Sicherheitsbulletin
Microsoft Security Bulletin MS13-078 – Wichtig
Sicherheitsrisiko in FrontPage kann die Offenlegung von Informationen ermöglichen (2825621)
Veröffentlicht: 10. September 2013
Version: 1.0
Allgemeine Informationen
Kurzfassung
Dieses Sicherheitsupdate behebt ein vertraulich gemeldetes Sicherheitsrisiko in Microsoft FrontPage. Die Sicherheitsanfälligkeit kann die Offenlegung von Informationen ermöglichen, wenn ein Benutzer ein speziell gestaltetes FrontPage-Dokument öffnet. Die Sicherheitsanfälligkeit kann nicht automatisch ausgenutzt werden. Damit ein Angriff erfolgreich ist, muss ein Benutzer davon überzeugt werden, das speziell gestaltete Dokument zu öffnen.
Dieses Sicherheitsupdate wird für alle unterstützten Editionen von Microsoft FrontPage 2003 als Wichtig eingestuft. Weitere Informationen finden Sie im Unterabschnitt Betroffene und nicht betroffene Software in diesem Abschnitt.
Das Sicherheitsupdate behebt die Sicherheitsanfälligkeit, indem sichergestellt wird, dass FrontPage DTD-Entitäten (Document Type Definition) ordnungsgemäß verarbeitet. Weitere Informationen zu der Sicherheitsanfälligkeit finden Sie im Unterabschnitt Häufig gestellte Fragen (FAQ) für den spezifischen Sicherheitsrisikoeintrag im nächsten Abschnitt Informationen zu Sicherheitsrisiken.
Empfehlung. Kunden können automatische Updates konfigurieren, um online nach Updates von Microsoft Update zu suchen, indem sie den Microsoft Update-Dienst verwenden. Kunden, die automatische Updates aktiviert und konfiguriert haben, um online nach Updates von Microsoft Update zu suchen, müssen in der Regel keine Maßnahmen ergreifen, da dieses Sicherheitsupdate automatisch heruntergeladen und installiert wird. Kunden, die die automatische Aktualisierung nicht aktiviert haben, müssen nach Updates von Microsoft Update suchen und dieses Update manuell installieren. Informationen zu bestimmten Konfigurationsoptionen bei automatischen Updates finden Sie im Microsoft Knowledge Base-Artikel 294871.
Für Administratoren und Unternehmensinstallationen oder Endbenutzer, die dieses Sicherheitsupdate manuell installieren möchten, empfiehlt Microsoft, dass Kunden das Update so früh wie möglich mithilfe der Updateverwaltungssoftware oder mithilfe des Microsoft Update-Diensts auf Updates anwenden.
Weitere Informationen finden Sie im Abschnitt Erkennungs- und Bereitstellungstools und Anleitungen weiter unten in diesem Bulletin.
Knowledge Base-Artikel
| Knowledge Base-Artikel | 2825621 |
|---|---|
| Dateiinformationen | Ja |
| SHA1/SHA2-Hashes | Ja |
| Bekannte Probleme | Keine |
Betroffene und nicht betroffene Software
Die folgende Software wurde getestet, um festzustellen, welche Versionen oder Editionen betroffen sind. Andere Versionen oder Editionen haben entweder ihren Supportlebenszyklus hinter sich oder sind nicht betroffen. Informationen zum Ermitteln des Supportlebenszyklus für Ihre Softwareversion oder Edition finden Sie unter Microsoft-Support Lifecycle.
Produktivitätssoftware
| Betroffene Software | Maximale Sicherheitsbeeinträchtigung | Bewertung des Aggregierten Schweregrads | Updates ersetzt |
|---|---|---|---|
| FrontPage 2003 | |||
| Microsoft FrontPage 2003 Service Pack 3 (2825621) | Veröffentlichung von Informationen | Wichtig | Keine |
Nicht betroffene Software
| Office und andere Software |
|---|
| Microsoft SharePoint Designer 2007 Service Pack 3 |
| Microsoft SharePoint Designer 2010 Service Pack 1 |
| Microsoft SharePoint Designer 2010 Service Pack 2 |
| Microsoft SharePoint Designer 2013 |
Häufig gestellte Fragen zum Aktualisieren
Ich verwende eine ältere Version der Software, die in diesem Sicherheitsbulletin beschrieben wird. Wie sollte ich vorgehen?
Die in diesem Bulletin aufgeführte betroffene Software wurde getestet, um festzustellen, welche Releases betroffen sind. Andere Releases haben ihren Supportlebenszyklus hinter sich. Weitere Informationen zum Produktlebenszyklus finden Sie auf der Microsoft-Support Lifecycle-Website.
Es sollte für Kunden mit älteren Versionen der Software prioritätshalber sein, zu unterstützten Releases zu migrieren, um eine potenzielle Gefährdung durch Sicherheitsrisiken zu verhindern. Informationen zum Ermitteln des Supportlebenszyklus für Ihr Softwarerelease finden Sie unter Auswählen eines Produkts für Lebenszyklusinformationen. Weitere Informationen zu Service Packs für diese Softwareversionen finden Sie unter Service Pack Lifecycle Support Policy.
Kunden, die benutzerdefinierten Support für ältere Software benötigen, müssen sich an ihren Microsoft-Kontomitarbeiter, ihren Technical Account Manager oder den entsprechenden Microsoft-Partnerbeauftragten wenden, um benutzerdefinierte Supportoptionen zu erhalten. Kunden ohne Einen Alliance-, Premier- oder autorisierten Vertrag können sich an ihr lokales Microsoft-Vertriebsbüro wenden. Kontaktinformationen finden Sie auf der Microsoft Worldwide Information-Website , wählen Sie das Land in der Liste Kontaktinformationen aus, und klicken Sie dann auf Gehe , um eine Liste der Telefonnummern anzuzeigen. Wenn Sie anrufen, bitten Sie, mit dem lokalen Premier Support-Vertriebsleiter zu sprechen. Weitere Informationen finden Sie in den häufig gestellten Fragen zu Microsoft-Support Lifecycle-Richtlinie.
Informationen zu Sicherheitsrisiken
Schweregradbewertungen und Sicherheitsrisikobezeichner
Die folgenden Schweregradbewertungen gehen von der potenziellen maximalen Auswirkung der Sicherheitsanfälligkeit aus. Informationen zur Wahrscheinlichkeit der Ausnutzung des Sicherheitsrisikos in Bezug auf den Schweregrad und die Sicherheitsauswirkungen innerhalb von 30 Tagen nach Veröffentlichung dieses Sicherheitsbulletins finden Sie im Ausnutzbarkeitsindex in der Zusammenfassung des Bulletins vom September. Weitere Informationen finden Sie unter Microsoft Exploitability Index.
| Betroffene Software | Sicherheitsanfälligkeit in XML-Offenlegung – CVE-2013-3137 | Bewertung des Aggregierten Schweregrads |
|---|---|---|
| FrontPage 2003 | ||
| Microsoft FrontPage 2003 Service Pack 3 | Wichtig Offenlegung von Informationen | Wichtig |
Sicherheitsanfälligkeit in XML-Offenlegung – CVE-2013-3137
In FrontPage besteht eine Sicherheitsanfälligkeit bezüglich der Offenlegung von Informationen, die es einem Angreifer ermöglichen könnte, den Inhalt einer Datei auf einem Zielsystem offenzulegen.
Informationen zum Anzeigen dieser Sicherheitsanfälligkeit als Standardeintrag in der Liste allgemeiner Sicherheitsanfälligkeiten finden Sie unter CVE-2013-3137.
Mildernde Faktoren
Entschärfung bezieht sich auf eine Einstellung, eine allgemeine Konfiguration oder eine allgemeine bewährte Methode, die im Standardzustand vorhanden ist und den Schweregrad der Ausnutzung einer Sicherheitsanfälligkeit verringern kann. Die folgenden mildernden Faktoren können in Ihrer Situation hilfreich sein:
- Die Sicherheitsanfälligkeit kann nicht automatisch per E-Mail ausgenutzt werden. Damit ein Angriff erfolgreich ist, muss ein Benutzer eine Anlage öffnen, die in einer E-Mail-Nachricht gesendet wird.
- In einem webbasierten Angriffsszenario kann ein Angreifer eine Website hosten, die eine Webseite enthält, die zum Ausnutzen der Sicherheitsanfälligkeit verwendet wird. Außerdem könnten kompromittierte Websites und Websites, die von Benutzern bereitgestellte Inhalte oder Werbung akzeptieren oder hosten, speziell gestaltete Inhalte enthalten, die die Sicherheitsanfälligkeit ausnutzen könnten. In allen Fällen hätte ein Angreifer jedoch keine Möglichkeit, Benutzer zu zwingen, diese Websites zu besuchen. Stattdessen müsste ein Angreifer Benutzer davon überzeugen, die Website zu besuchen, in der Regel, indem er sie dazu bringt, auf einen Link in einer E-Mail- oder Instant Messenger-Nachricht zu klicken, die Benutzer zur Website des Angreifers führt, und sie dann dazu bringen, eine speziell gestaltete FrontPage-Datei zu öffnen.
Problemumgehungen
Microsoft hat keine Problemumgehungen für dieses Sicherheitsrisiko identifiziert.
Häufig gestellte Fragen
Welchen Umfang hat die Sicherheitslücke?
Dies ist eine Sicherheitsanfälligkeit bei der Offenlegung von Informationen.
Was verursacht das Sicherheitsrisiko?
Die Sicherheitsanfälligkeit wird verursacht, wenn Microsoft FrontPage die DTD einer XML-Datei falsch analysiert.
WasistDTD?
DTD steht für Dokumenttypdefinition und ist ein Dateiformattyp, der in XML und anderen Markupsprachen verwendet wird, um das Markup zu identifizieren, das zum Formatieren eines Dokuments verwendet werden soll.
Wofür kann ein Angreifer die Sicherheitsanfälligkeit nutzen?
Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann den Inhalt einer lokalen Datei auf einem Zielsystem offenlegen.
Wie kann ein Angreifer die Sicherheitsanfälligkeit ausnutzen?
In einem Angriffsszenario könnte der Angreifer einen Benutzer davon überzeugen, ein speziell gestaltetes FrontPage-Dokument zu öffnen.
Welche Systeme sind durch die Sicherheitslücke in erster Linie gefährdet?
Alle Systeme, auf denen die betroffene Edition von FrontPage ausgeführt wird, sind von dieser Sicherheitsanfälligkeit betroffen.
Was macht das Update?
Das Update behebt die Sicherheitsanfälligkeit, indem sichergestellt wird, dass FrontPage DTD-Entitäten ordnungsgemäß verarbeitet.
Wurde dieses Sicherheitsrisiko zum Zeitpunkt der Veröffentlichung dieses Sicherheitsbulletins öffentlich gemacht?
Nein. Microsoft hat Informationen zu diesem Sicherheitsrisiko durch koordinierte Offenlegung von Sicherheitsrisiken erhalten.
Hat Microsoft bei der Ausgabe dieses Sicherheitsbulletins Berichte erhalten, dass diese Sicherheitsanfälligkeit ausgenutzt wurde?
Nein. Microsoft hatte keine Informationen erhalten, die darauf hindeuten, dass diese Sicherheitsanfälligkeit öffentlich für Angriffe auf Kunden verwendet wurde, als dieses Sicherheitsbulletin ursprünglich veröffentlicht wurde.
Informationen aktualisieren
Erkennungs- und Bereitstellungstools und Anleitungen
Es stehen mehrere Ressourcen zur Verfügung, die Administratoren beim Bereitstellen von Sicherheitsupdates unterstützen.
- Mit Microsoft Baseline Security Analyzer (MBSA) können Administratoren lokale und Remotesysteme auf fehlende Sicherheitsupdates und häufige Sicherheitsfehler überprüfen.
- Windows Server Update Services (WSUS), Systems Management Server (SMS) und System Center Configuration Manager Administratoren beim Verteilen von Sicherheitsupdates unterstützen.
- Die im Application Compatibility Toolkit enthaltenen Komponenten der Updatekompatibilitätsauswertung helfen bei der Optimierung des Tests und der Überprüfung von Windows-Updates für installierte Anwendungen.
Weitere Informationen zu diesen Tools und Anleitungen zum Bereitstellen von Sicherheitsupdates über Netzwerke hinweg finden Sie unter Sicherheitstools für IT-Experten.
Bereitstellung von Sicherheitsupdates
Betroffene Software
Wenn Sie Informationen zum spezifischen Sicherheitsupdate für Ihre betroffene Software erhalten möchten, klicken Sie auf den entsprechenden Link:
FrontPage 2003 (alle Editionen)
Referenztabelle
Die folgende Tabelle enthält die Sicherheitsupdateinformationen für diese Software.
| Name der Sicherheitsupdatedatei | office2003-kb2825621-fullfile-enu.exe |
|---|---|
| Installationsschalter | Siehe Microsoft Knowledge Base-Artikel 197147 |
| Erforderlicher Neustart | In einigen Fällen ist für dieses Update kein Neustart erforderlich. Wenn die erforderlichen Dateien verwendet werden, erfordert dieses Update einen Neustart. Wenn dieses Verhalten auftritt, wird eine Meldung angezeigt, in der Sie zum Neustart aufgefordert werden.\ \ Um die Wahrscheinlichkeiten zu verringern, dass ein Neustart erforderlich ist, beenden Sie alle betroffenen Dienste und schließen Sie alle Anwendungen, die die betroffenen Dateien möglicherweise vor der Installation des Sicherheitsupdates verwenden. Weitere Informationen zu den Gründen, aus dem Sie möglicherweise zum Neustart aufgefordert werden, finden Sie im Microsoft Knowledge Base-Artikel 887012. |
| Informationen zum Entfernen | Verwenden Sie das Element Software in Systemsteuerung.\ \ Hinweis Wenn Sie dieses Update entfernen, werden Sie möglicherweise aufgefordert, die Microsoft Office 2003-CD in das CD-Laufwerk einzulegen. Darüber hinaus haben Sie möglicherweise nicht die Möglichkeit, das Update über das Element Software in Systemsteuerung zu deinstallieren. Es gibt mehrere mögliche Ursachen für dieses Problem. Weitere Informationen zum Entfernen finden Sie im Microsoft Knowledge Base-Artikel 903771. |
| Dateiinformationen | Siehe Microsoft Knowledge Base-Artikel 2825621 |
| Überprüfung des Registrierungsschlüssels | Nicht verfügbar |
Sonstige Informationen
Danksagungen
Microsoft dankt ihnen für die Zusammenarbeit mit uns zum Schutz von Kunden:
- Timur Yunusov von Positive Technologies für den Hinweis auf die Sicherheitsanfälligkeit in XML-Offenlegung (CVE-2013-3137)
Microsoft Active Protections Program (MAPP)
Um den Sicherheitsschutz für Kunden zu verbessern, stellt Microsoft sicherheitsrelevante Informationen für wichtige Anbieter von Sicherheitssoftware vor jedem monatlichen Release von Sicherheitsupdates bereit. Sicherheitssoftwareanbieter können diese Sicherheitsrisikoinformationen dann verwenden, um Kunden über ihre Sicherheitssoftware oder Geräte aktualisierten Schutz bereitzustellen, z. B. Virenschutz, netzwerkbasierte Eindringerkennungssysteme oder hostbasierte Intrusion Prevention-Systeme. Um zu ermitteln, ob aktive Schutze von Sicherheitssoftwareanbietern verfügbar sind, navigieren Sie zu den aktiven Schutzwebsites, die von Programmpartnern bereitgestellt werden und unter Microsoft Active Protections Program (MAPP) Partner aufgeführt sind.
Support
So erhalten Sie Hilfe und Support für dieses Sicherheitsupdate
- Hilfe beim Installieren von Updates: Support für Microsoft Update
- Sicherheitslösungen für IT-Experten: TechNet Security Troubleshooting and Support
- Schützen Sie Ihren Computer, auf dem Windows ausgeführt wird, vor Viren und Schadsoftware: Virus Solution and Security Center
- Lokaler Support je nach Land: Internationaler Support
Haftungsausschluss
Die in der Microsoft Knowledge Base bereitgestellten Informationen werden ohne Jegliche Garantie "wie benährt" bereitgestellt. Microsoft lehnt alle ausdrücklichen oder impliziten Garantien ab, einschließlich der Gewährleistung der Marktgängigkeit und Eignung für einen bestimmten Zweck. Die Microsoft Corporation oder ihre Lieferanten haften in keinem Fall für Schäden, einschließlich direkter, indirekter, zufälliger, Folgeschäden, Verlust von Geschäftsgewinnen oder besonderen Schäden, auch wenn die Microsoft Corporation oder ihre Lieferanten über die Möglichkeit solcher Schäden informiert wurden. Einige Staaten lassen den Ausschluss oder die Beschränkung der Haftung für Folge- oder Nebenschäden nicht zu, sodass die vorstehende Einschränkung möglicherweise nicht gilt.
Revisionen
- V1.0 (10. September 2013): Bulletin veröffentlicht.
Gebaut am 2014-04-18T13:49:36Z-07:00