Microsoft Security Bulletin MS14-032 – Hoch

  • Artikel
  • 8 Minuten Lesedauer

Sicherheitsanfälligkeit in Microsoft Lync Server kann Offenlegung von Informationen ermöglichen (2969258)

Veröffentlicht: 10. Juni 2014

Version: 1.0

Allgemeine Informationen

Kurzzusammenfassung

Dieses Sicherheitsupdate behebt eine vertraulich gemeldete Sicherheitsanfälligkeit in Microsoft Lync Server. Die Sicherheitsanfälligkeit kann eine Offenlegung von Informationen ermöglichen, wenn ein Benutzer versucht, einer Lync-Besprechung beizutreten, indem er auf eine speziell gestaltete Besprechungs-URL klickt.

Dieses Sicherheitsupdate wird für unterstützte Editionen von Microsoft Lync Server 2010 und Microsoft Lync Server 2013 als Hoch eingestuft. Weitere Informationen finden Sie im Abschnitt Betroffene und nicht betroffene Software.

Das Sicherheitsupdate behebt die Sicherheitsanfälligkeit, indem korrigiert wird, wie Microsoft Lync Server Inhalte verarbeitet und bereinigt. Weitere Informationen zu der Sicherheitsanfälligkeit finden Sie im Unterabschnitt Häufig gestellte Fragen (FAQs) für die bestimmte Sicherheitsanfälligkeit weiter unten in diesem Bulletin.

Empfehlung. Die meisten Benutzer haben die automatische Aktualisierung aktiviert und müssen keine Maßnahmen ergreifen, da dieses Sicherheitsupdate automatisch heruntergeladen und installiert wird. Benutzer, die die automatische Aktualisierung nicht aktiviert haben, müssen auf Updates prüfen und dieses Update manuell installieren. Weitere Informationen zu bestimmten Konfigurationsoptionen bei der automatischen Aktualisierung finden Sie im Microsoft Knowledge Base-Artikel 294871.

Für Administratoren und für Installationen in Unternehmen bzw. für Endbenutzer, die dieses Sicherheitsupdate manuell installieren möchten, empfiehlt Microsoft, das Update so schnell wie möglich mit Updateverwaltungssoftware zu installieren bzw. mithilfe des Diensts Microsoft Update auf Updates zu prüfen.

Siehe auch den Abschnitt Tools und Anleitungen zur Erkennung und Bereitstellung weiter unten in diesem Bulletin.

Knowledge Base-Artikel

  • Knowledge Base-Artikel: 2969258
  • Dateiinformationen: Ja
  • SHA1/SHA2-Hashes: Ja
  • Bekannte Probleme: Keine

 

Betroffene und nicht betroffene Software

Folgende Software wurde getestet, um zu ermitteln, welche Versionen oder Editionen betroffen sind. Andere Versionen haben entweder das Ende des Lebenszyklus überschritten oder sind nicht betroffen. Besuchen Sie die Website Microsoft Support Lifecycle, um den Supportlebenszyklus für Ihre Softwareversion oder Edition zu ermitteln.

Betroffene Software 

**Betriebssystem** **Maximale Sicherheitsauswirkung** **Bewertung des Gesamtschweregrads** **Ersetzte Updates**
**Microsoft Lync Server**
[Microsoft Lync Server 2010](https://www.microsoft.com/download/details.aspx?familyid=b75d1d77-c4c9-4f90-b76e-0b4796a62d95)[1] (Webkomponentenserver) (2963286) Offenlegung von Informationen Hoch Keine
[Microsoft Lync Server 2013](https://www.microsoft.com/download/details.aspx?familyid=55a61b7b-45f9-4ed3-83b9-2fa6ee7295fb)[1] (Webkomponentenserver) (2963288) Offenlegung von Informationen Hoch 2827754 in [MS13-041](https://go.microsoft.com/fwlink/?linkid=293445)
[1]Durch die Installation dieses Sicherheitsupdate werden auch kumulative Updates für Lync Server installiert. Weitere Informationen finden Sie im zugehörigen Knowledge Base-Artikel.

 

Nicht betroffene Software

Betriebssystem
Microsoft Communicator 2005
Microsoft Communicator 2005 Web Access
Microsoft Communicator 2007
Microsoft Communicator 2007 Web Access
Microsoft Communications Server 2007
Microsoft Communications Server 2007 Speech Server
Microsoft Communications Server 2007 R2
Microsoft Communicator 2007 R2
Microsoft Communicator 2007 R2 Attendant
Microsoft Communicator 2007 R2 Group Chat Admin
Microsoft Communicator 2007 R2 Group Chat Client
Microsoft Live Meeting 2007 Console
Microsoft Communicator für Mac 2011
Microsoft Communicator Mobile
Microsoft Communicator Phone Edition
Microsoft Lync 2010 (32-Bit)
Microsoft Lync 2010 (64-Bit)
Microsoft Lync 2010 Attendee (Installation auf Administratorebene)
Microsoft Lync 2010 Attendee (Installation auf Benutzerebene)
Microsoft Lync 2010 Attendant (32-Bit)
Microsoft Lync 2010 Attendant (64-Bit)
Microsoft Lync 2010 Group Chat
Microsoft Lync Server 2010 Group Chat Software Development Kits
Microsoft Lync für Mac 2011
Microsoft Lync 2013 (32-Bit)
Microsoft Lync Basic 2013 (32-Bit)
Microsoft Lync 2013 (64-Bit)
Microsoft Lync Basic 2013 (64-Bit)
Häufig gestellte Fragen (FAQs) zu diesem Update ----------------------------------------------- **MS14-036 und MS14-032 beheben Sicherheitsanfälligkeiten in Microsoft Lync. Stehen die Sicherheitsupdates in den beiden Bulletins in Beziehung zueinander?** Nein. Die Sicherheitsupdates in MS14-036 und MS14-032 stehen nicht in Beziehung zueinander. Benutzer sollten die Updates in beiden Bulletins für die Software auf ihren Systemen installieren. **Ich verwende eine ältere Version der in diesem Security Bulletin beschriebenen Software. Was soll ich tun?**  Die in diesem Bulletin aufgeführte betroffene Software wurde daraufhin getestet, welche Versionen betroffen sind. Andere Versionen haben das Ende ihrer Supportlebenszyklen erreicht. Weitere Informationen zu den Produktzyklen finden Sie auf der Website [Microsoft Support Lifecycle](https://support.microsoft.com/default.aspx?scid=fh;%5Bln%5D;lifecycle&displaylang=de). Benutzer älterer Versionen dieser Software sollten möglichst bald zu Versionen migrieren, für die Support angeboten wird, um sich vor künftigen Sicherheitsanfälligkeiten zu schützen. Informationen zum Ermitteln des Supportlebenszyklus für Ihre Softwareversion finden Sie unter [Produkt für Lebenszyklusinformationen auswählen](https://go.microsoft.com/fwlink/?linkid=169555). Weitere Informationen zu Service Packs für diese Softwareversionen finden Sie unter [Service Pack Lifecycle Support Policy](https://support.microsoft.com/?ln=de-de&scid=gp%3b%5bln%5d%3blifecycle&x=13&y=15). Benutzer, die zusätzlichen Support für ältere Software benötigen, müssen sich an ihren Microsoft-Kundenbetreuer, ihren Technical Account Manager oder den jeweiligen Microsoft-Partner wenden, um Supportangebote in Anspruch nehmen zu können. Endbenutzer, die nicht über einen Premier- oder Authorized-Vertrag verfügen, können sich mit der regionalen Microsoft-Vertriebsniederlassung in Verbindung setzen. Kontaktinformationen finden Sie auf der Website [Microsoft Worldwide](https://support.microsoft.com/?ln=de-de&scid=gp%3b%5bln%5d%3blifecycle&x=13&y=15). Wählen Sie in der Liste „Kontaktinformationen“ Ihr Land aus, und klicken Sie auf **Go**. Es wird eine Telefonnummer für Ihr Land angezeigt. Wenn Sie unter der angegebenen Nummer anrufen, fragen Sie bitte nach dem regionalen Vertriebsmanager für Premier Support. Weitere Informationen finden Sie auf der Seite [Microsoft Support Lifecycle-Richtlinie – Häufig gestellte Fragen (FAQ)](https://go.microsoft.com/fwlink/?linkid=169557). Bewertungen des Schweregrads und Kennungen der Sicherheitsanfälligkeit ---------------------------------------------------------------------- Bei der folgenden Bewertung des Schweregrads wird die potenzielle maximale Auswirkung der Sicherheitsanfälligkeit angenommen. Informationen zur Wahrscheinlichkeit der Ausnutzung der Sicherheitsanfälligkeit in Bezug auf die Bewertung des Schweregrads und die Sicherheitsauswirkung innerhalb von 30 Tagen nach Veröffentlichung dieses Security Bulletins finden Sie im Ausnutzbarkeitsindex im [Bulletin Summary für Juni](https://technet.microsoft.com/library/security/ms14-jun). Weitere Informationen finden Sie in [Microsoft-Ausnutzbarkeitsindex](https://technet.microsoft.com/de-de/security/cc998259).

**Bewertung des Schweregrads und maximale Sicherheitsauswirkung nach betroffener Software**
**Betroffene Software** **Sicherheitsanfälligkeit in Lync Server bezüglich Inhaltsbereinigung – CVE-2014-1823** **Bewertung des Gesamtschweregrads**
**Microsoft Lync Server**
Microsoft Lync Server 2010 (Webkomponentenserver) (2963286) **Hoch**  Offenlegung von Informationen **Hoch**
Microsoft Lync Server 2013 (Webkomponentenserver) (2963288) **Hoch**  Offenlegung von Informationen **Hoch**

Sicherheitsanfälligkeit in Lync Server bezüglich Inhaltsbereinigung – CVE-2014-1823

Es liegt eine Sicherheitsanfälligkeit durch Offenlegung von Informationen vor, die dadurch verursacht wird, dass Lync Server speziell gestaltete Inhalte nicht richtig bereinigt. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, könnte Skripte im Browser des Benutzers ausführen, um Informationen aus Websitzungen zu erhalten.

Informationen zum Anzeigen dieser Sicherheitsanfälligkeit als Standardeintrag in der Liste allgemeiner Sicherheitsanfälligkeiten finden Sie unter CVE-2014-1823.

Schadensbegrenzende Faktoren

Für diese Sicherheitsanfälligkeit gibt es noch keine schadensbegrenzenden Faktoren.

Problemumgehungen

Für diese Sicherheitsanfälligkeit gibt es bislang keine Problemumgehungen. 

Häufig gestellte Fragen (FAQs)

Worin genau besteht diese Sicherheitsanfälligkeit?
Dies ist eine Sicherheitsanfälligkeit, die sich auf die Offenlegung von Informationen bezieht.

Was ist die Ursache dieser Sicherheitsanfälligkeit?
Die Sicherheitsanfälligkeit wird verursacht, wenn Lync Server speziell gestaltete Inhalte nicht richtig bereinigt.

Was kann ein Angreifer über diese Sicherheitsanfälligkeit erreichen?  Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, könnte Skripte im Browser des Benutzers ausführen, um Informationen aus Websitzungen zu erhalten.

Wie gehen Angreifer vor, um diese Sicherheitsanfälligkeit auszunutzen?
Um diese Sicherheitsanfälligkeit auszunutzen, muss ein Angreifer einen Benutzer dazu verleiten, auf eine speziell gestaltete URL für eine Lync-Besprechung zu klicken, die eine gültige ID einer Lync-Besprechung aufweist.

Für welche Systeme stellt diese Sicherheitsanfälligkeit hauptsächlich ein Risiko dar?
Systeme, auf denen betroffene Editionen von Microsoft Lync Server installiert sind, sowie die damit verbundenen Lync-Clients sind durch diese Sicherheitsanfälligkeit gefährdet.

Was bewirkt das Update?
Dieses Update behebt die Sicherheitsanfälligkeit, indem korrigiert wird, wie Microsoft Lync Server Inhalte verarbeitet und bereinigt.

War diese Sicherheitsanfälligkeit zum Zeitpunkt der Veröffentlichung dieses Security Bulletins bereits öffentlich bekannt?
Nein. Microsoft erhielt Informationen zu dieser Sicherheitsanfälligkeit durch verantwortungsvolle Offenlegung.

Lagen Microsoft zum Zeitpunkt der Veröffentlichung dieses Security Bulletins Informationen vor, dass diese Sicherheitsanfälligkeit bereits ausgenutzt wurde?
Nein. Microsoft lagen zum Zeitpunkt der Erstveröffentlichung dieses Security Bulletins keine Informationen vor, dass diese Sicherheitsanfälligkeit öffentlich für Angriffe auf Benutzer ausgenutzt wurde.

Tools und Anleitungen zur Erkennung und Bereitstellung

Es stehen mehrere Ressourcen zur Verfügung, um Administratoren bei der Bereitstellung von Sicherheitsupdates zu helfen. 

  • Der Microsoft Baseline Security Analyzer (MBSA) ermöglicht Administratoren die Überprüfung von lokalen und Remotesystemen im Hinblick auf fehlende Sicherheitsupdates sowie auf häufig falsch konfigurierte Sicherheitsparameter. 
  • Windows-Server Update Services (WSUS), Systems Management Server (SMS) und System Center Configuration Manager helfen Administratoren beim Verteilen von Sicherheitsupdates. 
  • Die im Anwendungskompatibilitäts-Toolkit enthaltenen Komponenten zur Updatekompatibilitätsbewertung helfen dabei, die Vereinbarkeit von Windows-Updates mit installierten Anwendungen zu testen und zu überprüfen. 

Weitere Informationen zu diesen und weiteren verfügbaren Tools finden Sie unter Sicherheitstools

Bereitstellung von Sicherheitsupdates

Microsoft Lync Server 2010 und Microsoft Lync Server 2013

Referenztabelle

Die folgende Tabelle enthält die Informationen zu Sicherheitsupdates für diese Software.

Dateinamen der Sicherheitsupdates Für Microsoft Lync Server 2010 (2963286):
WebComponents.msp

Für Microsoft Lync Server 2013 (2963288):
WebComponents.msp
Installationsoptionen Siehe Microsoft Knowledge Base-Artikel 912203.
Neustartanforderung Für dieses Update ist kein Neustart des Computers erforderlich. Das Installationsprogramm beendet die erforderlichen Dienste, installiert das Update und startet die Dienste dann neu. Wenn jedoch die erforderlichen Dienste aus irgendwelchen Gründen nicht beendet werden können oder benötigte Dateien aktuell verwendet werden, ist für dieses Update ein Neustart des Computers erforderlich. In diesem Fall wird eine Meldung angezeigt, die über den erforderlichen Neustart informiert.
Informationen zur Deinstallation Verwenden Sie die Option Software in der Systemsteuerung.
Dateiinformationen Für Microsoft Lync Server 2010:
Siehe Microsoft Knowledge Base-Artikel 2963286.

Für Microsoft Lync Server 2013:
Siehe Microsoft Knowledge Base-Artikel 2963288.
Überprüfung des Registrierungsschlüssels Für Microsoft Lync Server 2010:
HKEY_LOCAL_MACHINE\Software\Microsoft\Real-Time Communications\\{2A65AB9C-57AD-4EC6-BD4E-BD61A7C583B3}
Version = 4.0.7577.231

Für Microsoft Lync Server 2013:
HKEY_LOCAL_MACHINE\Software\Microsoft\Real-Time Communications\\{2A65AB9C-57AD-4EC6-BD4E-BD61A7C583B3}
Version = 5.0.8308.603

Weitere Informationen:

Microsoft Active Protections Program (MAPP)

Um den Sicherheitsschutz für Benutzer zu verbessern, stellt Microsoft den wichtigsten Sicherheitssoftwareanbietern vor der monatlichen Veröffentlichung der Sicherheitsupdates Informationen zu Sicherheitsanfälligkeiten bereit. Anbieter von Sicherheitssoftware können diese Informationen zu Sicherheitsanfälligkeiten dann verwenden, um Benutzern aktualisierten Schutz über ihre Sicherheitssoftware oder ihre Geräte bereitzustellen, z. B. Antivirus, netzwerkbasierte Angriffserkennungssysteme oder hostbasierte Angriffsverhinderungssysteme. Wenn Sie erfahren möchten, ob von den Sicherheitssoftwareanbietern aktiver Schutz verfügbar ist, besuchen Sie die von den Programmpartnern bereitgestellte Active Protections-Websites, die unter MAPP-Partner (Microsoft Active Protections Program) aufgeführt sind.

Support

So erhalten Sie Hilfe und Support zu diesem Sicherheitsupdate

Haftungsausschluss

Die Informationen der Microsoft Knowledge Base werden wie besehen und ohne jede Gewährleistung bereitgestellt. Microsoft schließt alle anderen Garantien, gleich ob ausdrücklich oder konkludent, einschließlich der Garantien der Handelsüblichkeit oder Eignung für einen bestimmten Zweck aus. In keinem Fall kann Microsoft Corporation und/oder deren jeweilige Lieferanten haftbar gemacht werden für Schäden irgendeiner Art, einschließlich direkter, indirekter, zufällig entstandener Schäden, Folgeschäden, Folgen entgangenen Gewinns oder spezieller Schäden, selbst dann nicht, wenn Microsoft Corporation und/oder deren jeweilige Lieferanten auf die mögliche Entstehung dieser Schäden hingewiesen wurde. Weil in einigen Staaten/Rechtsordnungen der Ausschluss oder die Beschränkung einer Haftung für zufällig entstandene Schäden oder Folgeschäden nicht gestattet ist, gilt die obige Einschränkung eventuell nicht für Sie.

Revisionen

  • V1.0 (10. Juni 2014): Bulletin veröffentlicht.

Seite generiert am 06.06.2014 um 16:39Z-07:00.