Microsoft-Sicherheitsbulletin MS16-079 – Hoch

Sicherheitsupdate für Microsoft Exchange Server (3160339)

Veröffentlicht: 14. Juni 2016

Version: 1.0

Kurzzusammenfassung

Dieses Sicherheitsupdate behebt Sicherheitsanfälligkeiten in Microsoft Exchange Server. Die schwerwiegendste dieser Sicherheitsanfälligkeiten kann zur Offenlegung von Informationen führen, wenn ein Angreifer eine speziell entworfene Bild-URL in einer Outlook Web Access-Nachricht sendet, die ohne Warnung oder Filter von der vom Angreifer kontrollierten URL geladen wird.

Dieses Sicherheitsupdate wird für alle unterstützten Editionen von Microsoft Exchange Server 2007, Microsoft Exchange Server 2010, Microsoft Exchange Server 2013 und Microsoft Exchange Server 2016 als „Hoch‟ eingestuft. Weitere Informationen finden Sie im Abschnitt Betroffene Software und Bewertungen des Schweregrads der Sicherheitsanfälligkeit.

Das Sicherheitsupdate behebt die Sicherheitsanfälligkeiten, indem korrigiert wird, wie Microsoft Exchange HTML-Nachrichten analysiert. Weitere Informationen zu diesen Sicherheitsanfälligkeiten finden Sie im Abschnitt Informationen zu Sicherheitsanfälligkeiten.

Weitere Informationen zu diesem Update finden Sie im Microsoft Knowledge Base-Artikel 3160339.

Betroffene Software und Bewertungen des Schweregrads der Sicherheitsanfälligkeit

Die folgenden Softwareversionen oder -editionen sind betroffen. Versionen oder Editionen, die nicht aufgeführt sind, haben entweder das Ende ihres Supportlebenszyklus überschritten oder sind nicht betroffen. Besuchen Sie die Website Microsoft Support Lifecycle, um den Supportlebenszyklus für Ihre Softwareversion oder -edition zu ermitteln.

Bei den Bewertungen des Schweregrads für die jeweils betroffene Software wird die potenzielle maximale Auswirkung der Sicherheitsanfälligkeit angenommen. Informationen zur Wahrscheinlichkeit der Ausnutzung der Sicherheitsanfälligkeit in Bezug auf die Bewertung des Schweregrads und die Sicherheitsauswirkung innerhalb von 30 Tagen nach Veröffentlichung dieses Sicherheitsbulletins finden Sie im Ausnutzbarkeitsindex im Bulletin Summary für Juni.

**Microsoft Server-Software** [**Sicherheitsanfälligkeit in Microsoft Exchange durch Offenlegung von Informationen – CVE-2016-0028**] (https://www.cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2016-0028) [**Sicherheitsanfälligkeit in Oracle Outside In-Bibliotheken durch Erhöhung von Berechtigungen: CVE-2015-6013 CVE-2015-6014 CVE-2015-6015**] (https://www.oracle.com/technetwork/topics/security/cpujan2016-2367955.html) **Ersetzte Updates**\*
**Microsoft Exchange Server 2007**
[Microsoft Exchange Server 2007 Service Pack 3](https://www.microsoft.com/download/details.aspx?familyid=96460a5b-8823-4e1a-9a6d-faccd320b6af) (3151086) Nicht anwendbar **Hoch**  Erhöhung von Berechtigungen 2996150 in [MS14-075](https://technet.microsoft.com/de-de/library/security/ms14-075)
**Microsoft Exchange Server 2010**
[Microsoft Exchange Server 2010 Service Pack 3](https://www.microsoft.com/download/details.aspx?familyid=270226a4-b37a-43ae-b31a-4b704c9680ac) (3151097) Nicht anwendbar **Hoch**  Erhöhung von Berechtigungen 2986475 in [MS14-075](https://technet.microsoft.com/de-de/library/security/ms14-075)
**Microsoft Exchange Server 2013**
[Microsoft Exchange Server 2013 Service Pack 1](https://www.microsoft.com/download/details.aspx?familyid=ee45c575-dba5-42dd-b60d-29b594deb7cf) (3150501) **Hoch**  Offenlegung von Informationen **Hoch**  Erhöhung von Berechtigungen 3124557 in [MS16-010](https://technet.microsoft.com/de-de/library/security/ms16-010)
[Microsoft Exchange Server 2013 Kumulatives Update 11](https://www.microsoft.com/download/details.aspx?familyid=b737f3a4-4884-4437-ace2-ca2916f92f4a) (3150501) **Hoch**  Offenlegung von Informationen **Hoch**  Erhöhung von Berechtigungen 3124557 in [MS16-010](https://technet.microsoft.com/de-de/library/security/ms16-010)
[Microsoft Exchange Server 2013 Kumulatives Update 12](https://www.microsoft.com/download/details.aspx?familyid=ef780360-98a9-4e40-9b7c-32ebfb2e5e7e) (3150501) **Hoch**  Offenlegung von Informationen **Hoch**  Erhöhung von Berechtigungen Keine
**Microsoft Exchange Server 2016**
[Microsoft Exchange Server 2016](https://www.microsoft.com/download/details.aspx?familyid=9dba26d3-2404-4f1c-a69a-a18b896a45a8) (3150501) **Hoch**  Offenlegung von Informationen **Hoch**  Erhöhung von Berechtigungen 3124557 in [MS16-010](https://technet.microsoft.com/de-de/library/security/ms16-010)
[Microsoft Exchange Server 2016 Kumulatives Update 1](https://www.microsoft.com/download/details.aspx?familyid=307d684c-21d8-4483-8f49-702b00ad36fa) (3150501) **Hoch**  Offenlegung von Informationen **Hoch**  Erhöhung von Berechtigungen Keine
\*Die Spalte „Ersetzte Updates‟ enthält nur das letzte Update einer beliebigen Reihe ersetzter Updates. Eine umfassende Liste der ersetzten Updates finden Sie, wenn Sie zum [Microsoft Update-Katalog](https://catalog.update.microsoft.com/v7/site/home.aspx) wechseln, nach der Update-KB-Nummer suchen und dann die Updatedetails betrachten (die Informationen zu ersetzten Updates befinden sich auf der Registerkarte „Paketdetails‟).

Häufig gestellte Fragen zum Update

Warum gibt Microsoft ein Sicherheitsupdate für Sicherheitsanfälligkeiten heraus, die in Drittanbietercode, den Oracle Outside In-Bibliotheken, vorliegen?
Microsoft lizenziert eine benutzerdefinierte Implementierung der Oracle Outside In-Bibliotheken für das Produkt, in dem der Drittanbietercode verwendet wird. Microsoft gibt dieses Sicherheitsupdate heraus, um sicherzustellen, dass alle Benutzer, die diesen Drittanbietercode in Microsoft Exchange verwenden, vor diesen Sicherheitsanfälligkeiten geschützt sind. Weitere Informationen zu diesen Sicherheitsanfälligkeiten finden Sie unter Oracle Critical Patch Update Advisory – January 2016.

Enthalten diese Updates zusätzliche sicherheitsrelevante Änderungen der Funktionalität?
Die in der Tabelle Betroffene Software und Bewertungen des Schweregrads der Sicherheitsanfälligkeit aufgelisteten Updates enthalten zusätzlich zu den Änderungen, die für die in diesem Bulletin beschriebene Sicherheitsanfälligkeit aufgeführt sind, Tiefenverteidigungsupdates zur Verbesserung sicherheitsrelevanter Funktionen.

Informationen zu Sicherheitsanfälligkeiten

Sicherheitsanfälligkeit in Microsoft Exchange durch Offenlegung von Informationen – CVE-2016-0028

Die Art und Weise, wie Microsoft Exchange HTML-Nachrichten analysiert, lässt die Umgehung des E-Mail-Filters zu, wodurch Informationen offen gelegt werden können. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann einen Benutzer identifizieren, einen Fingerabdruck des Benutzers erstellen und den Benutzer online verfolgen, wenn der Benutzer E-Mail-Nachrichten mit Outlook Web Access (OWA) anzeigt. Ein Angreifer könnte diese Sicherheitsanfälligkeit auch in Kombination mit einer anderen, z. B. eine Sicherheitsanfälligkeit für die Fälschung siteübergreifender Anforderungen (Cross-site Request Forgery, CSRF) ausnutzen, um Angriffe zu verschärfen.

Um die Sicherheitsanfälligkeit auszunutzen, könnte ein Angreifer speziell gestaltete Bild-URLs in OWA-Nachrichten aufnehmen, die von der vom Angreifer kontrollierten URL ohne Warnung oder Filterung geladen werden können. Diese Rückrufmethode stellt eine Taktik zur Offenlegung von Informationen bereit, die in Webbeacons und anderen Arten von Nachverfolgungssystem verwendet wird. Das Update korrigiert die Art und Weise, wie Exchange HTML-Nachrichten analysiert.

Die folgende Tabelle enthält Links zum Standardeintrag für jede Sicherheitsanfälligkeit in der Liste allgemeiner Sicherheitsanfälligkeiten:

Titel der Sicherheitsanfälligkeit CVE-Nummer Öffentlich gemeldet Ausgenutzt
Sicherheitsanfälligkeit in Microsoft Exchange durch Offenlegung von Information CVE-2016-0028 Nein Nein
### Schadensbegrenzende Faktoren Für diese Sicherheitsanfälligkeit gibt es noch keine [schadensbegrenzenden Faktoren](https://technet.microsoft.com/de-de/library/security/dn848375.aspx). ### Problemumgehungen Für diese Sicherheitsanfälligkeit gibt es noch keine [Problemumgehungen](https://technet.microsoft.com/de-de/library/security/dn848375.aspx). Sicherheitsanfälligkeit in Oracle Outside In-Bibliotheken durch Erhöhung von Berechtigungen ------------------------------------------------------------------------------------------- Dieses Sicherheitsupdate behebt die folgenden Sicherheitsanfälligkeiten, die in [Oracle Critical Patch Update Advisory - January 2016](https://www.oracle.com/technetwork/topics/security/cpujan2016-2367955.html) beschrieben sind: - CVE-2015-6013: Oracle Outside In 8.5.2 WK4-Stackpufferüberlauf - CVE-2015-6014: Oracle Outside In 8.5.2 DOC-Stackpufferüberlauf - CVE-2015-6015: Oracle OIT 8.5.2 Paradox DB-Stackpufferüberlauf Bereitstellung von Sicherheitsupdates  -------------------------------------- Informationen zur Bereitstellung von Sicherheitsupdates finden Sie im Microsoft Knowledge Base-Artikel, auf den [hier](#kbarticle) in der Kurzzusammenfassung verwiesen wird. Danksagung ---------- Microsoft würdigt die Bemühungen derjenigen Benutzer der Sicherheitscommunity, die uns dabei helfen, Kunden durch eine koordinierte Offenlegung von Sicherheitsanfälligkeiten zu schützen. Weitere Informationen finden Sie unter [Danksagung](https://technet.microsoft.com/de-de/library/security/mt674627.aspx).  Haftungsausschluss ------------------ Die Informationen in der Microsoft Knowledge Base werden wie besehen und ohne jede Gewährleistung bereitgestellt. Microsoft schließt alle anderen Garantien, gleichgültig, ob ausdrücklich oder konkludent, einschließlich der Garantien der Handelsüblichkeit oder Eignung für einen bestimmten Zweck aus. In keinem Fall kann die Microsoft Corporation und/oder deren jeweilige Lieferanten haftbar gemacht werden für Schäden irgendeiner Art, einschließlich direkter, indirekter, zufällig entstandener Schäden, Folgeschäden, Folgen entgangenen Gewinns oder spezieller Schäden, selbst dann nicht, wenn Microsoft Corporation und/oder deren jeweilige Lieferanten auf die mögliche Entstehung dieser Schäden hingewiesen wurde. Weil in einigen Staaten/Rechtsordnungen der Ausschluss oder die Beschränkung einer Haftung für zufällig entstandene Schäden oder Folgeschäden nicht gestattet ist, gilt die obige Einschränkung eventuell nicht für Sie. Revisionen ---------- - V1.0 (14. Juni 2016): Bulletin veröffentlicht. *Seite generiert am 08.06.2016 um 10:44:00-07:00.*