Microsoft Security Bulletin MS15-021 – Kritisch
Sicherheitsrisiken im Adobe-Schriftarttreiber können Remotecodeausführung ermöglichen (3032323)
Veröffentlicht: 10. März 2015
Version: 1.0
Kurzfassung
Dieses Sicherheitsupdate behebt Sicherheitsrisiken in Microsoft Windows. Die schwerwiegendste der Sicherheitsrisiken kann die Remotecodeausführung ermöglichen, wenn ein Benutzer eine speziell gestaltete Datei oder Website anzeigt. Ein Angreifer, der die Sicherheitsanfälligkeit erfolgreich ausnutzt, kann die vollständige Kontrolle über ein betroffenes System übernehmen. Ein Angreifer könnte dann Programme installieren, Daten anzeigen, ändern, oder löschen oder neue Konten mit uneingeschränkten Benutzerrechten anlegen.
Dieses Sicherheitsupdate wird für alle unterstützten Versionen von Microsoft Windows als Kritisch eingestuft. Weitere Informationen finden Sie im Abschnitt Betroffene Software .
Das Sicherheitsupdate behebt die Sicherheitsanfälligkeit, indem korrigiert wird, wie der Schriftartparser Arbeitsspeicher zuordnet, und indem korrigiert wird, wie Objekte im Arbeitsspeicher behandelt werden. Weitere Informationen zur Sicherheitsanfälligkeit finden Sie im Abschnitt Informationen zu Sicherheitsrisiken .
Weitere Informationen zu diesem Update finden Sie im Microsoft Knowledge Base-Artikel 3032323.
Betroffene Software
Die folgenden Softwareversionen oder -editionen sind betroffen. Versionen oder Editionen, die nicht aufgeführt sind, haben entweder ihren Supportlebenszyklus hinter sich oder sind nicht betroffen. Informationen zum Bestimmen des Supportlebenszyklus für Ihre Softwareversion oder -edition finden Sie unter Microsoft-Support Lifecycle.
| Betriebssystem | Maximale Sicherheitsbeeinträchtigung | Bewertung des Aggregierten Schweregrads | Updates ersetzt |
|---|---|---|---|
| Windows Server 2003 | |||
| Windows Server 2003 Service Pack 2 (3032323) | Codeausführung von Remotestandorten | Kritisch | 2847311 in MS13-081 |
| Windows Server 2003 x64 Edition Service Pack 2 (3032323) | Codeausführung von Remotestandorten | Kritisch | 2847311 in MS13-081 |
| Windows Server 2003 mit SP2 für Itanium-basierte Systeme (3032323) | Codeausführung von Remotestandorten | Kritisch | 2847311 in MS13-081 |
| Windows Vista | |||
| Windows Vista Service Pack 2 (3032323) | Codeausführung von Remotestandorten | Kritisch | 2847311 in MS13-081 |
| Windows Vista x64 Edition Service Pack 2 (3032323) | Codeausführung von Remotestandorten | Kritisch | 2847311 in MS13-081 |
| Windows Server 2008 | |||
| Windows Server 2008 für 32-Bit-Systeme Service Pack 2 (3032323) | Codeausführung von Remotestandorten | Kritisch | 2847311 in MS13-081 |
| Windows Server 2008 für x64-basierte Systeme Service Pack 2 (3032323) | Codeausführung von Remotestandorten | Kritisch | 2847311 in MS13-081 |
| Windows Server 2008 für Itanium-basierte Systeme Service Pack 2 (3032323) | Codeausführung von Remotestandorten | Kritisch | 2847311 in MS13-081 |
| Windows 7 | |||
| Windows 7 für 32-Bit-Systeme Service Pack 1 (3032323) | Codeausführung von Remotestandorten | Kritisch | 2847311 in MS13-081 |
| Windows 7 für x64-basierte Systeme Service Pack 1 (3032323) | Codeausführung von Remotestandorten | Kritisch | 2847311 in MS13-081 |
| Windows Server 2008 R2 | |||
| Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1 (3032323) | Codeausführung von Remotestandorten | Kritisch | 2847311 in MS13-081 |
| Windows Server 2008 R2 für Itanium-basierte Systeme Service Pack 1 (3032323) | Codeausführung von Remotestandorten | Kritisch | 2847311 in MS13-081 |
| Windows 8 und Windows 8.1 | |||
| Windows 8 für 32-Bit-Systeme (3032323) | Codeausführung von Remotestandorten | Kritisch | 2847311 in MS13-081 |
| Windows 8 für x64-basierte Systeme (3032323) | Codeausführung von Remotestandorten | Kritisch | 2847311 in MS13-081 |
| Windows 8.1 für 32-Bit-Systeme (3032323) | Codeausführung von Remotestandorten | Kritisch | Keine |
| Windows 8.1 für x64-basierte Systeme (3032323) | Codeausführung von Remotestandorten | Kritisch | Keine |
| Windows Server 2012 und Windows Server 2012 R2 | |||
| Windows Server 2012 (3032323) | Codeausführung von Remotestandorten | Kritisch | 2847311 in MS13-081 |
| Windows Server 2012 R2 (3032323) | Codeausführung von Remotestandorten | Kritisch | Keine |
| Windows RT und Windows RT 8.1 | |||
| Windows RT[1](3032323) | Codeausführung von Remotestandorten | Kritisch | 2847311 in MS13-081 |
| Windows RT 8.1[1](3032323) | Codeausführung von Remotestandorten | Kritisch | Keine |
| Server Core-Installationsoption | |||
| Windows Server 2008 für 32-Bit-Systeme Service Pack 2 (Server Core-Installation) (3032323) | Codeausführung von Remotestandorten | Kritisch | 2847311 in MS13-081 |
| Windows Server 2008 für x64-basierte Systeme Service Pack 2 (Server Core-Installation) (3032323) | Codeausführung von Remotestandorten | Kritisch | 2847311 in MS13-081 |
| Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1 (Server Core-Installation) (3032323) | Codeausführung von Remotestandorten | Kritisch | 2847311 in MS13-081 |
| Windows Server 2012 (Server Core-Installation) (3032323) | Codeausführung von Remotestandorten | Kritisch | 2847311 in MS13-081 |
| Windows Server 2012 R2 (Server Core-Installation) (3032323) | Codeausführung von Remotestandorten | Kritisch | Keine |
Hinweis Das Update ist für Windows Technical Preview und Windows Server Technical Preview verfügbar. Kunden, die diese Betriebssysteme ausführen, werden empfohlen, das Update anzuwenden, das über Windows Update verfügbar ist.
[1]Dieses Update ist nur über Windows Update verfügbar.
Schweregradbewertungen und Bezeichner für Sicherheitsrisiken
Bei den folgenden Schweregradbewertungen wird die potenzielle maximale Auswirkung der Sicherheitsanfälligkeit vorausgesetzt. Informationen zur Wahrscheinlichkeit der Ausnutzbarkeit des Sicherheitsrisikos in Bezug auf den Schweregrad und die Auswirkungen auf die Sicherheit innerhalb von 30 Tagen nach Veröffentlichung dieses Security Bulletins finden Sie im Exploitability Index im Bulletin Summary vom März.
| Bewertung des Sicherheitsrisikoschweregrads und maximale Auswirkungen auf die Sicherheit durch betroffene Software | |||||||||
|---|---|---|---|---|---|---|---|---|---|
| Betroffene Software | Sicherheitsanfälligkeit in Adobe Font Driver Denial of Service – CVE-2015-0074 | Sicherheitsanfälligkeit in Adobe-Schriftarttreibern bezüglich Offenlegung von Informationen – CVE-2015-0087 | Sicherheitsanfälligkeit in Adobe Font Driver bezüglich Remotecodeausführung – CVE-2015-0088 | Sicherheitsanfälligkeit in Adobe font driver disclosure – CVE-2015-0089 | Sicherheitsanfälligkeit in Adobe Font Driver bezüglich Remotecodeausführung – CVE-2015-0090 | Sicherheitsanfälligkeit in Adobe Font Driver bezüglich Remotecodeausführung – CVE-2015-0091 | Sicherheitsanfälligkeit in Adobe Font Driver bezüglich Remotecodeausführung – CVE-2015-0092 | Sicherheitsanfälligkeit in Adobe Font Driver bezüglich Remotecodeausführung – CVE-2015-0093 | Bewertung des Aggregierten Schweregrads |
| Windows Server 2003 | |||||||||
| Windows Server 2003 Service Pack 2 (3032323) | Moderate Denial-of-Service | Wichtig Offenlegung von Informationen | Kritisch Remotecodeausführung | Wichtig Offenlegung von Informationen | Kritisch Remotecodeausführung | Kritisch Remotecodeausführung | Kritisch Remotecodeausführung | Kritisch Remotecodeausführung | Critical (Kritisch) |
| Windows Server 2003 x64 Edition Service Pack 2 (3032323) | Moderate Denial-of-Service | Wichtig Offenlegung von Informationen | Kritisch Remotecodeausführung | Wichtig Offenlegung von Informationen | Kritisch Remotecodeausführung | Kritisch Remotecodeausführung | Kritisch Remotecodeausführung | Kritisch Remotecodeausführung | Critical (Kritisch) |
| Windows Server 2003 mit SP2 für Itanium-basierte Systeme (3032323) | Moderate Denial-of-Service | Wichtig Offenlegung von Informationen | Kritisch Remotecodeausführung | Wichtig Offenlegung von Informationen | Kritisch Remotecodeausführung | Kritisch Remotecodeausführung | Kritisch Remotecodeausführung | Kritisch Remotecodeausführung | Critical (Kritisch) |
| Windows Vista | |||||||||
| Windows Vista Service Pack 2 (3032323) | Moderate Denial-of-Service | Wichtig Offenlegung von Informationen | Kritisch Remotecodeausführung | Wichtig Offenlegung von Informationen | Kritisch Remotecodeausführung | Kritisch Remotecodeausführung | Kritisch Remotecodeausführung | Kritisch Remotecodeausführung | Critical (Kritisch) |
| Windows Vista x64 Edition Service Pack 2 (3032323) | Moderate Denial-of-Service | Wichtig Offenlegung von Informationen | Kritisch Remotecodeausführung | Wichtig Offenlegung von Informationen | Kritisch Remotecodeausführung | Kritisch Remotecodeausführung | Kritisch Remotecodeausführung | Kritisch Remotecodeausführung | Critical (Kritisch) |
| Windows Server 2008 | |||||||||
| Windows Server 2008 für 32-Bit-Systeme Service Pack 2 (3032323) | Moderate Denial-of-Service | Wichtig Offenlegung von Informationen | Kritisch Remotecodeausführung | Wichtig Offenlegung von Informationen | Kritisch Remotecodeausführung | Kritisch Remotecodeausführung | Kritisch Remotecodeausführung | Kritisch Remotecodeausführung | Critical (Kritisch) |
| Windows Server 2008 für x64-basierte Systeme Service Pack 2 (3032323) | Moderate Denial-of-Service | Wichtig Offenlegung von Informationen | Kritisch Remotecodeausführung | Wichtig Offenlegung von Informationen | Kritisch Remotecodeausführung | Kritisch Remotecodeausführung | Kritisch Remotecodeausführung | Kritisch Remotecodeausführung | Critical (Kritisch) |
| Windows Server 2008 für Itanium-basierte Systeme Service Pack 2 (3032323) | Moderate Denial-of-Service | Wichtig Offenlegung von Informationen | Kritisch Remotecodeausführung | Wichtig Offenlegung von Informationen | Kritisch Remotecodeausführung | Kritisch Remotecodeausführung | Kritisch Remotecodeausführung | Kritisch Remotecodeausführung | Critical (Kritisch) |
| Windows 7 | |||||||||
| Windows 7 für 32-Bit-Systeme Service Pack 1 (3032323) | Moderate Denial-of-Service | Wichtig Offenlegung von Informationen | Kritisch Remotecodeausführung | Wichtig Offenlegung von Informationen | Kritisch Remotecodeausführung | Kritisch Remotecodeausführung | Kritisch Remotecodeausführung | Kritisch Remotecodeausführung | Critical (Kritisch) |
| Windows 7 für x64-basierte Systeme Service Pack 1 (3032323) | Moderate Denial-of-Service | Wichtig Offenlegung von Informationen | Kritisch Remotecodeausführung | Wichtig Offenlegung von Informationen | Kritisch Remotecodeausführung | Kritisch Remotecodeausführung | Kritisch Remotecodeausführung | Kritisch Remotecodeausführung | Critical (Kritisch) |
| Windows Server 2008 R2 | |||||||||
| Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1 (3032323) | Moderate Denial-of-Service | Wichtig Offenlegung von Informationen | Kritisch Remotecodeausführung | Wichtig Offenlegung von Informationen | Kritisch Remotecodeausführung | Kritisch Remotecodeausführung | Kritisch Remotecodeausführung | Kritisch Remotecodeausführung | Critical (Kritisch) |
| Windows Server 2008 R2 für Itanium-basierte Systeme Service Pack 1 (3032323) | Moderate Denial-of-Service | Wichtig Offenlegung von Informationen | Kritisch Remotecodeausführung | Wichtig Offenlegung von Informationen | Kritisch Remotecodeausführung | Kritisch Remotecodeausführung | Kritisch Remotecodeausführung | Kritisch Remotecodeausführung | Critical (Kritisch) |
| Windows 8 und Windows 8.1 | |||||||||
| Windows 8 für 32-Bit-Systeme (3032323) | Moderate Denial-of-Service | Wichtig Offenlegung von Informationen | Kritisch Remotecodeausführung | Wichtig Offenlegung von Informationen | Kritisch Remotecodeausführung | Kritisch Remotecodeausführung | Kritisch Remotecodeausführung | Kritisch Remotecodeausführung | Critical (Kritisch) |
| Windows 8 für x64-basierte Systeme (3032323) | Moderate Denial-of-Service | Wichtig Offenlegung von Informationen | Kritisch Remotecodeausführung | Wichtig Offenlegung von Informationen | Kritisch Remotecodeausführung | Kritisch Remotecodeausführung | Kritisch Remotecodeausführung | Kritisch Remotecodeausführung | Critical (Kritisch) |
| Windows 8.1 für 32-Bit-Systeme (3032323) | Moderate Denial-of-Service | Wichtig Offenlegung von Informationen | Kritisch Remotecodeausführung | Wichtig Offenlegung von Informationen | Kritisch Remotecodeausführung | Kritisch Remotecodeausführung | Kritisch Remotecodeausführung | Kritisch Remotecodeausführung | Critical (Kritisch) |
| Windows 8.1 für x64-basierte Systeme (3032323) | Moderate Denial-of-Service | Wichtig Offenlegung von Informationen | Kritisch Remotecodeausführung | Wichtig Offenlegung von Informationen | Kritisch Remotecodeausführung | Kritisch Remotecodeausführung | Kritisch Remotecodeausführung | Kritisch Remotecodeausführung | Critical (Kritisch) |
| Windows Server 2012 und Windows Server 2012 R2 | |||||||||
| Windows Server 2012 (3032323) | Moderate Denial-of-Service | Wichtig Offenlegung von Informationen | Kritisch Remotecodeausführung | Wichtig Offenlegung von Informationen | Kritisch Remotecodeausführung | Kritisch Remotecodeausführung | Kritisch Remotecodeausführung | Kritisch Remotecodeausführung | Critical (Kritisch) |
| Windows Server 2012 R2 (3032323) | Moderate Denial-of-Service | Wichtig Offenlegung von Informationen | Kritisch Remotecodeausführung | Wichtig Offenlegung von Informationen | Kritisch Remotecodeausführung | Kritisch Remotecodeausführung | Kritisch Remotecodeausführung | Kritisch Remotecodeausführung | Critical (Kritisch) |
| Windows RT und Windows RT 8.1 | |||||||||
| Windows RT[1](3032323) | Moderate Denial-of-Service | Wichtig Offenlegung von Informationen | Kritisch Remotecodeausführung | Wichtig Offenlegung von Informationen | Kritisch Remotecodeausführung | Kritisch Remotecodeausführung | Kritisch Remotecodeausführung | Kritisch Remotecodeausführung | Critical (Kritisch) |
| Windows RT 8.1[1](3032323) | Moderate Denial-of-Service | Wichtig Offenlegung von Informationen | Kritisch Remotecodeausführung | Wichtig Offenlegung von Informationen | Kritisch Remotecodeausführung | Kritisch Remotecodeausführung | Kritisch Remotecodeausführung | Kritisch Remotecodeausführung | Critical (Kritisch) |
| Server Core-Installationsoption | |||||||||
| Windows Server 2008 für 32-Bit-Systeme Service Pack 2 (Server Core-Installation) (3032323) | Moderate Denial-of-Service | Wichtig Offenlegung von Informationen | Kritisch Remotecodeausführung | Wichtig Offenlegung von Informationen | Kritisch Remotecodeausführung | Kritisch Remotecodeausführung | Kritisch Remotecodeausführung | Kritisch Remotecodeausführung | Critical (Kritisch) |
| Windows Server 2008 für x64-basierte Systeme Service Pack 2 (Server Core-Installation) (3032323) | Moderate Denial-of-Service | Wichtig Offenlegung von Informationen | Kritisch Remotecodeausführung | Wichtig Offenlegung von Informationen | Kritisch Remotecodeausführung | Kritisch Remotecodeausführung | Kritisch Remotecodeausführung | Kritisch Remotecodeausführung | Critical (Kritisch) |
| Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1 (Server Core-Installation) (3032323) | Moderate Denial-of-Service | Wichtig Offenlegung von Informationen | Kritisch Remotecodeausführung | Wichtig Offenlegung von Informationen | Kritisch Remotecodeausführung | Kritisch Remotecodeausführung | Kritisch Remotecodeausführung | Kritisch Remotecodeausführung | Critical (Kritisch) |
| Windows Server 2012 (Server Core-Installation) (3032323) | Moderate Denial-of-Service | Wichtig Offenlegung von Informationen | Kritisch Remotecodeausführung | Wichtig Offenlegung von Informationen | Kritisch Remotecodeausführung | Kritisch Remotecodeausführung | Kritisch Remotecodeausführung | Kritisch Remotecodeausführung | Critical (Kritisch) |
| Windows Server 2012 R2 (Server Core-Installation) (3032323) | Moderate Denial-of-Service | Wichtig Offenlegung von Informationen | Kritisch Remotecodeausführung | Wichtig Offenlegung von Informationen | Kritisch Remotecodeausführung | Kritisch Remotecodeausführung | Kritisch Remotecodeausführung | Kritisch Remotecodeausführung | Critical (Kritisch) |
Informationen zu Sicherheitsrisiken
Sicherheitsanfälligkeit bezüglich Denial-of-Service-Treibern in Adobe-Schriftarten – CVE-2015-0074
Ein Denial-of-Service-Sicherheitsrisiko besteht darin, wie der Adobe Font-Treiber den Arbeitsspeicher beim Analysieren von Schriftarten verwaltet. Ein Benutzer, der eine speziell gestaltete Website besucht oder eine speziell gestaltete Datei geöffnet hat, kann von dieser Sicherheitsanfälligkeit betroffen sein. Das Update behebt dieses Sicherheitsrisiko, indem korrigiert wird, wie der Schriftartparser Arbeitsspeicher zuweist.
Microsoft hat Informationen zu diesem Sicherheitsrisiko durch koordinierte Offenlegung von Sicherheitsrisiken erhalten. Als dieses Sicherheitsbulletin veröffentlicht wurde, hatte Microsoft keine Informationen erhalten, die darauf hindeuten, dass diese Sicherheitsanfälligkeit öffentlich für Angriffe auf Kunden verwendet wurde, als dieses Sicherheitsbulletin ursprünglich veröffentlicht wurde.
Mildernde Faktoren
Microsoft hat keine mildernden Faktoren für diese Sicherheitsanfälligkeit identifiziert.
Problemumgehungen
Microsoft hat keine Problemumgehungen für dieses Sicherheitsrisiko identifiziert.
Mehrere Sicherheitsanfälligkeiten bezüglich Offenlegung von Informationen im Adobe-Schriftarttreiber
Im Adobe-Schriftarttreiber gibt es Sicherheitsrisiken zur Offenlegung von Informationen, die die Offenlegung von Speicherinhalten für einen Angreifer ermöglichen könnten. Diese Sicherheitsrisiken werden verursacht, wenn der Adobe-Schriftarttreiber versucht, bestimmte Schriftarten zu lesen oder anzuzeigen. Ein Angreifer könnte die Sicherheitsrisiken nutzen, um Informationen über das System zu erhalten, die dann mit anderen Angriffen kombiniert werden können, um das System zu kompromittieren. Die Sicherheitsrisiken für die Offenlegung von Informationen allein lassen keine ausführung von beliebigem Code zu. Ein Angreifer könnte diese Sicherheitsrisiken jedoch in Verbindung mit einem anderen Sicherheitsrisiko nutzen, um Sicherheitsfeatures wie die Kerneladressraumlayout-Randomisierung (KASLR) zu umgehen. Das Update behebt die Sicherheitsanfälligkeiten, indem korrigiert wird, wie Objekte im Arbeitsspeicher behandelt werden.
Die folgende Tabelle enthält Links zum Standardeintrag für die einzelnen Sicherheitsrisiken in der Liste Allgemeiner Sicherheitsrisiken:
| Titel der Sicherheitslücke | CVE-Nummer | Öffentlich offengelegt | Genutzt |
|---|---|---|---|
| Sicherheitsanfälligkeit bei Der Offenlegung von Informationen in Adobe-Schriftarttreibern | CVE-2015-0087 | Nein | Nein |
| Sicherheitsanfälligkeit bei Der Offenlegung von Informationen in Adobe-Schriftarttreibern | CVE-2015-0089 | Nein | Nein |
Mildernde Faktoren
Microsoft hat keine mildernden Faktoren für diese Sicherheitsanfälligkeit identifiziert.
Problemumgehungen
Microsoft hat keine Problemumgehungen für dieses Sicherheitsrisiko identifiziert.
Mehrere Sicherheitsanfälligkeiten bezüglich Remotecodeausführung im Adobe-Schriftarttreiber
Im Adobe-Schriftarttreiber gibt es Sicherheitsrisiken, die die Remotecodeausführung ermöglichen können, wenn ein Benutzer eine speziell gestaltete Datei oder Website anzeigt. Die Sicherheitsanfälligkeiten werden verursacht, wenn der Adobe-Schriftarttreiber Objekte im Arbeitsspeicher nicht ordnungsgemäß überschreibt. Die Sicherheitsrisiken können es einem Angreifer ermöglichen, Code im Kernelmodus auszuführen und dann Programme zu installieren. Daten anzeigen, ändern oder löschen; oder erstellen Sie neue Konten mit vollen Administratorrechten. Das Update behebt diese Sicherheitsanfälligkeiten, indem korrigiert wird, wie der Adobe Font-Treiber Objekte im Arbeitsspeicher verarbeitet.
Die folgende Tabelle enthält Links zum Standardeintrag für die einzelnen Sicherheitsrisiken in der Liste Allgemeiner Sicherheitsrisiken:
| Titel der Sicherheitslücke | CVE-Nummer | Öffentlich offengelegt | Genutzt |
|---|---|---|---|
| Sicherheitsanfälligkeit in Adobe Font Driver: Remotecodeausführung | CVE-2015-0088 | Nein | Nein |
| Sicherheitsanfälligkeit in Adobe Font Driver: Remotecodeausführung | CVE-2015-0090 | Nein | Nein |
| Sicherheitsanfälligkeit in Adobe Font Driver: Remotecodeausführung | CVE-2015-0091 | Nein | Nein |
| Sicherheitsanfälligkeit in Adobe Font Driver: Remotecodeausführung | CVE-2015-0092 | Nein | Nein |
| Sicherheitsanfälligkeit in Adobe Font Driver: Remotecodeausführung | CVE-2015-0093 | Nein | Nein |
Mildernde Faktoren
Microsoft hat keine mildernden Faktoren für diese Sicherheitsanfälligkeit identifiziert.
Problemumgehungen
Die folgenden Problemumgehungen können in Ihrer Situation hilfreich sein:
- In einem webbasierten Angriffsszenario könnte ein Angreifer eine Website hosten, die eine Webseite enthält, die zum Ausnutzen dieser Sicherheitsanfälligkeit verwendet wird. Außerdem könnten kompromittierte Websites und Websites, die von Benutzern bereitgestellte Inhalte oder Werbung akzeptieren oder hosten, speziell gestaltete Inhalte enthalten, die diese Sicherheitsanfälligkeit ausnutzen könnten. In allen Fällen hätte ein Angreifer jedoch keine Möglichkeit, Benutzer zu zwingen, diese Websites zu besuchen. Stattdessen müsste ein Angreifer Benutzer davon überzeugen, die Website zu besuchen, indem er sie in der Regel dazu bringt, auf einen Link in einem Instant Messenger oder einer E-Mail-Nachricht zu klicken, die Benutzer zur Website des Angreifers führt.
- Standardmäßig öffnen alle unterstützten Versionen von Microsoft Outlook, Microsoft Outlook Express und Windows Mail HTML-E-Mail-Nachrichten in der Zone Eingeschränkte Websites, wodurch der Schriftdownload standardmäßig deaktiviert wird. Wenn ein Benutzer auf einen Link in einer E-Mail-Nachricht klickt, kann der Benutzer weiterhin anfällig für die Ausnutzung dieser Sicherheitsanfälligkeit durch das webbasierte Angriffsszenario sein. Die Sicherheitsanfälligkeit kann auch ausgenutzt werden, wenn ein Benutzer eine Anlage öffnet, die in einer E-Mail-Nachricht gesendet wird.
Bereitstellung von Sicherheitsupdates
Informationen zur Bereitstellung von Sicherheitsupdates finden Sie im Microsoft Knowledge Base-Artikel, auf den in der Zusammenfassung verwiesen wird.
Danksagungen
Microsoft erkennt die Bemühungen derJenigen in der Sicherheitscommunity an, die uns helfen, Kunden durch koordinierte Offenlegung von Sicherheitsrisiken zu schützen. Weitere Informationen finden Sie unter Bestätigungen .
Haftungsausschluss
Die in der Microsoft Knowledge Base bereitgestellten Informationen werden ohne Jegliche Garantie "wie benährt" bereitgestellt. Microsoft lehnt alle ausdrücklichen oder impliziten Garantien ab, einschließlich der Gewährleistung der Marktgängigkeit und Eignung für einen bestimmten Zweck. Die Microsoft Corporation oder ihre Lieferanten haften in keinem Fall für Schäden, einschließlich direkter, indirekter, zufälliger, Folgeschäden, Verlust von Geschäftsgewinnen oder besonderen Schäden, auch wenn die Microsoft Corporation oder ihre Lieferanten über die Möglichkeit solcher Schäden informiert wurden. Einige Staaten lassen den Ausschluss oder die Beschränkung der Haftung für Folge- oder Nebenschäden nicht zu, sodass die vorstehende Einschränkung möglicherweise nicht gilt.
Revisionen
- V1.0 (10. März 2015): Bulletin veröffentlicht.
Seite generiert 2015-03-05 13:42Z-08:00.