Microsoft Security Bulletin MS15-044 – Kritisch
Sicherheitsrisiken in Microsoft-Schriftarttreibern können Remotecodeausführung (3057110) ermöglichen.
Veröffentlicht: 12. Mai 2015 | Aktualisiert: 23. Juni 2015
Version: 2.1
Kurzfassung
Dieses Sicherheitsupdate behebt Sicherheitsrisiken in Microsoft Windows, Microsoft .NET Framework, Microsoft Office, Microsoft Lync und Microsoft Silverlight. Die schwerwiegendste der Sicherheitsrisiken kann die Remotecodeausführung ermöglichen, wenn ein Benutzer ein speziell gestaltetes Dokument öffnet oder eine nicht vertrauenswürdige Webseite besucht, die eingebettete TrueType-Schriftarten enthält.
Dieses Sicherheitsupdate wird für unterstützte Versionen von Microsoft Windows und allen betroffenen Editionen von Microsoft .NET Framework, Microsoft Office, Microsoft Lync und Microsoft Silverlight als Kritisch eingestuft. Weitere Informationen finden Sie im Abschnitt Betroffene Software .
Das Sicherheitsupdate behebt die Sicherheitsrisiken, indem korrigiert wird, wie die Windows DirectWrite-Bibliothek OpenType- und TrueType-Schriftarten behandelt. Weitere Informationen zu den Sicherheitsrisiken finden Sie im Abschnitt Informationen zu Sicherheitsrisiken .
Weitere Informationen zu diesem Update finden Sie im Microsoft Knowledge Base-Artikel 3057110.
Schweregrad der betroffenen Software und Bewertungen des Sicherheitsrisikos
Die folgenden Softwareversionen oder -editionen sind betroffen. Versionen oder Editionen, die nicht aufgeführt sind, haben entweder ihren Supportlebenszyklus hinter sich oder sind nicht betroffen. Informationen zum Bestimmen des Supportlebenszyklus für Ihre Softwareversion oder -edition finden Sie unter Microsoft-Support Lifecycle.
Die für jede betroffene Software angegebenen Schweregradbewertungen gehen von den potenziellen maximalen Auswirkungen der Sicherheitsanfälligkeit aus. Informationen zur Wahrscheinlichkeit der Ausnutzbarkeit des Sicherheitsrisikos in Bezug auf den Schweregrad und die Auswirkungen auf die Sicherheit innerhalb von 30 Tagen nach der Veröffentlichung dieses Security Bulletins finden Sie im Exploitability Index im Bulletin Summary vom Mai.
Microsoft Windows
| Betriebssystem | Komponente | Sicherheitsanfälligkeit bei der OpenType-Schriftartanalyse – CVE-2015-1670 | Sicherheitsanfälligkeit bei der TrueType-Schriftartanalyse – CVE-2015-1671 | Updates ersetzt |
|---|---|---|---|---|
| Windows Server 2003 | ||||
| Windows Server 2003 Service Pack 2 (3045171) | Nicht verfügbar | Wichtig Offenlegung von Informationen | Kritisch Remotecodeausführung | 3034344 in MS15-023 |
| Windows Server 2003 Service Pack 2 | Microsoft .NET Framework 3.0 Service Pack 2 (3048073) | Wichtig Offenlegung von Informationen | Kritisch Remotecodeausführung | 2861189 in MS13-082, 2832411 in MS13-052 |
| Windows Server 2003 Service Pack 2 | Microsoft .NET Framework 4[1](3048074) | Wichtig Offenlegung von Informationen | Kritisch Remotecodeausführung | 2656405 in MS12-034 |
| Windows Server 2003 x64 Edition Service Pack 2 (3045171) | Nicht verfügbar | Wichtig Offenlegung von Informationen | Kritisch Remotecodeausführung | 3034344 in MS15-023 |
| Windows Server 2003 x64 Edition Service Pack 2 | Microsoft .NET Framework 3.0 Service Pack 2 (3048073) | Wichtig Offenlegung von Informationen | Kritisch Remotecodeausführung | 2861189 in MS13-082, 2832411 in MS13-052 |
| Windows Server 2003 x64 Edition Service Pack 2 | Microsoft .NET Framework 4[1](3048074) | Wichtig Offenlegung von Informationen | Kritisch Remotecodeausführung | 2656405 in MS12-034 |
| Windows Server 2003 mit SP2 für Itanium-basierte Systeme (3045171) | Nicht verfügbar | Wichtig Offenlegung von Informationen | Kritisch Remotecodeausführung | 3034344 in MS15-023 |
| Windows Vista | ||||
| Windows Vista Service Pack 2 (3045171) | Nicht verfügbar | Wichtig Offenlegung von Informationen | Kritisch Remotecodeausführung | 3034344 in MS15-023 |
| Windows Vista Service Pack 2 | Microsoft .NET Framework 3.0 Service Pack 2 (3048068) | Wichtig Offenlegung von Informationen | Kritisch Remotecodeausführung | 2861190 in MS13-082, 2832412 in MS13-052 |
| Windows Vista Service Pack 2 | Microsoft .NET Framework 4[1](3048074) | Wichtig Offenlegung von Informationen | Kritisch Remotecodeausführung | 2656405 in MS12-034 |
| Windows Vista Service Pack 2 | Microsoft .NET Framework 4.5/4.5.1/4.5.2 (3048077) | Wichtig Offenlegung von Informationen | Kritisch Remotecodeausführung | Keine |
| Windows Vista x64 Edition Service Pack 2 (3045171) | Nicht verfügbar | Wichtig Offenlegung von Informationen | Kritisch Remotecodeausführung | 3034344 in MS15-023 |
| Windows Vista x64 Edition Service Pack 2 | Microsoft .NET Framework 3.0 Service Pack 2 (3048068) | Wichtig Offenlegung von Informationen | Kritisch Remotecodeausführung | 2861190 in MS13-082, 2832412 in MS13-052 |
| Windows Vista x64 Edition Service Pack 2 | Microsoft .NET Framework 4[1](3048074) | Wichtig Offenlegung von Informationen | Kritisch Remotecodeausführung | 2656405 in MS12-034 |
| Windows Vista x64 Edition Service Pack 2 | Microsoft .NET Framework 4.5/4.5.1/4.5.2 (3048077) | Wichtig Offenlegung von Informationen | Kritisch Remotecodeausführung | Keine |
| Windows Server 2008 | ||||
| Windows Server 2008 für 32-Bit-Systeme Service Pack 2 (3045171) | Nicht verfügbar | Wichtig Offenlegung von Informationen | Kritisch Remotecodeausführung | 3034344 in MS15-023 |
| Windows Server 2008 für 32-Bit-Systeme Service Pack 2 | Microsoft .NET Framework 3.0 Service Pack 2 (3048068) | Wichtig Offenlegung von Informationen | Kritisch Remotecodeausführung | 2861190 in MS13-082, 2832412 in MS13-052 |
| Windows Server 2008 für 32-Bit-Systeme Service Pack 2 | Microsoft .NET Framework 4[1](3048074) | Wichtig Offenlegung von Informationen | Kritisch Remotecodeausführung | 2656405 in MS12-034 |
| Windows Server 2008 für 32-Bit-Systeme Service Pack 2 | Microsoft .NET Framework 4.5/4.5.1/4.5.2 (3048077) | Wichtig Offenlegung von Informationen | Kritisch Remotecodeausführung | Keine |
| Windows Server 2008 für x64-basierte Systeme Service Pack 2 (3045171) | Nicht verfügbar | Wichtig Offenlegung von Informationen | Kritisch Remotecodeausführung | 3034344 in MS15-023 |
| Windows Server 2008 für x64-basierte Systeme Service Pack 2 | Microsoft .NET Framework 3.0 Service Pack 2 (3048068) | Wichtig Offenlegung von Informationen | Kritisch Remotecodeausführung | 2861190 in MS13-082, 2832412 in MS13-052 |
| Windows Server 2008 für x64-basierte Systeme Service Pack 2 | Microsoft .NET Framework 4[1](3048074) | Wichtig Offenlegung von Informationen | Kritisch Remotecodeausführung | 2656405 in MS12-034 |
| Windows Server 2008 für x64-basierte Systeme Service Pack 2 | Microsoft .NET Framework 4.5/4.5.1/4.5.2 (3048077) | Wichtig Offenlegung von Informationen | Kritisch Remotecodeausführung | Keine |
| Windows Server 2008 für Itanium-basierte Systeme Service Pack 2 (3045171) | Nicht verfügbar | Wichtig Offenlegung von Informationen | Kritisch Remotecodeausführung | 3034344 in MS15-023 |
| Windows 7 | ||||
| Windows 7 für 32-Bit-Systeme Service Pack 1 (3045171) | Nicht verfügbar | Wichtig Offenlegung von Informationen | Kritisch Remotecodeausführung | 3034344 in MS15-023 |
| Windows 7 für 32-Bit-Systeme Service Pack 1 | Microsoft .NET Framework 3.5.1 (3048070) | Wichtig Offenlegung von Informationen | Kritisch Remotecodeausführung | 2861191 in MS13-082, 2832414 in MS13-052 |
| Windows 7 für x64-basierte Systeme Service Pack 1 (3045171) | Nicht verfügbar | Wichtig Offenlegung von Informationen | Kritisch Remotecodeausführung | 3034344 in MS15-023 |
| Windows 7 für x64-basierte Systeme Service Pack 1 | Microsoft .NET Framework 3.5.1 (3048070) | Wichtig Offenlegung von Informationen | Kritisch Remotecodeausführung | 2861191 in MS13-082, 2832414 in MS13-052 |
| Windows Server 2008 R2 | ||||
| Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1 (3045171) | Nicht verfügbar | Wichtig Offenlegung von Informationen | Kritisch Remotecodeausführung | 3034344 in MS15-023 |
| Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1 | Microsoft .NET Framework 3.5.1 (3048070) | Wichtig Offenlegung von Informationen | Kritisch Remotecodeausführung | 2861191 in MS13-082, 2832414 in MS13-052 |
| Windows Server 2008 R2 für Itanium-basierte Systeme Service Pack 1 (3045171) | Nicht verfügbar | Wichtig Offenlegung von Informationen | Kritisch Remotecodeausführung | 3034344 in MS15-023 |
| Windows 8 und Windows 8.1 | ||||
| Windows 8 für 32-Bit-Systeme (3045171) | Nicht verfügbar | Wichtig Offenlegung von Informationen | Kritisch Remotecodeausführung | 3034344 in MS15-023 |
| Windows 8 für 32-Bit-Systeme | Microsoft .NET Framework 3.5 (3048071) | Wichtig Offenlegung von Informationen | Kritisch Remotecodeausführung | 2861194 in MS13-082, 2832418 in MS13-052 |
| Windows 8 für x64-basierte Systeme (3045171) | Nicht verfügbar | Wichtig Offenlegung von Informationen | Kritisch Remotecodeausführung | 3034344 in MS15-023 |
| Windows 8 für x64-basierte Systeme | Microsoft .NET Framework 3.5 (3048071) | Wichtig Offenlegung von Informationen | Kritisch Remotecodeausführung | 2861194 in MS13-082, 2832418 in MS13-052 |
| Windows 8.1 für 32-Bit-Systeme (3045171) | Nicht verfügbar | Wichtig Offenlegung von Informationen | Kritisch Remotecodeausführung | 3034344 in MS15-023 |
| Windows 8.1 für 32-Bit-Systeme | Microsoft .NET Framework 3.5 (3048072) | Wichtig Offenlegung von Informationen | Kritisch Remotecodeausführung | Keine |
| Windows 8.1 für x64-basierte Systeme (3045171) | Nicht verfügbar | Wichtig Offenlegung von Informationen | Kritisch Remotecodeausführung | 3034344 in MS15-023 |
| Windows 8.1 für x64-basierte Systeme | Microsoft .NET Framework 3.5 (3048072) | Wichtig Offenlegung von Informationen | Kritisch Remotecodeausführung | Keine |
| Windows Server 2012 und Windows Server 2012 R2 | ||||
| Windows Server 2012 (3045171) | Nicht verfügbar | Wichtig Offenlegung von Informationen | Kritisch Remotecodeausführung | 3034344 in MS15-023 |
| Windows Server 2012 | Microsoft .NET Framework 3.5 (3048071) | Wichtig Offenlegung von Informationen | Kritisch Remotecodeausführung | 2861194 in MS13-082, 2832418 in MS13-052 |
| Windows Server 2012 R2 (3045171) | Nicht verfügbar | Wichtig Offenlegung von Informationen | Kritisch Remotecodeausführung | 3034344 in MS15-023 |
| Windows Server 2012 R2 | Microsoft .NET Framework 3.5 (3048072) | Wichtig Offenlegung von Informationen | Kritisch Remotecodeausführung | Keine |
| Windows RT und Windows RT 8.1 | ||||
| Windows RT[2](3045171) | Nicht verfügbar | Wichtig Offenlegung von Informationen | Kritisch Remotecodeausführung | 3034344 in MS15-023 |
| Windows RT 8.1[2](3045171) | Nicht verfügbar | Wichtig Offenlegung von Informationen | Kritisch Remotecodeausführung | 3034344 in MS15-023 |
| Server Core-Installationsoption | ||||
| Windows Server 2008 für 32-Bit-Systeme Service Pack 2 (Server Core-Installation) (3045171) | Nicht verfügbar | Wichtig Offenlegung von Informationen | Kritisch Remotecodeausführung | 3034344 in MS15-023 |
| Windows Server 2008 für x64-basierte Systeme Service Pack 2 (Server Core-Installation ) (3045171) | Nicht verfügbar | Wichtig Offenlegung von Informationen | Kritisch Remotecodeausführung | 3034344 in MS15-023 |
| Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1 (Server Core-Installation ) (3045171) | Nicht verfügbar | Wichtig Offenlegung von Informationen | Kritisch Remotecodeausführung | 3034344 in MS15-023 |
| Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1 (Server Core-Installation) | Microsoft .NET Framework 3.5.1 (3048070) | Wichtig Offenlegung von Informationen | Kritisch Remotecodeausführung | 2861191 in MS13-082, 2832414 in MS13-052 |
| Windows Server 2012 (Server Core-Installation) (3045171) | Nicht verfügbar | Wichtig Offenlegung von Informationen | Kritisch Remotecodeausführung | 3034344 in MS15-023 |
| Windows Server 2012 (Server Core-Installation) | Microsoft .NET Framework 3.5 (3048071) | Wichtig Offenlegung von Informationen | Kritisch Remotecodeausführung | 2861194 in MS13-082, 2832418 in MS13-052 |
| Windows Server 2012 R2 (Server Core-Installation) (3045171) | Nicht verfügbar | Wichtig Offenlegung von Informationen | Kritisch Remotecodeausführung | 3034344 in MS15-023 |
| Windows Server 2012 R2 (Server Core-Installation) | Microsoft .NET Framework 3.5 (3048072) | Wichtig Offenlegung von Informationen | Kritisch Remotecodeausführung | Keine |
Beachten Sie Updates für Windows Technical Preview und Windows Server Technical Preview verfügbar sind. Kunden, die Vorschaueditionen ausführen, werden aufgefordert, die Updates anzuwenden, die über Windows Update bereitgestellt werden. Updates sind auch für Microsoft .NET Framework 4.6 RC verfügbar, die nur über das Microsoft Download Center verfügbar sind.
[1].NET Framework 4 und .NET Framework 4 Clientprofil betroffen.
[2]Dieses Update ist nur über Windows Update verfügbar.
Microsoft Office
| Office-Software | Sicherheitsanfälligkeit bei der OpenType-Schriftanalyse – CVE-2015-1670 | Sicherheitsanfälligkeit bei der TrueType-Schriftanalyse – CVE-2015-1671 | Updates ersetzt |
|---|---|---|---|
| Microsoft Office 2007 Service Pack 3\ (2883029) | Nicht verfügbar | Kritisch \ Remotecodeausführung | 2878233 in MS14-036 |
| Microsoft Office 2010 Service Pack 2\ (32-Bit-Editionen)\ (2881073) | Nicht verfügbar | Kritisch \ Remotecodeausführung | 2863942 in MS14-036 |
| Microsoft Office 2010 Service Pack 2\ (64-Bit-Editionen)\ (2881073) | Nicht verfügbar | Kritisch \ Remotecodeausführung | 2863942 in MS14-036 |
Microsoft-Kommunikationsplattformen und -software
| Software | Sicherheitsanfälligkeit bei der OpenType-Schriftanalyse – CVE-2015-1670 | Sicherheitsanfälligkeit bei der TrueType-Schriftanalyse – CVE-2015-1671 | Updates ersetzt |
|---|---|---|---|
| Microsoft Live Meeting 2007 Console[1]\ (3051467) | Nicht verfügbar | Kritisch \ Remotecodeausführung | 2968966 in MS14-036 |
| Microsoft Lync 2010 (32-Bit)\ (3051464) | Nicht verfügbar | Kritisch \ Remotecodeausführung | 2963285 in MS14-036 |
| Microsoft Lync 2010 (64-Bit)\ (3051464) | Nicht verfügbar | Kritisch \ Remotecodeausführung | 2963285 in MS14-036 |
| Microsoft Lync 2010 Attendee[1]\ (Installation auf Benutzerebene)\ (3051465) | Nicht verfügbar | Kritisch \ Remotecodeausführung | 2963282 in MS14-036 |
| Microsoft Lync 2010 Attendee\ (Installation auf Administratorebene)\ (3051466) | Nicht verfügbar | Kritisch \ Remotecodeausführung | 2963284 in MS14-036 |
| Microsoft Lync 2013 Service Pack 1 (32-Bit)\ (Skype for Business)\ (3039779) | Nicht verfügbar | Kritisch \ Remotecodeausführung | 2881013 in MS14-036 |
| Microsoft Lync Basic 2013 Service Pack 1 (32-Bit)\ (Skype for Business Basic)\ (3039779) | Nicht verfügbar | Kritisch \ Remotecodeausführung | 2881013 in MS14-036 |
| Microsoft Lync 2013 Service Pack 1 (64-Bit)\ (Skype for Business)\ (3039779) | Nicht verfügbar | Kritisch \ Remotecodeausführung | 2881013 in MS14-036 |
| Microsoft Lync Basic 2013 Service Pack 1 (64-Bit)\ (Skype for Business Basic)\ (3039779) | Nicht verfügbar | Kritisch \ Remotecodeausführung | 2881013 in MS14-036 |
[1]Dieses Update ist nur im Microsoft Download Center verfügbar.
Microsoft-Entwicklertools und -software
| Software | Sicherheitsanfälligkeit bei der OpenType-Schriftanalyse – CVE-2015-1670 | Sicherheitsanfälligkeit bei der TrueType-Schriftanalyse – CVE-2015-1671 | Updates ersetzt |
|---|---|---|---|
| Microsoft Silverlight 5 bei Installation auf Mac\ (3056819) | Nicht verfügbar | Kritisch \ Remotecodeausführung | 2932677 in MS14-014 |
| Microsoft Silverlight 5 Developer Runtime bei Installation auf Mac\ (3056819) | Nicht verfügbar | Kritisch \ Remotecodeausführung | 2932677 in MS14-014 |
| Microsoft Silverlight 5 bei Installation auf allen unterstützten Versionen von Microsoft Windows-Clients\ (3056819) | Nicht verfügbar | Kritisch \ Remotecodeausführung | 2932677 in MS14-014 |
| Microsoft Silverlight 5 Developer Runtime bei Installation auf allen unterstützten Versionen von Microsoft Windows-Clients\ (3056819) | Nicht verfügbar | Kritisch \ Remotecodeausführung | 2932677 in MS14-014 |
| Microsoft Silverlight 5 bei Installation auf allen unterstützten Versionen von Microsoft Windows-Servern\ (3056819) | Nicht verfügbar | Kritisch \ Remotecodeausführung | 2932677 in MS14-014 |
| Microsoft Silverlight 5 Developer Runtime bei Installation auf allen unterstützten Versionen von Microsoft Windows-Servern\ (3056819) | Nicht verfügbar | Kritisch \ Remotecodeausführung | 2932677 in MS14-014 |
Häufig gestellte Fragen zum Aktualisieren
Warum werden einige der in diesem Bulletin aufgeführten Updatedateien auch in anderen Bulletins bezeichnet, die im Mai veröffentlicht wurden?
Einige der in diesem Bulletin aufgeführten Updatedateien werden aufgrund von Überschneidungen betroffener Software auch in anderen Bulletins bezeichnet, die im Mai veröffentlicht werden. Obwohl die verschiedenen Bulletins separate Sicherheitsrisiken behandeln, wurden die Sicherheitsupdates nach Möglichkeit und Angemessen konsolidiert, daher das Auftreten von einigen identischen Updatedateien, die in mehreren Bulletins vorhanden sind.
Beachten Sie, dass identische Updatedateien, die mit mehreren Bulletins versendet werden, nicht mehrmals installiert werden müssen.
Für einige der betroffenen Software sind mehrere Updatepakete verfügbar. Muss ich alle Updates installieren, die in der Tabelle Betroffene Software für die Software aufgeführt sind?
Ja. Kunden sollten alle Updates anwenden, die für die auf ihren Systemen installierte Software angeboten werden. Wenn mehrere Updates angewendet werden, können sie in beliebiger Reihenfolge installiert werden.
Gewusst wie bestimmen, welche Version von Microsoft .NET Framework installiert ist?
Sie können mehrere Versionen von .NET Framework auf einem System installieren und ausführen, und Sie können die Versionen in beliebiger Reihenfolge installieren. Weitere Informationen finden Sie im Microsoft Knowledge Base-Artikel 318785.
Was ist der Unterschied zwischen .NET Framework 4 und .NET Framework 4 Clientprofil?
Die .NET Framework verteilbaren Pakete der Version 4 sind in zwei Profilen verfügbar: .NET Framework 4 und .NET Framework 4 Clientprofil. Das .NET Framework 4-Clientprofil ist eine Teilmenge des .NET Framework 4-Profils, das für Clientanwendungen optimiert ist. Es bietet Funktionen für die meisten Clientanwendungen, einschließlich Windows Presentation Foundation (WPF), Windows Forms, Windows Communication Foundation (WCF) und ClickOnce-Features. Dies ermöglicht eine schnellere Bereitstellung und ein kleineres Installationspaket für Anwendungen, die auf das clientprofil .NET Framework 4 ausgerichtet sind. Weitere Informationen finden Sie im MSDN-Artikel .NET Framework Clientprofil.
Muss ich diese Sicherheitsupdates in einer bestimmten Reihenfolge installieren?
Nein. Mehrere Updates für ein bestimmtes System können in beliebiger Reihenfolge angewendet werden.
Mir wird ein Microsoft Office-Update für Software angeboten, die in der Tabelle "Betroffene Software" nicht ausdrücklich aufgeführt ist. Warum wird mir dieses Update angeboten?
Wenn Updates anfälligen Code behandeln, der in einer Komponente vorhanden ist, die von mehreren Microsoft Office-Produkten oder von mehreren Versionen desselben Microsoft Office-Produkts gemeinsam genutzt wird, gilt das Update als für alle unterstützten Produkte und Versionen, die die anfällige Komponente enthalten.
Wenn beispielsweise ein Update für Microsoft Office 2007-Produkte gilt, kann in der Tabelle Betroffene Software nur Microsoft Office 2007 aufgeführt werden. Das Update kann jedoch für Microsoft Word 2007, Microsoft Excel 2007, Microsoft Visio 2007, Microsoft Compatibility Pack, Microsoft Excel Viewer oder jedes andere Microsoft Office 2007-Produkt gelten, das nicht ausdrücklich in der Tabelle "Betroffene Software" aufgeführt ist. Darüber hinaus kann, wenn ein Update für Microsoft Office 2010-Produkte gilt, nur Microsoft Office 2010 in der Tabelle "Betroffene Software" aufgeführt werden. Das Update kann jedoch für Microsoft Word 2010, Microsoft Excel 2010, Microsoft Visio 2010, Microsoft Visio Viewer oder jedes andere Microsoft Office 2010-Produkt gelten, das nicht ausdrücklich in der Tabelle Betroffene Software aufgeführt ist.
Weitere Informationen zu diesem Verhalten und empfohlenen Aktionen finden Sie im Microsoft Knowledge Base-Artikel 830335. Eine Liste der Microsoft Office-Produkte, für die ein Update gelten kann, finden Sie im Microsoft Knowledge Base-Artikel, der dem jeweiligen Update zugeordnet ist.
Ich führe Office 2010 aus, das als betroffene Software aufgeführt ist. Warum wird mir das Update nicht angeboten?
Das Update wird nur für Systeme angeboten, auf denen Microsoft Office 2010 unter unterstützten Editionen von Windows Server 2003 ausgeführt wird. Das Update gilt nicht für andere unterstützte Konfigurationen, da der anfällige Code nicht vorhanden ist.
Gibt es verwandte nicht sicherheitsrelevante Updates, die Kunden zusammen mit dem Sicherheitsupdate der Microsoft Live Meeting Console installieren sollten?
Ja, zusätzlich zur Veröffentlichung eines Sicherheitsupdates für Microsoft Live Meeting Console hat Microsoft die folgenden nicht sicherheitsrelevanten Updates für das OCS Conferencing Addin für Outlook veröffentlicht. Microsoft empfiehlt Kunden, diese Updates zu installieren, um ihre Systeme auf dem neuesten Stand zu halten:
- OCS Conferencing Addin für Outlook (32-Bit) (3051468)
- OCS Conferencing Addin für Outlook (64-Bit) (3051468)
Weitere Informationen finden Sie im Microsoft Knowledge Base-Artikel 3051468 .
Warum ist das Lync 2010 Attendee-Update (Installation auf Benutzerebene) nur im Microsoft Download Center verfügbar?
Microsoft veröffentlicht das Update für Lync 2010 Attendee (Installation auf Benutzerebene) nur im Microsoft Download Center . Da die Installation von Lync 2010 Attendee auf Benutzerebene über eine Lync-Sitzung erfolgt, sind Verteilungsmethoden wie automatische Updates für diese Art von Installationsszenario nicht geeignet.
Welche Webbrowser unterstützen Microsoft Silverlight-Anwendungen?
Um Microsoft Silverlight-Anwendungen ausführen zu können, erfordern die meisten Webbrowser, einschließlich Microsoft Internet Explorer, die Installation von Microsoft Silverlight und die Aktivierung des entsprechenden Plug-Ins. Weitere Informationen zu Microsoft Silverlight finden Sie auf der offiziellen Website Microsoft Silverlight. Weitere Informationen zum Deaktivieren oder Entfernen von Plug-Ins finden Sie in der Dokumentation Ihres Browsers.
Welche Versionen von Microsoft Silverlight 5 sind von der Sicherheitsanfälligkeit betroffen?
Microsoft Silverlight-Build 5.1.40416.00, der zum Zeitpunkt der ersten Veröffentlichung dieses Bulletins der aktuelle Build von Microsoft Silverlight war, behebt das Sicherheitsrisiko und ist nicht betroffen. Builds von Microsoft Silverlight vor 5.1.40416.00 sind betroffen.
Gewusst wie wissen, welche Version und welcher Build von Microsoft Silverlight derzeit auf meinem System installiert ist?
Wenn Microsoft Silverlight bereits auf Ihrem Computer installiert ist, können Sie die Seite Microsoft Silverlight abrufen besuchen, auf der angegeben wird, welche Version und welcher Build von Microsoft Silverlight derzeit auf Ihrem System installiert ist. Alternativ können Sie das Feature verwalten Add-Ons aktueller Versionen von Microsoft Internet Explorer verwenden, um die Versions- und Buildinformationen zu ermitteln, die derzeit auf Ihrem System installiert sind.
Sie können auch manuell die Versionsnummer der sllauncher.exe überprüfen, die sich im Verzeichnis "%ProgramFiles%\Microsoft Silverlight" (auf x86 Microsoft Windows-Systemen) oder im Verzeichnis "%ProgramFiles(x86)%\Microsoft Silverlight" (auf x64 Microsoft Windows-Systemen) befinden.
Darüber hinaus finden Sie unter Microsoft Windows die Versions- und Buildinformationen der derzeit installierten Version von Microsoft Silverlight in der Registrierung unter [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Silverlight]:Version auf x86 Microsoft Windows-Systemen oder [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Silverlight]:Version auf x64 Microsoft Windows-Systemen.
Unter Apple Mac OS finden Sie die Versions- und Buildinformationen der derzeit installierten Version von Microsoft Silverlight wie folgt:
- Öffnen des Finders
- Wählen Sie das Systemlaufwerk aus, und wechseln Sie zum Ordner Internet-Plug-Ins – Bibliothek.
- Klicken Sie mit der rechten Maustaste auf die Datei Silverlight.Plug-In (wenn Ihre Maus nur eine Schaltfläche hat, drücken Sie die STRG-TASTE, während Sie auf die Datei klicken), um das Kontextmenü aufzurufen, und klicken Sie dann auf Paketinhalt anzeigen.
- Suchen Sie im Inhaltsordner nach der Datei info.plist , und öffnen Sie sie mit einem Editor. Es enthält einen Eintrag wie diesen, der Ihnen die Versionsnummer anzeigt:
SilverlightVersion
5.1.40416.00
Die Version, die mit diesem Sicherheitsupdate für Microsoft Silverlight 5 installiert wird, ist 5.1.40416.00. Wenn Ihre Versionsnummer von Microsoft Silverlight 5 höher oder gleich dieser Versionsnummer ist, ist Ihr System nicht anfällig.
Gewusst wie meine Version von Microsoft Silverlight aktualisieren?
Das Feature für die automatische Aktualisierung von Microsoft Silverlight hilft sicherzustellen, dass Ihre Microsoft Silverlight-Installation mit der neuesten Version von Microsoft Silverlight, Microsoft Silverlight-Funktionen und Sicherheitsfeatures auf dem neuesten Stand gehalten wird. Weitere Informationen zum Feature für die automatische Aktualisierung von Microsoft Silverlight finden Sie unter Microsoft Silverlight Updater. Windows-Benutzer, die das Feature für die automatische Aktualisierung von Microsoft Silverlight deaktiviert haben, können sich bei Microsoft Update registrieren, um die neueste Version von Microsoft Silverlight zu erhalten, oder die neueste Version von Microsoft Silverlight manuell herunterladen, indem Sie den Downloadlink in der Tabelle Betroffene Software im vorherigen Abschnitt betroffene und nicht betroffene Software verwenden. Informationen zum Bereitstellen von Microsoft Silverlight in einer Unternehmensumgebung finden Sie im Silverlight Enterprise-Bereitstellungshandbuch.
Wird mit diesem Update meine Version von Silverlight aktualisiert?
Das 3056819 Update aktualisiert frühere Versionen von Silverlight auf Silverlight-Version 5.1.40416.00. Microsoft empfiehlt ein Upgrade, um vor der in diesem Bulletin beschriebenen Sicherheitsanfälligkeit geschützt zu sein.
Wo finde ich zusätzliche Informationen zum Silverlight-Produktlebenszyklus?
Informationen zum Lebenszyklus von Silverlight finden Sie in der Microsoft Silverlight-Supportlebenszyklus-Richtlinie.
Informationen zu Sicherheitsrisiken
Sicherheitsanfälligkeit bei der OpenType-Schriftartanalyse – CVE-2015-1670
Ein Sicherheitsrisiko bei der Offenlegung von Informationen liegt in Microsoft Windows vor, wenn die Windows-DirectWrite-Bibliothek OpenType-Schriftarten nicht ordnungsgemäß behandelt. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, könnte möglicherweise Daten lesen, die nicht offengelegt werden sollten. Beachten Sie, dass diese Sicherheitsanfälligkeit es einem Angreifer nicht erlauben würde, Code auszuführen oder seine Benutzerrechte direkt zu erhöhen, aber es könnte verwendet werden, um Informationen zu erhalten, die verwendet werden könnten, um das betroffene System weiter zu kompromittieren.
Um die Sicherheitsanfälligkeit auszunutzen, könnte ein Angreifer eine speziell gestaltete Website hosten, die darauf ausgelegt ist, die Sicherheitsanfälligkeit auszunutzen und dann einen Benutzer zu überzeugen, die Website anzuzeigen. Dies kann auch kompromittierte Websites und Websites umfassen, die von Benutzern bereitgestellte Inhalte oder Werbung akzeptieren oder hosten. In allen Fällen hätte ein Angreifer jedoch keine Möglichkeit, Benutzer zum Besuch solcher Websites zu zwingen. Stattdessen müsste ein Angreifer benutzer dazu verleiten, eine Website zu besuchen, in der Regel durch Verlockungen in Instant Messenger oder E-Mail-Nachrichten.
Das Update behebt die Sicherheitsanfälligkeit, indem korrigiert wird, wie die Windows DirectWrite-Bibliothek OpenType-Schriftarten behandelt. Microsoft hat durch koordinierte Offenlegung von Sicherheitsrisiken Informationen zu diesem Sicherheitsrisiko erhalten. Als dieses Security Bulletin veröffentlicht wurde, hatte Microsoft keine Informationen erhalten, die darauf hindeuten, dass diese Sicherheitsanfälligkeit öffentlich für Angriffe auf Kunden verwendet wurde.
Schadensbegrenzende Faktoren
Microsoft hat keine mildernden Faktoren für dieses Sicherheitsrisiko identifiziert.
Problemumgehungen
Microsoft hat keine Problemumgehungen für dieses Sicherheitsrisiko identifiziert.
Sicherheitsanfälligkeit bei der TrueType-Schriftartanalyse – CVE-2015-1671
Es liegt ein Sicherheitsrisiko bei der Remotecodeausführung vor, wenn Komponenten von Windows, .NET Framework, Office, Lync und Silverlight TrueType-Schriftarten nicht ordnungsgemäß verarbeiten können. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann die vollständige Kontrolle über das betroffene System übernehmen. Ein Angreifer könnte dann Programme installieren, Daten anzeigen, ändern, oder löschen oder neue Konten mit uneingeschränkten Benutzerrechten anlegen.
Es gibt mehrere Möglichkeiten, wie ein Angreifer diese Sicherheitsanfälligkeit ausnutzen kann, z. B. indem er einen Benutzer dazu verredet, ein speziell gestaltetes Dokument zu öffnen oder den Benutzer dazu zu bringen, eine nicht vertrauenswürdige Webseite zu besuchen, die eingebettete TrueType-Schriftarten enthält.
Das Update behebt die Sicherheitsanfälligkeit, indem korrigiert wird, wie die Windows DirectWrite-Bibliothek TrueType-Schriftarten behandelt. Microsoft hat durch koordinierte Offenlegung von Sicherheitsrisiken Informationen zu diesem Sicherheitsrisiko erhalten. Als dieses Security Bulletin veröffentlicht wurde, hatte Microsoft keine Informationen erhalten, die darauf hindeuten, dass diese Sicherheitsanfälligkeit öffentlich für Angriffe auf Kunden verwendet wurde.
Schadensbegrenzende Faktoren
Microsoft hat keine mildernden Faktoren für dieses Sicherheitsrisiko identifiziert.
Problemumgehungen
Microsoft hat keine Problemumgehungen für dieses Sicherheitsrisiko identifiziert.
Bereitstellung von Sicherheitsupdates
Informationen zur Bereitstellung von Sicherheitsupdates finden Sie im Microsoft Knowledge Base-Artikel, auf den in der Zusammenfassung verwiesen wird.
Danksagungen
Microsoft erkennt die Bemühungen von Personen in der Sicherheitscommunity an, die uns helfen, Kunden durch koordinierte Offenlegung von Sicherheitsrisiken zu schützen. Weitere Informationen finden Sie unter Bestätigungen .
Haftungsausschluss
Die in der Microsoft Knowledge Base bereitgestellten Informationen werden ohne Jegliche Gewährleistung "wie ben" bereitgestellt. Microsoft lehnt jegliche Gewährleistungen ab, sei es ausdrücklich oder stillschweigend, einschließlich der Gewährleistungen der Marktgängigkeit und Eignung für einen bestimmten Zweck. In keinem Fall haften Die Microsoft Corporation oder ihre Lieferanten für Schäden jeglicher Art, einschließlich direkter, indirekter, zufälliger, Folgeschäden, Verlust von Geschäftsgewinnen oder besonderen Schäden, auch wenn Microsoft Corporation oder ihre Lieferanten auf die Möglichkeit solcher Schäden hingewiesen wurden. Einige Staaten lassen den Ausschluss oder die Beschränkung der Haftung für Folge- oder Nebenschäden nicht zu, sodass die vorstehende Einschränkung möglicherweise nicht gilt.
Revisionen
- V1.0 (12. Mai 2015): Bulletin veröffentlicht.
- V2.0 (21. Mai 2015): Das Bulletin wurde überarbeitet, um die Verfügbarkeit eines neuen Updates (3065979) anzukündigen, das ein bekanntes Problem behebt, das bei einigen Kunden nach der Installation des 3045171 Sicherheitsupdates auf allen unterstützten Editionen von Windows 7/Windows 2008 R2 und früheren Systemen aufgetreten ist. Die 3045171 Sicherheitsupdates führt dazu, dass Kundenanwendungen abstürzen, während versucht wird, textgliederungsbasierte Pfadobjekte mithilfe von GDI+ zu erstellen. Kunden, bei denen dieses bekannte Problem auftritt, können das Problem beheben, indem sie das 3065979 Update installieren. Weitere Informationen und Downloadlinks finden Sie im Microsoft Knowledge Base-Artikel 3065979 .
- V2.1 (23. Juni 2015): Das Bulletin wurde überarbeitet, um eine Erkennungsänderung im 3056819 Update für Microsoft Silverlight 5 anzukündigen. Dies ist nur eine Erkennungsänderung. Kunden, die ihre Systeme bereits erfolgreich aktualisiert haben, müssen keine Maßnahmen ergreifen.
Seite generiert am 29.08.2016 09:25-07:00.