Microsoft Security Bulletin MS15-078 – Kritisch
Sicherheitsanfälligkeit im Microsoft-Schriftarttreiber kann Remotecodeausführung ermöglichen (3079904)
Veröffentlicht: 20. Juli 2015 | Aktualisiert: 29. Juli 2015
Version: 2.0
Kurzfassung
Dieses Sicherheitsupdate behebt ein Sicherheitsrisiko in Microsoft Windows. Die Sicherheitsanfälligkeit kann die Remotecodeausführung ermöglichen, wenn ein Benutzer ein speziell gestaltetes Dokument öffnet oder eine nicht vertrauenswürdige Webseite besucht, die eingebettete OpenType-Schriftarten enthält.
Dieses Sicherheitsupdate wird für alle unterstützten Versionen von Microsoft Windows als Kritisch eingestuft. Weitere Informationen finden Sie im Abschnitt Betroffene Software .
Das Sicherheitsupdate behebt das Sicherheitsrisiko, indem korrigiert wird, wie die Windows Adobe Type Manager-Bibliothek OpenType-Schriftarten behandelt. Weitere Informationen zur Sicherheitsanfälligkeit finden Sie im Abschnitt Informationen zu Sicherheitsrisiken . Weitere Informationen zu diesem Update finden Sie im Microsoft Knowledge Base-Artikel 3079904.
Vorgeschlagene Aktionen. Die meisten Kunden haben automatische Updates aktiviert und müssen keine Maßnahmen ergreifen, da das Update automatisch heruntergeladen und installiert wird. Kunden, die die automatische Aktualisierung nicht aktiviert haben oder Updates manuell installieren, können die Links im Abschnitt Betroffene Software verwenden, um das Update herunterzuladen und zu installieren. Weitere Informationen finden Sie im Microsoft Knowledge Base-Artikel 3079904 .
Betroffene Software
Die folgenden Softwareversionen oder -editionen sind betroffen. Versionen oder Editionen, die nicht aufgeführt sind, haben entweder ihren Supportlebenszyklus hinter sich oder sind nicht betroffen. Informationen zum Bestimmen des Supportlebenszyklus für Ihre Softwareversion oder -edition finden Sie unter Microsoft-Support Lifecycle.
| Betriebssystem | Maximale Sicherheitsbeeinträchtigung | Bewertung des Aggregierten Schweregrads | Updates ersetzt |
|---|---|---|---|
| Windows Vista | |||
| Windows Vista Service Pack 2 (3079904) | Codeausführung von Remotestandorten | Kritisch | 3077657 in MS15-077 |
| Windows Vista x64 Edition Service Pack 2 (3079904) | Codeausführung von Remotestandorten | Kritisch | 3077657 in MS15-077 |
| Windows Server 2008 | |||
| Windows Server 2008 für 32-Bit-Systeme Service Pack 2 (3079904) | Codeausführung von Remotestandorten | Kritisch | 3077657 in MS15-077 |
| Windows Server 2008 für x64-basierte Systeme Service Pack 2 (3079904) | Codeausführung von Remotestandorten | Kritisch | 3077657 in MS15-077 |
| Windows Server 2008 für Itanium-basierte Systeme Service Pack 2 (3079904) | Codeausführung von Remotestandorten | Kritisch | 3077657 in MS15-077 |
| Windows 7 | |||
| Windows 7 für 32-Bit-Systeme Service Pack 1 (3079904) | Codeausführung von Remotestandorten | Kritisch | 3077657 in MS15-077 |
| Windows 7 für x64-basierte Systeme Service Pack 1 (3079904) | Codeausführung von Remotestandorten | Kritisch | 3077657 in MS15-077 |
| Windows Server 2008 R2 | |||
| Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1 (3079904) | Codeausführung von Remotestandorten | Kritisch | 3077657 in MS15-077 |
| Windows Server 2008 R2 für Itanium-basierte Systeme Service Pack 1 (3079904) | Codeausführung von Remotestandorten | Kritisch | 3077657 in MS15-077 |
| Windows 8 und Windows 8.1 | |||
| Windows 8 für 32-Bit-Systeme (3079904) | Codeausführung von Remotestandorten | Kritisch | 3077657 in MS15-077 |
| Windows 8 für x64-basierte Systeme (3079904) | Codeausführung von Remotestandorten | Kritisch | 3077657 in MS15-077 |
| Windows 8.1 für 32-Bit-Systeme (3079904) | Codeausführung von Remotestandorten | Kritisch | 3077657 in MS15-077 |
| Windows 8.1 für x64-basierte Systeme (3079904) | Codeausführung von Remotestandorten | Kritisch | 3077657 in MS15-077 |
| Windows Server 2012 und Windows Server 2012 R2 | |||
| Windows Server 2012 (3079904) | Codeausführung von Remotestandorten | Kritisch | 3077657 in MS15-077 |
| Windows Server 2012 R2 (3079904) | Codeausführung von Remotestandorten | Kritisch | 3077657 in MS15-077 |
| Windows RT und Windows RT 8.1 | |||
| Windows RT[1](3079904) | Codeausführung von Remotestandorten | Kritisch | 3077657 in MS15-077 |
| Windows RT 8.1[1](3079904) | Codeausführung von Remotestandorten | Kritisch | 3077657 in MS15-077 |
| Windows 10 | |||
| Windows 10 für 32-Bit-Systeme[1](3074683) | Codeausführung von Remotestandorten | Kritisch | Keine |
| Windows 10 für x64-basierte Systeme[1](3074683) | Codeausführung von Remotestandorten | Kritisch | Keine |
| Server Core-Installationsoption | |||
| Windows Server 2008 für 32-Bit-Systeme Service Pack 2 (Server Core-Installation) (3079904) | Codeausführung von Remotestandorten | Kritisch | 3077657 in MS15-077 |
| Windows Server 2008 für x64-basierte Systeme Service Pack 2 (Server Core-Installation ) (3079904) | Codeausführung von Remotestandorten | Kritisch | 3077657 in MS15-077 |
| Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1 (Server Core-Installation ) (3079904) | Codeausführung von Remotestandorten | Kritisch | 3077657 in MS15-077 |
| Windows Server 2012 (Server Core-Installation) (3079904) | Codeausführung von Remotestandorten | Kritisch | 3077657 in MS15-077 |
| Windows Server 2012 R2 (Server Core-Installation) (3079904) | Codeausführung von Remotestandorten | Kritisch | 3077657 in MS15-077 |
[1]Dieses Update ist nur über Windows Update verfügbar.
*Die Spalte Updates Ersetzt zeigt nur das neueste Update in einer Kette von ersetzten Updates an. Eine umfassende Liste der ersetzten Updates finden Sie im Microsoft Update-Katalog, suchen Sie nach der Update-KB-Nummer, und zeigen Sie dann Updatedetails an (Ersetzte Updates finden Sie auf der Registerkarte Paketdetails).
Schweregradbewertungen und Sicherheitsrisikobezeichner
Die folgenden Schweregradbewertungen gehen von der potenziellen maximalen Auswirkung der Sicherheitsanfälligkeit aus. Informationen zur Wahrscheinlichkeit der Ausnutzung des Sicherheitsrisikos in Bezug auf den Schweregrad und die Sicherheitsauswirkungen innerhalb von 30 Tagen nach Veröffentlichung dieses Sicherheitsbulletins finden Sie im Ausnutzbarkeitsindex in der Zusammenfassung des Bulletins vom Juli.
| Bewertung des Schweregrads der Sicherheitsrisiken und maximale Auswirkungen auf die Sicherheit durch betroffene Software | ||
|---|---|---|
| Betroffene Software | Sicherheitsanfälligkeit im OpenType-Schriftarttreiber – CVE-2015-2426 | Bewertung des Aggregierten Schweregrads |
| Windows Vista | ||
| Windows Vista Service Pack 2 (3079904) | Kritisch Remotecodeausführung | Critical (Kritisch) |
| Windows Vista x64 Edition Service Pack 2 (3079904) | Kritisch Remotecodeausführung | Critical (Kritisch) |
| Windows Server 2008 | ||
| Windows Server 2008 für 32-Bit-Systeme Service Pack 2 (3079904) | Kritisch Remotecodeausführung | Critical (Kritisch) |
| Windows Server 2008 für x64-basierte Systeme Service Pack 2 (3079904) | Kritisch Remotecodeausführung | Critical (Kritisch) |
| Windows Server 2008 für Itanium-basierte Systeme Service Pack 2 (3079904) | Kritisch Remotecodeausführung | Critical (Kritisch) |
| Windows 7 | ||
| Windows 7 für 32-Bit-Systeme Service Pack 1 (3079904) | Kritisch Remotecodeausführung | Critical (Kritisch) |
| Windows 7 für x64-basierte Systeme Service Pack 1 (3079904) | Kritisch Remotecodeausführung | Critical (Kritisch) |
| Windows Server 2008 R2 | ||
| Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1 (3079904) | Kritisch Remotecodeausführung | Critical (Kritisch) |
| Windows Server 2008 R2 für Itanium-basierte Systeme Service Pack 1 (3079904) | Kritisch Remotecodeausführung | Critical (Kritisch) |
| Windows 8 und Windows 8.1 | ||
| Windows 8 für 32-Bit-Systeme (3079904) | Kritisch Remotecodeausführung | Critical (Kritisch) |
| Windows 8 für x64-basierte Systeme (3079904) | Kritisch Remotecodeausführung | Critical (Kritisch) |
| Windows 8.1 für 32-Bit-Systeme (3079904) | Kritisch Remotecodeausführung | Critical (Kritisch) |
| Windows 8.1 für x64-basierte Systeme (3079904) | Kritisch Remotecodeausführung | Critical (Kritisch) |
| Windows Server 2012 und Windows Server 2012 R2 | ||
| Windows Server 2012 (3079904) | Kritisch Remotecodeausführung | Critical (Kritisch) |
| Windows Server 2012 R2 (3079904) | Kritisch Remotecodeausführung | Critical (Kritisch) |
| Windows RT 8.1 | ||
| Windows RT [1](3079904) | Kritisch Remotecodeausführung | Critical (Kritisch) |
| Windows RT 8.1[1](3079904) | Kritisch Remotecodeausführung | Critical (Kritisch) |
| Windows 10 | ||
| Windows 10 für 32-Bit-Systeme (3074683) | Kritisch Remotecodeausführung | Critical (Kritisch) |
| Windows 10 für x64-basierte Systeme (3074683) | Kritisch Remotecodeausführung | Critical (Kritisch) |
| Server Core-Installationsoption | ||
| Windows Server 2008 für 32-Bit-Systeme Service Pack 2 (Server Core-Installation) (3079904) | Kritisch Remotecodeausführung | Critical (Kritisch) |
| Windows Server 2008 für x64-basierte Systeme Service Pack 2 (Server Core-Installation) (3079904) | Kritisch Remotecodeausführung | Critical (Kritisch) |
| Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1 (Server Core-Installation) (3079904) | Kritisch Remotecodeausführung | Critical (Kritisch) |
| Windows Server 2012 (Server Core-Installation) (3079904) | Kritisch Remotecodeausführung | Critical (Kritisch) |
| Windows Server 2012 R2 (Server Core-Installation) (3079904) | Kritisch Remotecodeausführung | Critical (Kritisch) |
Informationen zu Sicherheitsrisiken
Sicherheitsanfälligkeit im OpenType-Schriftarttreiber – CVE-2015-2426
In Microsoft Windows liegt eine Sicherheitsanfälligkeit bezüglich Remotecodeausführung vor, wenn die Windows Adobe Type Manager-Bibliothek speziell gestaltete OpenType-Schriftarten nicht ordnungsgemäß verarbeitet. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann die vollständige Kontrolle über das betroffene System übernehmen. Ein Angreifer könnte dann Programme installieren, Daten anzeigen, ändern, oder löschen oder neue Konten mit uneingeschränkten Benutzerrechten anlegen.
Es gibt mehrere Möglichkeiten, wie ein Angreifer diese Sicherheitsanfälligkeit ausnutzen kann, z. B. indem er einen Benutzer dazu verredet, ein speziell gestaltetes Dokument zu öffnen, oder indem er einen Benutzer dazu verredet, eine nicht vertrauenswürdige Webseite zu besuchen, die eingebettete OpenType-Schriftarten enthält. Das Update behebt die Sicherheitsanfälligkeit, indem korrigiert wird, wie die Windows Adobe Type Manager-Bibliothek OpenType-Schriftarten behandelt.
Als dieses Security Bulletin veröffentlicht wurde, verfügte Microsoft über Informationen, die darauf hindeuten, dass diese Sicherheitsanfälligkeit öffentlich war, aber keine Informationen, die darauf hindeuten, dass diese Sicherheitsanfälligkeit für Angriffe auf Kunden verwendet wurde. Unsere Analyse hat gezeigt, dass Exploitcode so erstellt werden kann, dass ein Angreifer diese Sicherheitsanfälligkeit konsistent ausnutzen kann.
Schadensbegrenzende Faktoren
Microsoft hat keine mildernden Faktoren für dieses Sicherheitsrisiko identifiziert.
Problemumgehungen
Die folgenden Problemumgehungen können in Ihrer Situation hilfreich sein:
Umbenennen von ATMFD.DLL
Für 32-Bit-Systeme:
Geben Sie an einer Administratoreingabeaufforderung die folgenden Befehle ein:
cd "%windir%\system32" takeown.exe /f atmfd.dll icacls.exe atmfd.dll /save atmfd.dll.acl icacls.exe atmfd.dll /grant Administrators:(F) rename atmfd.dll x-atmfd.dllStarten Sie das System neu.
Für 64-Bit-Systeme:
Geben Sie an einer Administratoreingabeaufforderung die folgenden Befehle ein:
cd "%windir%\system32" takeown.exe /f atmfd.dll icacls.exe atmfd.dll /save atmfd.dll.acl icacls.exe atmfd.dll /grant Administrators:(F) rename atmfd.dll x-atmfd.dll cd "%windir%\syswow64" takeown.exe /f atmfd.dll icacls.exe atmfd.dll /save atmfd.dll.acl icacls.exe atmfd.dll /grant Administrators:(F) rename atmfd.dll x-atmfd.dllStarten Sie das System neu.
Optionales Verfahren für Windows 8 und höher (ATMFD deaktivieren):
Hinweis Wenn Sie den Registrierungs-Editor falsch verwenden, kann dies zu schwerwiegenden Problemen führen, sodass Sie Ihr Betriebssystem möglicherweise neu installieren müssen. Microsoft übernimmt keinerlei Garantie dafür, dass Probleme aufgrund nicht ordnungsgemäßer Verwendung des Registrierungs-Editors behoben werden können. Sie verwenden den Registrierungs-Editor auf eigene Gefahr. Informationen zum Bearbeiten der Registrierung finden Sie im Hilfethema "Ändern von Schlüsseln und Werten" im Registrierungs-Editor (Regedit.exe) oder in den Hilfethemen "Informationen in der Registrierung hinzufügen und löschen" und "Registrierungsdaten bearbeiten" in Regedt32.exe.
Methode 1 (manuelles Bearbeiten der Systemregistrierung):
Führen Sie regedit.exe als Administrator aus.
Navigieren Sie im Registrierungs-Editor zum folgenden Unterschlüssel (oder erstellen Sie ihn), und legen Sie den DWORD-Wert auf 1 fest:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows\DisableATMFD, DWORD = 1
Schließen Sie den Registrierungs-Editor, und starten Sie das System neu.
Methode 2 (Verwenden eines verwalteten Bereitstellungsskripts):
Erstellen Sie eine Textdatei namens ATMFD-disable.reg , die den folgenden Text enthält:
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] "DisableATMFD"=dword:00000001
2. Run **regedit.exe**.
3. In Registry Editor, click the **File** menu and then click **Import**.
4. Navigate to and select the **ATMFD-disable.reg** file that you created in the first step.
(**Note** If your file is not listed where you expect it to be, ensure that it has not been automatically given a .txt file extension, or change the dialog’s file extension parameters to **All Files**).
5. Click **Open** and then click **OK** to close Registry Editor.
Auswirkungen der Problemumgehung. Anwendungen, die auf der Technologie eingebetteter Schriftarten basieren, werden nicht ordnungsgemäß angezeigt. Das Deaktivieren ATMFD.DLL kann dazu führen, dass bestimmte Anwendungen nicht mehr ordnungsgemäß funktionieren, wenn sie OpenType-Schriftarten verwenden. Microsoft Windows veröffentlicht keine OpenType-Schriftarten nativ. Drittanbieteranwendungen könnten sie jedoch installieren, und sie könnten von dieser Änderung betroffen sein.
Rückgängigmachen der Problemumgehung
Für 32-Bit-Systeme:
Geben Sie an einer Administratoreingabeaufforderung die folgenden Befehle ein:
cd "%windir%\system32" rename x-atmfd.dll atmfd.dll icacls.exe atmfd.dll /setowner "NT SERVICE\TrustedInstaller" icacls.exe . /restore atmfd.dll.aclStarten Sie das System neu.
Für 64-Bit-Systeme:
Geben Sie an einer Administratoreingabeaufforderung die folgenden Befehle ein:
cd "%windir%\system32" rename x-atmfd.dll atmfd.dll icacls.exe atmfd.dll /setowner "NT SERVICE\TrustedInstaller" icacls.exe . /restore atmfd.dll.acl cd "%windir%\syswow64" rename x-atmfd.dll atmfd.dll icacls.exe atmfd.dll /setowner "NT SERVICE\TrustedInstaller" icacls.exe . /restore atmfd.dll.acl
2. Restart the system.
Optionales Verfahren für Betriebssysteme unter Windows 8 und höher (ATMFD aktivieren):
Hinweis Wenn Sie den Registrierungs-Editor falsch verwenden, kann dies zu schwerwiegenden Problemen führen, sodass Sie Ihr Betriebssystem möglicherweise neu installieren müssen. Microsoft übernimmt keinerlei Garantie dafür, dass Probleme aufgrund nicht ordnungsgemäßer Verwendung des Registrierungs-Editors behoben werden können. Sie verwenden den Registrierungs-Editor auf eigene Gefahr. Informationen zum Bearbeiten der Registrierung finden Sie im Hilfethema "Ändern von Schlüsseln und Werten" im Registrierungs-Editor (Regedit.exe) oder in den Hilfethemen "Informationen in der Registrierung hinzufügen und löschen" und "Registrierungsdaten bearbeiten" in Regedt32.exe.
Methode 1 (manuelles Bearbeiten der Systemregistrierung):
Führen Sie regedit.exe als Administrator aus.
Navigieren Sie im Registrierungs-Editor zum folgenden Unterschlüssel, und legen Sie dessen DWORD-Wert auf 0 fest:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows\DisableATMFD, DWORD = 0
3. Close Registry Editor and restart the system.
Methode 2 (Verwenden eines verwalteten Bereitstellungsskripts):
Erstellen Sie eine Textdatei namens ATMFD-enable.reg , die den folgenden Text enthält:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"DisableATMFD"=dword:00000000
2. Run **regedit.exe**.
3. In Registry Editor, click the **File** menu and then click **Import**.
4. Navigate to and select the **ATMFD-enable.reg** file that you created in the first step.
(**Note** If your file is not listed where you expect it to be, ensure that it has not been automatically given a .txt file extension, or change the dialog’s file extension parameters to **All Files**).
5. Click **Open** and then click **OK** to close Registry Editor.
Bereitstellung von Sicherheitsupdates
Informationen zur Bereitstellung von Sicherheitsupdates finden Sie im Microsoft Knowledge Base-Artikel, auf den in der Zusammenfassung verwiesen wird.
Danksagungen
Microsoft erkennt die Bemühungen von Personen in der Sicherheitscommunity an, die uns helfen, Kunden durch koordinierte Offenlegung von Sicherheitsrisiken zu schützen. Weitere Informationen finden Sie unter Bestätigungen .
Haftungsausschluss
Die in der Microsoft Knowledge Base bereitgestellten Informationen werden ohne Jegliche Gewährleistung "wie ben" bereitgestellt. Microsoft lehnt jegliche Gewährleistungen ab, sei es ausdrücklich oder stillschweigend, einschließlich der Gewährleistungen der Marktgängigkeit und Eignung für einen bestimmten Zweck. In keinem Fall haften Die Microsoft Corporation oder ihre Lieferanten für Schäden jeglicher Art, einschließlich direkter, indirekter, zufälliger, Folgeschäden, Verlust von Geschäftsgewinnen oder besonderen Schäden, auch wenn Microsoft Corporation oder ihre Lieferanten auf die Möglichkeit solcher Schäden hingewiesen wurden. Einige Staaten lassen den Ausschluss oder die Beschränkung der Haftung für Folge- oder Nebenschäden nicht zu, sodass die vorstehende Einschränkung möglicherweise nicht gilt.
Revisionen
- V1.0 (20. Juli 2015): Bulletin veröffentlicht.
- V2.0 (29. Juli 2015): Das Bulletin wurde erneut veröffentlicht, um die Verfügbarkeit eines Updatepakets für Windows 10 Systeme bekannt zu geben. Kunden, die Windows 10 ausführen, sollten das 3074683 Update anwenden, um vor der in diesem Bulletin beschriebenen Sicherheitsanfälligkeit geschützt zu sein. Das Update ist nur über Windows Update verfügbar. Die meisten Kunden haben automatische Updates aktiviert und müssen keine Maßnahmen ergreifen, da das Update automatisch heruntergeladen und installiert wird.
Seite generiert am 28.07.2015 11:44Z-07:00.