Microsoft Security Bulletin MS16-040 – Kritisch

Sicherheitsupdate für Microsoft XML Core Services (3148541)

Veröffentlicht: 12. April 2016

Version: 1.0

Kurzfassung

Dieses Sicherheitsupdate behebt ein Sicherheitsrisiko in Microsoft Windows. Die Sicherheitsanfälligkeit kann Remotecodeausführung ermöglichen, wenn ein Benutzer auf einen speziell gestalteten Link klickt, der es einem Angreifer ermöglichen könnte, schädlichen Code remote auszuführen, um die Kontrolle über das System des Benutzers zu übernehmen. In allen Fällen hat ein Angreifer jedoch keine Möglichkeit, einen Benutzer zum Klicken auf einen speziell gestalteten Link zu zwingen. Ein Angreifer müsste einen Benutzer davon überzeugen, auf den Link zu klicken, in der Regel durch eine Verlockung in einer E-Mail oder Einer Instant Messenger-Nachricht.

Dieses Sicherheitsupdate wird für Microsoft XML Core Services 3.0 in allen unterstützten Versionen von Microsoft Windows als Kritisch eingestuft. Weitere Informationen finden Sie im Abschnitt Betroffene Software .

Das Update behebt die Sicherheitsanfälligkeit, indem korrigiert wird, wie der MSXML-Parser Benutzereingaben verarbeitet. Weitere Informationen zu der Sicherheitsanfälligkeit finden Sie im Abschnitt Informationen zu Sicherheitsrisiken .

Weitere Informationen zu diesem Update finden Sie im Microsoft Knowledge Base-Artikel 3148541.

Bewertungen des Schweregrads der betroffenen Software und der Sicherheitsrisiken

Die folgenden Softwareversionen oder Editionen sind betroffen. Versionen oder Editionen, die nicht aufgeführt sind, haben entweder ihren Supportlebenszyklus hinter sich oder sind nicht betroffen. Informationen zum Ermitteln des Supportlebenszyklus für Ihre Softwareversion oder Edition finden Sie unter Microsoft-Support Lifecycle.

Die folgenden Schweregradbewertungen gehen von der potenziellen maximalen Auswirkung der Sicherheitsanfälligkeit aus. Informationen zur Wahrscheinlichkeit der Ausnutzung des Sicherheitsrisikos in Bezug auf den Schweregrad und die Sicherheitsauswirkungen innerhalb von 30 Tagen nach Veröffentlichung dieses Security Bulletins finden Sie im Ausnutzungsindex im Bulletin Summary vom April.

 

Betriebssystem Komponente Sicherheitsanfälligkeit in MSXML 3.0 bezüglich Remotecodeausführung – CVE-2016-0147 Updates ersetzt
Windows Vista
Windows Vista Service Pack 2 Microsoft XML Core Services 3.0 (3146963) Kritisch Remotecodeausführung 3046482 in MS15-039
Windows Vista x64 Edition Service Pack 2 Microsoft XML Core Services 3.0 (3146963) Kritisch Remotecodeausführung 3046482 in MS15-039
Windows Server 2008
Windows Server 2008 für 32-Bit-Systeme Service Pack 2 Microsoft XML Core Services 3.0 (3146963) Kritisch Remotecodeausführung 3046482 in MS15-039
Windows Server 2008 für x64-basierte Systeme Service Pack 2 Microsoft XML Core Services 3.0 (3146963) Kritisch Remotecodeausführung 3046482 in MS15-039
Windows Server 2008 für Itanium-basierte Systeme Service Pack 2 Microsoft XML Core Services 3.0 (3146963) Kritisch Remotecodeausführung 3046482 in MS15-039
Windows 7
Windows 7 für 32-Bit-Systeme Service Pack 1 Microsoft XML Core Services 3.0 (3146963) Kritisch Remotecodeausführung 3046482 in MS15-039
Windows 7 für x64-basierte Systeme Service Pack 1 Microsoft XML Core Services 3.0 (3146963) Kritisch Remotecodeausführung 3046482 in MS15-039
Windows Server 2008 R2
Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1 Microsoft XML Core Services 3.0 (3146963) Kritisch Remotecodeausführung 3046482 in MS15-039
Windows Server 2008 R2 für Itanium-basierte Systeme Service Pack 1 Microsoft XML Core Services 3.0 (3146963) Kritisch Remotecodeausführung 3046482 in MS15-039
Windows 8.1
Windows 8.1 für 32-Bit-Systeme Microsoft XML Core Services 3.0 (3146963) Kritisch Remotecodeausführung 2993958 in MS14-067
Windows 8.1 für x64-basierte Systeme Microsoft XML Core Services 3.0 (3146963) Kritisch Remotecodeausführung 2993958 in MS14-067
Windows Server 2012 und Windows Server 2012 R2
Windows Server 2012 Microsoft XML Core Services 3.0 (3146963) Kritisch Remotecodeausführung 2993958 in MS14-067
Windows Server 2012 R2 Microsoft XML Core Services 3.0 (3146963) Kritisch Remotecodeausführung 2993958 in MS14-067
Windows RT 8.1
Windows RT 8.1[1] Microsoft XML Core Services 3.0 (3146963) Kritisch Remotecodeausführung 2993958 in MS14-067
Windows 10
Windows 10 für 32-Bit-Systeme[2]\ (3147461) Microsoft XML Core Services 3.0 Kritisch Remotecodeausführung 3140745
Windows 10 für x64-basierte Systeme[2]\ (3147461) Microsoft XML Core Services 3.0 Kritisch Remotecodeausführung 3140745
Windows 10 Version 1511 für 32-Bit-Systeme[2](3147458) Microsoft XML Core Services 3.0 Kritisch Remotecodeausführung 3140768
Windows 10 Version 1511 für x64-basierte Systeme[2](3147458) Microsoft XML Core Services 3.0 Kritisch Remotecodeausführung 3140768
Server Core-Installationsoption
Windows Server 2008 für 32-Bit-Systeme Service Pack 2 (Server Core-Installation) Microsoft XML Core Services 3.0 (3146963) Kritisch Remotecodeausführung 3046482 in MS15-039
Windows Server 2008 für x64-basierte Systeme Service Pack 2 (Server Core-Installation) Microsoft XML Core Services 3.0 (3146963) Kritisch Remotecodeausführung 3046482 in MS15-039
Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1 (Server Core-Installation) Microsoft XML Core Services 3.0 (3146963) Kritisch Remotecodeausführung 3046482 in MS15-039
Windows Server 2012 (Server Core-Installation) Microsoft XML Core Services 3.0 (3146963) Kritisch Remotecodeausführung 2993958 in MS14-067
Windows Server 2012 R2 (Server Core-Installation) Microsoft XML Core Services 3.0 (3146963) Kritisch Remotecodeausführung 2993958 in MS14-067

[1]Windows RT 8.1-Updates sind nur über Windows Update verfügbar.

[2]Windows 10 Updates sind kumulativ. Das monatliche Sicherheitsrelease enthält alle Sicherheitskorrekturen für Sicherheitsrisiken, die sich auf Windows 10 auswirken, zusätzlich zu nicht sicherheitsrelevanten Updates. Die Updates sind über den Microsoft Update-Katalog verfügbar.

Hinweis Windows Server 2016 Technical Preview 4 und Windows Server 2016 Technical Preview 5 betroffen sind. Kunden, die diese Betriebssysteme ausführen, werden empfohlen, das Update anzuwenden, das über Windows Update verfügbar ist.

Häufig gestellte Fragen zum Aktualisieren

Welche Version von Microsoft XML Core Services ist auf meinem System installiert?

Einige Versionen von Microsoft XML Core Services sind in Microsoft Windows enthalten; andere werden mit Nicht-Betriebssystemsoftware von Microsoft oder Drittanbietern installiert. Einige sind auch als separate Downloads verfügbar. Die folgende Tabelle zeigt, welche Versionen von Microsoft XML Core Services in Microsoft Windows enthalten sind und welche mit der Installation zusätzlicher Microsoft- oder Drittanbietersoftware installiert werden.

Betriebssystem MSXML 3.0
Windows Vista Im Lieferumfang des Betriebssystems
Windows Server 2008 Im Lieferumfang des Betriebssystems
Windows 7 Im Lieferumfang des Betriebssystems
Windows Server 2008 R2 Im Lieferumfang des Betriebssystems
Windows 8.1 Im Lieferumfang des Betriebssystems
Windows Server 2012 und Windows Server 2012 R2 Im Lieferumfang des Betriebssystems

Informationen zu Sicherheitsrisiken

Sicherheitsanfälligkeit in MSXML 3.0 bezüglich Remotecodeausführung – CVE-2016-0147

Wenn der MSXML-Parser (Microsoft XML Core Services) Benutzereingaben verarbeitet, liegt ein Sicherheitsrisiko bei der Remotecodeausführung vor. Ein Angreifer, der die Sicherheitsanfälligkeit erfolgreich ausnutzt, kann bösartigen Code remote ausführen, um die Kontrolle über das System des Benutzers zu übernehmen.

Um die Sicherheitsanfälligkeit auszunutzen, könnte ein Angreifer eine speziell gestaltete Website hosten, die darauf ausgelegt ist, MSXML über internetbasierte Explorer aufzurufen. Ein Angreifer hätte jedoch keine Möglichkeit, einen Benutzer zum Besuch einer solchen Website zu zwingen. Stattdessen müsste ein Angreifer in der Regel einen Benutzer dazu verleiten, entweder auf einen Link in einer E-Mail-Nachricht oder einen Link in einer Instant Messenger-Anforderung zu klicken, die den Benutzer dann zur Website bringt. Wenn internet Explorer den XML-Inhalt analysiert, kann ein Angreifer schädlichen Code remote ausführen, um die Kontrolle über das System des Benutzers zu übernehmen. Das Update behebt die Sicherheitsanfälligkeit, indem korrigiert wird, wie der MSXML-Parser Benutzereingaben verarbeitet.

Die folgende Tabelle enthält Links zum Standardeintrag für die einzelnen Sicherheitsrisiken in der Liste Allgemeiner Sicherheitsrisiken und Risiken:

Titel der Sicherheitslücke CVE-Nummer Öffentlich zugänglich gemacht Genutzt
Sicherheitsanfälligkeit in MSXML: Remotecodeausführung CVE-2016-0147 Nein Nein

Schadensbegrenzende Faktoren

Microsoft hat keine mildernden Faktoren für dieses Sicherheitsrisiko identifiziert.

Problemumgehungen

Microsoft hat keine Problemumgehungen für dieses Sicherheitsrisiko identifiziert.

Bereitstellung von Sicherheitsupdates

Informationen zur Bereitstellung von Sicherheitsupdates finden Sie im Microsoft Knowledge Base-Artikel, auf den in der Zusammenfassung verwiesen wird.

Danksagungen

Microsoft erkennt die Bemühungen von Personen in der Sicherheitscommunity an, die uns helfen, Kunden durch koordinierte Offenlegung von Sicherheitsrisiken zu schützen. Weitere Informationen finden Sie unter Bestätigungen .

Haftungsausschluss

Die in der Microsoft Knowledge Base bereitgestellten Informationen werden ohne Jegliche Gewährleistung "wie ben" bereitgestellt. Microsoft lehnt jegliche Gewährleistungen ab, sei es ausdrücklich oder stillschweigend, einschließlich der Gewährleistungen der Marktgängigkeit und Eignung für einen bestimmten Zweck. In keinem Fall haften Die Microsoft Corporation oder ihre Lieferanten für Schäden jeglicher Art, einschließlich direkter, indirekter, zufälliger, Folgeschäden, Verlust von Geschäftsgewinnen oder besonderen Schäden, auch wenn Microsoft Corporation oder ihre Lieferanten auf die Möglichkeit solcher Schäden hingewiesen wurden. Einige Staaten lassen den Ausschluss oder die Beschränkung der Haftung für Folge- oder Nebenschäden nicht zu, sodass die vorstehende Einschränkung möglicherweise nicht gilt.

Revisionen

  • V1.0 (12. April 2016): Bulletin veröffentlicht.

Seite generiert am 13.04.2016 um 09:29-07:00 Uhr.