Microsoft Security Bulletin MS15-070 – Wichtig
Sicherheitsrisiken in Microsoft Office können Remotecodeausführung ermöglichen (3072620)
Veröffentlicht: 14. Juli 2015
Version: 1.0
Kurzfassung
Dieses Sicherheitsupdate behebt Sicherheitsrisiken in Microsoft Office. Die schwerwiegendste der Sicherheitsrisiken kann die Remotecodeausführung ermöglichen, wenn ein Benutzer eine speziell gestaltete Microsoft Office-Datei öffnet. Ein Angreifer, der die Sicherheitsanfälligkeiten erfolgreich ausnutzt, kann beliebigen Code im Kontext des aktuellen Benutzers ausführen. Kunden, deren Konten so konfiguriert sind, dass sie über weniger Benutzerrechte auf dem System verfügen, sind möglicherweise weniger betroffen als Benutzer mit Administratorrechten.
Dieses Sicherheitsupdate wird für alle unterstützten Editionen der folgenden Software als Wichtig eingestuft:
- Microsoft Excel 2007, Microsoft PowerPoint 2007, Microsoft Word 2007
- Microsoft Office 2010, Microsoft Excel 2010, Microsoft PowerPoint 2010, Microsoft Word 2010
- Microsoft Excel 2013, Microsoft PowerPoint 2013, Microsoft Word 2013
- Microsoft Excel 2013 RT, Microsoft PowerPoint 2013 RT, Microsoft Word 2013 RT
- Microsoft Excel für Mac 2011
- Microsoft Excel Viewer, Microsoft Office Compatibility Pack, Microsoft Word Viewer
- Excel Services auf Microsoft SharePoint Server 2007
- Excel Services auf Microsoft SharePoint Server 2010
- Excel Services auf Microsoft SharePoint Server 2013
Weitere Informationen finden Sie im Abschnitt Betroffene Software .
Das Sicherheitsupdate behebt die Sicherheitsrisiken, indem korrigiert wird, wie Office Dateien im Arbeitsspeicher behandelt, wie Excel das Laden bestimmter speziell gestalteter Binärdateien behandelt, und indem korrigiert wird, wie Speicherinformationen offengelegt werden. Weitere Informationen zu den Sicherheitsrisiken finden Sie im Abschnitt Informationen zu Sicherheitsrisiken .
Weitere Informationen zu diesem Update finden Sie im Microsoft Knowledge Base-Artikel 3072620.
Betroffene Software
Die folgenden Softwareversionen oder -editionen sind betroffen. Versionen oder Editionen, die nicht aufgeführt sind, haben entweder ihren Supportlebenszyklus hinter sich oder sind nicht betroffen. Informationen zum Bestimmen des Supportlebenszyklus für Ihre Softwareversion oder -edition finden Sie unter Microsoft-Support Lifecycle.
Microsoft Office-Software
| Software für Microsoft Office-Suites | Komponente | Maximale Sicherheitsbeeinträchtigung | Bewertung des Aggregierten Schweregrads | Updates ersetzt |
|---|---|---|---|---|
| Microsoft Office 2007 | ||||
| Microsoft Office 2007 Service Pack 3 | Microsoft Excel 2007 Service Pack 3 (2965281) | Codeausführung von Remotestandorten | Wichtig | 2956103 in MS15-022 |
| Microsoft PowerPoint 2007 Service Pack 3 | Microsoft PowerPoint 2007 Service Pack 3 (2965283) | Codeausführung von Remotestandorten | Wichtig | 2899580 in MS15-022 |
| Microsoft Office 2007 Service Pack 3 | Microsoft Word 2007 Service Pack 3 (3054996) | Codeausführung von Remotestandorten | Wichtig | 2965284 in MS15-033 |
| Microsoft Office 2010 | ||||
| Microsoft Office 2010 Service Pack 2 (32-Bit-Editionen) | Microsoft Office 2010 Service Pack 2 (32-Bit-Editionen) (3054971) | Codeausführung von Remotestandorten | Wichtig | 3054841 in MS15-046 |
| Microsoft Office 2010 Service Pack 2 (64-Bit-Editionen) | Microsoft Office 2010 Service Pack 2 (64-Bit-Editionen) (3054971) | Codeausführung von Remotestandorten | Wichtig | 3054841 in MS15-046 |
| Microsoft Office 2010 Service Pack 2 (32-Bit-Editionen) | Microsoft Excel 2010 Service Pack 2 (32-Bit-Editionen) (3054981) | Codeausführung von Remotestandorten | Wichtig | 3054845 in MS15-046 |
| Microsoft Office 2010 Service Pack 2 (64-Bit-Editionen) | Microsoft Excel 2010 Service Pack 2 (64-Bit-Editionen) (3054981) | Codeausführung von Remotestandorten | Wichtig | 3054845 in MS15-046 |
| Microsoft PowerPoint 2010 Service Pack 2 (32-Bit-Editionen) | Microsoft PowerPoint 2010 Service Pack 2 (32-Bit-Editionen) (3054963) | Codeausführung von Remotestandorten | Wichtig | 3054835 in MS15-046 |
| Microsoft PowerPoint 2010 Service Pack 2 (64-Bit-Editionen) | Microsoft PowerPoint 2010 Service Pack 2 (64-Bit-Editionen) (3054963) | Codeausführung von Remotestandorten | Wichtig | 3054835 in MS15-046 |
| Microsoft Office 2010 Service Pack 2 (32-Bit-Editionen) | Microsoft Word 2010 Service Pack 2 (32-Bit-Editionen) (3054973) | Codeausführung von Remotestandorten | Wichtig | 3054842 in MS15-046 |
| Microsoft Office 2010 Service Pack 2 (64-Bit-Editionen) | Microsoft Word 2010 Service Pack 2 (64-Bit-Editionen) (3054973) | Codeausführung von Remotestandorten | Wichtig | 3054842 in MS15-046 |
| Microsoft Office 2013 | ||||
| Microsoft Office 2013 Service Pack 1 (32-Bit-Editionen) | Microsoft Excel 2013 Service Pack 1 (32-Bit-Editionen) (3054949) | Codeausführung von Remotestandorten | Wichtig | 2986216 in MS15-046 |
| Microsoft Office 2013 Service Pack 1 (64-Bit-Editionen) | Microsoft Excel 2013 Service Pack 1 (64-Bit-Editionen) (3054949) | Codeausführung von Remotestandorten | Wichtig | 2986216 in MS15-046 |
| Microsoft PowerPoint 2013 Service Pack 1 (32-Bit-Editionen) | Microsoft PowerPoint 2013 Service Pack 1 (32-Bit-Editionen) (3054999) | Codeausführung von Remotestandorten | Wichtig | 2975816 in MS15-046 |
| Microsoft PowerPoint 2013 Service Pack 1 (64-Bit-Editionen) | Microsoft PowerPoint 2013 Service Pack 1 (64-Bit-Editionen) (3054999) | Codeausführung von Remotestandorten | Wichtig | 2975816 in MS15-046 |
| Microsoft Office 2013 Service Pack 1 (32-Bit-Editionen) | Microsoft Word 2013 Service Pack 1 (32-Bit-Editionen) (3054990) | Codeausführung von Remotestandorten | Wichtig | 2965307 in MS15-046 |
| Microsoft Office 2013 Service Pack 1 (64-Bit-Editionen) | Microsoft Word 2013 Service Pack 1 (64-Bit-Editionen) (3054990) | Codeausführung von Remotestandorten | Wichtig | 2965307 in MS15-046 |
| Microsoft Office 2013 RT | ||||
| Microsoft Office 2013 RT Service Pack 1 | Microsoft Excel 2013 RT Service Pack 1 (3054949) [1] | Codeausführung von Remotestandorten | Wichtig | 2986216 in MS15-046 |
| Microsoft Office 2013 RT Service Pack 1 | Microsoft PowerPoint 2013 RT Service Pack 1 (3054999) [1] | Codeausführung von Remotestandorten | Wichtig | 2975816 in MS15-046 |
| Microsoft Office 2013 RT Service Pack 1 | Microsoft Word 2013 RT Service Pack 1 (3054990) [1] | Codeausführung von Remotestandorten | Wichtig | 2965307 in MS15-046 |
| Microsoft Office für Mac | ||||
| Microsoft Office für Mac 2011 | Microsoft Excel für Mac 2011 (3073865) | Codeausführung von Remotestandorten | Wichtig | 3048688 in MS15-046 |
| Andere Office-Software | ||||
| Microsoft Excel Viewer 2007 Service Pack 3 | Microsoft Excel Viewer 2007 Service Pack 3 (2965209) | Codeausführung von Remotestandorten | Wichtig | 2956189 in MS15-022 |
| Microsoft Office Compatibility Pack Service Pack 3 | Microsoft Office Compatibility Pack Service Pack 3 (2965208) | Codeausführung von Remotestandorten | Wichtig | 2956106 in MS15-022 |
| Microsoft Word Viewer | Microsoft Word Viewer (3054958) | Codeausführung von Remotestandorten | Wichtig | 2965289 in MS15-033 |
[1]Dieses Update ist über Windows Update verfügbar.
Microsoft Office-Dienste und Web-Apps
| Microsoft Office-Dienste und Web-Apps | Komponente | Maximale Sicherheitsbeeinträchtigung | Bewertung des Aggregierten Schweregrads | Updates ersetzt |
|---|---|---|---|---|
| Microsoft SharePoint Server 2007 | ||||
| Microsoft SharePoint Server 2007 Service Pack 3 (32-Bit-Editionen) | Excel Services (2837612) | Codeausführung von Remotestandorten | Wichtig | 2827327 in MS13-084 |
| Microsoft SharePoint Server 2007 Service Pack 3 (64-Bit-Editionen) | Excel Services (2837612) | Codeausführung von Remotestandorten | Wichtig | 2827327 in MS13-084 |
| Microsoft SharePoint Server 2010 | ||||
| Microsoft SharePoint Server 2010 Service Pack 2 | Excel Services (3054968) | Codeausführung von Remotestandorten | Wichtig | 3054839 in MS15-046 |
| Microsoft SharePoint Server 2013 | ||||
| Microsoft SharePoint Server 2013 Service Pack 1 | Excel Services (3054861) | Codeausführung von Remotestandorten | Wichtig | 3039725 in MS15-046 |
Häufig gestellte Fragen zum Aktualisieren
Ich habe Microsoft Word 2010 installiert. Warum wird mir das 3054971 Update nicht angeboten?
Das 3054971 Update gilt nur für Systeme, auf denen bestimmte Konfigurationen von Microsoft Office 2010 ausgeführt werden. Für einige Konfigurationen wird das Update nicht angeboten.
Mir wird dieses Update für Software angeboten, die in der Tabelle "Betroffene Software" nicht ausdrücklich aufgeführt ist. Warum wird mir dieses Update angeboten?
Wenn Updates anfälligen Code behandeln, der in einer Komponente vorhanden ist, die von mehreren Microsoft Office-Produkten oder von mehreren Versionen desselben Microsoft Office-Produkts gemeinsam genutzt wird, gilt das Update als für alle unterstützten Produkte und Versionen, die die anfällige Komponente enthalten.
Wenn beispielsweise ein Update für Microsoft Office 2007-Produkte gilt, kann in der Tabelle Betroffene Software nur Microsoft Office 2007 aufgeführt werden. Das Update kann jedoch für Microsoft Word 2007, Microsoft Excel 2007, Microsoft Visio 2007, Microsoft Compatibility Pack, Microsoft Excel Viewer oder jedes andere Microsoft Office 2007-Produkt gelten, das nicht ausdrücklich in der Tabelle "Betroffene Software" aufgeführt ist.
Wenn beispielsweise ein Update für Microsoft Office 2010-Produkte gilt, kann in der Tabelle Betroffene Software nur Microsoft Office 2010 aufgeführt werden. Das Update kann jedoch für Microsoft Word 2010, Microsoft Excel 2010, Microsoft Visio 2010, Microsoft Visio Viewer oder jedes andere Microsoft Office 2010-Produkt gelten, das nicht ausdrücklich in der Tabelle Betroffene Software aufgeführt ist.
Wenn beispielsweise ein Update für Microsoft Office 2013-Produkte gilt, kann in der Tabelle Betroffene Software nur Microsoft Office 2013 aufgeführt werden. Das Update kann jedoch für Microsoft Word 2013, Microsoft Excel 2013, Microsoft Visio 2013 oder ein anderes Microsoft Office 2013-Produkt gelten, das nicht ausdrücklich in der Tabelle Betroffene Software aufgeführt ist.
Schweregradbewertungen und Bezeichner für Sicherheitsrisiken
Bei den folgenden Schweregradbewertungen wird die potenzielle maximale Auswirkung der Sicherheitsanfälligkeit vorausgesetzt. Informationen zur Wahrscheinlichkeit der Ausnutzbarkeit des Sicherheitsrisikos in Bezug auf den Schweregrad und die Auswirkungen auf die Sicherheit innerhalb von 30 Tagen nach der Veröffentlichung dieses Security Bulletins finden Sie im Exploitability Index im Bulletin Summary vom Juli.
Microsoft Office-Software
| Bewertung des Sicherheitsrisikoschweregrads und maximale Auswirkungen auf die Sicherheit durch betroffene Software | |||||||||
|---|---|---|---|---|---|---|---|---|---|
| Betroffene Software | Sicherheitsanfälligkeit in Microsoft Office bezüglich Speicherbeschädigung – CVE-2015-2376 | Sicherheitsanfälligkeit in Microsoft Office bezüglich Speicherbeschädigung – CVE-2015-2377 | Sicherheitsanfälligkeit in Microsoft Office bezüglich Speicherbeschädigung – CVE-2015-2379 | Sicherheitsanfälligkeit in Microsoft Office bezüglich Speicherbeschädigung – CVE-2015-2380 | Sicherheitsanfälligkeit in Microsoft Office bezüglich Speicherbeschädigung – CVE-2015-2415 | Sicherheitsanfälligkeit in Microsoft Office bezüglich Speicherbeschädigung – CVE-2015-2424 | Sicherheitsrisiko bei der Umgehung von Microsoft Excel ASLR – CVE-2015-2375 | Sicherheitsanfälligkeit in Microsoft Excel DLL bezüglich Remotecodeausführung – CVE-2015-2378 | Bewertung des Aggregierten Schweregrads |
| Microsoft Office 2007 | |||||||||
| Microsoft Excel 2007 Service Pack 3 | WichtigRemotecodeausführung (2965281) | WichtigRemotecodeausführung (2965281) | Nicht verfügbar | Nicht verfügbar | WichtigRemotecodeausführung (2965281) | Nicht verfügbar | Nicht verfügbar | WichtigRemotecodeausführung (2965281) | Wichtig |
| Microsoft PowerPoint 2007 Service Pack 3 | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | WichtigRemotecodeausführung (2965283) | Nicht verfügbar | Nicht verfügbar | Wichtig |
| Microsoft Word 2007 Service Pack 3 | Nicht verfügbar | Nicht verfügbar | WichtigRemotecodeausführung (3054996) | WichtigRemotecodeausführung (3054996) | Nicht verfügbar | WichtigRemotecodeausführung (3054996) | Nicht verfügbar | Nicht verfügbar | Wichtig |
| Microsoft Office 2010 | |||||||||
| Microsoft Office 2010 Service Pack 2 (32-Bit-Editionen) | Nicht verfügbar | Nicht verfügbar | WichtigRemotecodeausführung (3054971) | WichtigRemotecodeausführung (3054971) | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Wichtig |
| Microsoft Office 2010 Service Pack 2 (64-Bit-Editionen) | Nicht verfügbar | Nicht verfügbar | WichtigRemotecodeausführung (3054971) | WichtigRemotecodeausführung (3054971) | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Wichtig |
| Microsoft Excel 2010 Service Pack 2 (32-Bit-Editionen) | WichtigRemotecodeausführung (3054981) | WichtigRemotecodeausführung (3054981) | Nicht verfügbar | Nicht verfügbar | WichtigRemotecodeausführung (3054981) | Nicht verfügbar | WichtigOffenlegung von Informationen (3054981) | WichtigRemotecodeausführung (3054981) | Wichtig |
| Microsoft Excel 2010 Service Pack 2 (64-Bit-Editionen) | WichtigRemotecodeausführung (3054981) | WichtigRemotecodeausführung (3054981) | Nicht verfügbar | Nicht verfügbar | WichtigRemotecodeausführung (3054981) | Nicht verfügbar | WichtigOffenlegung von Informationen (3054981) | WichtigRemotecodeausführung (3054981) | Wichtig |
| Microsoft PowerPoint 2010 Service Pack 2 (32-Bit-Editionen) | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | WichtigRemotecodeausführung (3054963) | Nicht verfügbar | Nicht verfügbar | Wichtig |
| Microsoft PowerPoint 2010 Service Pack 2 (64-Bit-Editionen) | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | WichtigRemotecodeausführung (3054963) | Nicht verfügbar | Nicht verfügbar | Wichtig |
| Microsoft Word 2010 Service Pack 2 (32-Bit-Editionen) | Nicht verfügbar | Nicht verfügbar | WichtigRemotecodeausführung (3054973) | WichtigRemotecodeausführung (3054973) | Nicht verfügbar | WichtigRemotecodeausführung (3054973) | Nicht verfügbar | Nicht verfügbar | Wichtig |
| Microsoft Word 2010 Service Pack 2 (64-Bit-Editionen) | Nicht verfügbar | Nicht verfügbar | WichtigRemotecodeausführung (3054973) | WichtigRemotecodeausführung (3054973) | Nicht verfügbar | WichtigRemotecodeausführung (3054973) | Nicht verfügbar | Nicht verfügbar | Wichtig |
| Microsoft Office 2013 | |||||||||
| Microsoft Excel 2013 Service Pack 1 (32-Bit-Editionen) | WichtigRemotecodeausführung (3054949) | WichtigRemotecodeausführung (3054949) | Nicht verfügbar | Nicht verfügbar | WichtigRemotecodeausführung (3054949) | Nicht verfügbar | WichtigOffenlegung von Informationen (3054949) | Nicht verfügbar | Wichtig |
| Microsoft Excel 2013 Service Pack 1 (64-Bit-Editionen) | WichtigRemotecodeausführung (3054949) | WichtigRemotecodeausführung (3054949) | Nicht verfügbar | Nicht verfügbar | WichtigRemotecodeausführung (3054949) | Nicht verfügbar | WichtigOffenlegung von Informationen (3054949) | Nicht verfügbar | Wichtig |
| Microsoft PowerPoint 2013 Service Pack 1 (32-Bit-Editionen) | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | WichtigRemotecodeausführung (3054999) | Nicht verfügbar | Nicht verfügbar | Wichtig |
| Microsoft PowerPoint 2013 Service Pack 1 (64-Bit-Editionen) | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | WichtigRemotecodeausführung (3054999) | Nicht verfügbar | Nicht verfügbar | Wichtig |
| Microsoft Word 2013 Service Pack 1 (32-Bit-Editionen) | Nicht verfügbar | Nicht verfügbar | WichtigRemotecodeausführung (3054990) | WichtigRemotecodeausführung (3054990) | Nicht verfügbar | WichtigRemotecodeausführung (3054990) | Nicht verfügbar | Nicht verfügbar | Wichtig |
| Microsoft Word 2013 Service Pack 1 (64-Bit-Editionen) | Nicht verfügbar | Nicht verfügbar | WichtigRemotecodeausführung (3054990) | WichtigRemotecodeausführung (3054990) | Nicht verfügbar | WichtigRemotecodeausführung (3054990) | Nicht verfügbar | Nicht verfügbar | Wichtig |
| Microsoft Office 2013 RT | |||||||||
| Microsoft Excel 2013 RT Service Pack 1 | WichtigRemotecodeausführung (3054949) | WichtigRemotecodeausführung (3054949) | Nicht verfügbar | Nicht verfügbar | WichtigRemotecodeausführung (3054949) | Nicht verfügbar | WichtigOffenlegung von Informationen (3054949) | Nicht verfügbar | Wichtig |
| Microsoft PowerPoint 2013 RT Service Pack 1 | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | WichtigRemotecodeausführung (3054999) | Nicht verfügbar | Nicht verfügbar | Wichtig |
| Microsoft Word 2013 RT Service Pack 1 | Nicht verfügbar | Nicht verfügbar | WichtigRemotecodeausführung (3054990) | WichtigRemotecodeausführung (3054990) | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Wichtig |
| Microsoft Office für Mac | |||||||||
| Microsoft Office für Mac 2011 | WichtigRemotecodeausführung (3073865) | Nicht verfügbar | WichtigRemotecodeausführung (3073865) | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Wichtig |
| Andere Office-Software | |||||||||
| Microsoft Excel Viewer 2007 Service Pack 3 | WichtigRemotecodeausführung (2965209) | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | WichtigRemotecodeausführung (2965209) | Wichtig |
| Microsoft Office Compatibility Pack Service Pack 3 | WichtigRemotecodeausführung (2965208) | WichtigRemotecodeausführung (2965208) | Nicht verfügbar | Nicht verfügbar | WichtigRemotecodeausführung (2965208) | Nicht verfügbar | Nicht verfügbar | WichtigRemotecodeausführung (2965208) | Wichtig |
| Microsoft Word Viewer | Nicht verfügbar | Nicht verfügbar | WichtigRemotecodeausführung (3054958) | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Wichtig |
Microsoft Office-Dienste und Web-Apps
| Bewertung des Sicherheitsrisikoschweregrads und maximale Auswirkungen auf die Sicherheit durch betroffene Software | |||||||||
|---|---|---|---|---|---|---|---|---|---|
| Betroffene Software | Sicherheitsanfälligkeit in Microsoft Office bezüglich Speicherbeschädigung – CVE-2015-2376 | Sicherheitsanfälligkeit in Microsoft Office bezüglich Speicherbeschädigung – CVE-2015-2377 | Sicherheitsanfälligkeit in Microsoft Office bezüglich Speicherbeschädigung – CVE-2015-2379 | Sicherheitsanfälligkeit in Microsoft Office bezüglich Speicherbeschädigung – CVE-2015-2380 | Sicherheitsanfälligkeit in Microsoft Office bezüglich Speicherbeschädigung – CVE-2015-2415 | Sicherheitsanfälligkeit in Microsoft Office bezüglich Speicherbeschädigung – CVE-2015-2424 | Sicherheitsrisiko bei der Umgehung von Microsoft Excel ASLR – CVE-2015-2375 | Sicherheitsanfälligkeit in Microsoft Excel DLL bezüglich Remotecodeausführung – CVE-2015-2378 | Bewertung des Aggregierten Schweregrads |
| Microsoft SharePoint Server 2007 | |||||||||
| Excel Services auf Microsoft SharePoint Server 2007 Service Pack 3 (32-Bit-Editionen) | WichtigRemotecodeausführung (2837612) | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Wichtig |
| Excel Services auf Microsoft SharePoint Server 2007 Service Pack 3 (64-Bit-Editionen) | WichtigRemotecodeausführung (2837612) | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Wichtig |
| Microsoft SharePoint Server 2010 | |||||||||
| Excel Services auf Microsoft SharePoint Server 2010 Service Pack 2 | WichtigRemotecodeausführung (3054968) | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | WichtigOffenlegung von Informationen (3054968) | Nicht verfügbar | Wichtig |
| Microsoft SharePoint Server 2013 | |||||||||
| Excel Services in Microsoft SharePoint Server 2013 Service Pack 1 | WichtigRemotecodeausführung (3054861) | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | Nicht verfügbar | WichtigOffenlegung von Informationen (3054861) | Nicht verfügbar | Wichtig |
Informationen zu Sicherheitsrisiken
Mehrere Microsoft Office-Speicherbeschädigungsrisiken
In Microsoft Office-Software bestehen Sicherheitsrisiken bei der Remotecodeausführung, wenn die Office-Software Objekte im Arbeitsspeicher nicht ordnungsgemäß verarbeitet.
Die Ausnutzung dieser Sicherheitsanfälligkeiten erfordert, dass ein Benutzer eine speziell gestaltete Datei mit einer betroffenen Version von Microsoft Office-Software öffnet. In einem E-Mail-Angriffsszenario kann ein Angreifer die Sicherheitsanfälligkeiten ausnutzen, indem er die speziell gestaltete Datei an den Benutzer sendet und den Benutzer dazu verredet, die Datei zu öffnen. In einem webbasierten Angriffsszenario kann ein Angreifer eine Website hosten (oder eine kompromittierte Website nutzen, die vom Benutzer bereitgestellte Inhalte akzeptiert oder hostet), die eine speziell gestaltete Datei enthält, die die Sicherheitsrisiken ausnutzen soll. Ein Angreifer hätte keine Möglichkeit, Benutzer zum Besuch der Website zu zwingen. Stattdessen müsste ein Angreifer Benutzer davon überzeugen, auf einen Link zu klicken, in der Regel durch eine Verlockung in einer E-Mail oder einer Instant Messenger-Nachricht.
Ein Angreifer, der diese Sicherheitsanfälligkeiten erfolgreich ausnutzt, kann beliebigen Code im Kontext des aktuellen Benutzers ausführen. Wenn der aktuelle Benutzer mit Administratorrechten angemeldet ist, kann ein Angreifer die vollständige Kontrolle über das betroffene System übernehmen. Ein Angreifer könnte dann Programme installieren, Daten anzeigen, ändern, oder löschen oder neue Konten mit uneingeschränkten Benutzerrechten anlegen. Für Benutzer, deren Konten mit weniger Benutzerrechten im System konfiguriert sind, sind die Auswirkungen normalerweise geringer als für Benutzer, die mit Administratorrechten arbeiten.
Das Sicherheitsupdate behebt die Sicherheitsrisiken, indem korrigiert wird, wie Microsoft Office Dateien im Arbeitsspeicher verarbeitet.
Die folgenden Tabellen enthalten Links zum Standardeintrag für die einzelnen Sicherheitsrisiken in der Liste Allgemeiner Sicherheitsrisiken:
| Titel der Sicherheitslücke | CVE-Nummer | Öffentlich offengelegt | Genutzt |
|---|---|---|---|
| Sicherheitsrisiko für Microsoft Office-Speicherbeschädigung | CVE-2015-2376 | Nein | Nein |
| Sicherheitsrisiko für Microsoft Office-Speicherbeschädigung | CVE-2015-2377 | Nein | Nein |
| Sicherheitsrisiko für Microsoft Office-Speicherbeschädigung | CVE-2015-2379 | Nein | Nein |
| Sicherheitsrisiko für Microsoft Office-Speicherbeschädigung | CVE-2015-2380 | Nein | Nein |
| Sicherheitsrisiko für Microsoft Office-Speicherbeschädigung | CVE-2015-2415 | Nein | Nein |
| Sicherheitsrisiko für Microsoft Office-Speicherbeschädigung | CVE-2015-2424 | Nein | Ja |
Mildernde Faktoren
Microsoft hat keine mildernden Faktoren für diese Sicherheitsrisiken identifiziert.
Problemumgehungen
Microsoft hat keine Problemumgehungen für diese Sicherheitsrisiken identifiziert.
Sicherheitsrisiko bei Umgehung von Microsoft Excel ASLR – CVE-2015-2375
In Microsoft Excel liegt ein Sicherheitsrisiko für die Umgehung von Sicherheitsfeatures vor, wenn Arbeitsspeicher unbeabsichtigt freigegeben wird. Die Sicherheitsanfälligkeit kann es einem Angreifer ermöglichen, die AsLR-Sicherheitsfunktion (Address Space Layout Layout Randomization) zu umgehen und möglicherweise remote codeausführung zu ermöglichen. Die Umgehung des Sicherheitsfeatures allein lässt keine beliebige Codeausführung zu. Ein Angreifer könnte dieses Sicherheitsfeature jedoch in Verbindung mit einem anderen Sicherheitsrisiko, z. B. einem Sicherheitsrisiko für die Remotecodeausführung, nutzen, um beliebigen Code auszuführen.
Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann das ASLR-Sicherheitsfeature umgehen.
Die Ausnutzung dieser Sicherheitsanfälligkeit erfordert, dass ein Benutzer eine speziell gestaltete Excel-Datei (.xls) mit einer betroffenen Version von Microsoft Office-Software öffnet. In einem E-Mail-Angriffsszenario könnte ein Angreifer die Sicherheitsanfälligkeit ausnutzen, indem er eine speziell gestaltete Excel-Datei (.xls) an den Benutzer sendet und dann den Benutzer dazu verredet, die Datei in einer betroffenen Version von Microsoft Office-Software zu öffnen.
In einem webbasierten Angriffsszenario könnte ein Angreifer eine Website hosten, die eine Datei enthält, mit der versucht wird, die Sicherheitsanfälligkeit auszunutzen. Außerdem könnten kompromittierte Websites und Websites, die von Benutzern bereitgestellte Inhalte akzeptieren oder hosten, speziell gestaltete Inhalte enthalten, die diese Sicherheitsanfälligkeit ausnutzen könnten. Ein Angreifer hätte keine Möglichkeit, Benutzer zum Besuch einer speziell gestalteten Website zu zwingen. Stattdessen müsste ein Angreifer ihn davon überzeugen, die Website zu besuchen, in der Regel, indem er ihn dazu bringt, auf einen Link in einer E-Mail- oder Instant Messenger-Nachricht zu klicken, die ihn zur Website des Angreifers führt, und ihn dann davon überzeugen, die speziell gestaltete Excel-Datei (.xls) in einer betroffenen Version von Microsoft Office-Software zu öffnen.
Das Update behebt die Sicherheitsanfälligkeit, indem korrigiert wird, wie Speicherinformationen offengelegt werden.
Microsoft hat Informationen über die Sicherheitsanfälligkeit durch koordinierte Offenlegung von Sicherheitsrisiken erhalten. Als dieses Sicherheitsbulletin veröffentlicht wurde, hatte Microsoft keine Informationen erhalten, die darauf hindeuten, dass diese Sicherheitsanfälligkeit öffentlich für Angriffe auf Kunden verwendet wurde.
Mildernde Faktoren
Microsoft hat keine mildernden Faktoren für diese Sicherheitsanfälligkeit identifiziert.
Problemumgehungen
Microsoft hat keine Problemumgehungen für dieses Sicherheitsrisiko identifiziert.
Sicherheitsanfälligkeit in Microsoft Excel DLL bezüglich Remotecodeausführung – CVE-2015-2378
Eine Sicherheitsanfälligkeit bei der Remotecodeausführung liegt vor, wenn Microsoft Excel das Laden von DLL-Dateien (Dynamic Link Library) nicht ordnungsgemäß verarbeitet. Ein Angreifer, der die Sicherheitsanfälligkeit erfolgreich ausgenutzt hat, kann die vollständige Kontrolle über ein betroffenes System übernehmen. Ein Angreifer könnte dann Programme installieren, Daten anzeigen, ändern, oder löschen oder neue Konten mit uneingeschränkten Benutzerrechten anlegen.
Um die Sicherheitsanfälligkeit auszunutzen, muss ein Angreifer zunächst eine speziell gestaltete DLL-Datei im aktuellen Arbeitsverzeichnis des Zielbenutzers ablegen. Der Angreifer müsste dann den Benutzer davon überzeugen, ein Programm zu starten, das zum Laden einer vertrauenswürdigen DLL konzipiert ist, das jedoch versehentlich die böswillige speziell gestaltete DLL-Datei lädt. Das Update behebt die Sicherheitsanfälligkeit, indem korrigiert wird, wie Excel das Laden bestimmter speziell gestalteter Binärdateien behandelt.
Microsoft hat Informationen über die Sicherheitsanfälligkeit durch koordinierte Offenlegung von Sicherheitsrisiken erhalten. Als dieses Sicherheitsbulletin veröffentlicht wurde, hatte Microsoft keine Informationen erhalten, die darauf hindeuten, dass diese Sicherheitsanfälligkeit öffentlich für Angriffe auf Kunden verwendet wurde.
Mildernde Faktoren
Microsoft hat keine mildernden Faktoren für diese Sicherheitsanfälligkeit identifiziert.
Problemumgehungen
Microsoft hat keine Problemumgehungen für dieses Sicherheitsrisiko identifiziert.
Bereitstellung von Sicherheitsupdates
Informationen zur Bereitstellung von Sicherheitsupdates finden Sie im Microsoft Knowledge Base-Artikel, auf den in der Zusammenfassung verwiesen wird.
Danksagungen
Microsoft erkennt die Bemühungen von Personen in der Sicherheitscommunity an, die uns helfen, Kunden durch koordinierte Offenlegung von Sicherheitsrisiken zu schützen. Weitere Informationen finden Sie unter Bestätigungen .
Haftungsausschluss
Die in der Microsoft Knowledge Base bereitgestellten Informationen werden ohne Jegliche Gewährleistung "wie ben" bereitgestellt. Microsoft lehnt jegliche Gewährleistungen ab, sei es ausdrücklich oder stillschweigend, einschließlich der Gewährleistungen der Marktgängigkeit und Eignung für einen bestimmten Zweck. In keinem Fall haften Die Microsoft Corporation oder ihre Lieferanten für Schäden jeglicher Art, einschließlich direkter, indirekter, zufälliger, Folgeschäden, Verlust von Geschäftsgewinnen oder besonderen Schäden, auch wenn Microsoft Corporation oder ihre Lieferanten auf die Möglichkeit solcher Schäden hingewiesen wurden. Einige Staaten lassen den Ausschluss oder die Beschränkung der Haftung für Folge- oder Nebenschäden nicht zu, sodass die vorstehende Einschränkung möglicherweise nicht gilt.
Revisionen
- V1.0 (14. Juli 2015): Bulletin veröffentlicht.
Seite generiert am 14.07.2015 13:22Z-07:00.