Microsoft Security Bulletin MS15-090 – Wichtig
Sicherheitsrisiken in Microsoft Windows können Rechteerweiterungen ermöglichen (3060716)
Veröffentlicht: 11. August 2015
Version: 1.0
Kurzfassung
Dieses Sicherheitsupdate behebt Sicherheitsrisiken in Microsoft Windows. Die Sicherheitsanfälligkeiten können rechteerweiterungen ermöglichen, wenn sich ein Angreifer bei einem betroffenen System anmeldet und eine speziell gestaltete Anwendung ausführt oder einen Benutzer überzeugt, eine speziell gestaltete Datei zu öffnen, die eine anfällige Sandkastenanwendung aufruft, sodass ein Angreifer die Sandbox verlassen kann.
Dieses Sicherheitsupdate wird für alle unterstützten Versionen von Microsoft Windows als Wichtig eingestuft, mit Ausnahme von Windows 10, die nicht betroffen ist. Weitere Informationen finden Sie im Abschnitt Betroffene Software .
Das Sicherheitsupdate behebt die Sicherheitsanfälligkeiten, indem korrigiert wird, wie der Windows-Objekt-Manager symbolische Verknüpfungen verarbeitet, die durch einen Sandboxprozess erstellt wurden, indem eine unsachgemäße Interaktion mit der Registrierung durch Sandkastenanwendungen verhindert und eine unsachgemäße Interaktion mit dem Dateisystem durch Sandkastenanwendungen verhindert wird. Weitere Informationen zu den Sicherheitsrisiken finden Sie im Abschnitt Informationen zu Sicherheitsrisiken .
Weitere Informationen zu diesem Update finden Sie im Microsoft Knowledge Base-Artikel 3060716.
Betroffene Software
Die folgenden Softwareversionen oder Editionen sind betroffen. Versionen oder Editionen, die nicht aufgeführt sind, haben entweder ihren Supportlebenszyklus hinter sich oder sind nicht betroffen. Informationen zum Ermitteln des Supportlebenszyklus für Ihre Softwareversion oder Edition finden Sie unter Microsoft-Support Lifecycle.
| Betriebssystem | Maximale Sicherheitsbeeinträchtigung | Bewertung des Aggregierten Schweregrads | Updates ersetzt |
|---|---|---|---|
| Windows Vista | |||
| Windows Vista Service Pack 2 (3060716) | Erhöhung von Rechten | Wichtig | 3045999 in MS15-038 |
| Windows Vista x64 Edition Service Pack 2 (3060716) | Erhöhung von Rechten | Wichtig | 3045999 in MS15-038 |
| Windows Server 2008 | |||
| Windows Server 2008 für 32-Bit-Systeme Service Pack 2 (3060716) | Erhöhung von Rechten | Wichtig | 3045999 in MS15-038 |
| Windows Server 2008 für x64-basierte Systeme Service Pack 2 (3060716) | Erhöhung von Rechten | Wichtig | 3045999 in MS15-038 |
| Windows Server 2008 für Itanium-basierte Systeme Service Pack 2 (3060716) | Erhöhung von Rechten | Wichtig | 3045999 in MS15-038 |
| Windows 7 | |||
| Windows 7 für 32-Bit-Systeme Service Pack 1 (3060716) | Erhöhung von Rechten | Wichtig | 3067505 in MS15-076 |
| Windows 7 für x64-basierte Systeme Service Pack 1 (3060716) | Erhöhung von Rechten | Wichtig | 3067505 in MS15-076 |
| Windows Server 2008 R2 | |||
| Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1 (3060716) | Erhöhung von Rechten | Wichtig | 3067505 in MS15-076 |
| Windows Server 2008 R2 für Itanium-basierte Systeme Service Pack 1 (3060716) | Erhöhung von Rechten | Wichtig | 3067505 in MS15-076 |
| Windows 8 und Windows 8.1 | |||
| Windows 8 für 32-Bit-Systeme (3060716) | Erhöhung von Rechten | Wichtig | 3050514 in MS15-052 |
| Windows 8 für x64-basierte Systeme (3060716) | Erhöhung von Rechten | Wichtig | 3050514 in MS15-052 |
| Windows 8.1 für 32-Bit-Systeme (3060716) | Erhöhung von Rechten | Wichtig | 3035131 in MS15-025 |
| Windows 8.1 für x64-basierte Systeme (3060716) | Erhöhung von Rechten | Wichtig | 3035131 in MS15-025 |
| Windows Server 2012 und Windows Server 2012 R2 | |||
| Windows Server 2012 (3060716) | Erhöhung von Rechten | Wichtig | 3050514 in MS15-052 |
| Windows Server 2012 R2 (3060716) | Erhöhung von Rechten | Wichtig | 3035131 in MS15-025 |
| Windows RT und Windows RT 8.1 | |||
| Windows RT[1](3060716) | Erhöhung von Rechten | Wichtig | 3050514 in MS15-052 |
| Windows RT 8.1[1](3060716) | Erhöhung von Rechten | Wichtig | 3035131 in MS15-025 |
| Server Core-Installationsoption | |||
| Windows Server 2008 für 32-Bit-Systeme Service Pack 2 (Server Core-Installation) (3060716) | Erhöhung von Rechten | Wichtig | 3045999 in MS15-038 |
| Windows Server 2008 für x64-basierte Systeme Service Pack 2 (Server Core-Installation) (3060716) | Erhöhung von Rechten | Wichtig | 3045999 in MS15-038 |
| Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1 (Server Core-Installation) (3060716) | Erhöhung von Rechten | Wichtig | 3067505 in MS15-076 |
| Windows Server 2012 (Server Core-Installation) (3060716) | Erhöhung von Rechten | Wichtig | 3050514 in MS15-052 |
| Windows Server 2012 R2 (Server Core-Installation) (3060716) | Erhöhung von Rechten | Wichtig | 3035131 in MS15-025 |
[1]Dieses Update ist nur über Windows Update verfügbar.
*Die Spalte Updates Ersetzt zeigt nur das neueste Update in einer Kette abgelöster Updates an. Eine umfassende Liste der ersetzten Updates finden Sie im Microsoft Update-Katalog, suchen Sie nach der Update-KB-Nummer, und zeigen Sie dann Updatedetails an (Informationen zu den ersetzten Updates finden Sie auf der Registerkarte Paketdetails).
Schweregradbewertungen und Bezeichner für Sicherheitsrisiken
Bei den folgenden Schweregradbewertungen wird die potenzielle maximale Auswirkung der Sicherheitsanfälligkeit vorausgesetzt. Informationen zur Wahrscheinlichkeit der Ausnutzbarkeit des Sicherheitsrisikos innerhalb von 30 Tagen nach der Veröffentlichung dieses Security Bulletins in Bezug auf den Schweregrad und die Auswirkungen auf die Sicherheit finden Sie im Exploitability Index in der Zusammenfassung des Bulletins vom August.
| Bewertung des Sicherheitsrisikoschweregrads und maximale Auswirkungen auf die Sicherheit durch betroffene Software | ||||
|---|---|---|---|---|
| Betroffene Software | Sicherheitsanfälligkeit in Windows Object Manager bezüglich Rechteerweiterung – CVE-2015-2428 | Sicherheitsanfälligkeit in windows registry elevation of privilege –CVE-2015-2429 | Sicherheitsanfälligkeit in Windows-Dateisystem: Erhöhung von Berechtigungen – CVE-2015-2430 | Bewertung des Aggregierten Schweregrads |
| Windows Vista | ||||
| Windows Vista Service Pack 2 (3060716) | Wichtig Rechteerweiterung | Wichtig Rechteerweiterung | Wichtig Rechteerweiterung | Wichtig |
| Windows Vista x64 Edition Service Pack 2 (3060716) | Wichtig Rechteerweiterung | Wichtig Rechteerweiterung | Wichtig Rechteerweiterung | Wichtig |
| Windows Server 2008 | ||||
| Windows Server 2008 für 32-Bit-Systeme Service Pack 2 (3060716) | Wichtig Rechteerweiterung | Wichtig Rechteerweiterung | Wichtig Rechteerweiterung | Wichtig |
| Windows Server 2008 für x64-basierte Systeme Service Pack 2 (3060716) | Wichtig Rechteerweiterung | Wichtig Rechteerweiterung | Wichtig Rechteerweiterung | Wichtig |
| Windows Server 2008 für Itanium-basierte Systeme Service Pack 2 (3060716) | Wichtig Rechteerweiterung | Wichtig Rechteerweiterung | Wichtig Rechteerweiterung | Wichtig |
| Windows 7 | ||||
| Windows 7 für 32-Bit-Systeme Service Pack 1 (3060716) | Wichtig Rechteerweiterung | Wichtig Rechteerweiterung | Wichtig Rechteerweiterung | Wichtig |
| Windows 7 für x64-basierte Systeme Service Pack 1 (3060716) | Wichtig Rechteerweiterung | Wichtig Rechteerweiterung | Wichtig Rechteerweiterung | Wichtig |
| Windows Server 2008 R2 | ||||
| Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1 (3060716) | Wichtig Rechteerweiterung | Wichtig Rechteerweiterung | Wichtig Rechteerweiterung | Wichtig |
| Windows Server 2008 R2 für Itanium-basierte Systeme Service Pack 1 (3060716) | Wichtig Rechteerweiterung | Wichtig Rechteerweiterung | Wichtig Rechteerweiterung | Wichtig |
| Windows 8 und Windows 8.1 | ||||
| Windows 8 für 32-Bit-Systeme (3060716) | Wichtig Rechteerweiterung | Wichtig Rechteerweiterung | Wichtig Rechteerweiterung | Wichtig |
| Windows 8 für x64-basierte Systeme (3060716) | Wichtig Rechteerweiterung | Wichtig Rechteerweiterung | Wichtig Rechteerweiterung | Wichtig |
| Windows 8.1 für 32-Bit-Systeme (3060716) | Wichtig Rechteerweiterung | Wichtig Rechteerweiterung | Wichtig Rechteerweiterung | Wichtig |
| Windows 8.1 für x64-basierte Systeme (3060716) | Wichtig Rechteerweiterung | Wichtig Rechteerweiterung | Wichtig Rechteerweiterung | Wichtig |
| Windows Server 2012 und Windows Server 2012 R2 | ||||
| Windows Server 2012 (3060716) | Wichtig Rechteerweiterung | Wichtig Rechteerweiterung | Wichtig Rechteerweiterung | Wichtig |
| Windows Server 2012 R2 (3060716) | Wichtig Rechteerweiterung | Wichtig Rechteerweiterung | Wichtig Rechteerweiterung | Wichtig |
| Windows RT und Windows RT 8.1 | ||||
| Windows RT (3060716) | Wichtig Rechteerweiterung | Wichtig Rechteerweiterung | Wichtig Rechteerweiterung | Wichtig |
| Windows RT 8.1 (3060716) | Wichtig Rechteerweiterung | Wichtig Rechteerweiterung | Wichtig Rechteerweiterung | Wichtig |
| Server Core-Installationsoption | ||||
| Windows Server 2008 für 32-Bit-Systeme Service Pack 2 (Server Core-Installation) (3060716) | Wichtig Rechteerweiterung | Wichtig Rechteerweiterung | Wichtig Rechteerweiterung | Wichtig |
| Windows Server 2008 für x64-basierte Systeme Service Pack 2 (Server Core-Installation) (3060716) | Wichtig Rechteerweiterung | Wichtig Rechteerweiterung | Wichtig Rechteerweiterung | Wichtig |
| Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1 (Server Core-Installation) (3060716) | Wichtig Rechteerweiterung | Wichtig Rechteerweiterung | Wichtig Rechteerweiterung | Wichtig |
| Windows Server 2012 (Server Core-Installation) (3060716) | Wichtig Rechteerweiterung | Wichtig Rechteerweiterung | Wichtig Rechteerweiterung | Wichtig |
| Windows Server 2012 R2 (Server Core-Installation) (3060716) | Wichtig Rechteerweiterung | Wichtig Rechteerweiterung | Wichtig Rechteerweiterung | Wichtig |
Informationen zu Sicherheitsrisiken
Sicherheitsanfälligkeit in Windows-Objekt-Manager bezüglich Rechteerweiterung – CVE-2015-2428
Im Windows-Objekt-Manager liegt eine Sicherheitsanfälligkeit bezüglich der Erhöhung von Berechtigungen vor, wenn Identitätswechselstufen nicht ordnungsgemäß überprüft und erzwungen werden können. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann die Sicherheit auf Identitätswechselebene umgehen und erhöhte Berechtigungen für ein Zielsystem erlangen.
Um diese Sicherheitsanfälligkeit auszunutzen, müsste sich ein Angreifer bei einem betroffenen System anmelden und eine speziell gestaltete Anwendung ausführen. Die Sicherheitsanfälligkeit allein lässt keine ausführung von beliebigem Code zu. Ein Angreifer könnte diese Sicherheitsanfälligkeit jedoch in Verbindung mit einem anderen Sicherheitsrisiko nutzen, um die Ausführung von beliebigem Code zu beeinträchtigen. Das Update behebt die Sicherheitsanfälligkeit, indem korrigiert wird, wie der Windows-Objekt-Manager symbolische Verknüpfungen von Objekten verarbeitet, die von einem Sandboxprozess erstellt wurden.
Microsoft hat Informationen zu diesem Sicherheitsrisiko durch koordinierte Offenlegung von Sicherheitsrisiken erhalten. Als dieses Sicherheitsbulletin ursprünglich veröffentlicht wurde, hatte Microsoft keine Informationen erhalten, die darauf hindeuten, dass diese Sicherheitsanfälligkeit öffentlich für Angriffe auf Kunden verwendet wurde.
Mildernde Faktoren
Microsoft hat keine mildernden Faktoren für diese Sicherheitsanfälligkeit identifiziert.
Problemumgehungen
Microsoft hat keine Problemumgehungen für dieses Sicherheitsrisiko identifiziert.
Sicherheitsanfälligkeit in der Windows-Registrierung bezüglich Erhöhung von Berechtigungen – CVE-2015-2429
Eine Rechteerweiterung liegt in Microsoft Windows vor, wenn bestimmte Registrierungsinteraktionen aus anfälligen Sandboxanwendungen nicht ordnungsgemäß zulässt. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann nicht ordnungsgemäß mit der Registrierung interagieren und versuchen, die Anwendungssandbox zu umgehen.
Um die Sicherheitsanfälligkeit auszunutzen, müsste ein Angreifer den Benutzer davon überzeugen, eine speziell gestaltete Datei zu öffnen, die eine anfällige Sandboxanwendung aufruft, was zu einer Kompromittierung der Sandbox führt. Der Angreifer könnte dann Programme mit den Rechten des angemeldeten Benutzers ausführen. Das Update behebt die Sicherheitsanfälligkeit, indem eine unsachgemäße Interaktion mit der Registrierung durch Sandkastenanwendungen verhindert wird.
Microsoft hat Informationen zu diesem Sicherheitsrisiko durch koordinierte Offenlegung von Sicherheitsrisiken erhalten. Als dieses Sicherheitsbulletin ursprünglich veröffentlicht wurde, hatte Microsoft keine Informationen erhalten, die darauf hindeuten, dass diese Sicherheitsanfälligkeit öffentlich für Angriffe auf Kunden verwendet wurde.
Mildernde Faktoren
Microsoft hat keine mildernden Faktoren für diese Sicherheitsanfälligkeit identifiziert.
Problemumgehungen
Microsoft hat keine Problemumgehungen für dieses Sicherheitsrisiko identifiziert.
Sicherheitsanfälligkeit in Windows-Dateisystem bezüglich Rechteerweiterung – CVE-2015-2430
Eine Rechteerweiterung liegt in Microsoft Windows vor, wenn bestimmte Dateisysteminteraktionen aus anfälligen Sandboxanwendungen nicht ordnungsgemäß zulässt. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann nicht ordnungsgemäß mit dem Dateisystem interagieren und versuchen, die Anwendungssandbox zu umgehen.
Um die Sicherheitsanfälligkeit auszunutzen, müsste ein Angreifer den Benutzer davon überzeugen, eine speziell gestaltete Datei zu öffnen, die eine anfällige Sandboxanwendung aufrufen würde, sodass ein Angreifer die Sandbox verlassen kann. Das Update behebt die Sicherheitsanfälligkeit, indem eine unsachgemäße Interaktion mit dem Dateisystem durch Sandboxanwendungen verhindert wird.
Microsoft hat Informationen zu diesem Sicherheitsrisiko durch koordinierte Offenlegung von Sicherheitsrisiken erhalten. Als dieses Sicherheitsbulletin ursprünglich veröffentlicht wurde, hatte Microsoft keine Informationen erhalten, die darauf hindeuten, dass diese Sicherheitsanfälligkeit öffentlich für Angriffe auf Kunden verwendet wurde.
Mildernde Faktoren
Microsoft hat keine mildernden Faktoren für diese Sicherheitsanfälligkeit identifiziert.
Problemumgehungen
Microsoft hat keine Problemumgehungen für dieses Sicherheitsrisiko identifiziert.
Bereitstellung von Sicherheitsupdates
Informationen zur Bereitstellung von Sicherheitsupdates finden Sie im Microsoft Knowledge Base-Artikel, auf den in der Zusammenfassung verwiesen wird.
Danksagungen
Microsoft erkennt die Bemühungen derJenigen in der Sicherheitscommunity an, die uns helfen, Kunden durch koordinierte Offenlegung von Sicherheitsrisiken zu schützen. Weitere Informationen finden Sie unter Bestätigungen .
Haftungsausschluss
Die in der Microsoft Knowledge Base bereitgestellten Informationen werden ohne Jegliche Garantie "wie benährt" bereitgestellt. Microsoft lehnt alle ausdrücklichen oder impliziten Garantien ab, einschließlich der Gewährleistung der Marktgängigkeit und Eignung für einen bestimmten Zweck. Die Microsoft Corporation oder ihre Lieferanten haften in keinem Fall für Schäden, einschließlich direkter, indirekter, zufälliger, Folgeschäden, Verlust von Geschäftsgewinnen oder besonderen Schäden, auch wenn die Microsoft Corporation oder ihre Lieferanten über die Möglichkeit solcher Schäden informiert wurden. Einige Staaten lassen den Ausschluss oder die Beschränkung der Haftung für Folge- oder Nebenschäden nicht zu, sodass die vorstehende Einschränkung möglicherweise nicht gilt.
Revisionen
- V1.0 (11. August 2015): Bulletin veröffentlicht.
Seite generiert 2015-08-05 15:02Z-07:00.