PatchDay- September 2014 Microsoft Security Bulletin Release

New Security Bulletins

Microsoft is releasing the following four new security bulletins for newly discovered vulnerabilities:

Bulletin ID Bulletin Title Max Severity Rating Vulnerability Impact Restart Requirement Affected Software
MS14-052 Cumulative Security Update for Internet Explorer (2977629) Critical Remote Code Execution Requires restart Internet Explorer on all supported editions of Microsoft Windows.
MS14-053 Vulnerability in .NET Framework Could Allow Denial of Service (2990931) Important Denial of Service May require restart Microsoft .NET Framework 1.1 Service Pack 1, Microsoft .NET Framework 2.0 Service Pack 2, Microsoft .NET Framework 3.0 Service Pack 2, Microsoft .NET Framework 3.5, Microsoft .NET Framework 3.5.1, Microsoft .NET Framework 4, and Microsoft .NET Framework 4.5/4.5.1/4.5.2 on affected releases of Microsoft Windows.
MS14-054 Vulnerability in Windows Task Scheduler Could Allow Elevation of Privilege (2988948) Important Elevation of Privilege Requires restart Microsoft Windows 8, Windows Server 2012, Windows RT, Windows 8.1, Windows Server 2012 R2, and Windows RT 8.1.
MS14-055 Vulnerabilities in Microsoft Lync Server Could Allow Denial of Service (2990928) Important Denial of Service Does not requires restart Microsoft Lync Server 2010 and Microsoft Lync Server 2013.

Summaries for new bulletin(s) may be found at https://technet.microsoft.com/library/security/ms14-sep.

 

Seit diesem August Patchday benötigen Systeme, die über WSUS oder Windows Update / Microsoft Update mit Security und non-Security Hotfixes bestückt werden, zwingend das sogenannte Spring Update KB 2919355. Ansonsten werden die neuen Hotfixes der folgenden Bulletins und künftige nicht angeboten werden.

MS14-052 ist maximal mit critical bewertet und beschreibt das diesmonatige Cumulative Security Update for Internet Explorer (2977629).

Betroffen ist der Internet Explorer auf allen supporteten Windows Client und Server Plattformen. Maximal sind Remote Code Executions beschrieben, die durch Besuch einer böswilligen Website ausgenutzt werden können, um Code im Kontext des angemeldeten Benutzers auszuführen.

Weiterhin werden mit diesem Cumulative Update veraltete Active-X-Controls deaktiviert, namentlich verwundbare Java-Controls:

  • J2SE 4, everything below (but not including) update 43
  • J2SE 5.0, everything below (but not including) update 71
  • Java SE 6, everything below (but not including) update 81
  • Java SE 7, everything below (but not including) update 65
  • Java SE 8, everything below (but not including) update 11

Aus der letztmonatigen Patchday-Information zum Thema Deaktivierung veralteter Active-X-Controls: Das Cumulative Update bringt auch einen neuen Mechanismus mit, der künftig (erstmals am 9. September 2014) verwendet werden wird, um veraltete Active-X Controls zu blockieren. Aufgrund des Presse-, Kunden- und internen Echos wurde der Aktivierungstermin des Blockierungsmechanismus‘ um 30 Tage [auf den September Patchday] verschoben. Im September werden veraltete Oracle Java Plugins deaktiviert, wie Firefox und Chrome es bereits heute tun. Wie beschrieben im IE Blog unter http://blogs.msdn.com/b/ie/archive/2014/08/06/internet-explorer-begins-blocking-out-of-date-activex-controls.aspx werden nach der Aktivierung des Mechanismus in allen IE Zonen außer Local Intranet Zone und Trusted Sites Zone die im Blog benannten Controls gesperrt, die in der XML Datei http://go.microsoft.com/fwlink/?LinkId=403864 -> https://iecvlist.microsoft.com/ie11blocklist/1401746408/versionlist.xml gelistet sind. Im Blog ist ebenfalls beschrieben, wie die Behandlung von veralteten Active-X Controls per GPO konfiguriert werden kann (auch z.B. für ein Logging only). Außerdem ist beschrieben, wie die Einstellungen alternativ per Registry Key durchgeführt werden können. Weiterführende Informationen finden Sie in der technischen Dokumentation unter http://technet.microsoft.com/en-us/ie/dn798785.aspx.

MS14-053 ist maximal mit important bewertet und beschreibt die Vulnerability in .NET Framework Could Allow Denial of Service (2990931).

Betroffen sind alle supporteten Versionen von .NET Framework außer .NET 3.5 SP1.

Um verwundbar zu sein, muß ASP.NET manuell installiert und aktiviert und eine .NET verwendende Website im IIS registriert sein.

Dabei werden Hash-Kollisionen (identische Hash-Werte bei unterschiedlichen Konstellationen) ausgenutzt.

Mit wenigen böswilligen Anfragen kann hier die Performance so stark herabgesetzt werden, um eine Denial of Servie Situation herbeizuführen.

Hinweis für Entwickler ab .NET Framework 4.5: Aktivieren Sie die Applikations-Runtime-Einstellung UseRandomizedStringHashAlgorithm um Hash-Kollisionen auf einer per-Application-Domain Basis zu vermeiden. Mehr Informationen hierzu finden Sie unter http://msdn.microsoft.com/en-us/library/jj152924(v=vs.110).aspx.

MS14-054 ist mit important bewertet und beschreibt die Vulnerability in Windows Task Scheduler Could Allow Elevation of Privilege (2988948).

Betroffen sind Windows Client 8 und 8.1 (inklusive RT und 8.1 RT) sowie Windows Server 2012 und 2012 R2 (inklusive Server Core).

Durch die fehlerhafte Implementierung von Integritätsprüfungen kann ein Angreifer mittels böswilliger Task Schedulder Tasks Code im Kontext von Local System ausführen und damit ein System potentiell übernehmen.

MS14-055 ist mit important bewertet und beschreibt die Vulnerabilities in Microsoft Lync Server Could Allow Denial of Service (2990928).

Betroffen sind Lync Server 2010 und 2013.

Zwei der Schwachstellen sind unter Kenntnis einer validen SIP-Adresse oder einer Lync-Einladung geeignet für einen Denial of Service Angriff.

Eine Schachstelle stellt eine reflected Cross Site Scripting (XSS) Information Disclosure Schwachstelle dar. Hier kann ein Angreifer mittels böswilliger Websites Scripts im Kontext des besuchenden Users von Web Sessions ausführen.

Vor Installation des Security Hotfixes ist jeweils das neueste Cumulative Update (CU) von Lync Server als Voraussetzung erforderlich.

Ergänzender Nachtrag zu MS14-045 vom AugustVulnerabilities in Kernel-Mode Drivers Could Allow Elevation of Privilege (2984615):

Der Security Hotfix 2982791 wurde seinerzeit wegen ungewollten Bluescreens (BSoD) durch 2993651 ersetzt.

Im zugehörigen KB-Artikel http://support.microsoft.com/kb/2993651/en-us wurde bei Known Issue 2 “dringend empfohlen”, vor dem neuen Security Hotfix den alten zu deinstallieren. Diese Dringlichkeit ist etwas dramatisch formuliert. Primär geht es hier um “Housekeeping” – Aufräumen von Registry-Informationen zu installierten Hotfixes. Technisch ist zur Wirksamkeit des Security Hotfixes und zur Vermeidung der BSoD Probleme die Deinstallation des alt-Security-Hotfixes nicht zwingend nötig.

Im MBSA wird der alte Fix zwar als überholt (superseded) angezeigt, aber gleichzeitig der neue Security Hotfix als korrekt erkannt.

Das Security Advisory (2905247) Insecure ASP.NET Site Configuration Could Allow Elevation of Privilege wurde re-released (http://technet.microsoft.com/en-us/library/2905247):

Die Updates, bislang nur über das Download Center / Windows Update Catalog bereitgestellt wurden, stehen jetzt auch zur automatischen Installation per Windows Update zur Verfügung.

Das Security Advisory zu Pass-The-Hash (PTH), Update to Improve Credentials Protection and Management (2871997) http://technet.microsoft.com/en-us/library/2871997 wurde aktualisiert: Die Sicherheitsmechanismen aus Windows 8.1 und Server 2012 R2 wurden auf Windows 7 SP1 und Server 2008 R2 SP1 übernommen (backported):

 

 

Bereits veröffentlicht – die Liste wichtiger Updates über MU, WU und WSUS:

Die Informationen dazu finden Sie in Artikel http://support.microsoft.com/kb/894199/en-us

Dieser Artikel beschreibt zusätzlich zu den Security Hotfixes auch die nicht-Security relevanten Hotfixes.

Diese wichtigen Updates sind bis auf die unten genannten Ausnahmen bereits heute mit ihren KB-Artikeln aufgelistet.

Microsoft (USA), Trustworthy Computing, wird Mittwoch abend einen Webcast durchführen, um Kundenfragen zu diesem Bulletin zu beantworten.

Link zum Webcast (neu): http://technet.microsoft.com/de-de/security/dn756352 –> verweist auf:

[ggf. vorher testen] Trustworthy Computing Ustream channel

http://www.ustream.tv/channel/trustworthy-computing

Zum Termin: 10.9.2014, 11 Uhr Pacific Time (20 Uhr MESZ)

Weiterhin gibt es jeweils an diesem Mittwochmorgen um 11 Uhr (MESZ) eine Telefonkonferenz für Europa, an der Sie auch teilnehmen und Fragen stellen können.

Hierfür wählen Sie sich bei Bedarf bitte ein unter:

Telefon 089 – 3176 – 3500 (andere Einwahlnummern: https://join.microsoft.com/dialin)

Nötig für die Einwahl: Conference ID 9855950

Zugang über den Lync-Client: https://join.microsoft.com/meet/henkvanr/JWYMKCY0

Zugang über den Lync-Web-Client: https://join.microsoft.com/meet/henkvanr/JWYMKCY0?sl=1

(Der Web-Client unterstützt auch Mac-OS.)

Die ausführliche Version der Ankündigung neuer Security Bulletins für diesen Monat, finden Sie unter:

englisch: http://technet.microsoft.com/en-us/security/bulletin/ms14-sep

deutsch: http://technet.microsoft.com/de-de/security/bulletin/ms14-sep (derzeit wird dort lediglich auf die englischsprachige Version verwiesen) und unten in dieser Mail.

Die Archiv-Zusammenfassung inklusive Suchmöglichkeit (ab 06.1998) finden Sie über https://technet.microsoft.com/security/bulletin.

MBSA

Der MBSA 2.3 ist beschrieben in http://technet.microsoft.com/en-us/security/cc184924.aspx.

Windows RT wird lediglich durch Windows Update / Microsoft Update unterstützt.

Direkter Download des MBSA 2.3: via http://www.microsoft.com/download/details.aspx?id=7558

Security Bulletin Severity Rating System

Bei Fragen zur Einstufung von Security Hotfixes in critical, Important, moderate, low siehe

http://technet.microsoft.com/en-us/security/gg309177.aspx

Microsoft Ausnutzbarkeitsindex (Microsoft Exploitability Index):

Verwenden Sie diese Tabelle, um etwas über die Wahrscheinlichkeit zu erfahren, daß für die einzelnen Sicherheitsupdates, die Sie möglicherweise installieren müssen, funktionierender Angreifercode veröffentlicht wird. Sie sollten sich unter Berücksichtigung Ihrer konkreten Konfiguration jede der untenstehenden Bewertungen ansehen, um Prioritäten für Ihre Bereitstellung festzulegen.

Seit Oktober 2008 stellt Microsoft diese Tabelle für jedes Security Bulletin auf der jeweiligen Webseite zur Verfügung.

Weitere Informationen zur Bedeutung und Festlegung dieser Bewertungen finden Sie hier:

http://technet.microsoft.com/en-us/security/cc998259.aspx.