Microsoft Security Bulletin MS14-084 – Kritisch

Sicherheitsrisiko in VBScript-Skriptmodul kann Remotecodeausführung ermöglichen (3016711)

Veröffentlicht: 9. Dezember 2014

Version: 1.0

Kurzfassung

Dieses Sicherheitsupdate behebt ein vertraulich gemeldetes Sicherheitsrisiko in der VBScript-Skript-Engine in Microsoft Windows. Die Sicherheitsanfälligkeit kann Remotecodeausführung ermöglichen, wenn ein Benutzer eine speziell gestaltete Website besucht. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann dieselben Benutzerrechte wie der aktuelle Benutzer erhalten. Wenn der aktuelle Benutzer mit Administratorrechten angemeldet ist, kann ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, die vollständige Kontrolle über ein betroffenes System übernehmen. Ein Angreifer könnte dann Programme installieren, Daten anzeigen, ändern, oder löschen oder neue Konten mit uneingeschränkten Benutzerrechten anlegen.

Dieses Sicherheitsupdate wird für betroffene Versionen der VBScript-Skripterstellungs-Engine auf betroffenen Windows-Clients kritisch und für die betroffenen Versionen des VBScript-Skriptmoduls auf betroffenen Windows-Servern als Mittel eingestuft. Weitere Informationen finden Sie im Abschnitt Betroffene Software .

Das Sicherheitsupdate behebt die Sicherheitsanfälligkeit, indem geändert wird, wie die VBScript-Skripterstellungs-Engine Objekte im Arbeitsspeicher verarbeitet. Weitere Informationen zu der Sicherheitsanfälligkeit finden Sie im Abschnitt Informationen zu Sicherheitsrisiken .

Weitere Informationen zu diesem Update finden Sie im Microsoft Knowledge Base-Artikel 3016711.

Betroffene Software

Die folgenden Versionen von VBScript sind von der in diesem Bulletin beschriebenen Sicherheitsanfälligkeit betroffen. Frühere Versionen oder Editionen, die nicht aufgeführt sind, haben entweder ihren Supportlebenszyklus hinter sich oder sind nicht betroffen. Die folgende betroffene Software gilt für Systeme, auf denen das Internet Explorer 8 oder früher installiert ist, und für Systeme ohne installiertes Internet Explorer. Kunden mit Systemen, auf denen internet Explorer 9 oder höher ausgeführt wird, sollten internet Explorer kumulative Update 3008923 (MS14-080) anwenden, das auch die in diesem Bulletin beschriebene Sicherheitsanfälligkeit behebt.

Betroffene Software 

Betriebssystem Komponente Maximale Sicherheitsbeeinträchtigung Bewertung des Aggregierten Schweregrads Updates ersetzt
Windows Server 2003
Windows Server 2003 Service Pack 2 VBScript 5.6 \ (3012168) Codeausführung von Remotestandorten Moderat 2909213 in \ MS14-011
Windows Server 2003 Service Pack 2 VBScript 5.7\ (3012172) Codeausführung von Remotestandorten Moderat 2909212 in \ MS14-011
Windows Server 2003 Service Pack 2 VBScript 5.8 \ (3012176) Codeausführung von Remotestandorten Moderat 2909210 in \ MS14-011
Windows Server 2003 x64 Edition Service Pack 2 VBScript 5.6\ (3012168) Codeausführung von Remotestandorten Moderat 2909213 in \ MS14-011
Windows Server 2003 x64 Edition Service Pack 2 VBScript 5.7 \ (3012172) Codeausführung von Remotestandorten Moderat 2909212 in \ MS14-011
Windows Server 2003 x64 Edition Service Pack 2 VBScript 5.8\ (3012176) Codeausführung von Remotestandorten Moderat 2909210 in \ MS14-011
Windows Server 2003 mit SP2 für Itanium-basierte Systeme VBScript 5.6 \ (3012168) Codeausführung von Remotestandorten Moderat 2909213 in \ MS14-011
Windows Server 2003 mit SP2 für Itanium-basierte Systeme VBScript 5.7\ (3012172) Codeausführung von Remotestandorten Moderat 2909212 in \ MS14-011
Windows Vista
Windows Vista Service Pack 2 VBScript 5.7 \ (3012172) Codeausführung von Remotestandorten Kritisch 2909212 in \ MS14-011
Windows Vista Service Pack 2 VBScript 5.8 (Nur für Systeme mit IE8)[1]\ (3012176) Codeausführung von Remotestandorten Kritisch 2909210 in \ MS14-011
Windows Vista x64 Edition Service Pack 2 VBScript 5.7\ (3012172) Codeausführung von Remotestandorten Kritisch 2909212 in \ MS14-011
Windows Vista x64 Edition Service Pack 2 VBScript 5.8 (Nur für Systeme mit IE8)[1]\ (3012176) Codeausführung von Remotestandorten Kritisch 2909210 in \ MS14-011
Windows Server 2008
Windows Server 2008 für 32-Bit-Systeme Service Pack 2 VBScript 5.7 \ (3012172) Codeausführung von Remotestandorten Moderat 2909212 in \ MS14-011
Windows Server 2008 für 32-Bit-Systeme Service Pack 2 VBScript 5.8 (Nur für Systeme mit IE8)[1]\ (3012176) Codeausführung von Remotestandorten Moderat 2909210 in \ MS14-011
Windows Server 2008 für x64-basierte Systeme Service Pack 2 VBScript 5.7 \ (3012172) Codeausführung von Remotestandorten Moderat 2909212 in \ MS14-011
Windows Server 2008 für x64-basierte Systeme Service Pack 2 VBScript 5.8 (Nur für Systeme mit IE8)[1]\ (3012176) Codeausführung von Remotestandorten Moderat 2909210 in \ MS14-011
Windows Server 2008 für Itanium-basierte Systeme Service Pack 2 VBScript 5.7 \ (3012172) Codeausführung von Remotestandorten Moderat 2909212 in \ MS14-011
Windows 7
Windows 7 für 32-Bit-Systeme Service Pack 1 VBScript 5.8 (Nur für Systeme mit IE8)[1]\ (3012176) Codeausführung von Remotestandorten Kritisch 2909210 in \ MS14-011
Windows 7 für x64-basierte Systeme Service Pack 1 VBScript 5.8 (Nur für Systeme mit IE8)[1]\ (3012176) Codeausführung von Remotestandorten Kritisch 2909210 in \ MS14-011
Windows Server 2008 R2
Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1 VBScript 5.8 (Nur für Systeme mit IE8)[1]\ (3012176) Codeausführung von Remotestandorten Moderat 2909210 in \ MS14-011
Windows Server 2008 R2 für Itanium-basierte Systeme Service Pack 1 VBScript 5.8 (Nur für Systeme mit IE8)[1]\ (3012176) Codeausführung von Remotestandorten Moderat 2909210 in \ MS14-011
Server Core-Installation
Windows Server 2008 für 32-Bit-Systeme Service Pack 2 VBScript 5.7 \ (3012172) Keine Keine Schweregradbewertung[2] 2909212 in \ MS14-011
Windows Server 2008 für 32-Bit-Systeme Service Pack 2 VBScript 5.8 \ (3012176) Keine Keine Schweregradbewertung[2] 2909210 in \ MS14-011
Windows Server 2008 für x64-basierte Systeme Service Pack 2 VBScript 5.7\ (3012172) Keine Keine Schweregradbewertung[2] 2909212 in \ MS14-011
Windows Server 2008 für x64-basierte Systeme Service Pack 2 VBScript 5.8 \ (3012176) Keine Keine Schweregradbewertung[2] 2909210 in \ MS14-011
Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1 VBScript 5.8 \ (3012176) Keine Keine Schweregradbewertung[2] 2909210 in \ MS14-011

Hinweis Ein Update für VBScript 5.8 ist für Windows Technical Preview und Windows Server Technical Preview verfügbar und wird über internet Explorer Cumulative Update 3008923 (MS14-080) bereitgestellt. Kunden, die Vorschaueditionen ausführen, werden empfohlen, das Update anzuwenden, das über Windows Update verfügbar ist.

[1]Dieses Update gilt für Systeme, auf denen internet Explorer 8 installiert ist. Kunden mit Systemen, auf denen internet Explorer 9 oder höher ausgeführt wird, sollten internet Explorer Cumulative Update 3008923 (MS14-080) anwenden, das auch die in diesem Bulletin beschriebene Sicherheitsanfälligkeit behebt.

[2]Schweregradbewertungen gelten für dieses Update für die angegebene Software nicht, da die bekannten Angriffsvektoren über das Internet Explorer für die in diesem Bulletin beschriebene Sicherheitsanfälligkeit blockiert sind. Microsoft empfiehlt Kunden dieser Software jedoch, dieses Sicherheitsupdate anzuwenden, um sich vor möglichen neuen Angriffsvektoren zu schützen, die in Zukunft identifiziert werden.

 

Häufig gestellte Fragen zum Aktualisieren

Gewusst wie bestimmen, welche Version der VBScript-Skript-Engine auf meinem System installiert ist?   Die VBScript-Skript-Engine wird mit unterstützten Versionen von Microsoft Windows installiert. Darüber hinaus kann die Installation einer neueren Version von Internet Explorer auf einem System die Version der installierten VBScript-Skript-Engine ändern.

Führen Sie die folgenden Schritte aus, um zu bestimmen, welche Version der VBScript-Skript-Engine auf Ihrem System installiert ist:

  1. Öffnen Sie Windows-Explorer.
  2. Navigieren Sie zum Verzeichnis %systemroot%\system32 .
  3. Klicken Sie mit der rechten Maustaste aufvbscript.dll, wählen Sie Eigenschaften aus, und klicken Sie dann auf Details.

Die Versionsnummer wird im Feld Dateiversion aufgeführt. Wenn Ihre Dateiversion mit 5.8 beginnt, z. B. 5.8.7600.16385, ist VBScript 5.8 auf Ihrem System installiert.

Wenn ich die auf meinem System installierte Version der VBScript-Skript-Engine kenne, wo erhalte ich das Update?
Die betroffene Software in diesem Bulletin gilt für Systeme ohne installierte Internet-Explorer und für Systeme mit installiertem Internet Explorer 8 oder früheren Versionen. Kunden mit Systemen, auf denen internet Explorer 9 oder höher ausgeführt wird, sollten das kumulative Update für internet Explorer (MS14-080) anwenden, das auch die in diesem Bulletin beschriebene Sicherheitsanfälligkeit behebt.

In der folgenden Tabelle ist zusammengefasst, welches Bulletin das Update nach Version von VBScript und Internet Explorer bereitstellt.

Version MS14-084 MS14 080
VBScript 5.6\ (Internet Explorer 6) VBScript 5.6 \ (3012168) Nicht verfügbar
VBScript 5.7\ (Internet Explorer 6 und Internet Explorer 7) VBScript 5.7 \ (3012172) Nicht verfügbar
VBScript 5.8\ (Internet Explorer 8) VBScript 5.8 \ (3012176) Nicht verfügbar
VBScript 5.8\ (Internet Explorer 9) Nicht verfügbar Internet Explorer 9 \ (3008923)
VBScript 5.8\ (Internet Explorer 10) Nicht verfügbar Internet Explorer 10 \ (3008923)
VBScript 5.8\ (Internet Explorer 11) Nicht verfügbar Internet Explorer 11 \ (3008923)

Schweregradbewertungen und Bezeichner für Sicherheitsrisiken

Bei den folgenden Schweregradbewertungen wird die potenzielle maximale Auswirkung der Sicherheitsanfälligkeit vorausgesetzt. Informationen zur Wahrscheinlichkeit der Ausnutzbarkeit des Sicherheitsrisikos innerhalb von 30 Tagen nach der Veröffentlichung dieses Security Bulletins in Bezug auf den Schweregrad und die Auswirkungen auf die Sicherheit finden Sie im Exploitability Index im Bulletin Summary vom Dezember.

Bewertung des Sicherheitsrisikoschweregrads und maximale Auswirkungen auf die Sicherheit durch betroffene Software
Betroffene Software Sicherheitsanfälligkeit in VBScript bezüglich Speicherbeschädigung – CVE-2014-6363 Bewertung des Aggregierten Schweregrads
VBScript 5.6 (Internet Explorer 6)
VBScript 5.6 unter Windows Server 2003 Service Pack 2 Moderate Remotecodeausführung Mittel
VBScript 5.6 unter Windows Server 2003 x64 Edition Service Pack 2 Moderate Remotecodeausführung Mittel
VBScript 5.6 unter Windows Server 2003 mit SP2 für Itanium-basierte Systeme ModerateRemotecodeausführung Mittel
VBScript 5.7 (Internet Explorer 7)
VBScript 5.7 unter Windows Server 2003 Service Pack 2 ModerateRemotecodeausführung Mittel
VBScript 5.7 unter Windows Server 2003 x64 Edition Service Pack 2 ModerateRemotecodeausführung Mittel
VBScript 5.7 unter Windows Server 2003 mit SP2 für Itanium-basierte Systeme ModerateRemotecodeausführung Mittel
VBScript 5.7 unter Windows Vista Service Pack 2 KritischRemotecodeausführung Critical (Kritisch)
VBScript 5.7 unter Windows Vista x64 Edition Service Pack 2 KritischRemotecodeausführung Critical (Kritisch)
VBScript 5.7 unter Windows Server 2008 für 32-Bit-Systeme Service Pack 2 ModerateRemotecodeausführung Mittel
VBScript 5.7 unter Windows Server 2008 für 32-Bit-Systeme Service Pack 2 (Server Core-Installation) NichtsKeine Schweregradbewertung None
VBScript 5.7 unter Windows Server 2008 für x64-basierte Systeme Service Pack 2 ModerateRemotecodeausführung Mittel
VBScript 5.7 unter Windows Server 2008 für x64-basierte Systeme Service Pack 2 (Server Core-Installation) None \ Keine Schweregradbewertung None
VBScript 5.7 unter Windows Server 2008 für Itanium-basierte Systeme Service Pack 2 ModerateRemotecodeausführung Mittel
VBScript 5.8 (Internet Explorer 8)
VBScript 5.8 unter Windows Server 2003 Service Pack 2 ModerateRemotecodeausführung Mittel
VBScript 5.8 unter Windows Server 2003 x64 Edition Service Pack 2 ModerateRemotecodeausführung Mittel
VBScript 5.8 unter Windows Vista Service Pack 2 KritischRemotecodeausführung Critical (Kritisch)
VBScript 5.8 unter Windows Vista x64 Edition Service Pack 2 KritischRemotecodeausführung Critical (Kritisch)
VBScript 5.8 unter Windows Server 2008 für 32-Bit-Systeme Service Pack 2 ModerateRemotecodeausführung Mittel
VBScript 5.8 unter Windows Server 2008 für 32-Bit-Systeme Service Pack 2 (Server Core-Installation) NichtsKeine Schweregradbewertung None
VBScript 5.8 unter Windows Server 2008 für x64-basierte Systeme Service Pack 2 ModerateRemotecodeausführung Mittel
VBScript 5.8 unter Windows Server 2008 für x64-basierte Systeme Service Pack 2 (Server Core-Installation) NichtsKeine Schweregradbewertung None
VBScript 5.8 unter Windows 7 für 32-Bit-Systeme Service Pack 1 KritischRemotecodeausführung Critical (Kritisch)
VBScript 5.8 unter Windows 7 für x64-basierte Systeme Service Pack 1 KritischRemotecodeausführung Critical (Kritisch)
VBScript 5.8 unter Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1 ModerateRemotecodeausführung Mittel
VBScript 5.8 unter Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1 (Server Core-Installation) NichtsKeine Schweregradbewertung None
VBScript 5.8 unter Windows Server 2008 R2 für Itanium-basierte Systeme Service Pack 1 ModerateRemotecodeausführung Mittel

Informationen zu Sicherheitsrisiken

Sicherheitsanfälligkeit in VBScript bezüglich Speicherbeschädigung – CVE-2014-6363

Ein Sicherheitsrisiko bei der Remotecodeausführung liegt in der Art und Weise vor, wie die VBScript-Engine objekte im Arbeitsspeicher verarbeitet, wenn sie im Internet Explorer gerendert wird. In einem webbasierten Angriffsszenario könnte ein Angreifer eine speziell gestaltete Website hosten, die entwickelt wurde, um diese Sicherheitsanfälligkeit über das Internet Explorer auszunutzen und dann einen Benutzer zu überzeugen, die Website anzuzeigen. Ein Angreifer könnte auch ein ActiveX-Steuerelement einbetten, das als "sicher für die Initialisierung" gekennzeichnet ist, in eine Anwendung oder ein Microsoft Office-Dokument, das die IE-Rendering-Engine hostet. Der Angreifer könnte auch kompromittierte Websites und Websites nutzen, die vom Benutzer bereitgestellte Inhalte oder Werbung akzeptieren oder hosten. Diese Websites könnten speziell gestaltete Inhalte enthalten, die diese Sicherheitsanfälligkeit ausnutzen könnten.

Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann die gleichen Benutzerrechte wie der aktuelle Benutzer erhalten. Wenn der aktuelle Benutzer mit Administratorrechten angemeldet ist, kann ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, die vollständige Kontrolle über ein betroffenes System übernehmen. Ein Angreifer könnte dann Programme installieren, Daten anzeigen, ändern, oder löschen oder neue Konten mit uneingeschränkten Benutzerrechten anlegen. Das Update behebt die Sicherheitsanfälligkeit, indem geändert wird, wie das VBScript-Skriptmodul Objekte im Arbeitsspeicher verarbeitet.

Microsoft hat Informationen zu diesem Sicherheitsrisiko durch koordinierte Offenlegung von Sicherheitsrisiken erhalten. Als dieses Sicherheitsbulletin ursprünglich veröffentlicht wurde, hatte Microsoft keine Informationen erhalten, die darauf hindeuten, dass diese Sicherheitsanfälligkeit öffentlich für Angriffe auf Kunden verwendet wurde.

Mildernde Faktoren

Microsoft hat keine mildernden Faktoren für diese Sicherheitsanfälligkeit identifiziert.

Problemumgehungen

Microsoft hat keine Problemumgehungen für dieses Sicherheitsrisiko identifiziert.

Bereitstellung von Sicherheitsupdates

Informationen zur Bereitstellung von Sicherheitsupdates finden Sie im Microsoft Knowledge Base-Artikel, auf den in der Zusammenfassung verwiesen wird.

Danksagungen

Microsoft erkennt die Bemühungen derJenigen in der Sicherheitscommunity an, die uns helfen, Kunden durch koordinierte Offenlegung von Sicherheitsrisiken zu schützen. Weitere Informationen finden Sie unter Bestätigungen .

Haftungsausschluss

Die in der Microsoft Knowledge Base bereitgestellten Informationen werden ohne Jegliche Garantie "wie benährt" bereitgestellt. Microsoft lehnt alle ausdrücklichen oder impliziten Garantien ab, einschließlich der Gewährleistung der Marktgängigkeit und Eignung für einen bestimmten Zweck. Die Microsoft Corporation oder ihre Lieferanten haften in keinem Fall für Schäden, einschließlich direkter, indirekter, zufälliger, Folgeschäden, Verlust von Geschäftsgewinnen oder besonderen Schäden, auch wenn die Microsoft Corporation oder ihre Lieferanten über die Möglichkeit solcher Schäden informiert wurden. Einige Staaten lassen den Ausschluss oder die Beschränkung der Haftung für Folge- oder Nebenschäden nicht zu, sodass die vorstehende Einschränkung möglicherweise nicht gilt.

Revisionen

  • V1.0 (9. Dezember 2014): Bulletin veröffentlicht.

Seite generiert 2015-01-14 12:24Z-08:00.