Microsoft Security Bulletin MS15-095 – Kritisch
Kumulatives Sicherheitsupdate für Microsoft Edge (3089665)
Veröffentlicht: 8. September 2015
Version: 1.0
Kurzfassung
Dieses Sicherheitsupdate behebt Sicherheitsrisiken in Microsoft Edge. Die schwerwiegendste der Sicherheitsrisiken kann die Remotecodeausführung ermöglichen, wenn ein Benutzer eine speziell gestaltete Webseite mit Microsoft Edge anzeigt. Ein Angreifer, der diese Sicherheitsrisiken erfolgreich ausnutzt, kann die gleichen Benutzerrechte wie der aktuelle Benutzer erhalten. Kunden, deren Konten so konfiguriert sind, dass sie über weniger Benutzerrechte auf dem System verfügen, sind möglicherweise weniger betroffen als Benutzer mit Administratorrechten.
Dieses Sicherheitsupdate wird für Microsoft Edge auf betroffenen Windows-Clients als Kritisch eingestuft. Weitere Informationen finden Sie im Abschnitt Betroffene Software .
Das Sicherheitsupdate behebt die Sicherheitsrisiken, indem geändert wird, wie Microsoft Edge Objekte im Arbeitsspeicher behandelt.
Weitere Informationen zu den Sicherheitsrisiken finden Sie im Abschnitt Informationen zu Sicherheitsrisiken .
Weitere Informationen zu diesem Update finden Sie im Microsoft Knowledge Base-Artikel 3089665.
Betroffene Software
Die folgenden Softwareversionen oder -editionen sind betroffen. Versionen oder Editionen, die nicht aufgeführt sind, haben entweder ihren Supportlebenszyklus hinter sich oder sind nicht betroffen. Informationen zum Bestimmen des Supportlebenszyklus für Ihre Softwareversion oder -edition finden Sie unter Microsoft-Support Lifecycle.
Betroffene Software
Betriebssystem | Komponente | Maximale Sicherheitsbeeinträchtigung | Bewertung des Aggregierten Schweregrads | Updates ersetzt |
---|---|---|---|---|
Microsoft Edge | ||||
Windows 10 für 32-Bit-Systeme[1](3081455) | Microsoft Edge | Codeausführung von Remotestandorten | Kritisch | 3081444 |
Windows 10 für x64-basierte Systeme[1](3081455) | Microsoft Edge | Codeausführung von Remotestandorten | Kritisch | 3081444 |
[1]Das Windows 10 Update ist kumulativ. Zusätzlich zu nicht sicherheitsrelevanten Updates enthält es auch alle Sicherheitskorrekturen für alle Windows 10 betroffenen Sicherheitsrisiken, die im Sicherheitsrelease dieses Monats enthalten sind. Weitere Informationen und Downloadlinks finden Sie im Microsoft Knowledge Base-Artikel 3081455 .
Beachten Sie Windows Server Technical Preview 2 und Windows Server Technical Preview 3 betroffen sind. Kunden, die dieses Betriebssystem ausführen, werden empfohlen, das Update anzuwenden, das über Windows Update verfügbar ist.
Schweregradbewertungen und Bezeichner für Sicherheitsrisiken
Bei den folgenden Schweregradbewertungen wird die potenzielle maximale Auswirkung der Sicherheitsanfälligkeit vorausgesetzt. Informationen zur Wahrscheinlichkeit der Ausnutzung des Sicherheitsrisikos in Bezug auf den Schweregrad und die Auswirkungen auf die Sicherheit innerhalb von 30 Tagen nach der Veröffentlichung dieses Security Bulletins finden Sie im Exploitability Index im Bulletin Summary vom September.
Wenn in der Tabelle Schweregradbewertungen und Auswirkungen angegeben, geben die Werte kritisch, wichtig und mittelschwere Bewertungen an. Weitere Informationen finden Sie unter Security Bulletin Severity Rating System.For more information, see Security Bulletin Severity Rating System. Beachten Sie den folgenden Schlüssel für die Abkürzungen, die in der Tabelle verwendet werden, um die maximale Auswirkung anzugeben:
Abkürzung | Maximale Auswirkung |
---|---|
RCE | Codeausführung von Remotestandorten |
Eop | Erhöhung von Rechten |
ID | Veröffentlichung von Informationen |
SFB | Umgehung einer Sicherheitsfunktion |
Bewertungen und Auswirkungen des Sicherheitsrisikoschweregrads | ||
---|---|---|
CVE-Nummer | Titel der Sicherheitslücke | Microsoft Edge |
CVE-2015-2485 | Sicherheitsanfälligkeit bezüglich Speicherbeschädigung | Windows-Clients: Kritisch / RCE Windows-Server: Mittel / RCE |
CVE-2015-2486 | Sicherheitsanfälligkeit bezüglich Speicherbeschädigung | Windows-Clients: Kritisch / RCE Windows-Server: Mittel / RCE |
CVE-2015-2494 | Sicherheitsanfälligkeit bezüglich Speicherbeschädigung | Windows-Clients: Kritisch / RCE Windows-Server: Mittel / RCE |
CVE-2015-2542 | Sicherheitsanfälligkeit bezüglich Speicherbeschädigung | Windows-Clients: Kritisch / RCE Windows-Server: Mittel / RCE |
Informationen zu Sicherheitsrisiken
Sicherheitsrisiken bei mehreren Speicherbeschädigungen
Sicherheitsrisiken bei der Remotecodeausführung liegen vor, wenn Microsoft Edge nicht ordnungsgemäß auf Objekte im Arbeitsspeicher zugreift. Diese Sicherheitsrisiken können den Arbeitsspeicher so beschädigen, dass ein Angreifer beliebigen Code im Kontext des aktuellen Benutzers ausführen kann.
Ein Angreifer könnte eine speziell gestaltete Website hosten, die entwickelt wurde, um diese Sicherheitsrisiken über Microsoft Edge auszunutzen, und dann einen Benutzer dazu verreden, die Website anzuzeigen. Der Angreifer könnte auch kompromittierte Websites und Websites nutzen, die von Benutzern bereitgestellte Inhalte oder Werbung akzeptieren oder hosten, indem er speziell gestaltete Inhalte hinzufügt, die diese Sicherheitsrisiken ausnutzen könnten. In allen Fällen hätte ein Angreifer jedoch keine Möglichkeit, Benutzer dazu zu zwingen, die von Angreifern kontrollierten Inhalte anzuzeigen. Stattdessen müsste ein Angreifer benutzer dazu bringen, Maßnahmen zu ergreifen, indem er sie in der Regel dazu bringt, auf einen Link in einem Instant Messenger oder einer E-Mail-Nachricht zu klicken, die Benutzer zur Website des Angreifers führt, oder indem er sie dazu bringt, eine per E-Mail gesendete Anlage zu öffnen.
Ein Angreifer, der diese Sicherheitsrisiken erfolgreich ausnutzt, kann die gleichen Benutzerrechte wie der aktuelle Benutzer erhalten. Wenn der aktuelle Benutzer mit Administratorrechten angemeldet ist, kann ein Angreifer, der diese Sicherheitsrisiken erfolgreich ausnutzt, die Kontrolle über ein betroffenes System übernehmen. Ein Angreifer könnte dann Programme installieren, Daten anzeigen, ändern, oder löschen oder neue Konten mit uneingeschränkten Benutzerrechten anlegen. Systeme, bei denen Microsoft Edge häufig verwendet wird, z. B. Arbeitsstationen oder Terminalserver, sind durch diese Sicherheitsrisiken am meisten gefährdet.
Das Update behebt die Sicherheitsrisiken, indem geändert wird, wie Microsoft Edge Objekte im Arbeitsspeicher behandelt. Die folgende Tabelle enthält Links zum Standardeintrag für die einzelnen Sicherheitsrisiken in der Liste Allgemeiner Sicherheitsrisiken und Risiken:
Titel der Sicherheitslücke | CVE-Nummer | Öffentlich zugänglich gemacht | Genutzt |
---|---|---|---|
Sicherheitsanfälligkeit bezüglich Speicherbeschädigung | CVE-2015-2485 | Nein | Nein |
Sicherheitsanfälligkeit bezüglich Speicherbeschädigung | CVE-2015-2486 | Nein | Nein |
Sicherheitsanfälligkeit bezüglich Speicherbeschädigung | CVE-2015-2494 | Nein | Nein |
Sicherheitsrisiko für Speicherbeschädigung | CVE-2015-2542 | Ja | Nein |
Mildernde Faktoren
Microsoft hat keine mildernden Faktoren für diese Sicherheitsrisiken identifiziert.
Problemumgehungen
Microsoft hat keine Problemumgehungen für diese Sicherheitsrisiken identifiziert.
Bereitstellung von Sicherheitsupdates
Informationen zur Bereitstellung von Sicherheitsupdates finden Sie im Microsoft Knowledge Base-Artikel, auf den in der Executive Summary verwiesen wird.
Danksagungen
Microsoft erkennt die Bemühungen derJenigen in der Sicherheitscommunity an, die uns helfen, Kunden durch koordinierte Offenlegung von Sicherheitsrisiken zu schützen. Weitere Informationen finden Sie unter Bestätigungen .
Haftungsausschluss
Die in der Microsoft Knowledge Base bereitgestellten Informationen werden ohne Jegliche Garantie "wie benährt" bereitgestellt. Microsoft lehnt alle ausdrücklichen oder impliziten Garantien ab, einschließlich der Gewährleistung der Marktgängigkeit und Eignung für einen bestimmten Zweck. Die Microsoft Corporation oder ihre Lieferanten haften in keinem Fall für Schäden, einschließlich direkter, indirekter, zufälliger, Folgeschäden, Verlust von Geschäftsgewinnen oder besonderen Schäden, auch wenn die Microsoft Corporation oder ihre Lieferanten über die Möglichkeit solcher Schäden informiert wurden. Einige Staaten lassen den Ausschluss oder die Beschränkung der Haftung für Folge- oder Nebenschäden nicht zu, sodass die vorstehende Einschränkung möglicherweise nicht gilt.
Revisionen
- V1.0 (8. September 2015): Bulletin veröffentlicht.
Seite generiert 2015-09-28 14:03Z-07:00.