Microsoft Security Bulletin MS14-085 – Wichtig

Sicherheitsrisiko in Der Microsoft-Grafikkomponente kann die Offenlegung von Informationen ermöglichen (3013126)

Veröffentlicht: 9. Dezember 2014

Version: 1.0

Kurzfassung

Dieses Sicherheitsupdate behebt ein öffentlich offenbartes Sicherheitsrisiko in Microsoft Windows. Die Sicherheitsanfälligkeit kann die Offenlegung von Informationen ermöglichen, wenn ein Benutzer zu einer Website navigiert, die speziell gestaltete JPEG-Inhalte enthält. Ein Angreifer könnte diese Sicherheitsanfälligkeit zur Offenlegung von Informationen nutzen, um Informationen über das System zu erhalten, die dann mit anderen Angriffen kombiniert werden können, um das System zu kompromittieren. Die Sicherheitsanfälligkeit bezüglich der Offenlegung von Informationen allein lässt keine Ausführung von beliebigem Code zu. Ein Angreifer könnte jedoch diese Sicherheitsanfälligkeit in Verbindung mit einer anderen Sicherheitsanfälligkeit nutzen, um Sicherheitsfeatures wie die Randomisierung des Layouts (Address Space Layout Randomization, ASLR) zu umgehen.

Dieses Sicherheitsupdate wird für alle unterstützten Versionen von Microsoft Windows als Wichtig eingestuft. Weitere Informationen finden Sie im Abschnitt Betroffene Software .

Das Update behebt die Sicherheitsanfälligkeit, indem geändert wird, wie arbeitsspeicher initialisiert und verwaltet wird, wenn JPEG-Bilder decodiert werden. Weitere Informationen zu der Sicherheitsanfälligkeit finden Sie im Abschnitt Informationen zu Sicherheitsrisiken .

Weitere Informationen zu diesem Dokument finden Sie im Microsoft Knowledge Base-Artikel 3013126.

Betroffene Software

Die folgenden Softwareversionen oder Editionen sind betroffen. Versionen oder Editionen, die nicht aufgeführt sind, haben entweder ihren Supportlebenszyklus hinter sich oder sind nicht betroffen. Informationen zum Ermitteln des Supportlebenszyklus für Ihre Softwareversion oder Edition finden Sie unter Microsoft-Support Lifecycle.

Betriebssystem Maximale Sicherheitsbeeinträchtigung Bewertung des Aggregierten Schweregrads Updates ersetzt
Windows Server 2003
Windows Server 2003 Service Pack 2 (3013126) Veröffentlichung von Informationen Wichtig Keine
Windows Server 2003 x64 Edition Service Pack 2 (3013126) Veröffentlichung von Informationen Wichtig Keine
Windows Server 2003 mit SP2 für Itanium-basierte Systeme (3013126) Veröffentlichung von Informationen Wichtig Keine
Windows Vista
Windows Vista Service Pack 2 (3013126) Veröffentlichung von Informationen Wichtig Keine
Windows Vista x64 Edition Service Pack 2 (3013126) Veröffentlichung von Informationen Wichtig Keine
Windows Server 2008
Windows Server 2008 für 32-Bit-Systeme Service Pack 2 (3013126) Veröffentlichung von Informationen Wichtig Keine
Windows Server 2008 für x64-basierte Systeme Service Pack 2 (3013126) Veröffentlichung von Informationen Wichtig Keine
Windows Server 2008 für Itanium-basierte Systeme Service Pack 2 (3013126) Veröffentlichung von Informationen Wichtig Keine
Windows 7
Windows 7 für 32-Bit-Systeme Service Pack 1 (3013126) Veröffentlichung von Informationen Wichtig Keine
Windows 7 für x64-basierte Systeme Service Pack 1 (3013126) Veröffentlichung von Informationen Wichtig Keine
Windows Server 2008 R2
Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1 (3013126) Veröffentlichung von Informationen Wichtig Keine
Windows Server 2008 R2 für Itanium-basierte Systeme Service Pack 1 (3013126) Veröffentlichung von Informationen Wichtig Keine
Windows 8 und Windows 8.1
Windows 8 für 32-Bit-Systeme (3013126) Veröffentlichung von Informationen Wichtig Keine
Windows 8 für x64-basierte Systeme (3013126) Veröffentlichung von Informationen Wichtig Keine
Windows 8.1 für 32-Bit-Systeme (3013126) Veröffentlichung von Informationen Wichtig Keine
Windows 8.1 für x64-basierte Systeme (3013126) Veröffentlichung von Informationen Wichtig Keine
Windows Server 2012 und Windows Server 2012 R2
Windows Server 2012 (3013126) Veröffentlichung von Informationen Wichtig Keine
Windows Server 2012 R2 (3013126) Veröffentlichung von Informationen Wichtig Keine
Windows RT und Windows RT 8.1
Windows RT[1](3013126) Veröffentlichung von Informationen Wichtig Keine
Windows RT 8.1[1](3013126) Veröffentlichung von Informationen Wichtig Keine
Server Core-Installationsoption
Windows Server 2008 für 32-Bit-Systeme Service Pack 2 (Server Core-Installation) (3013126) Veröffentlichung von Informationen Wichtig Keine
Windows Server 2008 für x64-basierte Systeme Service Pack 2 (Server Core-Installation) (3013126) Veröffentlichung von Informationen Wichtig Keine
Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1 (Server Core-Installation) (3013126) Veröffentlichung von Informationen Wichtig Keine
Windows Server 2012 (Server Core-Installation) (3013126) Veröffentlichung von Informationen Wichtig Keine
Windows Server 2012 R2 (Server Core-Installation) (3013126) Veröffentlichung von Informationen Wichtig Keine

[1]Dieses Update ist nur über Windows Update verfügbar.

 

Schweregradbewertungen und Bezeichner für Sicherheitsrisiken

Bei den folgenden Schweregradbewertungen wird die potenzielle maximale Auswirkung der Sicherheitsanfälligkeit vorausgesetzt. Informationen zur Wahrscheinlichkeit der Ausnutzbarkeit des Sicherheitsrisikos innerhalb von 30 Tagen nach der Veröffentlichung dieses Security Bulletins in Bezug auf den Schweregrad und die Auswirkungen auf die Sicherheit finden Sie im Exploitability Index im Bulletin Summary vom Dezember.

Bewertung des Sicherheitsrisikoschweregrads und maximale Auswirkungen auf die Sicherheit durch betroffene Software
Betroffene Software Sicherheitsanfälligkeit in Grafikkomponenten bezüglich Offenlegung von Informationen – CVE-2014-6355 Bewertung des Aggregierten Schweregrads
Windows Server 2003
Windows Server 2003 Service Pack 2 (3013126) Wichtig \ Offenlegung von Informationen Wichtig 
Windows Server 2003 x64 Edition Service Pack 2 (3013126) Wichtig \ Offenlegung von Informationen Wichtig 
Windows Server 2003 mit SP2 für Itanium-basierte Systeme (3013126) Wichtig \ Offenlegung von Informationen Wichtig 
Windows Vista
Windows Vista Service Pack 2 (3013126) Wichtig \ Offenlegung von Informationen Wichtig 
Windows Vista x64 Edition Service Pack 2 (3013126) Wichtig \ Offenlegung von Informationen Wichtig 
Windows Server 2008
Windows Server 2008 für 32-Bit-Systeme Service Pack 2 (3013126) Wichtig \ Offenlegung von Informationen Wichtig 
Windows Server 2008 für x64-basierte Systeme Service Pack 2 (3013126) Wichtig\ Offenlegung von Informationen Wichtig 
Windows Server 2008 für Itanium-basierte Systeme Service Pack 2 (3013126) Wichtig\ Offenlegung von Informationen Wichtig 
Windows 7
Windows 7 für 32-Bit-Systeme Service Pack 1 (3013126) Wichtig\ Offenlegung von Informationen Wichtig 
Windows 7 für x64-basierte Systeme Service Pack 1 (3013126) Wichtig\ Offenlegung von Informationen Wichtig 
Windows Server 2008 R2
Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1 (3013126) Wichtig\ Offenlegung von Informationen Wichtig 
Windows Server 2008 R2 für Itanium-basierte Systeme Service Pack 1 (3013126) Wichtig\ Offenlegung von Informationen Wichtig 
Windows 8 und Windows 8.1
Windows 8 für 32-Bit-Systeme (3013126) Wichtig\ Offenlegung von Informationen Wichtig 
Windows 8 für x64-basierte Systeme (3013126) Wichtig\ Offenlegung von Informationen Wichtig 
Windows 8.1 für 32-Bit-Systeme (3013126) Wichtig\ Offenlegung von Informationen Wichtig 
Windows 8.1 für x64-basierte Systeme (3013126) Wichtig\ Offenlegung von Informationen Wichtig 
Windows Server 2012 und Windows Server 2012 R2
Windows Server 2012 (3013126) Wichtig\ Offenlegung von Informationen Wichtig 
Windows Server 2012 R2 (3013126) Wichtig\ Offenlegung von Informationen Wichtig 
Windows RT und Windows RT 8.1
Windows RT (3013126) Wichtig\ Offenlegung von Informationen Wichtig 
Windows RT 8.1 (3013126) Wichtig\ Offenlegung von Informationen Wichtig 
Server Core-Installationsoption
Windows Server 2008 für 32-Bit-Systeme Service Pack 2 (Server Core-Installation) (3013126) Wichtig \ Offenlegung von Informationen Wichtig 
Windows Server 2008 für x64-basierte Systeme Service Pack 2 (Server Core-Installation) (3013126) Wichtig \ Offenlegung von Informationen Wichtig 
Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1 (Server Core-Installation) (3013126) Wichtig \ Offenlegung von Informationen Wichtig 
Windows Server 2012 (Server Core-Installation) (3013126) Wichtig \ Offenlegung von Informationen Wichtig 
Windows Server 2012 R2 (Server Core-Installation) (3013126) Wichtig \ Offenlegung von Informationen Wichtig 

 

Informationen zu Sicherheitsrisiken

Sicherheitsanfälligkeit in Grafikkomponenten bezüglich Offenlegung von Informationen – CVE-2014-6355

In der Microsoft-Grafikkomponente liegt eine Sicherheitslücke zur Offenlegung von Informationen vor, die es einem Angreifer ermöglichen könnte, die Speicheroffsets bestimmter Anweisungen in einer bestimmten Aufrufliste zuverlässiger vorherzusagen. Das Sicherheitsrisiko wird verursacht, wenn die Microsoft-Grafikkomponente die Decodierung von JPEG-Bildern im Arbeitsspeicher nicht ordnungsgemäß verarbeitet. Ein Angreifer könnte diese Sicherheitslücke zur Offenlegung von Informationen nutzen, um Informationen über das System zu erhalten, die dann mit anderen Angriffen kombiniert werden könnten, um das System zu kompromittieren. Die Sicherheitsanfälligkeit bei der Offenlegung von Informationen allein lässt keine beliebige Codeausführung zu. Ein Angreifer kann diese Sicherheitsanfälligkeit jedoch in Verbindung mit einer anderen Sicherheitslücke nutzen, um Sicherheitsfeatures wie die Zufälligkeit des Layouts für Adressräume (Address Space Layout Randomization, ASLR) zu umgehen. Das Sicherheitsupdate behebt die Sicherheitsanfälligkeit, indem geändert wird, wie Arbeitsspeicher initialisiert und verwaltet wird, wenn JPEG-Bilder decodiert werden.

Diese Sicherheitsanfälligkeit wurde öffentlich bekannt gegeben. Ihr wurde die Nummer für allgemeine Sicherheitsanfälligkeit CVE-2013-6355 zugewiesen. Als dieses Security Bulletin veröffentlicht wurde, hatte Microsoft keine Informationen erhalten, die darauf hindeuten, dass diese Sicherheitsanfälligkeit öffentlich für Angriffe auf Kunden verwendet wurde.

Schadensbegrenzende Faktoren

Microsoft hat keine mildernden Faktoren für dieses Sicherheitsrisiko identifiziert.

Problemumgehungen

Microsoft hat keine Problemumgehungen für dieses Sicherheitsrisiko identifiziert.

Bereitstellung von Sicherheitsupdates

Informationen zur Bereitstellung von Sicherheitsupdates finden Sie im Microsoft Knowledge Base-Artikel, auf den in der Zusammenfassung verwiesen wird.

Danksagungen

Microsoft erkennt die Bemühungen von Personen in der Sicherheitscommunity an, die uns helfen, Kunden durch verantwortungsvolle Offenlegung von Sicherheitsrisiken zu schützen. Weitere Informationen finden Sie unter Bestätigungen .

Haftungsausschluss

Die in der Microsoft Knowledge Base bereitgestellten Informationen werden ohne Jegliche Gewährleistung "wie ben" bereitgestellt. Microsoft lehnt jegliche Gewährleistungen ab, sei es ausdrücklich oder stillschweigend, einschließlich der Gewährleistungen der Marktgängigkeit und Eignung für einen bestimmten Zweck. In keinem Fall haften Die Microsoft Corporation oder ihre Lieferanten für Schäden jeglicher Art, einschließlich direkter, indirekter, zufälliger, Folgeschäden, Verlust von Geschäftsgewinnen oder besonderen Schäden, auch wenn Microsoft Corporation oder ihre Lieferanten auf die Möglichkeit solcher Schäden hingewiesen wurden. Einige Staaten lassen den Ausschluss oder die Beschränkung der Haftung für Folge- oder Nebenschäden nicht zu, sodass die vorstehende Einschränkung möglicherweise nicht gilt.

Revisionen

  • V1.0 (9. Dezember 2014): Bulletin veröffentlicht.

Seite generiert am 03.12.2014 14:45Z-08:00.