Microsoft Security Bulletin MS15-074 – Wichtig
Sicherheitsrisiko im Windows Installer-Dienst kann Rechteerweiterung ermöglichen (3072630)
Veröffentlicht: 14. Juli 2015 | Aktualisiert: 29. Juli 2015
Version: 2.0
Kurzfassung
Dieses Sicherheitsupdate behebt ein Sicherheitsrisiko in Microsoft Windows. Die Sicherheitsanfälligkeit kann rechteerweiterungen ermöglichen, wenn der Windows Installer-Dienst benutzerdefinierte Aktionsskripts nicht ordnungsgemäß ausführt. Ein Angreifer muss zunächst einen Benutzer kompromittieren, der beim Zielsystem angemeldet ist, um die Sicherheitsanfälligkeit auszunutzen. Ein Angreifer könnte dann Programme installieren. Daten anzeigen, ändern oder löschen; oder erstellen Sie neue Konten mit vollen Administratorrechten.
Dieses Sicherheitsupdate wird für alle unterstützten Editionen von Microsoft Windows als Wichtig eingestuft. Weitere Informationen finden Sie im Abschnitt Betroffene Software .
Das Sicherheitsupdate behebt die Sicherheitsanfälligkeit, indem korrigiert wird, wie skripts für benutzerdefinierte Aktionen ausgeführt werden. Weitere Informationen zu der Sicherheitsanfälligkeit finden Sie im Abschnitt Informationen zu Sicherheitsrisiken .
Weitere Informationen zu diesem Update finden Sie im Microsoft Knowledge Base-Artikel 3072630.
Betroffene Software
Die folgenden Softwareversionen oder Editionen sind betroffen. Versionen oder Editionen, die nicht aufgeführt sind, haben entweder ihren Supportlebenszyklus hinter sich oder sind nicht betroffen. Informationen zum Ermitteln des Supportlebenszyklus für Ihre Softwareversion oder Edition finden Sie unter Microsoft-Support Lifecycle.
| Betriebssystem | Maximale Sicherheitsbeeinträchtigung | Bewertung des Aggregierten Schweregrads | Updates ersetzt |
|---|---|---|---|
| Windows Server 2003 | |||
| Windows Server 2003 Service Pack 2[1](3072630) | Erhöhung von Rechten | Wichtig | 2918614 in MS14-049 |
| Windows Server 2003 x64 Edition Service Pack 2[1](3072630) | Erhöhung von Rechten | Wichtig | 2918614 in MS14-049 |
| Windows Server 2003 mit SP2 für Itanium-basierte Systeme[1](3072630) | Erhöhung von Rechten | Wichtig | 2918614 in MS14-049 |
| Windows Server 2003 R2 Service Pack 2[1](3072630) | Erhöhung von Rechten | Wichtig | 2918614 in MS14-049 |
| Windows Server 2003 R2 x64 Edition Service Pack 2[1](3072630) | Erhöhung von Rechten | Wichtig | 2918614 in MS14-049 |
| Windows Vista | |||
| Windows Vista Service Pack 2 (3072630) | Erhöhung von Rechten | Wichtig | 2918614 in MS14-049 |
| Windows Vista x64 Edition Service Pack 2 (3072630) | Erhöhung von Rechten | Wichtig | 2918614 in MS14-049 |
| Windows Server 2008 | |||
| Windows Server 2008 für 32-Bit-Systeme Service Pack 2 (3072630) | Erhöhung von Rechten | Wichtig | 2918614 in MS14-049 |
| Windows Server 2008 für x64-basierte Systeme Service Pack 2 (3072630) | Erhöhung von Rechten | Wichtig | 2918614 in MS14-049 |
| Windows Server 2008 für Itanium-basierte Systeme Service Pack 2 (3072630) | Erhöhung von Rechten | Wichtig | 2918614 in MS14-049 |
| Windows 7 | |||
| Windows 7 für 32-Bit-Systeme Service Pack 1 (3072630) | Erhöhung von Rechten | Wichtig | 2918614 in MS14-049 |
| Windows 7 für x64-basierte Systeme Service Pack 1 (3072630) | Erhöhung von Rechten | Wichtig | 2918614 in MS14-049 |
| Windows Server 2008 R2 | |||
| Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1 (3072630) | Erhöhung von Rechten | Wichtig | 2918614 in MS14-049 |
| Windows Server 2008 R2 für Itanium-basierte Systeme Service Pack 1 (3072630) | Erhöhung von Rechten | Wichtig | 2918614 in MS14-049 |
| Windows 8 und Windows 8.1 | |||
| Windows 8 für 32-Bit-Systeme (3072630) | Erhöhung von Rechten | Wichtig | 2918614 in MS14-049 |
| Windows 8 für x64-basierte Systeme (3072630) | Erhöhung von Rechten | Wichtig | 2918614 in MS14-049 |
| Windows 8.1 für 32-Bit-Systeme (3072630) | Erhöhung von Rechten | Wichtig | 2918614 in MS14-049 |
| Windows 8.1 für x64-basierte Systeme (3072630) | Erhöhung von Rechten | Wichtig | 2918614 in MS14-049 |
| Windows Server 2012 und Windows Server 2012 R2 | |||
| Windows Server 2012 (3072630) | Erhöhung von Rechten | Wichtig | 2918614 in MS14-049 |
| Windows Server 2012 R2 (3072630) | Erhöhung von Rechten | Wichtig | 2918614 in MS14-049 |
| Windows RT und Windows RT 8.1 | |||
| Windows RT[2](3072630) | Erhöhung von Rechten | Wichtig | 2918614 in MS14-049 |
| Windows RT 8.1[2](3072630) | Erhöhung von Rechten | Wichtig | 2918614 in MS14-049 |
| Windows 10 | |||
| Windows 10 für 32-Bit-Systeme[2](3074683) | Erhöhung von Rechten | Wichtig | Keine |
| Windows 10 für x64-basierte Systeme[2](3074683) | Erhöhung von Rechten | Wichtig | Keine |
| Server Core-Installationsoption | |||
| Windows Server 2008 für 32-Bit-Systeme Service Pack 2 (Server Core-Installation ) (3072630) | Erhöhung von Rechten | Wichtig | 2918614 in MS14-049 |
| Windows Server 2008 für x64-basierte Systeme Service Pack 2 (Server Core-Installation ) (3072630) | Erhöhung von Rechten | Wichtig | 2918614 in MS14-049 |
| Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1 (Server Core-Installation ) (3072630) | Erhöhung von Rechten | Wichtig | 2918614 in MS14-049 |
| Windows Server 2012 (Server Core-Installation) (3072630) | Erhöhung von Rechten | Wichtig | 2918614 in MS14-049 |
| Windows Server 2012 R2 (Server Core-Installation) (3072630) | Erhöhung von Rechten | Wichtig | 2918614 in MS14-049 |
[1]Dieses Update gilt für Systeme, auf denen das 3072630 Update installiert ist. Weitere Informationen finden Sie unter UpdateFAQ .
[2]Dieses Update ist nur über Windows Update verfügbar.
*Die Spalte Updates Ersetzt zeigt nur das neueste Update in einer Kette von ersetzten Updates an. Eine umfassende Liste der ersetzten Updates finden Sie im Microsoft Update-Katalog, suchen Sie nach der Update-KB-Nummer, und zeigen Sie dann Updatedetails an (Ersetzte Updates finden Sie auf der Registerkarte Paketdetails).
Häufig gestellte Fragen
Ich verwende Windows Server 2003 und installiere Updates manuell. Gibt es Voraussetzungen für die Installation des 3072630-Updates?
Ja. Kunden, die Windows Server 2003 ausführen und Updates manuell installieren, müssen Windows Installer 4.5 installieren, bevor sie das 3072630 Update installieren. Windows Installer 4.5 wird automatisch für Kunden installiert, für die die automatische Aktualisierung aktiviert ist. Weitere Informationen zum erforderlichen Installer-Update finden Sie im Microsoft Knowledge Base-Artikel 942288.
Schweregradbewertungen und Sicherheitsrisikobezeichner
Die folgenden Schweregradbewertungen gehen von der potenziellen maximalen Auswirkung der Sicherheitsanfälligkeit aus. Informationen zur Wahrscheinlichkeit der Ausnutzung des Sicherheitsrisikos in Bezug auf den Schweregrad und die Sicherheitsauswirkungen innerhalb von 30 Tagen nach Veröffentlichung dieses Sicherheitsbulletins finden Sie im Ausnutzbarkeitsindex in der Zusammenfassung des Bulletins vom Juli.
| Bewertung des Schweregrads der Sicherheitsrisiken und maximale Auswirkungen auf die Sicherheit durch betroffene Software | ||
|---|---|---|
| Betroffene Software | Windows Installer EoP-Sicherheitsrisiko – CVE-2015-2371 | Bewertung des Aggregierten Schweregrads |
| Windows Server 2003 | ||
| Windows Server 2003 Service Pack 2 (3072630) | Wichtig Rechteerweiterung | Wichtig |
| Windows Server 2003 R2 Service Pack 2 (3072630) | Wichtig Rechteerweiterung | Wichtig |
| Windows Server 2003 x64 Edition Service Pack 2 (3072630) | Wichtig Rechteerweiterung | Wichtig |
| Windows Server 2003 R2 x64 Edition Service Pack 2 (3072630) | Wichtig Rechteerweiterung | Wichtig |
| Windows Server 2003 mit SP2 für Itanium-basierte Systeme (3072630) | Wichtig Rechteerweiterung | Wichtig |
| Windows Vista | ||
| Windows Vista Service Pack 2 (3072630) | Wichtig Rechteerweiterung | Wichtig |
| Windows Vista x64 Edition Service Pack 2 (3072630) | Wichtig Rechteerweiterung | Wichtig |
| Windows Server 2008 | ||
| Windows Server 2008 für 32-Bit-Systeme Service Pack 2 (3072630) | Wichtig Rechteerweiterung | Wichtig |
| Windows Server 2008 für x64-basierte Systeme Service Pack 2 (3072630) | Wichtig Rechteerweiterung | Wichtig |
| Windows Server 2008 für Itanium-basierte Systeme Service Pack 2 (3072630) | Wichtig Rechteerweiterung | Wichtig |
| Windows 7 | ||
| Windows 7 für 32-Bit-Systeme Service Pack 1 (3072630) | Wichtig Rechteerweiterung | Wichtig |
| Windows 7 für x64-basierte Systeme Service Pack 1 (3072630) | Wichtig Rechteerweiterung | Wichtig |
| Windows Server 2008 R2 | ||
| Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1 (3072630) | Wichtig Rechteerweiterung | Wichtig |
| Windows Server 2008 R2 für Itanium-basierte Systeme Service Pack 1 (3072630) | Wichtig Rechteerweiterung | Wichtig |
| Windows 8 und Windows 8.1 | ||
| Windows 8 für 32-Bit-Systeme (3072630) | Wichtig Rechteerweiterung | Wichtig |
| Windows 8 für x64-basierte Systeme (3072630) | Wichtig Rechteerweiterung | Wichtig |
| Windows 8.1 für 32-Bit-Systeme (3072630) | Wichtig Rechteerweiterung | Wichtig |
| Windows 8.1 für x64-basierte Systeme (3072630) | Wichtig Rechteerweiterung | Wichtig |
| Windows Server 2012 und Windows Server 2012 R2 | ||
| Windows Server 2012 (3072630) | Wichtig Rechteerweiterung | Wichtig |
| Windows Server 2012 R2 (3072630) | Wichtig Rechteerweiterung | Wichtig |
| Windows RT und Windows RT 8.1 | ||
| Windows RT (3072630) | Wichtig Rechteerweiterung | Wichtig |
| Windows RT 8.1 (3072630) | Wichtig Rechteerweiterung | Wichtig |
| Windows 10 | ||
| Windows 10 für 32-Bit-Systeme (3074683) | Wichtig Rechteerweiterung | Wichtig |
| Windows 10 für x64-basierte Systeme (3074683) | Wichtig Rechteerweiterung | Wichtig |
| Server Core-Installationsoption | ||
| Windows Server 2008 für 32-Bit-Systeme Service Pack 2 (Server Core-Installation) (3072630) | Wichtig Rechteerweiterung | Wichtig |
| Windows Server 2008 für x64-basierte Systeme Service Pack 2 (Server Core-Installation) (3072630) | Wichtig Rechteerweiterung | Wichtig |
| Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1 (Server Core-Installation) (3072630) | Wichtig Rechteerweiterung | Wichtig |
| Windows Server 2012 (Server Core-Installation) (3072630) | Wichtig Rechteerweiterung | Wichtig |
| Windows Server 2012 R2 (Server Core-Installation) (3072630) | Wichtig Rechteerweiterung | Wichtig |
Informationen zu Sicherheitsrisiken
Windows Installer EoP-Sicherheitsrisiko – CVE-2015-2371
In einigen Fällen liegt im Windows Installer-Dienst eine Sicherheitsanfälligkeit bezüglich der Rechteerweiterung vor, wenn benutzerdefinierte Aktionsskripts nicht ordnungsgemäß ausgeführt werden. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann Berechtigungen für ein Zielsystem erhöhen. Ein Angreifer könnte dann Programme installieren. Daten anzeigen, ändern oder löschen; oder erstellen Sie neue Konten mit vollen Administratorrechten.
Um die Sicherheitsanfälligkeit auszunutzen, muss ein Angreifer zunächst einen Benutzer kompromittieren, der beim Zielsystem angemeldet ist, dann ein anfälliges .msi Paket finden, das auf dem Zielsystem installiert ist, und schließlich speziell gestalteten Code auf dem Zielsystem platzieren, den das anfällige .msi Paket ausführen kann.
Microsoft hat Informationen zu diesem Sicherheitsrisiko durch koordinierte Offenlegung von Sicherheitsrisiken erhalten. Als dieses Sicherheitsbulletin veröffentlicht wurde, hatte Microsoft keine Informationen erhalten, die darauf hindeuten, dass diese Sicherheitsanfälligkeit öffentlich für Angriffe auf Kunden verwendet wurde.
Mildernde Faktoren
Microsoft hat keine mildernden Faktoren für diese Sicherheitsanfälligkeit identifiziert.
Problemumgehungen
Microsoft hat keine Problemumgehungen für dieses Sicherheitsrisiko identifiziert.
Bereitstellung von Sicherheitsupdates
Informationen zur Bereitstellung von Sicherheitsupdates finden Sie im Microsoft Knowledge Base-Artikel, auf den in der Zusammenfassung verwiesen wird.
Danksagungen
Microsoft erkennt die Bemühungen derJenigen in der Sicherheitscommunity an, die uns helfen, Kunden durch koordinierte Offenlegung von Sicherheitsrisiken zu schützen. Weitere Informationen finden Sie unter Bestätigungen .
Haftungsausschluss
Die in der Microsoft Knowledge Base bereitgestellten Informationen werden ohne Jegliche Garantie "wie benährt" bereitgestellt. Microsoft lehnt alle ausdrücklichen oder impliziten Garantien ab, einschließlich der Gewährleistung der Marktgängigkeit und Eignung für einen bestimmten Zweck. Die Microsoft Corporation oder ihre Lieferanten haften in keinem Fall für Schäden, einschließlich direkter, indirekter, zufälliger, Folgeschäden, Verlust von Geschäftsgewinnen oder besonderen Schäden, auch wenn die Microsoft Corporation oder ihre Lieferanten über die Möglichkeit solcher Schäden informiert wurden. Einige Staaten lassen den Ausschluss oder die Beschränkung der Haftung für Folge- oder Nebenschäden nicht zu, sodass die vorstehende Einschränkung möglicherweise nicht gilt.
Revisionen
- V1.0 (14. Juli 2015): Bulletin veröffentlicht.
- V2.0 (29. Juli 2015): Das Bulletin wurde erneut veröffentlicht, um die Verfügbarkeit eines Updatepakets für Windows 10 Systeme anzukündigen. Kunden, die Windows 10 ausführen, sollten das 3074683 Update anwenden, um vor der in diesem Bulletin beschriebenen Sicherheitsanfälligkeit geschützt zu sein. Das Update ist nur über Windows Update verfügbar. Die meisten Kunden haben automatische Updates aktiviert und müssen keine Maßnahmen ergreifen, da das Update automatisch heruntergeladen und installiert wird.
Seite generiert 2015-07-27 15:18Z-07:00.