Microsoft Security Bulletin MS15-103 – Wichtig
Sicherheitsrisiken in Microsoft Exchange Server können die Offenlegung von Informationen ermöglichen (3089250)
Veröffentlicht: 8. September 2015
Version: 1.0
Kurzfassung
Dieses Sicherheitsupdate behebt Sicherheitsrisiken in Microsoft Exchange Server. Die schwerwiegendsten Sicherheitsrisiken können die Offenlegung von Informationen ermöglichen, wenn Outlook Web Access (OWA) Webanforderungen nicht ordnungsgemäß verarbeitet und Benutzereingaben und E-Mail-Inhalte bereinigen kann.
Dieses Sicherheitsupdate wird für alle unterstützten Editionen von Microsoft Exchange Server 2013 als Wichtig eingestuft. Weitere Informationen finden Sie im Abschnitt Betroffene Software .
Das Sicherheitsupdate behebt die Sicherheitsrisiken, indem korrigiert wird, wie Microsoft Exchange OWA Webanforderungen verarbeitet, und indem sichergestellt wird, dass OWA Benutzereingaben und E-Mail-Inhalte ordnungsgemäß bereinigen. Weitere Informationen zu den Sicherheitsrisiken finden Sie im Abschnitt Informationen zu Sicherheitsrisiken .
Weitere Informationen zu diesem Update finden Sie im Microsoft Knowledge Base-Artikel 3089250.
Betroffene Software
Die folgenden Softwareversionen oder Editionen sind betroffen. Versionen oder Editionen, die nicht aufgeführt sind, haben entweder ihren Supportlebenszyklus hinter sich oder sind nicht betroffen. Informationen zum Ermitteln des Supportlebenszyklus für Ihre Softwareversion oder Edition finden Sie unter Microsoft-Support Lifecycle.
| Software | Maximale Sicherheitsbeeinträchtigung | Bewertung des Aggregierten Schweregrads | Updates ersetzt* |
|---|---|---|---|
| Microsoft Server-Software | |||
| kumulatives update 8 (3087126) Microsoft Exchange Server 2013 2013 | Veröffentlichung von Informationen | Wichtig | 3062157 in MS15-064 |
| kumulatives update 9 (3087126) Microsoft Exchange Server 2013 2013 | Veröffentlichung von Informationen | Wichtig | 3062157 in MS15-064 |
| Microsoft Exchange Server 2013 Service Pack 1 (3087126) | Veröffentlichung von Informationen | Wichtig | 3062157 in MS15-064 |
*Die Spalte Updates Ersetzt zeigt nur das neueste Update in einer Kette von ersetzten Updates an. Eine umfassende Liste der ersetzten Updates finden Sie im Microsoft Update-Katalog, suchen sie nach der Update-KB-Nummer, und zeigen Sie dann Updatedetails an (Informationen zu ersetzten Updates finden Sie auf der Registerkarte Paketdetails).
Häufig gestellte Fragen zum Aktualisieren
Enthält dieses Update zusätzliche sicherheitsbezogene Änderungen an der Funktionalität?
Zusätzlich zu den Änderungen, die für die in diesem Bulletin beschriebenen Sicherheitsrisiken aufgeführt sind, enthält dieses Update ausführliche Updates zur Verbesserung sicherheitsrelevanter Features.
Schweregradbewertungen und Sicherheitsrisikobezeichner
Die folgenden Schweregradbewertungen gehen von der potenziellen maximalen Auswirkung der Sicherheitsanfälligkeit aus. Informationen zur Wahrscheinlichkeit der Ausnutzung des Sicherheitsrisikos in Bezug auf den Schweregrad und die Sicherheitsauswirkungen innerhalb von 30 Tagen nach Veröffentlichung dieses Sicherheitsbulletins finden Sie im Ausnutzbarkeitsindex in der Zusammenfassung des Bulletins vom September.
| Bewertung des Schweregrads der Sicherheitsrisiken und maximale Auswirkungen auf die Sicherheit durch betroffene Software | ||||
|---|---|---|---|---|
| Betroffene Software | Sicherheitsanfälligkeit in Exchange– CVE-2015-2505 | Sicherheitsanfälligkeit in Exchange Spoofing – CVE-2015-2543 | Sicherheitsanfälligkeit in Exchange Spoofing – CVE-2015-2544 | Bewertung des Aggregierten Schweregrads |
| Microsoft Server-Software | ||||
| Microsoft Exchange Server Service Pack 1 2013 (3087126) | Offenlegung wichtiger Informationen | Nicht verfügbar | Wichtig Spoofing | Wichtig |
| Microsoft Exchange Server 2013 Kumulatives Update 8 (3087126) | Wichtig Offenlegung von Informationen | Wichtig Spoofing | Wichtig Spoofing | Wichtig |
| Microsoft Exchange Server 2013 Kumulatives Update 9 (3087126) | Wichtig Offenlegung von Informationen | Wichtig Spoofing | Wichtig Spoofing | Wichtig |
Informationen zu Sicherheitsrisiken
Sicherheitsanfälligkeit in Exchange– CVE-2015-2505
In Microsoft Exchange Server liegt ein Sicherheitsrisiko für die Offenlegung von Informationen vor, wenn Outlook Web Access (OWA) Webanforderungen nicht ordnungsgemäß verarbeitet. Ein Angreifer, der die Sicherheitsanfälligkeit erfolgreich ausnutzt, kann stacktrace-Details ermitteln.
Um die Sicherheitsanfälligkeit auszunutzen, muss ein Angreifer eine speziell gestaltete Webanwendungsanforderung erstellen und sie dann an eine Webanwendung übermitteln. Das Sicherheitsupdate behebt die Sicherheitsanfälligkeit, indem korrigiert wird, wie Microsoft Exchange OWA Webanforderungen verarbeitet.
Microsoft hat Informationen über die Sicherheitsanfälligkeit durch koordinierte Offenlegung von Sicherheitsrisiken erhalten. Als dieses Sicherheitsbulletin veröffentlicht wurde, hatte Microsoft keine Informationen erhalten, die darauf hindeuten, dass diese Sicherheitsanfälligkeit öffentlich für Angriffe auf Kunden verwendet wurde.
Mildernde Faktoren
Microsoft hat keine mildernden Faktoren für diese Sicherheitsanfälligkeit identifiziert.
Problemumgehungen
Microsoft hat keine Problemumgehungen für dieses Sicherheitsrisiko identifiziert.
Mehrere Sicherheitsanfälligkeiten bei Exchange-Spoofing
Spoofing-Sicherheitsrisiken bestehen in Microsoft Exchange Server, wenn OWA speziell gestaltete E-Mails nicht ordnungsgemäß desinfiziert. Ein authentifizierter Angreifer kann die Sicherheitsanfälligkeiten ausnutzen, indem er eine speziell gestaltete E-Mail an einen Benutzer sendet. Ein Angreifer könnte dann HTML-Einschleusungsangriffe auf betroffene Systeme ausführen und versuchen, den Benutzer dazu zu bringen, vertrauliche Informationen offenzulegen.
Um die Sicherheitsanfälligkeiten auszunutzen, muss der Benutzer auf eine speziell gestaltete URL klicken. In einem E-Mail-Angriffsszenario könnte ein Angreifer eine E-Mail-Nachricht mit der speziell gestalteten URL über OWA an den Benutzer senden, um den Benutzer zu überzeugen, darauf zu klicken.
In einem webbasierten Angriffsszenario könnte ein Angreifer eine böswillige Website hosten, die als legitime Website für den Benutzer angezeigt wird. Der Angreifer hätte jedoch keine Möglichkeit, den Benutzer zum Besuch der schädlichen Website zu zwingen. Der Angreifer müsste den Benutzer davon überzeugen, die schädliche Website zu besuchen, in der Regel, indem er den Benutzer dazu verleitet, entweder in einer Instant Messenger- oder E-Mail-Nachricht auf einen Link zu klicken, der den Benutzer zur schädlichen Website des Angreifers führt, und dann den Benutzer davon überzeugen, mit Inhalten auf der schädlichen Website zu interagieren.
Das Sicherheitsupdate behebt die Sicherheitsrisiken, indem es sicherstellt, dass OWA E-Mail-Inhalte ordnungsgemäß desinfiziert.
Die folgende Tabelle enthält Links zum Standardeintrag für die einzelnen Sicherheitsrisiken in der Liste Allgemeiner Sicherheitsrisiken:
| Titel der Sicherheitslücke | CVE-Nummer | Öffentlich bekannt gemacht | Genutzt |
|---|---|---|---|
| Sicherheitsanfälligkeit bei Exchange-Spoofing | CVE-2015-2543 | Nein | Nein |
| Sicherheitsanfälligkeit bei Exchange-Spoofing | CVE-2015-2544 | Nein | Nein |
Mildernde Faktoren
Microsoft hat keine mildernden Faktoren für diese Sicherheitsrisiken identifiziert.
Problemumgehungen
Microsoft hat keine Problemumgehungen für diese Sicherheitsrisiken identifiziert.
Bereitstellung von Sicherheitsupdates
Informationen zur Bereitstellung von Sicherheitsupdates finden Sie im Microsoft Knowledge Base-Artikel, auf den in der Zusammenfassung verwiesen wird.
Danksagungen
Microsoft erkennt die Bemühungen von Personen in der Sicherheitscommunity an, die uns helfen, Kunden durch koordinierte Offenlegung von Sicherheitsrisiken zu schützen. Weitere Informationen finden Sie unter Bestätigungen .
Haftungsausschluss
Die in der Microsoft Knowledge Base bereitgestellten Informationen werden ohne Jegliche Gewährleistung "wie ben" bereitgestellt. Microsoft lehnt jegliche Gewährleistungen ab, sei es ausdrücklich oder stillschweigend, einschließlich der Gewährleistungen der Marktgängigkeit und Eignung für einen bestimmten Zweck. In keinem Fall haften Die Microsoft Corporation oder ihre Lieferanten für Schäden jeglicher Art, einschließlich direkter, indirekter, zufälliger, Folgeschäden, Verlust von Geschäftsgewinnen oder besonderen Schäden, auch wenn Microsoft Corporation oder ihre Lieferanten auf die Möglichkeit solcher Schäden hingewiesen wurden. Einige Staaten lassen den Ausschluss oder die Beschränkung der Haftung für Folge- oder Nebenschäden nicht zu, sodass die vorstehende Einschränkung möglicherweise nicht gilt.
Revisionen
- V1.0 (8. September 2015): Bulletin veröffentlicht.
Seite generiert am 03.09.2015 17:14Z-07:00.