Microsoft Security Bulletin MS14-064 – Kritisch
Sicherheitsanfälligkeiten in Windows OLE können Remotecodeausführung ermöglichen (3011443)
Veröffentlicht: 11. November 2014
Version: 1.0
Kurzfassung
Dieses Sicherheitsupdate behebt zwei vertraulich gemeldete Sicherheitsanfälligkeiten in Microsoft Windows Object Linking and Embedding (OLE). Die schwerwiegenderen dieser Sicherheitsanfälligkeiten können Remotecodeausführung ermöglichen, wenn ein Benutzer eine speziell gestaltete Webseite mit Internet Explorer anzeigt. Ein Angreifer, der diese Sicherheitsanfälligkeiten erfolgreich ausnutzt, kann beliebigen Code im Kontext des aktuellen Benutzers ausführen. Wenn der aktuelle Benutzer mit administrativen Benutzerrechten angemeldet ist, kann ein Angreifer Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten mit sämtlichen Benutzerrechten erstellen. Benutzer mit Konten, die über weniger Systemrechte verfügen, sind davon möglicherweise weniger betroffen als Benutzer mit Administratorrechten.
Dieses Sicherheitsupdate wird für alle unterstützten Editionen von Microsoft Windows als „Kritisch“ eingestuft. Weitere Informationen finden Sie im Abschnitt Betroffene Software.
Das Sicherheitsupdate behebt die Sicherheitsanfälligkeiten, indem geändert wird, wie die betroffenen Betriebssysteme die Verwendung des Speichers überprüfen, wenn auf OLE-Objekte zugegriffen wird. Zudem wird geändert, wie Internet Explorer die Objekte im Speicher verarbeitet. Weitere Informationen zu den Sicherheitsanfälligkeiten finden Sie im Unterabschnitt Häufig gestellte Fragen (FAQs) für die bestimmte Sicherheitsanfälligkeit.
Mit diesem Sicherheitsupdate wird auch die Sicherheitsanfälligkeit behoben, die erstmals in der Microsoft-Sicherheitsempfehlung 3010060 beschrieben wurde.
Weitere Informationen zu diesem Dokument finden Sie im Microsoft Knowledge Base-Artikel 3011443.
Betroffene Software
Die folgenden Softwareversionen oder -Editionen sind betroffen. Versionen oder Editionen, die nicht aufgeführt sind, haben entweder das Ende ihres Supportlebenszyklus überschritten oder sind nicht betroffen. Besuchen Sie die Website Microsoft Support Lifecycle, um den Supportlebenszyklus für Ihre Softwareversion oder Edition zu ermitteln.
| **Betriebssystem** | **Maximale Sicherheitsauswirkung** | **Bewertung des Gesamtschweregrads** | **Ersetzte Updates** | ||
| **Windows Server 2003** | |||||
| [Windows Server 2003 Service Pack 2](https://www.microsoft.com/de-de/download/details.aspx?id=44754) (3006226) | Remotecodeausführung | Kritisch | 2476490 in [MS11-038](https://technet.microsoft.com/de-de/library/security/ms11-038) | ||
| [Windows Server 2003 x64 Edition Service Pack 2](https://www.microsoft.com/de-de/download/details.aspx?id=44745) (3006226) | Remotecodeausführung | Kritisch | 2476490 in [MS11-038](https://technet.microsoft.com/de-de/library/security/ms11-038) | ||
| [Windows Server 2003 mit SP2 für Itanium-basierte Systeme](https://www.microsoft.com/de-de/download/details.aspx?id=44739) (3006226) | Remotecodeausführung | Kritisch | 2476490 in [MS11-038](https://technet.microsoft.com/de-de/library/security/ms11-038) | ||
| **Windows Vista** | |||||
| [Windows Vista Service Pack 2](https://www.microsoft.com/de-de/download/details.aspx?id=44736) (3006226) | Remotecodeausführung | Kritisch | 2476490 in [MS11-038](https://technet.microsoft.com/de-de/library/security/ms11-038) | ||
| [Windows Vista Service Pack 2](https://www.microsoft.com/de-de/download/details.aspx?id=44867) (3010788) | Remotecodeausführung | Hoch | 3000869 in [MS14-060](https://technet.microsoft.com/de-de/library/security/ms14-060) | ||
| [Windows Vista x64 Edition Service Pack 2](https://www.microsoft.com/de-de/download/details.aspx?id=44743) (3006226) | Remotecodeausführung | Kritisch | 2476490 in [MS11-038](https://technet.microsoft.com/de-de/library/security/ms11-038) | ||
| [Windows Vista x64 Edition Service Pack 2](https://www.microsoft.com/de-de/download/details.aspx?id=44900) (3010788) | Remotecodeausführung | Hoch | 3000869 in [MS14-060](https://technet.microsoft.com/de-de/library/security/ms14-060) | ||
| **Windows Server 2008** | |||||
| [Windows Server 2008 für 32-Bit-Systeme Service Pack 2](https://www.microsoft.com/de-de/download/details.aspx?id=44752) (3006226) | Remotecodeausführung | Kritisch | 2476490 in [MS11-038](https://technet.microsoft.com/de-de/library/security/ms11-038) | ||
| [Windows Server 2008 für 32-Bit-Systeme Service Pack 2](https://www.microsoft.com/de-de/download/details.aspx?id=44887) (3010788) | Remotecodeausführung | Hoch | 3000869 in [MS14-060](https://technet.microsoft.com/de-de/library/security/ms14-060) | ||
| [Windows Server 2008 für x64-basierte Systeme Service Pack 2](https://www.microsoft.com/de-de/download/details.aspx?id=44719) (3006226) | Remotecodeausführung | Kritisch | 2476490 in [MS11-038](https://technet.microsoft.com/de-de/library/security/ms11-038) | ||
| [Windows Server 2008 für x64-basierte Systeme Service Pack 2](https://www.microsoft.com/de-de/download/details.aspx?id=44885) (3010788) | Remotecodeausführung | Hoch | 3000869 in [MS14-060](https://technet.microsoft.com/de-de/library/security/ms14-060) | ||
| [Windows Server 2008 für Itanium-basierte Systeme Service Pack 2](https://www.microsoft.com/de-de/download/details.aspx?id=44763) (3006226) | Remotecodeausführung | Kritisch | 2476490 in [MS11-038](https://technet.microsoft.com/de-de/library/security/ms11-038) | ||
| [Windows Server 2008 für Itanium-basierte Systeme Service Pack 2](https://www.microsoft.com/de-de/download/details.aspx?id=44901) (3010788) | Remotecodeausführung | Hoch | 3000869 in [MS14-060](https://technet.microsoft.com/de-de/library/security/ms14-060) | ||
| **Windows 7** | |||||
| [Windows 7 Service Pack 1 für 32-Bit-Systeme](https://www.microsoft.com/de-de/download/details.aspx?id=44758) (3006226) | Remotecodeausführung | Kritisch | 2476490 in [MS11-038](https://technet.microsoft.com/de-de/library/security/ms11-038) | ||
| [Windows 7 Service Pack 1 für 32-Bit-Systeme](https://www.microsoft.com/de-de/download/details.aspx?id=44886) (3010788) | Remotecodeausführung | Hoch | 3000869 in [MS14-060](https://technet.microsoft.com/de-de/library/security/ms14-060) | ||
| [Windows 7 Service Pack 1 für x64-basierte Systeme](https://www.microsoft.com/de-de/download/details.aspx?id=44767) (3006226) | Remotecodeausführung | Kritisch | 2476490 in [MS11-038](https://technet.microsoft.com/de-de/library/security/ms11-038) | ||
| [Windows 7 Service Pack 1 für x64-basierte Systeme](https://www.microsoft.com/de-de/download/details.aspx?id=44870) (3010788) | Remotecodeausführung | Hoch | 3000869 in [MS14-060](https://technet.microsoft.com/de-de/library/security/ms14-060) | ||
| **Windows Server 2008 R2** | |||||
| [Windows Server 2008 R2 Service Pack 1 für x64-basierte Systeme](https://www.microsoft.com/de-de/download/details.aspx?id=44770) (3006226) | Remotecodeausführung | Kritisch | 2476490 in [MS11-038](https://technet.microsoft.com/de-de/library/security/ms11-038) | ||
| [Windows Server 2008 R2 Service Pack 1 für x64-basierte Systeme](https://www.microsoft.com/de-de/download/details.aspx?id=44861) (3010788) | Remotecodeausführung | Hoch | 3000869 in [MS14-060](https://technet.microsoft.com/de-de/library/security/ms14-060) | ||
| [Windows Server 2008 R2 für Itanium-basierte Systeme Service Pack 1](https://www.microsoft.com/de-de/download/details.aspx?id=44760) (3006226) | Remotecodeausführung | Kritisch | 2476490 in [MS11-038](https://technet.microsoft.com/de-de/library/security/ms11-038) | ||
| [Windows Server 2008 R2 für Itanium-basierte Systeme Service Pack 1](https://www.microsoft.com/de-de/download/details.aspx?id=44873) (3010788) | Remotecodeausführung | Hoch | 3000869 in [MS14-060](https://technet.microsoft.com/de-de/library/security/ms14-060) | ||
| **Windows 8 und Windows 8.1** | |||||
| [Windows 8 für 32-Bit-Systeme](https://www.microsoft.com/de-de/download/details.aspx?id=44755) (3006226) | Remotecodeausführung | Kritisch | Keine | ||
| [Windows 8 für 32-Bit-Systeme](https://www.microsoft.com/de-de/download/details.aspx?id=44864) (3010788) | Remotecodeausführung | Hoch | 3000869 in [MS14-060](https://technet.microsoft.com/de-de/library/security/ms14-060) | ||
| [Windows 8 für x64-basierte Systeme](https://www.microsoft.com/de-de/download/details.aspx?id=44774) (3006226) | Remotecodeausführung | Kritisch | Keine | ||
| [Windows 8 für x64-basierte Systeme](https://www.microsoft.com/de-de/download/details.aspx?id=44892) (3010788) | Remotecodeausführung | Hoch | 3000869 in [MS14-060](https://technet.microsoft.com/de-de/library/security/ms14-060) | ||
| [Windows 8.1 für 32-Bit-Systeme](https://www.microsoft.com/de-de/download/details.aspx?id=44724) (3006226) | Remotecodeausführung | Kritisch | Keine | ||
| [Windows 8.1 für 32-Bit-Systeme](https://www.microsoft.com/de-de/download/details.aspx?id=44875) (3010788) | Remotecodeausführung | Hoch | 3000869 in [MS14-060](https://technet.microsoft.com/de-de/library/security/ms14-060) | ||
| [Windows 8.1 für x64-basierte Systeme](https://www.microsoft.com/de-de/download/details.aspx?id=44707) (3006226) | Remotecodeausführung | Kritisch | Keine | ||
| [Windows 8.1 für x64-basierte Systeme](https://www.microsoft.com/de-de/download/details.aspx?id=44860) (3010788) | Remotecodeausführung | Hoch | 3000869 in [MS14-060](https://technet.microsoft.com/de-de/library/security/ms14-060) | ||
| **Windows Server 2012 und Windows Server 2012 R2** | |||||
| [Windows Server 2012](https://www.microsoft.com/de-de/download/details.aspx?id=44710) (3006226) | Remotecodeausführung | Kritisch | Keine | ||
| [Windows Server 2012](https://www.microsoft.com/de-de/download/details.aspx?id=44882) (3010788) | Remotecodeausführung | Hoch | 3000869 in [MS14-060](https://technet.microsoft.com/de-de/library/security/ms14-060) | ||
| [Windows Server 2012 R2](https://www.microsoft.com/de-de/download/details.aspx?id=44785) (3006226) | Remotecodeausführung | Kritisch | Keine | ||
| [Windows Server 2012 R2](https://www.microsoft.com/de-de/download/details.aspx?id=44891) (3010788) | Remotecodeausführung | Hoch | 3000869 in [MS14-060](https://technet.microsoft.com/de-de/library/security/ms14-060) | ||
| **Windows RT und Windows RT 8.1** | |||||
| Windows RT[1] (3006226) | Remotecodeausführung | Kritisch | Keine | ||
| Windows RT[1] (3010788) | Remotecodeausführung | Hoch | 3000869 in [MS14-060](https://technet.microsoft.com/de-de/library/security/ms14-060) | ||
| Windows RT 8.1[1] (3006226) | Remotecodeausführung | Kritisch | Keine | ||
| Windows RT 8.1[1] (3010788) | Remotecodeausführung | Hoch | 3000869 in [MS14-060](https://technet.microsoft.com/de-de/library/security/ms14-060) | ||
| **Server Core-Installationsoption** | |||||
| [Windows Server 2008 für 32-Bit-Systeme Service Pack 2](https://www.microsoft.com/de-de/download/details.aspx?id=44752) (Server Core-Installation) (3006226) | Remotecodeausführung | Kritisch | Keine | ||
| [Windows Server 2008 für x64-basierte Systeme Service Pack 2](https://www.microsoft.com/de-de/download/details.aspx?id=44719) (Server Core-Installation) (3006226) | Remotecodeausführung | Kritisch | Keine | ||
| [Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1](https://www.microsoft.com/de-de/download/details.aspx?id=44770) (Server Core-Installation) (3006226) | Remotecodeausführung | Kritisch | Keine | ||
| [Windows Server 2012](https://www.microsoft.com/de-de/download/details.aspx?id=44710) (Server Core-Installation) (3006226) | Remotecodeausführung | Kritisch | Keine | ||
| [Windows Server 2012 R2](https://www.microsoft.com/de-de/download/details.aspx?id=44785) (Server Core-Installation) (3006226) | Remotecodeausführung | Kritisch | Keine | ||
Hinweis Windows Technical Preview und Windows Server Technical Preview sind betroffen. Benutzer mit diesen Betriebssystemen werden aufgefordert, das Update anzuwenden, das über Windows Update verfügbar ist.
Bewertungen des Schweregrads und Kennungen der Sicherheitsanfälligkeit
Bei der folgenden Bewertung des Schweregrads wird die potenzielle maximale Auswirkung der Sicherheitsanfälligkeit angenommen. Informationen zur Wahrscheinlichkeit der Ausnutzung der Sicherheitsanfälligkeit in Bezug auf die Bewertung des Schweregrads und die Sicherheitsauswirkung innerhalb von 30 Tagen nach Veröffentlichung dieses Security Bulletins finden Sie im Ausnutzbarkeitsindex im Bulletin Summary für November.
| **Bewertung des Schweregrads und maximale Sicherheitsauswirkung nach betroffener Software** | |||
| **Betroffene Software** | [**Sicherheitsanfälligkeit in Windows OLE-Automatisierungsarray bezüglich Remotecodeausführung – CVE-2014-6332**](https://www.cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2014-6332) (3006226) | [**Sicherheitsanfälligkeit in Windows OLE bezüglich Remotecodeausführung – CVE-2014-6352**](https://www.cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2014-6352) (3010788) | **Bewertung des Gesamtschweregrads** |
| **Windows Server 2003** | |||
| Windows Server 2003 Service Pack 2 | **Kritisch** Remotecodeausführung | Nicht zutreffend | **Kritisch** |
| Windows Server 2003 x64 Edition Service Pack 2 | **Kritisch** Remotecodeausführung | Nicht zutreffend | **Kritisch** |
| Windows Server 2003 mit SP2 für Itanium-basierte Systeme | **Kritisch** Remotecodeausführung | Nicht zutreffend | **Kritisch** |
| **Windows Vista** | |||
| Windows Vista Service Pack 2 | **Kritisch** Remotecodeausführung | **Hoch** Remotecodeausführung | **Kritisch** |
| Windows Vista x64 Edition Service Pack 2 | **Kritisch** Remotecodeausführung | **Hoch** Remotecodeausführung | **Kritisch** |
| **Windows Server 2008** | |||
| Windows Server 2008 für 32-Bit-Systeme Service Pack 2 | **Kritisch** Remotecodeausführung | **Hoch** Remotecodeausführung | **Kritisch** |
| Windows Server 2008 für x64-basierte Systeme Service Pack 2 | **Kritisch** Remotecodeausführung | **Hoch** Remotecodeausführung | **Kritisch** |
| Windows Server 2008 für Itanium-basierte Systeme Service Pack 2 | **Kritisch** Remotecodeausführung | **Hoch** Remotecodeausführung | **Kritisch** |
| **Windows 7** | |||
| Windows 7 Service Pack 1 für 32-Bit-Systeme | **Kritisch** Remotecodeausführung | **Hoch** Remotecodeausführung | **Kritisch** |
| Windows 7 Service Pack 1 für x64-basierte Systeme | **Kritisch** Remotecodeausführung | **Hoch** Remotecodeausführung | **Kritisch** |
| **Windows Server 2008 R2** | |||
| Windows Server 2008 R2 Service Pack 1 für x64-basierte Systeme | **Kritisch** Remotecodeausführung | **Hoch** Remotecodeausführung | **Kritisch** |
| Windows Server 2008 R2 für Itanium-basierte Systeme Service Pack 1 | **Kritisch** Remotecodeausführung | **Hoch** Remotecodeausführung | **Kritisch** |
| **Windows 8 und Windows 8.1** | |||
| Windows 8 für 32-Bit-Systeme | **Kritisch** Remotecodeausführung | **Hoch** Remotecodeausführung | **Kritisch** |
| Windows 8 für x64-basierte Systeme | **Kritisch** Remotecodeausführung | **Hoch** Remotecodeausführung | **Kritisch** |
| Windows 8.1 für 32-Bit-Systeme | **Kritisch** Remotecodeausführung | **Hoch** Remotecodeausführung | **Kritisch** |
| Windows 8.1 für x64-basierte Systeme | **Kritisch** Remotecodeausführung | **Hoch** Remotecodeausführung | **Kritisch** |
| **Windows Server 2012 und Windows Server 2012 R2** | |||
| Windows Server 2012 | **Kritisch** Remotecodeausführung | **Hoch** Remotecodeausführung | **Kritisch** |
| Windows Server 2012 R2 | **Kritisch** Remotecodeausführung | **Hoch** Remotecodeausführung | **Kritisch** |
| **Windows RT und Windows RT 8.1** | |||
| Windows RT | **Kritisch** Remotecodeausführung | **Hoch** Remotecodeausführung | **Kritisch** |
| Windows RT 8.1 | **Kritisch** Remotecodeausführung | **Hoch** Remotecodeausführung | **Kritisch** |
| **Server Core-Installationsoption** | |||
| Windows Server 2008 für 32-Bit-Systeme Service Pack 2 (Server Core-Installation) | **Kritisch** Remotecodeausführung | Nicht zutreffend | **Kritisch** |
| Windows Server 2008 für x64-basierte Systeme Service Pack 2 (Server Core-Installation) | **Kritisch** Remotecodeausführung | Nicht zutreffend | **Kritisch** |
| Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1 (Server Core-Installation) | **Kritisch** Remotecodeausführung | Nicht zutreffend | **Kritisch** |
| Windows Server 2012 (Server Core-Installation) | **Kritisch** Remotecodeausführung | Nicht zutreffend | **Kritisch** |
| Windows Server 2012 R2 (Server Core-Installation) | **Kritisch** Remotecodeausführung | Nicht zutreffend | **Kritisch** |
Sicherheitsanfälligkeit in Windows OLE-Automatisierungsarray bezüglich Remotecodeausführung – CVE-2014-6332
Es liegt eine Sicherheitsanfälligkeit bezüglich Remotecodeausführung vor, wenn Internet Explorer nicht richtig auf Objekte im Speicher zugreift. Microsoft hat Informationen zu dieser Sicherheitsanfälligkeit durch eine koordinierte Offenlegung der Sicherheitsanfälligkeit erhalten. Microsoft lagen zum Zeitpunkt der Veröffentlichung dieses Security Bulletins keine Informationen vor,dass diese Sicherheitsanfälligkeit öffentlich für Angriffe auf Benutzer ausgenutzt wurde. Dieses Update behebt die Sicherheitsanfälligkeit, indem geändert wird, wie die betroffenen Betriebssysteme die Verwendung des Speichers überprüfen, wenn auf OLE-Objekte zugegriffen wird. Zudem wird geändert, wie Internet Explorer die Objekte im Speicher verarbeitet.
Schadensbegrenzende Faktoren
Die folgenden schadensbegrenzenden Faktoren könnten hilfreich für Sie sein:
- Ein Angreifer, der sich die genannte Sicherheitsanfälligkeit zunutze macht, könnte sich dieselben Benutzerrechte verschaffen wie der aktuelle Benutzer. Benutzer mit Konten, die über weniger Systemrechte verfügen, sind davon möglicherweise weniger betroffen als Benutzer mit Administratorrechten.
- In einem webbasierten Angriffsszenario kann ein Angreifer eine speziell gestaltete Website einrichten, die diese Sicherheitsanfälligkeit über Internet Explorer ausnutzt, und dann einen Benutzer zum Besuch der Website verleiten. Der Angreifer kann auch beeinträchtigte Websites und Websites nutzen, die von Benutzern bereitgestellte Inhalte oder Anzeigen akzeptieren oder hosten. Diese Websites können speziell gestaltete Inhalte enthalten, mit denen diese Sicherheitsanfälligkeit ausgenutzt werden kann. Ein Angreifer kann Benutzer jedoch nicht zwingen, die vom Angreifer kontrollierten Inhalte anzuzeigen. Stattdessen muss ein Angreifer Benutzer zu Handlungen verleiten. Zu diesem Zweck werden Benutzer normalerweise dazu gebracht, auf einen Link in einer E-Mail-Nachricht oder einer Instant Messenger-Nachricht zu klicken, wodurch die Benutzer zur Website des Angreifers gelangen, oder eine Dateianlage zu öffnen, die per E-Mail gesendet wurde.
Problemumgehungen
Für diese Sicherheitsanfälligkeit gibt es bislang keine Problemumgehungen.
Häufig gestellte Fragen (FAQ)
Zu welchen Zwecken kann ein Angreifer diese Sicherheitsanfälligkeit ausnutzen?
Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann beliebigen Code im Kontext des aktuellen Benutzers ausführen. Wenn der aktuelle Benutzer mit administrativen Benutzerrechten angemeldet ist, kann ein Angreifer Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten mit sämtlichen Benutzerrechten erstellen. Benutzer mit Konten, die über weniger Systemrechte verfügen, sind davon möglicherweise weniger betroffen als Benutzer mit Administratorrechten.
Auf welche Weise könnten Angreifer die Sicherheitsanfälligkeit ausnutzen?
Ein Angreifer kann eine speziell gestaltete Website einrichten, die diese Sicherheitsanfälligkeit über Internet Explorer ausnutzt, und dann einen Benutzer zum Besuch der Website verleiten. Der Angreifer kann auch beeinträchtigte Websites und Websites nutzen, die von Benutzern bereitgestellte Inhalte oder Anzeigen akzeptieren oder hosten. Diese Websites können speziell gestaltete Inhalte enthalten, mit denen diese Sicherheitsanfälligkeit ausgenutzt werden kann. Ein Angreifer kann Benutzer jedoch nicht zwingen, die vom Angreifer kontrollierten Inhalte anzuzeigen. Stattdessen muss ein Angreifer Benutzer zu Handlungen verleiten. Zu diesem Zweck werden Benutzer normalerweise dazu gebracht, auf einen Link in einer E-Mail-Nachricht oder einer Instant Messenger-Nachricht zu klicken, wodurch die Benutzer zur Website des Angreifers gelangen, oder eine Dateianlage zu öffnen, die per E-Mail gesendet wurde.
Für welche Systeme stellt diese Sicherheitsanfälligkeit hauptsächlich ein Risiko dar?
Für Systeme, auf denen Internet Explorer aktiv genutzt wird (z. B. Arbeitsstationen oder Terminalserver), besteht daher das größte Risiko.
Sicherheitsanfälligkeit in Windows OLE bezüglich Remotecodeausführung – CVE-2014-6352
Eine Sicherheitsanfälligkeit bezüglich Remotecodeausführung im Kontext des aktuellen Benutzers, die verursacht wird, wenn ein Benutzer eine in spezieller Weise gestaltete Microsoft Office-Datei, die OLE-Objekte enthält, herunterlädt oder erhält und dann öffnet. Microsoft hat Informationen zu dieser Sicherheitsanfälligkeit zuerst durch eine koordinierte Offenlegung der Sicherheitsanfälligkeit erhalten. Diese Sicherheitsanfälligkeit wurde erstmals in der Microsoft-Sicherheitsempfehlung 3010060 beschrieben. Microsoft ist sich begrenzter Angriffe bewusst, bei denen versucht wird, diese Sicherheitsanfälligkeit auszunutzen. Dieses Update behebt die Sicherheitsanfälligkeit, indem geändert wird, wie die betroffenen Betriebssysteme die Verwendung des Speichers überprüfen, wenn auf OLE-Objekte zugegriffen wird.
Schadensbegrenzende Faktoren
Die folgenden schadensbegrenzenden Faktoren könnten hilfreich für Sie sein:
- Bei beobachteten Angriffen zeigt die Benutzerkontosteuerung in Abhängigkeit von den Berechtigungen des aktuellen Benutzers eine Zustimmungs- oder Erhöhungsaufforderung an, bevor eine Datei, die die Anfälligkeit enthält, ausgeführt wird. UAC ist standardmäßig in Windows Vista und neueren Versionen von Microsoft Windows aktiviert.
- Ein Angreifer, der sich die genannte Sicherheitsanfälligkeit zunutze macht, könnte sich dieselben Benutzerrechte verschaffen wie der aktuelle Benutzer. Benutzer mit Konten, die über weniger Systemrechte verfügen, sind davon möglicherweise weniger betroffen als Benutzer mit Administratorrechten.
- In einem webbasierten Angriffsszenario kann ein Angreifer eine Webseite mit einer speziell gestalteten Office-Datei einrichten, durch die diese Sicherheitsanfälligkeit ausgenutzt wird. Ein Angreifer kann Endbenutzer jedoch nicht zum Besuch solcher Websites zwingen. Er muss den Benutzer zum Besuch dieser Website verleiten. Zu diesem Zweck wird der Benutzer meist dazu gebracht, in einer E-Mail oder einer Instant Messenger-Nachricht auf einen Link zur Website des Angreifers zu klicken.
- Dateien aus dem Internet und von anderen möglicherweise unsicheren Speicherorten können Viren, Würmer oder andere Arten von Malware enthalten, die Ihrem Computer schaden können. Zum Schutz Ihres Computers werden Dateien von diesen potenziell unsicheren Speicherorten in der geschützten Ansicht geöffnet. Durch die Verwendung der geschützten Ansicht können Sie eine Datei lesen und deren Inhalt sehen, während das die Risiken verringert werden. Die geschützte Ansicht ist standardmäßig aktiviert.
Problemumgehungen
Die folgenden Problemumgehungen könnten hilfreich für Sie sein:
Übernehmen der Microsoft Fix it-Lösung „Shim-Problemumgehung für OLE-Objekt-Manager“, mit der die Ausnutzung dieses Problems verhindert wird Im Microsoft Knowledge Base-Artikel 3010060 finden Sie Informationen zur Aktivierung und Deaktivierung dieser Problemumgehung mithilfe der automatisierten Microsoft Fix it-Lösung. |
.gif)
Hinweis: |
|------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------|
| Die Fix it-Lösung ist für Microsoft PowerPoint auf 32-Bit- und x64-basierten Editionen von Microsoft Windows verfügbar, mit Ausnahme der 64-Bit-Editionen von PowerPoint auf x64-basierten Editionen von Windows 8 und Windows 8.1. |Öffnen Sie Microsoft PowerPoint-Dateien oder andere Dateien nicht von nicht vertrauenswürdigen Quellen Öffnen und speichern Sie keine Microsoft PowerPoint-Dateien, die Sie von nicht vertrauenswürdigen Quellen oder unerwartet von vertrauenswürdigen Quellen erhalten. Diese Sicherheitsanfälligkeit kann ausgenutzt werden, wenn ein Benutzer eine speziell gestaltete Datei öffnet.
Benutzerkontensteuerung (UAC) aktivieren Hinweis Die Benutzerkontosteuerung ist standardmäßig aktiviert.
- Führen Sie einen der folgenden Schritte aus, um die Systemsteuerung zu öffnen:
- Klicken Sie auf Start und anschließend auf Systemsteuerung.
- Drücken Sie die Windows-Logo-Taste + s, geben Sie Systemsteuerung ein, und öffnen Sie dann die Systemsteuerung-App.
- Klicken Sie in der Systemsteuerung auf Benutzerkonten (oder Benutzerkonten und Jugendschutz).
- Klicken Sie im Fenster Benutzerkonten auf Benutzerkonten.
- Klicken Sie im Fenster Benutzerkontoaufgaben auf Benutzerkontensteuerung ein- oder ausschalten (oder Einstellungen der Benutzerkontensteuerung ändern).
- Wenn UAC derzeit im Administratorbestätigungsmodus konfiguriert ist, wird eine UAC-Meldung angezeigt. Klicken Sie auf Weiter.
- Aktivieren Sie das Kontrollkästchen „Verwenden Sie die Benutzerkontensteuerung, um zum Schutz des Computers beizutragen“, und klicken Sie anschließend auf OK.
- Führen Sie einen der folgenden Schritte aus:
- Klicken Sie auf Jetzt neu starten, um die Änderung sofort zu übernehmen.
- Klicken Sie auf Später neu starten.
- Schließen Sie das Aufgabenfenster Benutzerkonten.
- Führen Sie einen der folgenden Schritte aus, um die Systemsteuerung zu öffnen:
Bereitstellen des Enhanced Mitigation Experience Toolkit 5.0 und Konfigurieren der Reduzierung der Angriffsfläche Die Funktion zur Reduzierung der Angriffsfläche in EMET 5.0 kann dabei helfen, aktuelle Angriffe zu blockieren. Sie müssen die Konfiguration zur Standardkonfiguration hinzufügen, um geschützt zu sein.
Erstellen Sie eine neue Datei mit dem folgenden Inhalt:
<EMET Version="5.0.5324.31801"><Settings /><EMET_Apps> <AppConfig Path="*" Executable="dllhost.exe"> <Mitigation Name="DEP" Enabled="false" /> <Mitigation Name="SEHOP" Enabled="false" /> <Mitigation Name="NullPage" Enabled="false" /> <Mitigation Name="HeapSpray" Enabled="false" /> <Mitigation Name="EAF" Enabled="false" /> <Mitigation Name="EAF+" Enabled="false" /> <Mitigation Name="MandatoryASLR" Enabled="false" /> <Mitigation Name="BottomUpASLR" Enabled="false" /> <Mitigation Name="LoadLib" Enabled="false" /> <Mitigation Name="MemProt" Enabled="false" /> <Mitigation Name="Caller" Enabled="false" /> <Mitigation Name="SimExecFlow" Enabled="false" /> <Mitigation Name="StackPivot" Enabled="false" /> <Mitigation Name="ASR" Enabled="true"> <asr_modules>packager.dll</asr_modules> </Mitigation> </AppConfig> <AppConfig Path="*\OFFICE1*" Executable="POWERPNT.EXE"> <Mitigation Name="DEP" Enabled="true" /> <Mitigation Name="SEHOP" Enabled="true" /> <Mitigation Name="NullPage" Enabled="true" /> <Mitigation Name="HeapSpray" Enabled="true" /> <Mitigation Name="EAF" Enabled="true" /> <Mitigation Name="EAF+" Enabled="false" /> <Mitigation Name="MandatoryASLR" Enabled="true" /> <Mitigation Name="BottomUpASLR" Enabled="true" /> <Mitigation Name="LoadLib" Enabled="true" /> <Mitigation Name="MemProt" Enabled="true" /> <Mitigation Name="Caller" Enabled="true" /> <Mitigation Name="SimExecFlow" Enabled="true" /> <Mitigation Name="StackPivot" Enabled="true" /> <Mitigation Name="ASR" Enabled="true"> <asr_modules>flash*.ocx;packager.dll</asr_modules> </Mitigation> </AppConfig></EMET_Apps></EMET>Speichern Sie diese Datei als EMET_CVE-2014-6352.xml.
Klicken Sie über die EMET-Benutzeroberfläche in der Multifunktionsleiste Datei auf Importieren.
Wählen Sie die Datei EMET_CVE-2014-6352.xml aus, und klicken Sie auf Öffnen.
Alternativ führen Sie diesen Befehl über eine Eingabeaufforderung mit erhöhten Rechten aus, um das gespeicherte Skript „EMET_CVE-2014-6532.xml“ in EMET zu importieren:
EMET_Conf.exe --import EMET_CVE-2014-6352.xml
Häufig gestellte Fragen (FAQ)
Gibt es weitere Sicherheitsprobleme, die in diesem Update angesprochen werden?
Obwohl die Hauptursache für die in diesem Security Bulletin beschriebene Sicherheitsanfälligkeit mit dem bereitgestellten Sicherheitsupdate angesprochen wird, werden umfassende Schutzmaßnahmen für Microsoft PowerPoint bereitgestellt, um den ursprünglich in der Microsoft-Sicherheitsempfehlung 3010060 beschriebenen Angriff abzuwehren. Diese Updates befinden sich in unterstützten Versionen von Microsoft PowerPoint bzw. in den Microsoft Knowledge Base-Artikeln 2597972, 2878251 und 2889936.
Zu welchen Zwecken kann ein Angreifer diese Sicherheitsanfälligkeit ausnutzen?
Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann beliebigen Code im Kontext des aktuellen Benutzers ausführen. Wenn der aktuelle Benutzer mit administrativen Benutzerrechten angemeldet ist, kann ein Angreifer Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten mit sämtlichen Benutzerrechten erstellen. Benutzer mit Konten, die über weniger Systemrechte verfügen, sind davon möglicherweise weniger betroffen als Benutzer mit Administratorrechten.
Auf welche Weise könnten Angreifer die Sicherheitsanfälligkeit ausnutzen?
Zum Ausnutzen dieser Schwachstelle ist eine Interaktion mit dem Benutzer erforderlich. Damit ein Angriff erfolgreich ist, muss eine E-Mail-Nachricht an einen lokal angemeldeten Benutzer gesendet werden, und der Benutzer muss eine Dateianlage öffnen, die ein speziell gestaltetes OLE-Objekt enthält. Die betroffenen OLE-Objekte können in vielen verschiedenen Arten von Dateianlagen enthalten sein. Alle Office-Dateitypen sowie viele andere Dateiformate von Drittanbietern können ein schädliches OLE-Objekt enthalten.
Bei einem E-Mail-Angriff kann ein Angreifer diese Sicherheitsanfälligkeit ausnutzen, indem er eine speziell gestaltete Datei an den Benutzer sendet und ihn dazu verleitet, die Datei zu öffnen.
In einem webbasierten Angriffsszenario muss ein Angreifer eine Website mit einer PowerPoint-Datei einrichten, durch die diese Sicherheitsanfälligkeit ausgenutzt wird. Außerdem können manipulierte Websites und Websites, die von Benutzern bereitgestellte Inhalte akzeptieren oder hosten, speziell gestaltete Inhalte enthalten, über die diese Sicherheitsanfälligkeit ausgenutzt werden kann. Ein Angreifer kann Benutzer nicht zum Besuch einer Website zwingen. Er muss den Benutzer zu einem Besuch dieser Website verleiten. Zu diesem Zweck wird der Benutzer normalerweise dazu gebracht, auf einen Link zur Site des Angreifers zu klicken.
Für welche Systeme stellt diese Sicherheitsanfälligkeit hauptsächlich ein Risiko dar?
Microsoft Windows-Server und -Clients, die speziell gestaltete Microsoft Office-Datendateien öffnen, die OLE-Objekte enthalten, sind hauptsächlich gefährdet.
Bereitstellung von Sicherheitsupdates
Informationen zur Bereitstellung von Sicherheitsupdates finden Sie im Microsoft Knowledge Base-Artikel, auf den hier in der Kurzfassung verwiesen wird.
Danksagung
Microsoft würdigt die Bemühungen derjenigen Benutzer der Sicherheitscommunity, die uns dabei helfen, Kunden durch eine verantwortliche Offenlegung von Sicherheitsanfälligkeiten zu schützen. Weitere Informationen finden Sie unter Danksagung.
Haftungsausschluss
Die Informationen in der Microsoft Knowledge Base werden wie besehen und ohne Gewährleistung jeglicher Art zur Verfügung gestellt. Microsoft schließt alle anderen Garantien, gleich ob ausdrücklich oder konkludent, einschließlich der Garantien der Handelsüblichkeit oder Eignung für einen bestimmten Zweck aus. In keinem Fall kann Microsoft Corporation und/oder deren jeweilige Lieferanten haftbar gemacht werden für Schäden irgendeiner Art, einschließlich direkter, indirekter, zufällig entstandener Schäden, Folgeschäden, Folgen entgangenen Gewinns oder spezieller Schäden, selbst dann nicht, wenn Microsoft Corporation und/oder deren jeweilige Lieferanten auf die mögliche Entstehung dieser Schäden hingewiesen wurde. Weil in einigen Staaten/Rechtsordnungen der Ausschluss oder die Beschränkung einer Haftung für zufällig entstandene Schäden oder Folgeschäden nicht gestattet ist, gilt die obige Einschränkung eventuell nicht für Sie.
Revisionen
- V1.0 (11. November 2014): Bulletin veröffentlicht.
Seite generiert am 06.11.2014 um 15:17Z-08:00.