Microsoft-Sicherheitsbulletin MS16-056 – Kritisch

  • Artikel

Sicherheitsupdate für Windows Journal (3156761)

Veröffentlicht: 10. Mai 2016

Version: 1.0

Kurzzusammenfassung

Dieses Sicherheitsupdate behebt eine Sicherheitsanfälligkeit in Microsoft Windows. Die Sicherheitsanfälligkeit kann Remotecodeausführung ermöglichen, wenn ein Benutzer eine speziell entworfene Journaldatei öffnet. Benutzer mit Konten, die über weniger Systemrechte verfügen, sind davon möglicherweise weniger betroffen als Benutzer mit Administratorrechten.

Dieses Sicherheitsupdate wird für alle unterstützten Editionen von Windows Vista, Windows 7, Windows 8.1, Windows RT 8.1 und Windows 10 als „Kritisch‟ eingestuft. Weitere Informationen finden Sie im Abschnitt Betroffene Software.

Das Sicherheitsupdate behebt die Sicherheitsanfälligkeit, indem geändert wird, wie Windows Journal Journaldateien analysiert. Weitere Informationen zu dieser Sicherheitsanfälligkeit finden Sie im Abschnitt Informationen zu Sicherheitsanfälligkeiten.

Weitere Informationen zu diesem Update finden Sie im Microsoft Knowledge Base-Artikel 3156761.

Betroffene Software und Bewertungen des Schweregrads der Sicherheitsanfälligkeit

Die folgenden Softwareversionen oder -editionen sind betroffen. Versionen oder Editionen, die nicht aufgeführt sind, haben entweder das Ende ihres Supportlebenszyklus überschritten oder sind nicht betroffen. Besuchen Sie die Website Microsoft Support Lifecycle, um den Supportlebenszyklus für Ihre Softwareversion oder -edition zu ermitteln.

Bei den Bewertungen des Schweregrads für die jeweils betroffene Software wird die potenzielle maximale Auswirkung der Sicherheitsanfälligkeit angenommen. Informationen zur Wahrscheinlichkeit der Ausnutzung der Sicherheitsanfälligkeit in Bezug auf die Bewertung des Schweregrads und die Sicherheitsauswirkung innerhalb von 30 Tagen nach Veröffentlichung dieses Sicherheitsbulletins finden Sie im Ausnutzbarkeitsindex im Bulletin Summary für Mai.

**Betroffene Software** [**Sicherheitsanfälligkeit in Windows Journal durch Speicherbeschädigung – CVE-2016-0182**](https://www.cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2016-0182)

Ersetzte Updates*
**Windows Vista**
[Windows Vista Service Pack 2](https://www.microsoft.com/download/details.aspx?familyid=cdd0425e-7697-4c30-8805-8759a6f31733) (3155178) **Kritisch** Remotecodeausführung Keine
[Windows Vista x64 Edition Service Pack 2](https://www.microsoft.com/download/details.aspx?familyid=93d28098-0dc3-46ae-8041-48c2009d4f36) (3155178) **Kritisch** Remotecodeausführung Keine
**Windows 7**
[Windows 7 für 32-Bit-Systeme Service Pack 1](https://www.microsoft.com/download/details.aspx?familyid=04531128-2a38-4b9f-b63a-a368fc789f0a) (3155178) **Kritisch** Remotecodeausführung Keine
[Windows 7 für x64-basierte Systeme Service Pack 1](https://www.microsoft.com/download/details.aspx?familyid=44d46d9c-15be-4d89-9328-0c69eebe6eef) (3155178) **Kritisch** Remotecodeausführung Keine
**Windows 8.1**
[Windows 8.1 für 32-Bit-Systeme](https://www.microsoft.com/download/details.aspx?familyid=71f0cfd3-5f77-4f74-9659-ea14283f0845) (3155178) **Kritisch** Remotecodeausführung Keine
[Windows 8.1 für x64-basierte Systeme](https://www.microsoft.com/download/details.aspx?familyid=3cfe2d76-a1dc-4665-9404-4e240e54b0c5) (3155178) **Kritisch** Remotecodeausführung Keine
**Windows RT 8.1**
Windows RT 8.1[1] (3155178) **Kritisch** Remotecodeausführung Keine
**Windows 10**
[Windows 10 für 32-Bit-Systeme](https://support.microsoft.com/de-de/kb/3156387)[2] (3156387) **Kritisch** Remotecodeausführung [3147461](https://support.microsoft.com/de-de/kb/3147461)
[Windows 10 für x64-basierte Systeme](https://support.microsoft.com/de-de/kb/3156387)[2] (3156387) **Kritisch** Remotecodeausführung [3147461](https://support.microsoft.com/de-de/kb/3147461)
[Windows 10 Version 1511 für 32-Bit-Systeme](https://support.microsoft.com/de-de/kb/3156421)[2] (3156421) **Kritisch** Remotecodeausführung [3147458](https://support.microsoft.com/de-de/kb/3147458)
[Windows 10 Version 1511 für x64-basierte Systeme](https://support.microsoft.com/de-de/kb/3156421)[2] (3156421) **Kritisch** Remotecodeausführung [3147458](https://support.microsoft.com/de-de/kb/3147458)
[1]Windows RT 8.1-Updates sind nur über [Windows Update](https://update.microsoft.com/microsoftupdate/v6/vistadefault.aspx?ln=de-de) erhältlich.

[2]Windows 10-Updates sind kumulativ. Das monatliche Sicherheitsupdate enthält neben nicht sicherheitsrelevanten Updates alle Sicherheitsupdates für Sicherheitsanfälligkeiten, die Windows 10 betreffen. Die Updates sind über den Microsoft Update-Katalog verfügbar.

*Die Spalte „Ersetzte Updates‟ enthält nur das letzte Update einer beliebigen Reihe ersetzter Updates. Eine umfassende Liste der ersetzten Updates finden Sie, wenn Sie zum Microsoft Update-Katalog wechseln, nach der Update-KB-Nummer suchen und dann die Updatedetails betrachten (die Informationen zu ersetzten Updates befinden sich auf der Registerkarte „Paketdetails‟).

Informationen zu Sicherheitsanfälligkeiten

Sicherheitsanfälligkeit in Windows Journal durch Speicherbeschädigung – CVE-2016-0182

In Microsoft Windows liegt eine Sicherheitsanfälligkeit vor, die Remotecodeausführung ermöglicht, wenn eine speziell gestaltete Journaldatei in Windows Journal geöffnet wird. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann im Sicherheitskontext des aktuellen Benutzers beliebigen Code ausführen. Wenn ein Benutzer mit administrativen Benutzerrechten angemeldet ist, kann ein Angreifer Kontrolle über das betroffene System erlangen. Der Angreifer kann dann Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten mit sämtlichen Benutzerrechten erstellen. Benutzer mit Konten, die über weniger Systemrechte verfügen, sind davon möglicherweise weniger betroffen als Benutzer mit Administratorrechten.

Damit diese Sicherheitsanfälligkeit erfolgreich ausgenutzt werden kann, muss ein Benutzer eine speziell gestaltete Journaldatei mit einer betroffenen Version von Windows Journal öffnen. In einem E-Mail-Angriffsszenario kann ein Angreifer diese Sicherheitsanfälligkeit ausnutzen, indem er eine speziell entworfene Journaldatei an den Benutzer sendet und ihn dann dazu verleitet, die Datei zu öffnen. Das Sicherheitsupdate behebt die Sicherheitsanfälligkeit, indem geändert wird, wie Windows Journal Journaldateien analysiert.

Die folgende Tabelle enthält Links zum Standardeintrag für jede Sicherheitsanfälligkeit in der Liste allgemeiner Sicherheitsanfälligkeiten:

Titel der Sicherheitsanfälligkeit CVE-Nummer Öffentlich gemeldet Ausgenutzt
Sicherheitsanfälligkeit in Windows Journal durch Speicherbeschädigung CVE-2016-0182 Nein Nein
### Schadensbegrenzende Faktoren Für diese Sicherheitsanfälligkeit gibt es noch keine [schadensbegrenzenden Faktoren](https://technet.microsoft.com/de-de/library/security/dn848375.aspx). ### Problemumgehungen Die folgenden [Problemumgehungen](https://technet.microsoft.com/de-de/library/security/dn848375.aspx) könnten hilfreich für Sie sein: - **Keine verdächtigen Anlagen öffnen** Öffnen Sie keine Windows Journal-Dateien (JNT), die Sie von nicht vertrauenswürdigen Quellen oder unerwartet von vertrauenswürdigen Quellen erhalten. Diese Sicherheitsanfälligkeit kann ausgenutzt werden, wenn ein Benutzer eine speziell gestaltete Datei öffnet. Unter **WindowsVista** oder **Windows 7**: 1. Klicken Sie auf **Start**, auf **Control Panel** und dann auf**Programme**. 2. Klicken Sie auf **Windows-Funktionen aktivieren oder deaktivieren**. 3. Deaktivieren Sie das Kontrollkästchen **Tablet PC-Komponenten** (auf Windows Vista-Systemen **Optionale Tablet PC-Komponenten**). 4. Klicken Sie auf **OK**. **Auswirkung der Problemumgehung.** Die Benutzer können Windows Journal oder andere Tablet PC-Komponenten nicht mehr verwenden. **Hinweis** In Windows 8.1 ist kein Mechanismus zum Deaktivieren von Windows Journal verfügbar. **Rückgängigmachen der Problemumgehung**. 1. Klicken Sie auf **Start**, auf **Control Panel** und dann auf**Programme**. 2. Klicken Sie auf **Windows-Funktionen aktivieren oder deaktivieren**. 3. Aktivieren Sie das Kontrollkästchen **Tablet PC-Komponenten** (auf Windows Vista-Systemen **Optionale Tablet PC-Komponenten**). 4. Klicken Sie auf **OK**.   - **Entfernen der JNT-Dateitypzuordnung**  **Interaktive Methode:** **Hinweis** Eine fehlerhafte Verwendung des Registrierungs-Editors kann ernste Probleme verursachen, die eine erneute Installation des Betriebssystems erfordern können. Microsoft kann nicht gewährleisten, dass Probleme, die sich aus der fehlerhaften Verwendung des Registrierungs-Editors ergeben, behoben werden können. Sie verwenden den Registrierungs-Editor auf eigene Gefahr. Weitere Informationen zum Bearbeiten der Registrierung finden Sie im Hilfethema „Ändern von Schlüsseln und Werten“ im Registrierungs-Editor (Regedit.exe) oder in den Hilfethemen „Hinzufügen und Löschen von Informationen in der Registrierung“ und „Bearbeiten der Registrierungsdaten“ in Regedt32.exe. Gehen Sie wie folgt vor, um die JNT-Dateitypzuordnung unter Verwendung der interaktiven Methode zu entfernen: 1. Klicken Sie auf **Start** und auf **Ausführen**, geben Sie **regedit** ein, und klicken Sie auf **OK**. 2. Erweitern Sie **HKEY\_CLASSES\_ROOT**, klicken Sie auf **jntfile**, klicken Sie auf das Menü **Datei**, und wählen Sie dann **Exportieren**. 3. Geben Sie im Dialogfeld **Registrierungsdatei exportieren** den Dateinamen **jntfile HKCR file association registry backup.reg**, und klicken Sie auf **Speichern**. Dadurch wird im Ordner „Eigene Dateien“ standardmäßig eine Sicherheitskopie dieses Registrierungsschlüssels erstellt. 4. Drücken Sie auf der Tastatur die Taste **ENTF**, um den Registrierungsschlüssel zu löschen. Klicken Sie auf **Ja**, wenn Sie gefragt werden, ob der Schlüssel wirklich gelöscht werden soll. 5. Erweitern Sie **HKEY\_CURRENT\_USER**, dann **Software**, **Microsoft**, **Windows**, **CurrentVersion**, **Explorer** und schließlich **FileExts**. 6. Klicken Sie auf **.jnt** und anschließend auf das Menü **Datei**, und wählen Sie dann **Exportieren**. 7. Geben Sie im Dialogfeld **Registrierungsdatei exportieren** den Dateinamen **.jntHKCU file association registry backup.reg** ein, und klicken Sie dann auf **Speichern**. Dadurch wird im Ordner „Eigene Dateien“ standardmäßig eine Sicherheitskopie dieses Registrierungsschlüssels erstellt. 8. Drücken Sie auf der Tastatur die Taste **ENTF**, um den Registrierungsschlüssel zu löschen. Klicken Sie auf **Ja**, wenn Sie gefragt werden, ob der Schlüssel wirklich gelöscht werden soll. **Verwenden eines verwalteten Skripts:** **Hinweis** Eine fehlerhafte Verwendung des Registrierungs-Editors kann unter Umständen ernste Probleme verursachen, die eine erneute Installation des Betriebssystems erfordern können. Microsoft kann nicht gewährleisten, dass Probleme, die sich aus der fehlerhaften Verwendung des Registrierungs-Editors ergeben, behoben werden können. Sie verwenden den Registrierungs-Editor auf eigene Gefahr. Weitere Informationen zum Bearbeiten der Registrierung finden Sie im Hilfethema „Ändern von Schlüsseln und Werten“ im Registrierungs-Editor (Regedit.exe) oder in den Hilfethemen „Hinzufügen und Löschen von Informationen in der Registrierung“ und „Bearbeiten der Registrierungsdaten“ in Regedt32.exe. Gehen Sie wie folgt vor, um die JNT-Dateitypzuordnung mit einem interaktiven, verwalteten Skript zu entfernen: 1. Erstellen zunächst eine Sicherungskopie der Registrierungsschlüssel, indem Sie ein verwaltetes Bereitstellungsskript mit den folgenden Befehlen verwenden: ``` Regedit.exe /e jntfile_HKCR_registry_backup.reg HKEY_CLASSES_ROOT\jntfile Regedit.exe /e jnt_HKCU_registry_backup.reg HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.jnt ``` 2. Speichern Sie die folgenden Befehle in einer Datei mit der Erweiterung REG (z. B. Delete\_jnt\_file\_association.reg): ``` Windows Registrierungs-Editor Version 5.00 [-HKEY_CLASSES_ROOT\jntfile] [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.jnt] ``` 3. Führen Sie das in Schritt 2 erstellte Registrierungsskript mit folgendem Befehl auf dem Zielcomputer aus: 
    `
        Regedit.exe /s Delete_jnt_file_association.reg
    `

**Auswirkung der Problemumgehung.** „Journal.exe‟ wird nicht mehr durch Doppelklicken auf eine JNT-Datei gestartet.

**Rückgängigmachen der Problemumgehung:**

Stellen Sie den Registrierungsschlüssel wieder her, indem Sie mit dem Registrierungs-Editor die in den REG-Dateien gespeicherten Einstellungen wiederherstellen.

  • Entfernen von Windows Journal durch Deaktivieren der Windows-Funktion, durch die Windows Journal installiert wird

    Gehen Sie auf Windows Vista- und Windows 7-Systemen wie folgt vor:

    1. Klicken Sie auf Start, klicken Sie auf Systemsteuerung und anschließend auf Programme.
    2. Klicken Sie auf Windows-Funktionen aktivieren oder deaktivieren, und deaktivieren Sie dann das Kontrollkästchen für Optionale Tablet PC-Komponenten (Windows Vista-Systeme) oder Tablet PC-Komponenten (Windows 7-Systeme).
    3. Klicken Sie auf OK.

    Auswirkung der Problemumgehung. Windows Journal wird vom System entfernt.

    Rückgängigmachen der Problemumgehung:

    Gehen Sie wie folgt vor, um Windows Journal auf Systemen mit Windows Vista oder Windows 7 erneut zu installieren:

    1. Klicken Sie auf Start, klicken Sie auf Systemsteuerung und anschließend auf Programme.
    2. Klicken Sie auf Windows-Funktionen aktivieren oder deaktivieren, und aktivieren Sie dann das Kontrollkästchen für Optionale Tablet PC-Komponenten (Windows Vista-Systeme) oder Tablet PC-Komponenten (Windows 7-Systeme).
    3. Klicken Sie auf OK.

  • Verweigern des Zugriffs auf „Journal.exe‟

    Um den Zugriff auf „Journal.exe‟ zu verweigern, geben Sie die folgenden Befehle an einer Eingabeaufforderung mit Administratorrechten ein:

        > takeown.exe /f "%ProgramFiles%\Windows Journal\Journal.exe"  
    > icacls.exe "%ProgramFiles%\Windows Journal\Journal.exe" /deny everyone:(F)

    Auswirkung der Problemumgehung. Auf Windows Journal kann nicht mehr zugegriffen werden.

    Rückgängigmachen der Problemumgehung:

    Um den Zugriff auf „Journal.exe‟ wieder zu ermöglichen, geben Sie die folgenden Befehle an einer Eingabeaufforderung mit Administratorrechten ein:

        > icacls.exe "%ProgramFiles%\Windows Journal\Journal.exe" /remove:d everyone

Bereitstellung von Sicherheitsupdates

Informationen zur Bereitstellung von Sicherheitsupdates finden Sie im Microsoft Knowledge Base-Artikel, auf den hier in der Kurzzusammenfassung verwiesen wird.

Danksagung

Microsoft würdigt die Bemühungen derjenigen Benutzer der Sicherheitscommunity, die uns dabei helfen, Kunden durch eine koordinierte Offenlegung von Sicherheitsanfälligkeiten zu schützen. Weitere Informationen finden Sie unter Danksagung

Haftungsausschluss

Die Informationen in der Microsoft Knowledge Base werden wie besehen und ohne jede Gewährleistung bereitgestellt. Microsoft schließt alle anderen Garantien, gleichgültig, ob ausdrücklich oder konkludent, einschließlich der Garantien der Handelsüblichkeit oder Eignung für einen bestimmten Zweck aus. In keinem Fall kann die Microsoft Corporation und/oder deren jeweilige Lieferanten haftbar gemacht werden für Schäden irgendeiner Art, einschließlich direkter, indirekter, zufällig entstandener Schäden, Folgeschäden, Folgen entgangenen Gewinns oder spezieller Schäden, selbst dann nicht, wenn Microsoft Corporation und/oder deren jeweilige Lieferanten auf die mögliche Entstehung dieser Schäden hingewiesen wurde. Weil in einigen Staaten/Rechtsordnungen der Ausschluss oder die Beschränkung einer Haftung für zufällig entstandene Schäden oder Folgeschäden nicht gestattet ist, gilt die obige Einschränkung eventuell nicht für Sie.

Revisionen

  • V1.0 (10. Mai 2016): Bulletin veröffentlicht.

Seite generiert am 04.05.2016 um 12:01:00-07:00.