifer Benutzer dazu verleiten, die Website zu besuchen. Zu diesem Zweck werden die Benutzer normalerweise dazu gebracht, auf einen Link in einer E-Mail-Nachricht oder Instant Messenger-Nachricht zu klicken, die sie zur Website des Angreifers führt. Dort werden die Benutzer dazu verleitet, auf die speziell gestaltete URL zu klicken. **Für welche Systeme stellt diese Sicherheitsanfälligkeit hauptsächlich ein Risiko dar?** Systeme, auf denen Windows Writer installiert ist, sind gefährdet. **Was bewirkt das Update?** Das Update behebt die Sicherheitsanfälligkeit, indem korrigiert wird, wie Windows Writer URL-Parameter verarbeitet. **War diese Sicherheitsanfälligkeit zum Zeitpunkt der Veröffentlichung dieses Security Bulletins bereits öffentlich bekannt?** Nein. Microsoft hat Informationen zu dieser Sicherheitsanfälligkeit durch eine koordinierte Offenlegung der Sicherheitsanfälligkeit erhalten. **Lagen Microsoft zum Zeitpunkt der Veröffentlichung dieses Security Bulletins Informationen vor, dass diese Sicherheitsanfälligkeit bereits ausgenutzt wurde?** Nein. Microsoft lagen zum Zeitpunkt der Erstveröffentlichung dieses Security Bulletins keine Informationen vor, dass diese Sicherheitsanfälligkeit öffentlich für Angriffe auf Benutzer ausgenutzt wurde. ### Informationen zum Update Tools und Anleitungen zur Erkennung und Bereitstellung ------------------------------------------------------ **Sicherheitsportal:** Verwalten Sie die Software und die Sicherheitsupdates, die Sie den Servern, Desktops und mobilen Computern in Ihrer Organisation bereitstellen müssen. Weitere Informationen finden Sie im [TechNet Update Management Center](https://technet.microsoft.com/de-de/updatemanagement/bb245732). Die Website [Microsoft TechNet Sicherheit](https://technet.microsoft.com/de-de/security/default.aspx) bietet weitere Informationen zur Sicherheit von Microsoft-Produkten. Windows Essentials 2012 ist auf der [Windows Essentials](https://get.live.com/)-Download-Webseite verfügbar. Bereitstellung von Sicherheitsupdates ------------------------------------- **Betroffene Software** Um Informationen zum jeweiligen Sicherheitsupdate für Ihre betroffene Software zu erhalten, klicken Sie auf den entsprechenden Link: #### Windows Essentials 2012 **Referenztabelle** Die folgende Tabelle enthält die Informationen zu Sicherheitsupdates für diese Software.

Dateiname des Sicherheitsupdates Windows Essentials 2012
wlsetup-all.exe
Installationsoptionen Nicht anwendbar
Neustartanforderung Für dieses Update ist kein Neustart des Computers erforderlich. Falls die erforderlichen Dateien bei der Installation des Updates jedoch gerade verwendet werden, müssen Sie einen Neustart durchführen. In diesem Fall wird eine Meldung angezeigt, die über den erforderlichen Neustart informiert.
Informationen zur Deinstallation Dieses Update kann nicht deinstalliert werden.
Dateiinformationen Siehe Microsoft Knowledge Base-Artikel 2813707.
Überprüfung des Registrierungsschlüssels Hinweis Es ist kein Registrierungsschlüssel vorhanden, um die Anwesenheit dieses Updates zu belegen.
### Weitere Informationen: #### Danksagungen Microsoft [dankt](https://www.microsoft.com/germany/technet/sicherheit/bulletins/policy.mspx) den folgenden Personen, dass sie zum Schutz unserer Kunden mit uns zusammengearbeitet haben: - Andrea Micalizzi in Zusammenarbeit mit dem [SecuriTeam Secure Disclosure](https://www.beyondsecurity.com/ssd.html) von Beyond Security für den Hinweis auf die Sicherheitsanfälligkeit in Windows Essentials bezüglich fehlerhafter URI-Handhabung (CVE-2013-0096). #### Microsoft Active Protections Program (MAPP) Um den Sicherheitsschutz für Benutzer zu verbessern, stellt Microsoft den wichtigsten Sicherheitssoftwareanbietern vor der monatlichen Veröffentlichung der Sicherheitsupdates Informationen zu Sicherheitsanfälligkeiten bereit. Anbieter von Sicherheitssoftware können diese Informationen zu Sicherheitsanfälligkeiten dann verwenden, um Benutzern aktualisierten Schutz über ihre Sicherheitssoftware oder ihre Geräte bereitzustellen, z. B. Antivirus, netzwerkbasierte Angriffserkennungssysteme oder hostbasierte Angriffsverhinderungssysteme. Wenn Sie erfahren möchten, ob von den Sicherheitssoftwareanbietern aktiver Schutz verfügbar ist, besuchen Sie die von den Programmpartnern bereitgestellte Active Protections-Websites, die unter [MAPP-Partner (Microsoft Active Protections Program)](https://go.microsoft.com/fwlink/?linkid=215201) aufgeführt sind. #### Support **So erhalten Sie Hilfe und Support zu diesem Sicherheitsupdate** - Hilfe beim Installieren von Updates: [Support für Microsoft Update](https://support.microsoft.com/gp/windows-update-issues/de-de) - Sicherheitslösungen für IT-Experten: [TechNet Sicherheit – Problembehandlung und Support](https://technet.microsoft.com/de-de/security/bb980617.aspx) - So schützen Sie Ihren Computer, auf dem Windows ausgeführt wird, vor Viren und schädlicher Software: [Viruslösung und Security Center](https://support.microsoft.com/contactus/cu_sc_virsec_master) - Lokaler Support entsprechend Ihrem Land: [Internationaler Support](https://support.microsoft.com/common/international.aspx) #### Haftungsausschluss Die Informationen der Microsoft Knowledge Base werden wie besehen und ohne jede Gewährleistung bereitgestellt. Microsoft schließt alle anderen Garantien, gleich ob ausdrücklich oder konkludent, einschließlich der Garantien der Handelsüblichkeit oder Eignung für einen bestimmten Zweck aus. In keinem Fall kann Microsoft Corporation und/oder deren jeweilige Lieferanten haftbar gemacht werden für Schäden irgendeiner Art, einschließlich direkter, indirekter, zufällig entstandener Schäden, Folgeschäden, Folgen entgangenen Gewinns oder spezieller Schäden, selbst dann nicht, wenn Microsoft Corporation und/oder deren jeweilige Lieferanten auf die mögliche Entstehung dieser Schäden hingewiesen wurde. Weil in einigen Staaten/Rechtsordnungen der Ausschluss oder die Beschränkung einer Haftung für zufällig entstandene Schäden oder Folgeschäden nicht gestattet ist, gilt die obige Einschränkung eventuell nicht für Sie. #### Revisionen - V1.0 (14. Mai 2013): Bulletin veröffentlicht. - V1.1 (15. Mai 2013): Der Link zum Download im Abschnitt „Tools und Anleitungen zur Erkennung und Bereitstellung“ wurde korrigiert. Dies ist lediglich eine Informationsänderung. *Built at 2014-04-18T01:50:00Z-07:00*