Microsoft Security Bulletin MS16-026 – Kritisch

Sicherheitsupdate für Grafikschriftarten zum Beheben der Remotecodeausführung (3143148)

Veröffentlicht: 8. März 2016

Version: 1.0

Kurzfassung

Dieses Sicherheitsupdate behebt Sicherheitsrisiken in Microsoft Windows. Die schwerwiegenderen Sicherheitsrisiken können die Remotecodeausführung ermöglichen, wenn ein Angreifer einen Benutzer entweder davon überzeugt, ein speziell gestaltetes Dokument zu öffnen, oder eine Webseite zu besuchen, die speziell gestaltete eingebettete OpenType-Schriftarten enthält.

Dieses Sicherheitsupdate wird für alle unterstützten Editionen von Windows als Kritisch eingestuft. Weitere Informationen finden Sie im Abschnitt Betroffene Software .

Das Sicherheitsupdate behebt die Sicherheitsrisiken, indem korrigiert wird, wie die Windows Adobe Type Manager-Bibliothek OpenType-Schriftarten verarbeitet.

Weitere Informationen zu der Sicherheitsanfälligkeit finden Sie im Abschnitt Informationen zu Sicherheitsrisiken .

Weitere Informationen zu diesem Update finden Sie im Microsoft Knowledge Base-Artikel 3143148.

Bewertungen des Schweregrads der betroffenen Software und der Sicherheitsrisiken

Die folgenden Softwareversionen oder Editionen sind betroffen. Versionen oder Editionen, die nicht aufgeführt sind, haben entweder ihren Supportlebenszyklus hinter sich oder sind nicht betroffen. Informationen zum Ermitteln des Supportlebenszyklus für Ihre Softwareversion oder Edition finden Sie unter Microsoft-Support Lifecycle.

Die für jede betroffene Software angegebenen Schweregradbewertungen gehen von der potenziellen maximalen Auswirkung der Sicherheitsanfälligkeit aus. Informationen zur Wahrscheinlichkeit der Ausnutzung des Sicherheitsrisikos in Bezug auf den Schweregrad und die Sicherheitsauswirkungen innerhalb von 30 Tagen nach Veröffentlichung dieses Security Bulletins finden Sie im Ausnutzungsindex in der Zusammenfassung des Bulletins vom März.

Betriebssystem Sicherheitsanfälligkeit bei der OpenType-Schriftanalyse – CVE-2016-0120 Sicherheitsanfälligkeit bei der OpenType-Schriftartanalyse – CVE-2016-0121 Updates ersetzt*
Windows Vista
Windows Vista Service Pack 2 (3140735) Moderate Denial-of-Service Kritisch Remotecodeausführung 3079904 in MS15-078
Windows Vista x64 Edition Service Pack 2 (3140735) Moderate Denial-of-Service Kritisch Remotecodeausführung 3079904 in MS15-078
Windows Server 2008
Windows Server 2008 für 32-Bit-Systeme Service Pack 2 (3140735) Moderate Denial-of-Service Kritisch Remotecodeausführung 3079904 in MS15-078
Windows Server 2008 für x64-basierte Systeme Service Pack 2 (3140735) Moderate Denial-of-Service Kritisch Remotecodeausführung 3079904 in MS15-078
Windows Server 2008 für Itanium-basierte Systeme Service Pack 2 (3140735) Moderate Denial-of-Service Kritisch Remotecodeausführung 3079904 in MS15-078
Windows 7
Windows 7 für 32-Bit-Systeme Service Pack 1 (3140735) Moderate Denial-of-Service Kritisch Remotecodeausführung 3079904 in MS15-078
Windows 7 für x64-basierte Systeme Service Pack 1 (3140735) Moderate Denial-of-Service Kritisch Remotecodeausführung 3079904 in MS15-078
Windows Server 2008 R2
Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1 (3140735) Moderate Denial-of-Service Kritisch Remotecodeausführung 3079904 in MS15-078
Windows Server 2008 R2 für Itanium-basierte Systeme Service Pack 1 (3140735) Moderate Denial-of-Service Kritisch Remotecodeausführung 3079904 in MS15-078
Windows 8.1
Windows 8.1 für 32-Bit-Systeme (3140735) Moderate Denial-of-Service Kritisch Remotecodeausführung 3079904 in MS15-078
Windows 8.1 für x64-basierte Systeme (3140735) Moderate Denial-of-Service Kritisch Remotecodeausführung 3079904 in MS15-078
Windows Server 2012 und Windows Server 2012 R2
Windows Server 2012 (3140735) Moderate Denial-of-Service Kritisch Remotecodeausführung Keine
Windows Server 2012 R2 (3140735) Moderate Denial-of-Service Kritisch Remotecodeausführung 3079904 in MS15-078
Windows RT 8.1
Windows RT 8.1[1](3140735) Moderate Denial-of-Service Kritisch Remotecodeausführung 3079904 in MS15-078
Windows 10
Windows 10 für 32-Bit-Systeme[2](3140745) Niedrig Denial-of-Service Kritisch Remotecodeausführung 3135174
Windows 10 für x64-basierte Systeme[2](3140745) Niedrig Denial-of-Service Kritisch Remotecodeausführung 3135174
Windows 10 Version 1511 für 32-Bit-Systeme[2](3140768) Niedrig Denial-of-Service Kritisch Remotecodeausführung 3140743
Windows 10 Version 1511 für x64-basierte Systeme[2](3140768) Niedrig Denial-of-Service Kritisch Remotecodeausführung 3140743
Server Core-Installationsoption
Windows Server 2008 für 32-Bit-Systeme Service Pack 2 (Server Core-Installation) (3140735) Moderate Denial-of-Service Kritisch Remotecodeausführung 3079904 in MS15-078
Windows Server 2008 für x64-basierte Systeme Service Pack 2 (Server Core-Installation ) (3140735) Moderate Denial-of-Service Kritisch Remotecodeausführung 3079904 in MS15-078
Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1 (Server Core-Installation ) (3140735) Moderate Denial-of-Service Kritisch Remotecodeausführung 3079904 in MS15-078
Windows Server 2012 (Server Core-Installation) (3140735) Moderate Denial-of-Service Kritisch Remotecodeausführung 3079904 in MS15-078
Windows Server 2012 R2 (Server Core-Installation) (3140735) Moderate Denial-of-Service Kritisch Remotecodeausführung 3079904 in MS15-078

[1]Dieses Update ist über Windows Update verfügbar.

[2]Windows 10 Updates sind kumulativ. Zusätzlich zu nicht sicherheitsrelevanten Updates enthalten sie auch alle Sicherheitsupdates für alle Windows 10 betroffenen Sicherheitsrisiken, die im monatlichen Sicherheitsrelease enthalten sind. Das Update ist über den Windows Update-Katalog verfügbar.

Beachten Sie Windows Server Technical Preview 4 betroffen ist. Kunden, die diese Betriebssysteme ausführen, werden aufgefordert, das Update anzuwenden, das über Windows Update verfügbar ist.

*Die Spalte Updates Ersetzt zeigt nur das neueste Update in einer Kette von ersetzten Updates an. Eine umfassende Liste der ersetzten Updates finden Sie im Microsoft Update-Katalog, suchen sie nach der Update-KB-Nummer, und zeigen Sie dann Updatedetails an (Informationen zu ersetzten Updates finden Sie auf der Registerkarte Paketdetails).

Informationen zu Sicherheitsrisiken

Sicherheitsanfälligkeit bei der OpenType-Schriftanalyse – CVE-2016-0120

In Microsoft Windows liegt ein Denial-of-Service-Sicherheitsrisiko vor, wenn die Windows Adobe Type Manager-Bibliothek speziell gestaltete OpenType-Schriftarten nicht ordnungsgemäß verarbeitet. Für alle Systeme mit Ausnahme Windows 10 kann ein Angreifer, der die Sicherheitsanfälligkeit erfolgreich ausnutzt, eine Denial-of-Service-Bedingung verursachen. Bei Systemen, auf denen Windows 10 ausgeführt wird, kann ein Angreifer, der die Sicherheitsanfälligkeit erfolgreich ausnutzt, dazu führen, dass die Anwendung nicht mehr reagiert, anstatt auf das System.

Es gibt mehrere Möglichkeiten, wie ein Angreifer die Sicherheitsanfälligkeit ausnutzen kann, z. B. indem er einen Benutzer dazu verredet, ein speziell gestaltetes Dokument zu öffnen, oder indem er einen Benutzer davon überzeugt, eine Webseite zu besuchen, die speziell gestaltete eingebettete OpenType-Schriftarten enthält. Das Update behebt die Sicherheitsanfälligkeit, indem korrigiert wird, wie die Windows Adobe Type Manager-Bibliothek OpenType-Schriftarten verarbeitet.

Die folgende Tabelle enthält Links zum Standardeintrag für die einzelnen Sicherheitsrisiken in der Liste Allgemeiner Sicherheitsrisiken:

Titel der Sicherheitslücke CVE-Nummer Öffentlich bekannt gemacht Genutzt
Sicherheitsanfälligkeit bei der OpenType-Schriftartanalyse CVE-2016-0120 Nein Nein

Mildernde Faktoren

Microsoft hat keine mildernden Faktoren für diese Sicherheitsanfälligkeit identifiziert.

Problemumgehungen

Weitere Informationen finden Sie im Abschnitt Problemumgehungen für OpenType-Font-Analyserisiken.

Sicherheitsanfälligkeit bei der OpenType-Schriftartanalyse – CVE-2016-0121

In Microsoft Windows liegt ein Sicherheitsrisiko für die Remotecodeausführung vor, wenn die Windows Adobe Type Manager-Bibliothek speziell gestaltete Schriftarten nicht ordnungsgemäß verarbeitet. Für alle Systeme mit Ausnahme Windows 10 kann ein Angreifer, der die Sicherheitsanfälligkeit erfolgreich ausnutzt, Code remote ausführen. Bei Systemen, auf denen Windows 10 ausgeführt wird, kann ein Angreifer, der die Sicherheitsanfälligkeit erfolgreich ausnutzt, Code in einem AppContainer-Sandboxkontext mit eingeschränkten Berechtigungen und Funktionen ausführen. Ein Angreifer könnte dann Programme installieren, Daten anzeigen, ändern, oder löschen oder neue Konten mit uneingeschränkten Benutzerrechten anlegen.

Es gibt mehrere Möglichkeiten, wie ein Angreifer die Sicherheitsanfälligkeit ausnutzen kann, z. B. indem er einen Benutzer dazu verredet, ein speziell gestaltetes Dokument zu öffnen, oder indem er einen Benutzer davon überzeugt, eine Webseite zu besuchen, die speziell gestaltete eingebettete OpenType-Schriftarten enthält. Das Update behebt die Sicherheitsanfälligkeit, indem korrigiert wird, wie die Windows Adobe Type Manager-Bibliothek OpenType-Schriftarten verarbeitet.

Die folgende Tabelle enthält Links zum Standardeintrag für die einzelnen Sicherheitsrisiken in der Liste Allgemeiner Sicherheitsrisiken:

Titel der Sicherheitslücke CVE-Nummer Öffentlich bekannt gemacht Genutzt
Sicherheitsanfälligkeit bei der OpenType-Schriftartanalyse CVE-2016-0121 Nein Nein

Mildernde Faktoren

Microsoft hat keine mildernden Faktoren für diese Sicherheitsanfälligkeit identifiziert.

Problemumgehungen

Weitere Informationen finden Sie im Abschnitt Problemumgehungen für OpenType-Font-Analyserisiken.

Problemumgehungen für Sicherheitsanfälligkeiten bei der OpenType-Schriftanalyse

  • Umbenennen ATMFD.DLL
    Für 32-Bit-Systeme:

    1. Geben Sie die folgenden Befehle an einer Administratoreingabeaufforderung ein:
        cd "%windir%\system32"
        takeown.exe /f atmfd.dll
        icacls.exe atmfd.dll /save atmfd.dll.acl
        icacls.exe atmfd.dll /grant Administrators:(F) 
        rename atmfd.dll x-atmfd.dll 
    
    1. Starten Sie das System neu.

    Für 64-Bit-Systeme:

    1. Geben Sie die folgenden Befehle an einer Administratoreingabeaufforderung ein:

          cd "%windir%\system32"  
          takeown.exe /f atmfd.dll  
          icacls.exe atmfd.dll /save atmfd.dll.acl  
          icacls.exe atmfd.dll /grant Administrators:(F)   
          rename atmfd.dll x-atmfd.dll  
          cd "%windir%\syswow64"  
          takeown.exe /f atmfd.dll  
          icacls.exe atmfd.dll /save atmfd.dll.acl  
          icacls.exe atmfd.dll /grant Administrators:(F)   
          rename atmfd.dll x-atmfd.dll
      
    2. Starten Sie das System neu.  

    Optionales Verfahren für Windows 8 und höhere Betriebssysteme (Deaktivieren von ATMFD):

    Hinweis Die falsche Verwendung des Registrierungs-Editors kann schwerwiegende Probleme verursachen, die möglicherweise eine Neuinstallation Des Betriebssystems erfordern. Microsoft übernimmt keinerlei Garantie dafür, dass Probleme aufgrund nicht ordnungsgemäßer Verwendung des Registrierungs-Editors behoben werden können. Sie verwenden den Registrierungs-Editor auf eigene Gefahr. Informationen zum Bearbeiten der Registrierung finden Sie im Hilfethema "Ändern von Schlüsseln und Werten" im Registrierungs-Editor (Regedit.exe) oder in den Hilfethemen "Informationen in der Registrierung hinzufügen und löschen" und "Registrierungsdaten bearbeiten" in Regedt32.exe.

    Methode 1 (manuelles Bearbeiten der Systemregistrierung):

    1. Führen Sie regedit.exe als Administrator aus.

    2. Navigieren Sie im Registrierungs-Editor zum folgenden Unterschlüssel (oder erstellen Sie ihn), und legen Sie seinen DWORD-Wert auf 1 fest:

      HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows\DisableATMFD, DWORD = 1

    3. Schließen Sie den Registrierungs-Editor, und starten Sie das System neu.

    Methode 2 (verwenden Eines verwalteten Bereitstellungsskripts):

    1. Erstellen Sie eine Textdatei mit dem Namen ATMFD-disable.reg , die den folgenden Text enthält:
    Windows Registry Editor Version 5.00  
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]  
    "DisableATMFD"=dword:00000001
    
    1. Führen Sie regedit.exe aus.
    2. Klicken Sie im Registrierungs-Editor auf das Menü Datei , und klicken Sie dann auf Importieren.
    3. Navigieren Sie zu der Datei ATMFD-disable.reg , die Sie im ersten Schritt erstellt haben, und wählen Sie sie aus.
      (Hinweis Wenn Ihre Datei nicht dort aufgeführt ist, wo Sie sie erwarten, stellen Sie sicher, dass sie nicht automatisch eine .txt Dateierweiterung erhalten hat, oder ändern Sie die Dateierweiterungsparameter des Dialogfelds in Alle Dateien).
    4. Klicken Sie auf Öffnen und dann auf OK , um den Registrierungs-Editor zu schließen.

    Auswirkungen der Problemumgehung. Anwendungen, die auf eingebetteten Schriftarten basieren, werden nicht ordnungsgemäß angezeigt. Das Deaktivieren ATMFD.DLL kann dazu führen, dass bestimmte Anwendungen nicht mehr ordnungsgemäß funktionieren, wenn sie OpenType-Schriftarten verwenden. Microsoft Windows veröffentlicht keine OpenType-Schriftarten nativ. Drittanbieteranwendungen könnten sie jedoch installieren, und sie könnten von dieser Änderung betroffen sein.

    Rückgängigmachen der Problemumgehung

    Für 32-Bit-Systeme:

    1. Geben Sie an einer Administratoreingabeaufforderung die folgenden Befehle ein:

      cd "%windir%\system32"  
      rename x-atmfd.dll atmfd.dll  
      icacls.exe atmfd.dll /setowner "NT SERVICE\TrustedInstaller"  
      icacls.exe . /restore atmfd.dll.acl
      
    2. Starten Sie das System neu.  

    Für 64-Bit-Systeme:

    1. Geben Sie an einer Administratoreingabeaufforderung die folgenden Befehle ein:

      cd "%windir%\system32"  
      rename x-atmfd.dll atmfd.dll  
      icacls.exe atmfd.dll /setowner "NT SERVICE\TrustedInstaller"  
      icacls.exe . /restore atmfd.dll.acl  
      cd "%windir%\syswow64"  
      rename x-atmfd.dll atmfd.dll  
      icacls.exe atmfd.dll /setowner "NT SERVICE\TrustedInstaller"  
      icacls.exe . /restore atmfd.dll.acl
      
    2. Starten Sie das System neu.

    Optionales Verfahren für Betriebssysteme unter Windows 8 und höher (ATMFD aktivieren):

    Hinweis Wenn Sie den Registrierungs-Editor falsch verwenden, kann dies zu schwerwiegenden Problemen führen, sodass Sie Ihr Betriebssystem möglicherweise neu installieren müssen. Microsoft übernimmt keinerlei Garantie dafür, dass Probleme aufgrund nicht ordnungsgemäßer Verwendung des Registrierungs-Editors behoben werden können. Sie verwenden den Registrierungs-Editor auf eigene Gefahr. Informationen zum Bearbeiten der Registrierung finden Sie im Hilfethema "Ändern von Schlüsseln und Werten" im Registrierungs-Editor (Regedit.exe) oder in den Hilfethemen "Informationen in der Registrierung hinzufügen und löschen" und "Registrierungsdaten bearbeiten" in Regedt32.exe.

    Methode 1 (manuelles Bearbeiten der Systemregistrierung):

    1. Führen Sie regedit.exe als Administrator aus.

    2. Navigieren Sie im Registrierungs-Editor zum folgenden Unterschlüssel, und legen Sie dessen DWORD-Wert auf 0 fest:

      HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows\DisableATMFD, DWORD = 0

    3. Schließen Sie den Registrierungs-Editor, und starten Sie das System neu.

    Methode 2 (Verwenden eines verwalteten Bereitstellungsskripts):

    1. Erstellen Sie eine Textdatei namens ATMFD-enable.reg , die den folgenden Text enthält:

      Windows Registry Editor Version 5.00  
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]  
      "DisableATMFD"=dword:00000000
      
    2. Führen Sie regedit.exe aus.

    3. Klicken Sie im Registrierungs-Editor auf das Menü Datei und dann auf Importieren.

    4. Navigieren Sie zu der Datei ATMFD-enable.reg , die Sie im ersten Schritt erstellt haben, und wählen Sie sie aus.
      (Hinweis Wenn Ihre Datei nicht dort aufgeführt ist, wo Sie sie erwarten, stellen Sie sicher, dass sie nicht automatisch eine .txt Dateierweiterung erhalten hat, oder ändern Sie die Dateierweiterungsparameter des Dialogfelds in Alle Dateien.

    5. Klicken Sie auf Öffnen und dann auf OK , um den Registrierungs-Editor zu schließen.  

    Methode 3 (Aktivieren und Verwenden der Funktion Blockieren von nicht vertrauenswürdigen Schriftarten)

    Hinweis Diese Problemumgehung gilt nur für Windows 10.

    So können Sie dieses Feature aktivieren bzw. deaktivieren oder im Überwachungsmodus verwenden

    1. Öffnen Sie den Registrierungs-Editor (regedit.exe), und wechseln Sie zu HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Kernel\.

    2. Wenn der Schlüssel MitigationOptions nicht vorhanden ist, klicken Sie mit der rechten Maustaste, und fügen Sie einen neuen QWORD-Wert (64-Bit) hinzu, und umbenennen Sie ihn in MitigationOptions.

    3. Aktualisieren Sie die Wertdaten des Schlüssels MitigationOptions , und stellen Sie sicher, dass Sie Ihren vorhandenen Wert beibehalten, z. B. im folgenden Wichtig-Hinweis:

    4. Feature aktivieren: Geben Sie 1000000000000 ein.

    5. Feature deaktivieren: Geben Sie 2000000000000 ein.

    6. Überwachungsmodus für dieses Feature aktivieren: Geben Sie 3000000000000 ein.

      Wichtig Speichern Sie ihre vorhandenen MitigationOptions-Werte während des Updates. Wenn der aktuelle Wert beispielsweise 1000 lautet, sollte der aktualisierte Wert 1000000001000 lauten.

    7. Starten Sie das System neu.

Bereitstellung von Sicherheitsupdates

Informationen zur Bereitstellung von Sicherheitsupdates finden Sie im Microsoft Knowledge Base-Artikel, auf den in der Zusammenfassung verwiesen wird.

Danksagungen

Microsoft erkennt die Bemühungen von Personen in der Sicherheitscommunity an, die uns helfen, Kunden durch koordinierte Offenlegung von Sicherheitsrisiken zu schützen. Weitere Informationen finden Sie unter Bestätigungen .

Haftungsausschluss

Die in der Microsoft Knowledge Base bereitgestellten Informationen werden ohne Jegliche Gewährleistung "wie ben" bereitgestellt. Microsoft lehnt jegliche Gewährleistungen ab, sei es ausdrücklich oder stillschweigend, einschließlich der Gewährleistungen der Marktgängigkeit und Eignung für einen bestimmten Zweck. In keinem Fall haften Die Microsoft Corporation oder ihre Lieferanten für Schäden jeglicher Art, einschließlich direkter, indirekter, zufälliger, Folgeschäden, Verlust von Geschäftsgewinnen oder besonderen Schäden, auch wenn Microsoft Corporation oder ihre Lieferanten auf die Möglichkeit solcher Schäden hingewiesen wurden. Einige Staaten lassen den Ausschluss oder die Beschränkung der Haftung für Folge- oder Nebenschäden nicht zu, sodass die vorstehende Einschränkung möglicherweise nicht gilt.

Revisionen

  • V1.0 (8. März 2016): Bulletin veröffentlicht.

Seite generiert am 09.03.2016 um 10:39-08:00 Uhr.