Microsoft Security Bulletin MS15-101 – Wichtig
Sicherheitsrisiken in .NET Framework können Rechteerweiterungen ermöglichen (3089662)
Veröffentlicht: 8. September 2015 | Aktualisiert: 9. Februar 2016
Version: 1.2
Kurzfassung
Dieses Sicherheitsupdate behebt Sicherheitsrisiken in Microsoft .NET Framework. Die schwerwiegendste der Sicherheitsrisiken kann rechteerweiterungen ermöglichen, wenn ein Benutzer eine speziell gestaltete .NET-Anwendung ausführt. In allen Fällen hätte ein Angreifer jedoch keine Möglichkeit, Benutzer zum Ausführen der Anwendung zu zwingen. Ein Angreifer müsste Benutzer dazu überzeugen.
Dieses Sicherheitsupdate wird für Microsoft .NET Framework 2.0 Service Pack 2, Microsoft .NET Framework 3.5, Microsoft .NET Framework 3.5.1, Microsoft .NET Framework 4, Microsoft .NET Framework 4.5 und Microsoft als wichtig eingestuft. .NET Framework 4.5.1 und Microsoft .NET Framework 4.5.2 für betroffene Versionen von Microsoft Windows. Weitere Informationen finden Sie im Abschnitt Betroffene Software .
Die Sicherheitsupdates beheben die Sicherheitsrisiken, indem korrigiert wird, wie die .NET Framework Objekte im Arbeitsspeicher kopiert, und indem korrigiert wird, wie die .NET Framework speziell gestaltete Anforderungen verarbeitet. Weitere Informationen zu diesem Sicherheitsrisiko finden Sie im Unterabschnitt Häufig gestellte Fragen (FAQ) für die spezifische Sicherheitsanfälligkeit.
Weitere Informationen zu diesem Update finden Sie im Microsoft Knowledge Base-Artikel 3089662.
Bewertungen des Schweregrads der betroffenen Software und der Sicherheitsrisiken
Die folgenden Softwareversionen oder Editionen sind betroffen. Versionen oder Editionen, die nicht aufgeführt sind, haben entweder ihren Supportlebenszyklus hinter sich oder sind nicht betroffen. Informationen zum Ermitteln des Supportlebenszyklus für Ihre Softwareversion oder Edition finden Sie unter Microsoft-Support Lifecycle.
Die folgenden Schweregradbewertungen gehen von der potenziellen maximalen Auswirkung der Sicherheitsanfälligkeit aus. Informationen zur Wahrscheinlichkeit der Ausnutzung des Sicherheitsrisikos in Bezug auf den Schweregrad und die Sicherheitsauswirkungen innerhalb von 30 Tagen nach Veröffentlichung dieses Sicherheitsbulletins finden Sie im Ausnutzbarkeitsindex in der Zusammenfassung des Bulletins vom September.
| Betriebssystem | Komponente | Sicherheitsrisiko in .NET-Rechteerweiterung – CVE-2015-2504 | MVC-Denial-of-Service-Sicherheitsanfälligkeit – CVE-2015-2526 | Updates ersetzt |
|---|---|---|---|---|
| Windows Vista | ||||
| Windows Vista Service Pack 2 | Microsoft .NET Framework 2.0 Service Pack 2 | Wichtig Rechteerweiterung (3074541) | Nicht verfügbar | 3074541 – 2656374 in MS12-025 |
| Windows Vista Service Pack 2 | Microsoft .NET Framework 4[1] | Wichtig Rechteerweiterung (3074547) | Nicht verfügbar | 3074547 – 2656368 in MS12-025 |
| Windows Vista Service Pack 2 | Microsoft .NET Framework 4.5/4.5.1/4.5.2 | Wichtig Rechteerweiterung (3074550) | Wichtig Denial-of-Service (3074230) | 3074550 – Keine 3074230 – Keine |
| Windows Vista Service Pack 2 | Microsoft .NET Framework 4.6 | Wichtig Rechteerweiterung (3074554) | Wichtig Denial-of-Service (3074233) | 3074554 – Keine 3074233 – Keine |
| Windows Vista x64 Edition Service Pack 2 | Microsoft .NET Framework 2.0 Service Pack 2 | Wichtig Rechteerweiterung (3074541) | Nicht verfügbar | 3074541 – 2656374 in MS12-025 |
| Windows Vista x64 Edition Service Pack 2 | Microsoft .NET Framework 4[1] | Wichtig Rechteerweiterung (3074547) | Nicht verfügbar | 3074547 – 2656368 in MS12-025 |
| Windows Vista x64 Edition Service Pack 2 | Microsoft .NET Framework 4.5/4.5.1/4.5.2 | Wichtig Rechteerweiterung (3074550) | Wichtig Denial-of-Service (3074230) | 3074550 – Keine 3074230 – Keine |
| Windows Vista x64 Edition Service Pack 2 | Microsoft .NET Framework 4.6 | Wichtig Rechteerweiterung (3074554) | Wichtig Denial-of-Service (3074233) | 3074554 – Keine 3074233 – Keine |
| Windows Server 2008 | ||||
| Windows Server 2008 für 32-Bit-Systeme Service Pack 2 | Microsoft .NET Framework 2.0 Service Pack 2 | Wichtig Rechteerweiterung (3074541) | Nicht verfügbar | 3074541 – 2656374 in MS12-025 |
| Windows Server 2008 für 32-Bit-Systeme Service Pack 2 | Microsoft .NET Framework 4[1] | Wichtig Rechteerweiterung (3074547) | Nicht verfügbar | 3074547 – 2656368 in MS12-025 |
| Windows Server 2008 für 32-Bit-Systeme Service Pack 2 | Microsoft .NET Framework 4.5/4.5.1/4.5.2 | Wichtig Rechteerweiterung (3074550) | Wichtig Denial-of-Service (3074230) | 3074550 – Keine 3074230 – Keine |
| Windows Server 2008 für 32-Bit-Systeme Service Pack 2 | Microsoft .NET Framework 4.6 | Wichtig Rechteerweiterung (3074554) | Wichtig Denial-of-Service (3074233) | 3074554 – Keine 3074233 – Keine |
| Windows Server 2008 für x64-basierte Systeme Service Pack 2 | Microsoft .NET Framework 2.0 Service Pack 2 | Wichtig Rechteerweiterung (3074541) | Nicht verfügbar | 3074541 – 2656374 in MS12-025 |
| Windows Server 2008 für x64-basierte Systeme Service Pack 2 | Microsoft .NET Framework 4[1] | Wichtig Rechteerweiterung (3074547) | Nicht verfügbar | 3074547 – 2656368 in MS12-025 |
| Windows Server 2008 für x64-basierte Systeme Service Pack 2 | Microsoft .NET Framework 4.5/4.5.1/4.5.2 | Wichtig Rechteerweiterung (3074550) | Wichtig Denial-of-Service (3074230) | 3074550 – Keine 3074230 – Keine |
| Windows Server 2008 für x64-basierte Systeme Service Pack 2 | Microsoft .NET Framework 4.6 | Wichtig Rechteerweiterung (3074554) | Wichtig Denial-of-Service (3074233) | 3074554 – Keine 3074233 – Keine |
| Windows Server 2008 für Itanium-basierte Systeme Service Pack 2 | Microsoft .NET Framework 2.0 Service Pack 2 | Wichtig Rechteerweiterung (3074541) | Nicht verfügbar | 3074541 – 2656374 in MS12-025 |
| Windows Server 2008 für Itanium-basierte Systeme Service Pack 2 | Microsoft .NET Framework 4[1] | Wichtig Rechteerweiterung (3074547) | Nicht verfügbar | 3074547 – 2656368 in MS12-025 |
| Windows 7 | ||||
| Windows 7 für 32-Bit-Systeme Service Pack 1 | Microsoft .NET Framework 3.5.1 | Wichtig Rechteerweiterung (3074543) | Nicht verfügbar | 3074543 – 2656373 in MS12-025 |
| Windows 7 für 32-Bit-Systeme Service Pack 1 | Microsoft .NET Framework 4[1] | Wichtig Rechteerweiterung (3074547) | Nicht verfügbar | 3074547 – 2656368 in MS12-025 |
| Windows 7 für 32-Bit-Systeme Service Pack 1 | Microsoft .NET Framework 4.5/4.5.1/4.5.2 | Wichtig Rechteerweiterung (3074550) | Wichtig Denial-of-Service (3074230) | 3074550 – Keine 3074230 – Keine |
| Windows 7 für 32-Bit-Systeme Service Pack 1 | Microsoft .NET Framework 4.6 | Wichtig Rechteerweiterung (3074554) | Wichtig Denial-of-Service (3074233) | 3074554 – Keine 3074233 – Keine |
| Windows 7 für x64-basierte Systeme Service Pack 1 | Microsoft .NET Framework 3.5.1 | Wichtig Rechteerweiterung (3074543) | Nicht verfügbar | 3074543 – 2656373 in MS12-025 |
| Windows 7 für x64-basierte Systeme Service Pack 1 | Microsoft .NET Framework 4[1] | Wichtig Rechteerweiterung (3074547) | Nicht verfügbar | 3074547 – 2656368 in MS12-025 |
| Windows 7 für x64-basierte Systeme Service Pack 1 | Microsoft .NET Framework 4.5/4.5.1/4.5.2 | Wichtig Rechteerweiterung (3074550) | Wichtig Denial-of-Service (3074230) | 3074550 – Keine 3074230 – Keine |
| Windows 7 für x64-basierte Systeme Service Pack 1 | Microsoft .NET Framework 4.6 | Wichtig Rechteerweiterung (3074554) | Wichtig Denial-of-Service (3074233) | 3074554 – Keine 3074233 – Keine |
| Windows Server 2008 R2 | ||||
| Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1 | Microsoft .NET Framework 3.5.1 | Wichtig Rechteerweiterung (3074543) | Nicht verfügbar | 3074543 – 2656373 in MS12-025 |
| Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1 | Microsoft .NET Framework 4[1] | Wichtig Rechteerweiterung (3074547) | Nicht verfügbar | 3074547 – 2656368 in MS12-025 |
| Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1 | Microsoft .NET Framework 4.5/4.5.1/4.5.2 | Wichtig Rechteerweiterung (3074550) | Wichtig Denial-of-Service (3074230) | 3074550 – Keine 3074230 – Keine |
| Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1 | Microsoft .NET Framework 4.6 | Wichtig Rechteerweiterung (3074554) | Wichtig Denial-of-Service (3074233) | 3074554 – Keine 3074233 – Keine |
| Windows Server 2008 R2 für Itanium-basierte Systeme Service Pack 1 | Microsoft .NET Framework 3.5.1 | Wichtig Rechteerweiterung (3074543) | Nicht verfügbar | 3074543 – 2656373 in MS12-025 |
| Windows Server 2008 R2 für Itanium-basierte Systeme Service Pack 1 | Microsoft .NET Framework 4[1] | Wichtig Rechteerweiterung (3074547) | Nicht verfügbar | 3074547 – 2656368 in MS12-025 |
| Windows 8 und Windows 8.1 | ||||
| Windows 8 für 32-Bit-Systeme | Microsoft .NET Framework 3.5 | Wichtig Rechteerweiterung (3074544) | Nicht verfügbar | 3074544 – Keine |
| Windows 8 für 32-Bit-Systeme | Microsoft .NET Framework 4.5/4.5.1/4.5.2 | Wichtig Rechteerweiterung (3074229) | Wichtig Denial-of-Service (3074549) | 3074229 – Keine 3074549 – Keine |
| Windows 8 für 32-Bit-Systeme | Microsoft .NET Framework 4.6 | Wichtig Rechteerweiterung (3074552) | Wichtig Denial-of-Service (3074231) | 3074552 – Keine 3074231 – Keine |
| Windows 8 für x64-basierte Systeme | Microsoft .NET Framework 3.5 | Wichtig Rechteerweiterung (3074544) | Nicht verfügbar | 3074544 – Keine |
| Windows 8 für x64-basierte Systeme | Microsoft .NET Framework 4.5/4.5.1/4.5.2 | Wichtig Rechteerweiterung (3074229) | Wichtig Denial-of-Service (3074549) | 3074229 – Keine 3074549 – Keine |
| Windows 8 für x64-basierte Systeme | Microsoft .NET Framework 4.6 | Wichtig Rechteerweiterung (3074552) | Wichtig Denial-of-Service (3074231) | 3074552 – Keine 3074231 – Keine |
| Windows 8.1 für 32-Bit-Systeme | Microsoft .NET Framework 3.5 | Wichtig Rechteerweiterung (3074545) | Nicht verfügbar | 3074545 – Keine |
| Windows 8.1 für 32-Bit-Systeme | Microsoft .NET Framework 4.5.1/4.5.2 | Wichtig Rechteerweiterung (3074548) | Wichtig Denial-of-Service (3074228) | 3074548 – Keine 3074228 – Keine |
| Windows 8.1 für 32-Bit-Systeme | Microsoft .NET Framework 4.6 | Wichtig Rechteerweiterung (3074553) | Wichtig Denial-of-Service (3074232) | 3074553 – Keine 3074232 – Keine |
| Windows 8.1 für x64-basierte Systeme | Microsoft .NET Framework 3.5 | Wichtig Rechteerweiterung (3074545) | Nicht verfügbar | 3074545 – Keine |
| Windows 8.1 für x64-basierte Systeme | Microsoft .NET Framework 4.5.1/4.5.2 | Wichtig Rechteerweiterung (3074548) | Wichtig Denial-of-Service (3074228) | 3074548 – Keine 3074228 – Keine |
| Windows 8.1 für x64-basierte Systeme | Microsoft .NET Framework 4.6 | Wichtig Rechteerweiterung (3074553) | Wichtig Denial-of-Service (3074232) | 3074553 – Keine 3074232 – Keine |
| Windows Server 2012 und Windows Server 2012 R2 | ||||
| Windows Server 2012 | Microsoft .NET Framework 3.5 | Wichtig Rechteerweiterung (3074544) | Nicht verfügbar | 3074544 – Keine |
| Windows Server 2012 | Microsoft .NET Framework 4.5/4.5.1/4.5.2 | Wichtig Rechteerweiterung (3074229) | Wichtig Denial-of-Service (3074549) | 3074229 – Keine 3074549 – Keine |
| Windows Server 2012 | Microsoft .NET Framework 4.6 | Wichtig Rechteerweiterung (3074552) | Wichtig Denial-of-Service (3074231) | 3074552 – Keine 3074231 – Keine |
| Windows Server 2012 R2 | Microsoft .NET Framework 3.5 | Wichtig Rechteerweiterung (3074545) | Nicht verfügbar | 3074545 – Keine |
| Windows Server 2012 R2 | Microsoft .NET Framework 4.5.1/4.5.2 | Wichtig Rechteerweiterung (3074548) | Wichtig Denial-of-Service (3074228) | 3074548 – Keine 3074228 – Keine |
| Windows Server 2012 R2 | Microsoft .NET Framework 4.6 | Wichtig Rechteerweiterung (3074553) | Wichtig Denial-of-Service (3074232) | 3074553 – Keine 3074232 – Keine |
| Windows RT und Windows RT 8.1 | ||||
| Windows RT | Microsoft .NET Framework 4.5/4.5.1/4.5.2[2] | Wichtig Rechteerweiterung (3074229) | Wichtig Denial-of-Service (3074549) | 3074229 – Keine 3074549 – Keine |
| Windows RT | Microsoft .NET Framework 4.6[2] | Wichtig Rechteerweiterung (3074552) | Wichtig Denial-of-Service (3074231) | 3074552 – Keine 3074231 – Keine |
| Windows RT 8.1 | Microsoft .NET Framework 4.5.1/4.5.2[2] | Wichtig Rechteerweiterung (3074548) | Wichtig Denial-of-Service (3074228) | 3074548 – Keine 3074228 – Keine |
| Windows RT 8.1 | Microsoft .NET Framework 4.6[2] | Wichtig Rechteerweiterung (3074553) | Wichtig Denial-of-Service (3074232) | 3074553 – Keine 3074232 – Keine |
| Windows 10 | ||||
| Windows 10 für 32-Bit-Systeme[3] | Microsoft .NET Framework 3.5 | Wichtig Rechteerweiterung (3081455) | Nicht verfügbar | 3081444 |
| Windows 10 für 32-Bit-Systeme[3] | Microsoft .NET Framework 4.6 | Wichtig Rechteerweiterung (3081455) | Wichtig Denial-of-Service (3081455) | 3081444 |
| Windows 10 für x64-basierte Systeme[3] | Microsoft .NET Framework 3.5 | Wichtig Rechteerweiterung (3081455) | Nicht verfügbar | 3081444 |
| Windows 10 für x64-basierte Systeme[3] | Microsoft .NET Framework 4.6 | Wichtig Rechteerweiterung (3081455) | Wichtig Denial-of-Service (3081455) | 3081444 |
| Server Core-Installationsoption | ||||
| Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1 (Server Core-Installation) | Microsoft .NET Framework 3.5.1 | Wichtig Rechteerweiterung (3074543) | Nicht verfügbar | 3074543 – 2656373 in MS12-025 |
| Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1 (Server Core-Installation) | Microsoft .NET Framework 4[1] | Wichtig Rechteerweiterung (3074547) | Nicht verfügbar | 3074547 – 2656368 in MS12-025 |
| Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1 (Server Core-Installation) | Microsoft .NET Framework 4.5/4.5.1/4.5.2 | Wichtig Rechteerweiterung (3074550) | Wichtig Denial-of-Service (3074230) | 3074550 – Keine 3074230 – Keine |
| Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1 (Server Core-Installation) | Microsoft .NET Framework 4.6 | Wichtig Rechteerweiterung (3074554) | Wichtig Denial-of-Service (3074233) | 3074554 – Keine 3074233 – Keine |
| Windows Server 2012 (Server Core-Installation) | Microsoft .NET Framework 3.5 | Wichtig Rechteerweiterung (3074544) | Nicht verfügbar | 3074544 – Keine |
| Windows Server 2012 (Server Core-Installation) | Microsoft .NET Framework 4.5/4.5.1/4.5.2 | Wichtig Rechteerweiterung (3074229) | Wichtig Denial of Service (3074549) | 3074229 – Keine 3074549 – Keine |
| Windows Server 2012 (Server Core-Installation) | Microsoft .NET Framework 4.6 | Wichtig Rechteerweiterung (3074552) | Wichtig Denial-of-Service (3074231) | 3074552 – Keine 3074231 – Keine |
| Windows Server 2012 R2 (Server Core-Installation) | Microsoft .NET Framework 3.5 | Wichtig Rechteerweiterung (3074545) | Nicht verfügbar | 3074545 – Keine |
| Windows Server 2012 R2 (Server Core-Installation) | Microsoft .NET Framework 4.5.1/4.5.2 | Wichtig Rechteerweiterung (3074548) | Wichtig Denial-of-Service (3074228) | 3074548 – Keine 3074228 – Keine |
| Windows Server 2012 R2 (Server Core-Installation) | Microsoft .NET Framework 4.6 | Wichtig Rechteerweiterung (3074553) | Wichtig Denial-of-Service (3074232) | 3074553 – Keine 3074232 – Keine |
[1].NET Framework 4 und .NET Framework 4 Clientprofil betroffen.
[2]Dieses Update ist nur über Windows Update verfügbar.
[3]Das Windows 10 Update ist kumulativ. Zusätzlich zu nicht sicherheitsrelevanten Updates enthält es auch alle Sicherheitskorrekturen für alle Windows 10 betroffenen Sicherheitsrisiken, die im Sicherheitsrelease dieses Monats enthalten sind. Weitere Informationen und Downloadlinks finden Sie im Microsoft Knowledge Base-Artikel 3081455 .
Beachten Sie Windows Server Technical Preview 2 betroffen ist. Kunden, die dieses Betriebssystem ausführen, werden empfohlen, das Update anzuwenden, das über Windows Update verfügbar ist.
Häufig gestellte Fragen zum Aktualisieren
Gewusst wie bestimmen, welche Version von Microsoft .NET Framework installiert ist?
Sie können mehrere Versionen von .NET Framework auf einem System installieren und ausführen, und Sie können die Versionen in beliebiger Reihenfolge installieren. Weitere Informationen finden Sie im Microsoft Knowledge Base-Artikel 318785.
Was ist der Unterschied zwischen .NET Framework 4 und .NET Framework 4 Clientprofil?
Die .NET Framework verteilbaren Pakete der Version 4 sind in zwei Profilen verfügbar: .NET Framework 4 und .NET Framework 4 Clientprofil. Das .NET Framework 4-Clientprofil ist eine Teilmenge des .NET Framework 4-Profils, das für Clientanwendungen optimiert ist. Es bietet Funktionen für die meisten Clientanwendungen, einschließlich Windows Presentation Foundation (WPF), Windows Forms, Windows Communication Foundation (WCF) und ClickOnce-Features. Dies ermöglicht eine schnellere Bereitstellung und ein kleineres Installationspaket für Anwendungen, die auf das clientprofil .NET Framework 4 ausgerichtet sind. Weitere Informationen finden Sie im MSDN-Artikel .NET Framework Clientprofil.
Für einige der betroffenen Software sind mehrere Updatepakete verfügbar. Muss ich alle Updates installieren, die in der Tabelle Betroffene Software für die Software aufgeführt sind?
Ja. Kunden sollten alle Updates anwenden, die für die auf ihren Systemen installierte Software angeboten werden.
Muss ich diese Sicherheitsupdates in einer bestimmten Reihenfolge installieren?
Nein. Mehrere Updates für ein bestimmtes System können in beliebiger Reihenfolge angewendet werden.
Informationen zu Sicherheitsrisiken
Sicherheitsanfälligkeit in .NET bezüglich Rechteerweiterung – CVE-2015-2504
Ein Sicherheitsrisiko bei der Erhöhung von Berechtigungen besteht darin, dass der .NET Framework die Anzahl der Objekte im Arbeitsspeicher überprüft, bevor diese Objekte in ein Array kopiert werden. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausgenutzt hat, kann die Kontrolle über ein betroffenes System übernehmen. Ein Angreifer könnte dann Programme installieren, Daten anzeigen, ändern, oder löschen oder neue Konten mit uneingeschränkten Benutzerrechten anlegen. Für Benutzer, deren Konten mit weniger Benutzerrechten im System konfiguriert sind, sind die Auswirkungen normalerweise geringer als für Benutzer, die mit Administratorrechten arbeiten.
Es sind zwei Angriffsszenarien möglich, um diese Sicherheitsanfälligkeit auszunutzen: ein Webbrowsingszenario und eine Umgehung von Cas-Einschränkungen (Code Access Security) für eine Windows .NET-Anwendung. Diese Szenarien werden wie folgt beschrieben:
- Angriffsszenario für Webbrowsen Ein Angreifer könnte eine speziell gestaltete Website hosten, die eine speziell gestaltete XBAP-Anwendung (XAML-Browseranwendung) enthält, die diese Sicherheitsanfälligkeit ausnutzen könnte, und dann einen Benutzer davon überzeugen, die Website anzuzeigen. Der Angreifer könnte auch kompromittierte Websites und Websites nutzen, die von Benutzern bereitgestellte Inhalte oder Werbung akzeptieren oder hosten. In allen Fällen hätte ein Angreifer jedoch keine Möglichkeit, Benutzer zu zwingen, diese Websites zu besuchen. Stattdessen müsste ein Angreifer Benutzer davon überzeugen, die Website zu besuchen, indem er sie in der Regel dazu bringt, auf einen Link in einem Instant Messenger oder einer E-Mail-Nachricht zu klicken, die Benutzer zur Website des Angreifers führt. Es kann auch möglich sein, speziell gestaltete Webinhalte mithilfe von Bannerwerbung oder mit anderen Methoden anzuzeigen, um Webinhalte an betroffene Systeme bereitzustellen.
- Angriffsszenario für Windows .NET-Anwendungen Diese Sicherheitsanfälligkeit kann auch von Windows .NET Framework-Anwendungen verwendet werden, um Cas-Einschränkungen (Code Access Security) zu umgehen.
Es gibt zwei Arten von gefährdeten Systemen, die wie folgt beschrieben werden:
- Webbrowsenszenario Die erfolgreiche Ausnutzung dieser Sicherheitsanfälligkeit erfordert, dass ein Benutzer angemeldet ist und Websites mit einem Webbrowser besucht, der XBAPs instanziieren kann. Daher sind alle Systeme, auf denen ein Webbrowser häufig verwendet wird, wie z. B. Arbeitsstationen oder Terminalserver, das größte Risiko durch diese Sicherheitsanfälligkeit. Server sind möglicherweise einem größeren Risiko ausgesetzt, wenn Administratoren Benutzern erlauben, E-Mails auf Servern zu durchsuchen und zu lesen. Bewährte Methoden raten jedoch dringend davon ab, dies zuzulassen.
- Windows .NET-Anwendungen Arbeitsstationen und Server, auf denen nicht vertrauenswürdige Windows .NET Framework-Anwendungen ausgeführt werden, sind ebenfalls durch diese Sicherheitsanfälligkeit gefährdet.
Das Update behebt die Sicherheitsanfälligkeit, indem korrigiert wird, wie die .NET Framework Objekte im Arbeitsspeicher kopiert. Dieses Sicherheitsrisiko wurde öffentlich bekannt gemacht. Ihr wurde die Nummer "Allgemeine Sicherheitsanfälligkeit CVE-2015-2504" zugewiesen. Als dieses Bulletin ursprünglich veröffentlicht wurde, war Microsoft keine Angriffe bekannt, die versuchen, diese Sicherheitsanfälligkeit auszunutzen.
Mildernde Faktoren
Microsoft hat keine mildernden Faktoren für diese Sicherheitsanfälligkeit identifiziert.
Problemumgehungen
Microsoft hat keine Problemumgehungen für dieses Sicherheitsrisiko identifiziert.
MVC-Denial-of-Service-Sicherheitsanfälligkeit – CVE-2015-2526
Es liegt eine Denial-of-Service-Sicherheitsanfälligkeit vor, die verursacht wird, wenn .NET bestimmte speziell gestaltete Anforderungen nicht ordnungsgemäß verarbeitet. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann eine kleine Anzahl speziell gestalteter Anforderungen an einen ASP.NET Server senden, wodurch die Leistung erheblich beeinträchtigt wird, um eine Denial-of-Service-Bedingung zu verursachen.
Ein Angreifer könnte diese Sicherheitsanfälligkeit nutzen, um einen Denial-of-Service-Angriff zu erstellen und die Verfügbarkeit von Websites zu unterbrechen, die ASP.NET verwenden. In erster Linie sind Internet-bezogene Systeme mit installierten ASP.NET durch diese Sicherheitslücke gefährdet. Interne Websites, die ASP.NET verwenden, können ebenfalls durch diese Sicherheitsanfälligkeit gefährdet sein. Das Update behebt die Sicherheitsanfälligkeit, indem korrigiert wird, wie die .NET Framework speziell gestaltete Anforderungen verarbeitet.
Microsoft hat Informationen zu diesem Sicherheitsrisiko durch koordinierte Offenlegung von Sicherheitsrisiken erhalten. Als dieses Sicherheitsbulletin veröffentlicht wurde, hatte Microsoft keine Informationen erhalten, die darauf hindeuten, dass diese Sicherheitsanfälligkeit öffentlich für Angriffe auf Kunden verwendet wurde.
Mildernde Faktoren
Microsoft hat keine mildernden Faktoren für diese Sicherheitsanfälligkeit identifiziert.
Problemumgehungen
Microsoft hat keine Problemumgehungen für dieses Sicherheitsrisiko identifiziert.
Bereitstellung von Sicherheitsupdates
Informationen zur Bereitstellung von Sicherheitsupdates finden Sie im Microsoft Knowledge Base-Artikel, auf den in der Executive Summary verwiesen wird.
Danksagungen
Microsoft erkennt die Bemühungen derJenigen in der Sicherheitscommunity an, die uns helfen, Kunden durch koordinierte Offenlegung von Sicherheitsrisiken zu schützen. Weitere Informationen finden Sie unter Bestätigungen .
Haftungsausschluss
Die in der Microsoft Knowledge Base bereitgestellten Informationen werden ohne Jegliche Garantie "wie benährt" bereitgestellt. Microsoft lehnt alle ausdrücklichen oder impliziten Garantien ab, einschließlich der Gewährleistung der Marktgängigkeit und Eignung für einen bestimmten Zweck. Die Microsoft Corporation oder ihre Lieferanten haften in keinem Fall für Schäden, einschließlich direkter, indirekter, zufälliger, Folgeschäden, Verlust von Geschäftsgewinnen oder besonderen Schäden, auch wenn die Microsoft Corporation oder ihre Lieferanten über die Möglichkeit solcher Schäden informiert wurden. Einige Staaten lassen den Ausschluss oder die Beschränkung der Haftung für Folge- oder Nebenschäden nicht zu, sodass die vorstehende Einschränkung möglicherweise nicht gilt.
Revisionen
- V1.0 (8. September 2015): Bulletin veröffentlicht.
- V1.1 (25. September 2015): Windows Server Technical Preview 3 aus der Fußnote der Betroffenen Software-Tabelle entfernt, da sie nicht von den in diesem Sicherheitsbulletin beschriebenen Sicherheitsrisiken betroffen ist. Dies ist nur eine informationale Änderung. Kunden, die ihre Systeme bereits erfolgreich aktualisiert haben, müssen keine Maßnahmen ergreifen.
- V1.2 (9. Februar 2016): Das Bulletin wurde überarbeitet, um eine Erkennungsänderung für das 3074554 Update für .NET Framework 4.6 anzukündigen. Dies ist nur eine informationale Änderung. Kunden, die ihre Systeme bereits erfolgreich aktualisiert haben, müssen keine Maßnahmen ergreifen.
Seite generiert 2016-02-04 11:08-08:00.