Microsoft Security Bulletin MS15-130 – Kritisch
Sicherheitsupdate für Microsoft Uniscribe to Address Remote Code Execution (3108670)
Veröffentlicht: 8. Dezember 2015
Version: 1.0
Kurzfassung
Dieses Sicherheitsupdate behebt ein Sicherheitsrisiko in Microsoft Windows. Die Sicherheitsanfälligkeit kann Remotecodeausführung ermöglichen, wenn ein Benutzer ein speziell gestaltetes Dokument öffnet oder eine nicht vertrauenswürdige Webseite besucht, die speziell gestaltete Schriftarten enthält.
Dieses Sicherheitsupdate wird für alle unterstützten Editionen von Windows 7 und Windows Server 2008 R2 als Kritisch eingestuft. Weitere Informationen finden Sie im Abschnitt Betroffene Software .
Das Sicherheitsupdate behebt die Sicherheitsanfälligkeit, indem korrigiert wird, wie Windows Schriftarten analysiert. Weitere Informationen zu der Sicherheitsanfälligkeit finden Sie im Abschnitt Informationen zu Sicherheitsrisiken .
Weitere Informationen zu diesem Update finden Sie im Microsoft Knowledge Base-Artikel 3108670.
Bewertungen des Schweregrads der betroffenen Software und der Sicherheitsrisiken
Die folgenden Softwareversionen oder Editionen sind betroffen. Versionen oder Editionen, die nicht aufgeführt sind, haben entweder ihren Supportlebenszyklus hinter sich oder sind nicht betroffen. Informationen zum Ermitteln des Supportlebenszyklus für Ihre Softwareversion oder Edition finden Sie unter Microsoft-Support Lifecycle.
Die folgenden Schweregradbewertungen gehen von der potenziellen maximalen Auswirkung der Sicherheitsanfälligkeit aus. Informationen zur Wahrscheinlichkeit der Ausnutzung des Sicherheitsrisikos in Bezug auf den Schweregrad und die Sicherheitsauswirkungen innerhalb von 30 Tagen nach Veröffentlichung dieses Security Bulletins finden Sie im Ausnutzbarkeitsindex in der Zusammenfassung des Bulletins vom Dezember.
| Bewertung des Schweregrads der Sicherheitsrisiken und maximale Auswirkungen auf die Sicherheit durch betroffene Software | ||
|---|---|---|
| Betriebssystem | Windows Integer Underflow-Sicherheitsanfälligkeit – CVE-2015-6130 | Updates ersetzt* |
| Windows 7 | ||
| Windows 7 für 32-Bit-Systeme Service Pack 1 (3108670) | Kritisch Remotecodeausführung | 2957509 in MS14-036 |
| Windows 7 für x64-basierte Systeme Service Pack 1 (3108670) | Kritisch Remotecodeausführung | 2957509 in MS14-036 |
| Windows Server 2008 R2 | ||
| Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1 \ (3108670) | Kritisch Remotecodeausführung | 2957509 in MS14-036 |
| Windows Server 2008 R2 für Itanium-basierte Systeme Service Pack 1 \ (3108670) | Kritisch Remotecodeausführung | 2957509 in MS14-036 |
| Server Core-Installationsoption | ||
| Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1 (Server Core-Installation ) \ (3108670) | Kritisch Remotecodeausführung | 2957509 in MS14-036 |
*Die Spalte Updates Ersetzt zeigt nur das neueste Update in einer Kette von ersetzten Updates an. Eine umfassende Liste der ersetzten Updates finden Sie im Microsoft Update-Katalog, suchen sie nach der Update-KB-Nummer, und zeigen Sie dann Updatedetails an (Informationen zu ersetzten Updates finden Sie auf der Registerkarte Paketdetails).
Informationen zu Sicherheitsrisiken
Windows Integer Underflow-Sicherheitsanfälligkeit – CVE-2015-6130
Es liegt eine Sicherheitsanfälligkeit bezüglich remoteer Codeausführung vor, wenn Windows Uniscribe speziell gestaltete Schriftarten nicht ordnungsgemäß analysiert. Ein Angreifer, der die Sicherheitsanfälligkeit erfolgreich ausnutzt, kann Programme installieren. Daten anzeigen, ändern oder löschen; oder erstellen Sie neue Konten mit vollständigen Benutzerrechten.
Es gibt mehrere Möglichkeiten, wie ein Angreifer die Sicherheitsanfälligkeit ausnutzen kann, z. B. indem er einen Benutzer dazu verredet, ein speziell gestaltetes Dokument zu öffnen, oder indem er einen Benutzer dazu verredet, eine nicht vertrauenswürdige Webseite zu besuchen, die eingebettete Schriftarten enthält. Das Sicherheitsupdate behebt die Sicherheitsanfälligkeit, indem korrigiert wird, wie Windows Schriftarten analysiert.
Microsoft hat Informationen zu diesem Sicherheitsrisiko durch koordinierte Offenlegung von Sicherheitsrisiken erhalten. Zum Zeitpunkt, als dieses Sicherheitsbulletin ursprünglich veröffentlicht wurde, war Microsoft von keinem Angriff bekannt, der versuchte, die Sicherheitsanfälligkeit auszunutzen.
Mildernde Faktoren
Microsoft hat keine mildernden Faktoren für diese Sicherheitsanfälligkeit identifiziert.
Problemumgehungen
Microsoft hat keine Problemumgehungen für dieses Sicherheitsrisiko identifiziert.
Bereitstellung von Sicherheitsupdates
Informationen zur Bereitstellung von Sicherheitsupdates finden Sie im Microsoft Knowledge Base-Artikel, auf den hier in der Executive Summary verwiesen wird.
Danksagungen
Microsoft erkennt die Bemühungen derJenigen in der Sicherheitscommunity an, die uns helfen, Kunden durch koordinierte Offenlegung von Sicherheitsrisiken zu schützen. Weitere Informationen finden Sie unter Bestätigungen .
Haftungsausschluss
Die in der Microsoft Knowledge Base bereitgestellten Informationen werden ohne Jegliche Garantie "wie benährt" bereitgestellt. Microsoft lehnt alle ausdrücklichen oder impliziten Garantien ab, einschließlich der Gewährleistung der Marktgängigkeit und Eignung für einen bestimmten Zweck. Die Microsoft Corporation oder ihre Lieferanten haften in keinem Fall für Schäden, einschließlich direkter, indirekter, zufälliger, Folgeschäden, Verlust von Geschäftsgewinnen oder besonderen Schäden, auch wenn die Microsoft Corporation oder ihre Lieferanten über die Möglichkeit solcher Schäden informiert wurden. Einige Staaten lassen den Ausschluss oder die Beschränkung der Haftung für Folge- oder Nebenschäden nicht zu, sodass die vorstehende Einschränkung möglicherweise nicht gilt.
Revisionen
- V1.0 (8. Dezember 2015): Bulletin veröffentlicht.
Seite generiert 2015-12-01 11:31-08:00.