Microsoft-Sicherheitsbulletin MS16-056 – Kritisch
Sicherheitsupdate für Windows Journal (3156761)
Veröffentlicht: 10. Mai 2016
Version: 1.0
Kurzzusammenfassung
Dieses Sicherheitsupdate behebt eine Sicherheitsanfälligkeit in Microsoft Windows. Die Sicherheitsanfälligkeit kann Remotecodeausführung ermöglichen, wenn ein Benutzer eine speziell entworfene Journaldatei öffnet. Benutzer mit Konten, die über weniger Systemrechte verfügen, sind davon möglicherweise weniger betroffen als Benutzer mit Administratorrechten.
Dieses Sicherheitsupdate wird für alle unterstützten Editionen von Windows Vista, Windows 7, Windows 8.1, Windows RT 8.1 und Windows 10 als „Kritisch‟ eingestuft. Weitere Informationen finden Sie im Abschnitt Betroffene Software.
Das Sicherheitsupdate behebt die Sicherheitsanfälligkeit, indem geändert wird, wie Windows Journal Journaldateien analysiert. Weitere Informationen zu dieser Sicherheitsanfälligkeit finden Sie im Abschnitt Informationen zu Sicherheitsanfälligkeiten.
Weitere Informationen zu diesem Update finden Sie im Microsoft Knowledge Base-Artikel 3156761.
Betroffene Software und Bewertungen des Schweregrads der Sicherheitsanfälligkeit
Die folgenden Softwareversionen oder -editionen sind betroffen. Versionen oder Editionen, die nicht aufgeführt sind, haben entweder das Ende ihres Supportlebenszyklus überschritten oder sind nicht betroffen. Besuchen Sie die Website Microsoft Support Lifecycle, um den Supportlebenszyklus für Ihre Softwareversion oder -edition zu ermitteln.
Bei den Bewertungen des Schweregrads für die jeweils betroffene Software wird die potenzielle maximale Auswirkung der Sicherheitsanfälligkeit angenommen. Informationen zur Wahrscheinlichkeit der Ausnutzung der Sicherheitsanfälligkeit in Bezug auf die Bewertung des Schweregrads und die Sicherheitsauswirkung innerhalb von 30 Tagen nach Veröffentlichung dieses Sicherheitsbulletins finden Sie im Ausnutzbarkeitsindex im Bulletin Summary für Mai.
**Betroffene Software** | [**Sicherheitsanfälligkeit in Windows Journal durch Speicherbeschädigung – CVE-2016-0182**](https://www.cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2016-0182) |
Ersetzte Updates* |
**Windows Vista** | ||
[Windows Vista Service Pack 2](https://www.microsoft.com/download/details.aspx?familyid=cdd0425e-7697-4c30-8805-8759a6f31733) (3155178) | **Kritisch** Remotecodeausführung | Keine |
[Windows Vista x64 Edition Service Pack 2](https://www.microsoft.com/download/details.aspx?familyid=93d28098-0dc3-46ae-8041-48c2009d4f36) (3155178) | **Kritisch** Remotecodeausführung | Keine |
**Windows 7** | ||
[Windows 7 für 32-Bit-Systeme Service Pack 1](https://www.microsoft.com/download/details.aspx?familyid=04531128-2a38-4b9f-b63a-a368fc789f0a) (3155178) | **Kritisch** Remotecodeausführung | Keine |
[Windows 7 für x64-basierte Systeme Service Pack 1](https://www.microsoft.com/download/details.aspx?familyid=44d46d9c-15be-4d89-9328-0c69eebe6eef) (3155178) | **Kritisch** Remotecodeausführung | Keine |
**Windows 8.1** | ||
[Windows 8.1 für 32-Bit-Systeme](https://www.microsoft.com/download/details.aspx?familyid=71f0cfd3-5f77-4f74-9659-ea14283f0845) (3155178) | **Kritisch** Remotecodeausführung | Keine |
[Windows 8.1 für x64-basierte Systeme](https://www.microsoft.com/download/details.aspx?familyid=3cfe2d76-a1dc-4665-9404-4e240e54b0c5) (3155178) | **Kritisch** Remotecodeausführung | Keine |
**Windows RT 8.1** | ||
Windows RT 8.1[1] (3155178) | **Kritisch** Remotecodeausführung | Keine |
**Windows 10** | ||
[Windows 10 für 32-Bit-Systeme](https://support.microsoft.com/de-de/kb/3156387)[2] (3156387) | **Kritisch** Remotecodeausführung | [3147461](https://support.microsoft.com/de-de/kb/3147461) |
[Windows 10 für x64-basierte Systeme](https://support.microsoft.com/de-de/kb/3156387)[2] (3156387) | **Kritisch** Remotecodeausführung | [3147461](https://support.microsoft.com/de-de/kb/3147461) |
[Windows 10 Version 1511 für 32-Bit-Systeme](https://support.microsoft.com/de-de/kb/3156421)[2] (3156421) | **Kritisch** Remotecodeausführung | [3147458](https://support.microsoft.com/de-de/kb/3147458) |
[Windows 10 Version 1511 für x64-basierte Systeme](https://support.microsoft.com/de-de/kb/3156421)[2] (3156421) | **Kritisch** Remotecodeausführung | [3147458](https://support.microsoft.com/de-de/kb/3147458) |
[2]Windows 10-Updates sind kumulativ. Das monatliche Sicherheitsupdate enthält neben nicht sicherheitsrelevanten Updates alle Sicherheitsupdates für Sicherheitsanfälligkeiten, die Windows 10 betreffen. Die Updates sind über den Microsoft Update-Katalog verfügbar.
*Die Spalte „Ersetzte Updates‟ enthält nur das letzte Update einer beliebigen Reihe ersetzter Updates. Eine umfassende Liste der ersetzten Updates finden Sie, wenn Sie zum Microsoft Update-Katalog wechseln, nach der Update-KB-Nummer suchen und dann die Updatedetails betrachten (die Informationen zu ersetzten Updates befinden sich auf der Registerkarte „Paketdetails‟).
Informationen zu Sicherheitsanfälligkeiten
Sicherheitsanfälligkeit in Windows Journal durch Speicherbeschädigung – CVE-2016-0182
In Microsoft Windows liegt eine Sicherheitsanfälligkeit vor, die Remotecodeausführung ermöglicht, wenn eine speziell gestaltete Journaldatei in Windows Journal geöffnet wird. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann im Sicherheitskontext des aktuellen Benutzers beliebigen Code ausführen. Wenn ein Benutzer mit administrativen Benutzerrechten angemeldet ist, kann ein Angreifer Kontrolle über das betroffene System erlangen. Der Angreifer kann dann Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten mit sämtlichen Benutzerrechten erstellen. Benutzer mit Konten, die über weniger Systemrechte verfügen, sind davon möglicherweise weniger betroffen als Benutzer mit Administratorrechten.
Damit diese Sicherheitsanfälligkeit erfolgreich ausgenutzt werden kann, muss ein Benutzer eine speziell gestaltete Journaldatei mit einer betroffenen Version von Windows Journal öffnen. In einem E-Mail-Angriffsszenario kann ein Angreifer diese Sicherheitsanfälligkeit ausnutzen, indem er eine speziell entworfene Journaldatei an den Benutzer sendet und ihn dann dazu verleitet, die Datei zu öffnen. Das Sicherheitsupdate behebt die Sicherheitsanfälligkeit, indem geändert wird, wie Windows Journal Journaldateien analysiert.
Die folgende Tabelle enthält Links zum Standardeintrag für jede Sicherheitsanfälligkeit in der Liste allgemeiner Sicherheitsanfälligkeiten:
Titel der Sicherheitsanfälligkeit | CVE-Nummer | Öffentlich gemeldet | Ausgenutzt |
Sicherheitsanfälligkeit in Windows Journal durch Speicherbeschädigung | CVE-2016-0182 | Nein | Nein |
`
Regedit.exe /s Delete_jnt_file_association.reg
`
**Auswirkung der Problemumgehung.** „Journal.exe‟ wird nicht mehr durch Doppelklicken auf eine JNT-Datei gestartet.
**Rückgängigmachen der Problemumgehung:**
Stellen Sie den Registrierungsschlüssel wieder her, indem Sie mit dem Registrierungs-Editor die in den REG-Dateien gespeicherten Einstellungen wiederherstellen.
Entfernen von Windows Journal durch Deaktivieren der Windows-Funktion, durch die Windows Journal installiert wird
Gehen Sie auf Windows Vista- und Windows 7-Systemen wie folgt vor:
- Klicken Sie auf Start, klicken Sie auf Systemsteuerung und anschließend auf Programme.
- Klicken Sie auf Windows-Funktionen aktivieren oder deaktivieren, und deaktivieren Sie dann das Kontrollkästchen für Optionale Tablet PC-Komponenten (Windows Vista-Systeme) oder Tablet PC-Komponenten (Windows 7-Systeme).
- Klicken Sie auf OK.
Auswirkung der Problemumgehung. Windows Journal wird vom System entfernt.
Rückgängigmachen der Problemumgehung:
Gehen Sie wie folgt vor, um Windows Journal auf Systemen mit Windows Vista oder Windows 7 erneut zu installieren:
- Klicken Sie auf Start, klicken Sie auf Systemsteuerung und anschließend auf Programme.
- Klicken Sie auf Windows-Funktionen aktivieren oder deaktivieren, und aktivieren Sie dann das Kontrollkästchen für Optionale Tablet PC-Komponenten (Windows Vista-Systeme) oder Tablet PC-Komponenten (Windows 7-Systeme).
- Klicken Sie auf OK.
Verweigern des Zugriffs auf „Journal.exe‟
Um den Zugriff auf „Journal.exe‟ zu verweigern, geben Sie die folgenden Befehle an einer Eingabeaufforderung mit Administratorrechten ein:
> takeown.exe /f "%ProgramFiles%\Windows Journal\Journal.exe" > icacls.exe "%ProgramFiles%\Windows Journal\Journal.exe" /deny everyone:(F)
Auswirkung der Problemumgehung. Auf Windows Journal kann nicht mehr zugegriffen werden.
Rückgängigmachen der Problemumgehung:
Um den Zugriff auf „Journal.exe‟ wieder zu ermöglichen, geben Sie die folgenden Befehle an einer Eingabeaufforderung mit Administratorrechten ein:
> icacls.exe "%ProgramFiles%\Windows Journal\Journal.exe" /remove:d everyone
Bereitstellung von Sicherheitsupdates
Informationen zur Bereitstellung von Sicherheitsupdates finden Sie im Microsoft Knowledge Base-Artikel, auf den hier in der Kurzzusammenfassung verwiesen wird.
Danksagung
Microsoft würdigt die Bemühungen derjenigen Benutzer der Sicherheitscommunity, die uns dabei helfen, Kunden durch eine koordinierte Offenlegung von Sicherheitsanfälligkeiten zu schützen. Weitere Informationen finden Sie unter Danksagung.
Haftungsausschluss
Die Informationen in der Microsoft Knowledge Base werden wie besehen und ohne jede Gewährleistung bereitgestellt. Microsoft schließt alle anderen Garantien, gleichgültig, ob ausdrücklich oder konkludent, einschließlich der Garantien der Handelsüblichkeit oder Eignung für einen bestimmten Zweck aus. In keinem Fall kann die Microsoft Corporation und/oder deren jeweilige Lieferanten haftbar gemacht werden für Schäden irgendeiner Art, einschließlich direkter, indirekter, zufällig entstandener Schäden, Folgeschäden, Folgen entgangenen Gewinns oder spezieller Schäden, selbst dann nicht, wenn Microsoft Corporation und/oder deren jeweilige Lieferanten auf die mögliche Entstehung dieser Schäden hingewiesen wurde. Weil in einigen Staaten/Rechtsordnungen der Ausschluss oder die Beschränkung einer Haftung für zufällig entstandene Schäden oder Folgeschäden nicht gestattet ist, gilt die obige Einschränkung eventuell nicht für Sie.
Revisionen
- V1.0 (10. Mai 2016): Bulletin veröffentlicht.
Seite generiert am 04.05.2016 um 12:01:00-07:00.