Schlagwort-Archive: PatchDay

July 2015 – Microsoft PatchDay

Am Dienstag, den 14. Juli 2015 plant Microsoft am „July 2015 Microsoft PatchDay“  die Veröffentlichung von insgesamt 14 Security-Bulletins

Voraussichtlich werden 4 als „kritisch“ und 10 als „hoch“ eingestuft sein.

 

On July 14, 2015, Microsoft is planning to release 14 new security bulletins. Below is a summary.
New Bulletin Summary
Bulletin ID Maximum Severity Rating Vulnerability Impact Restart Requirement Affected Software
Bulletin 1 Important Remote Code Execution May require restart Microsoft SQL Server 2008, SQL Server 2008 R2, SQL Server 2012, and SQL Server 2014.
Bulletin 2 Critical Remote Code Execution Requires restart Internet Explorer on affected Microsoft Windows clients and servers.
Bulletin 3 Critical Remote Code Execution May require restart Microsoft Windows Server 2003, Windows Vista, and Windows Server 2008.
Bulletin 4 Critical Remote Code Execution Requires restart Microsoft Windows 7, Windows 8, and Windows Server 2012.
Bulletin 5 Critical Remote Code Execution Requires restart Microsoft Windows Server 2008, Windows Server 2008 R2, Windows 8, Windows 8.1, Windows Server 2012, and Windows Server 2012 R2.
Bulletin 6 Important Remote Code Execution May require restart Windows Server 2003 (excluding Itanium), Windows Vista, Windows Server 2008 (excluding Itanium), Windows 7, Windows Server 2008 R2 (excluding Itanium), Windows 8.1, Windows 2012 R2, and Windows RT 8.1.
Bulletin 7 Important Remote Code Execution May require restart Microsoft Office 2007, Office 2010, Office 2013, Office 2013 RT, Office for Mac 2011, Excel Viewer 2007, Office Compatibility Pack, Word Viewer, SharePoint Server 2007, SharePoint Server 2010, and SharePoint Server 2013.
Bulletin 8 Important Elevation of Privilege Requires restart Microsoft Windows Server 2003, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012, and Windows Server 2012 R2.
Bulletin 9 Important Elevation of Privilege Requires restart All supported releases of Microsoft Windows.
Bulletin 10 Important Elevation of Privilege Requires restart All supported releases of Microsoft Windows.
Bulletin 11 Important Elevation of Privilege Requires restart All supported releases of Microsoft Windows.
Bulletin 12 Important Elevation of Privilege May require restart All supported releases of Microsoft Windows.
Bulletin 13 Important Elevation of Privilege Requires restart All supported releases of Microsoft Windows.
Bulletin 14 Important Elevation of Privilege Requires restart All supported releases of Microsoft Windows.

April 2015 Microsoft Security Bulletin Release

What is the purpose of this alert?
This alert is to provide you with an overview of the new security bulletins being released on April 14, 2015. New security bulletins are released monthly to address product vulnerabilities.
New Security Bulletins
Microsoft is releasing the following 11 security bulletins for newly discovered vulnerabilities:
Bulletin ID Bulletin Title Max Severity Rating Vulnerability Impact Restart Requirement Affected Software
MS15-032 Cumulative Security Update for Internet Explorer (3038314) Critical Remote Code Execution Requires restart Internet Explorer 6, Internet Explorer 7, Internet Explorer 8, Internet Explorer 9, Internet Explorer 10, and Internet Explorer 11 on affected Microsoft Windows clients and Windows servers.
MS15-033 Vulnerabilities in Microsoft Office Could Allow Remote Code Execution (3048019) Critical Remote Code Execution May require restart All supported editions of Microsoft Office 2007, Office 2010, Office 2013, Office 2013 RT, Office for Mac, Word Viewer, Office Compatibility Pack, SharePoint Server 2010, SharePoint Server 2013, Office Web Apps 2010, and Office Web Apps 2013.
MS15-034 Vulnerability in HTTP.sys Could Allow Remote Code Execution (3042553) Critical Remote Code Execution Requires restart All supported editions of Microsoft Windows 7, Windows Server 2008 R2, Windows 8, Windows 8.1, Windows Server 2012, and Windows Server 2012 R2.
MS15-035 Vulnerability in Microsoft Graphics Component Could Allow Remote Code Execution (3046306) Critical Remote Code Execution May require restart All supported editions of Microsoft Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7, and Windows Server 2008 R2.
MS15-036 Vulnerabilities in Microsoft SharePoint Server Could Allow Elevation of Privilege (3052044) Important Elevation of Privilege May require restart All supported editions of Microsoft SharePoint Server 2010, SharePoint Server 2013, and SharePoint Foundation 2013.
MS15-037 Vulnerability in Windows Task Scheduler Could Allow Elevation of Privilege (3046269) Important Elevation of Privilege Does not require restart All supported editions of Microsoft Windows 7 and Windows Server 2008 R2.
MS15-038 Vulnerabilities in Microsoft Windows Could Allow Elevation of Privilege (3049576) Important Elevation of Privilege Requires restart All supported releases of Microsoft Windows.
MS15-039 Vulnerability in XML Core Services Could Allow Security Feature Bypass (3046482) Important Security Feature Bypass May require restart All supported editions of Microsoft Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7, and Windows Server 2008 R2.
MS15-040 Vulnerability in Active Directory Federation Services Could Allow Information Disclosure (3045711) Important Information Disclosure May require restart Active Directory Federation Services 3.0.
MS15-041 Vulnerability in .NET Framework Could Allow Information Disclosure (3048010) Important Information Disclosure May require restart Microsoft .NET Framework 1.1 Service Pack 1, Microsoft .NET Framework 2.0 Service Pack 2, Microsoft .NET Framework 3.5, Microsoft .NET Framework 3.5.1, Microsoft .NET Framework 4, Microsoft .NET Framework 4.5, Microsoft .NET Framework 4.5.1, and Microsoft .NET Framework 4.5.2 on affected releases of Microsoft Windows.
MS15-042 Vulnerability in Windows Hyper-V Could Allow Denial of Service (3047234) Important Denial of Service Requires restart Microsoft Windows 8.1 and Windows Server 2012 R2.
Summaries for new bulletin(s) may be found at https://technet.microsoft.com/library/security/ms15-apr.
The Malicious Software Removal Tool and Non-Security Updates
  • Microsoft is releasing an updated version of the Microsoft Windows Malicious Software Removal Tool on Windows Server Update Services (WSUS), Windows Update (WU), and the Download Center. Information on the Microsoft Windows Malicious Software Removal Tool is available at https://support.microsoft.com/kb/890830.
  • High priority non-security updates Microsoft releases to be available on Microsoft Update (MU), Windows Update (WU), or Windows Server Update Services (WSUS) will be detailed in the KB article found at https://support.microsoft.com/kb/894199.
Rereleased Security Bulletin
Microsoft rereleased one security bulletin on April 14, 2015. Here is an overview of this rereleased security bulletin:
MS14-080 Cumulative Security Update for Internet Explorer (3008923)
Executive Summary and Recommended Actions To comprehensively address issues with the 3008923 security update, customers running Internet Explorer 11 on either Windows 7 or Windows Server 2008 R2 should also install the 3038314 security update released on April 14, 2015. For more information, see MS15-032.
More Information https://technet.microsoft.com/library/security/MS14-080
New Security Advisory
Microsoft published one new security advisory on April 14, 2015. Here is an overview of this new security advisory:
Security Advisory 3045755 Update to Improve PKU2U Authentication
Executive Summary Microsoft on April 14, 2015, is announcing the availability of a defense-in-depth update that improves the authentication used by the Public Key Cryptography User-to-User (PKU2U) security support provider (SSP) in Windows 8.1, Windows Server 2012 R2, and Windows RT 8.1. The improvement is part of ongoing efforts to bolster the effectiveness of security controls in Windows.
Available Updates Microsoft released an update (3045755) for all supported editions of Windows 8.1, Windows Server 2012 R2, and Windows RT 8.1. The update is available on the Download Center as well as the Microsoft Update Catalog for all affected software. It is also offered via automatic updating and through the Microsoft Update service. For more information, see Microsoft Knowledge Base Article 3045755.

Synopsis of functionality added by the update:
The update improves certain authentication scenarios for PKU2U. After applying this defense-in-depth update, PKU2U will no longer authenticate to a Windows Live ID (WLID) if an initial authentication attempt fails.
More Information https://technet.microsoft.com/library/security/3045755
Rereleased Security Advisory
Microsoft rereleased one security advisory on April 14, 2015. Here is an overview of this rereleased security advisory:
Security Advisory 3009008 Vulnerability in SSL 3.0 Could Allow Information Disclosure
What Has Changed? Microsoft is announcing that with the release of security update 3038314 on April 14, 2015, SSL 3.0 is disabled by default in Internet Explorer 11. Microsoft is also announcing that SSL 3.0 will be disabled across Microsoft online services over the coming months.
Recommended Actions Microsoft recommends that customers migrate clients and services to more secure security protocols, such as TLS 1.0, TLS 1.1 or TLS 1.2.

See the “Suggested Actions” section of the advisory for workarounds to disable SSL 3.0. Microsoft recommends customers use these workarounds to test their clients and services for the usage of SSL 3.0 and start migrating accordingly.
More Information https://technet.microsoft.com/library/security/3009008
New Security Bulletin Technical Details
In the following tables of affected and non-affected software, software editions that are not listed are past their support lifecycle. To determine the support lifecycle for your product and edition, visit the Microsoft Support Lifecycle website at http://support.microsoft.com/lifecycle/.
Bulletin Identifier Microsoft Security Bulletin MS15-032
Bulletin Title Cumulative Security Update for Internet Explorer (3038314)
Executive Summary This security update resolves vulnerabilities in Internet Explorer. The most severe of the vulnerabilities could allow remote code execution if a user views a specially crafted webpage using Internet Explorer. An attacker who successfully exploited these vulnerabilities could gain the same user rights as the current user. Customers whose accounts are configured to have fewer user rights on the system could be less impacted than those who operate with administrative user rights.

The security update addresses the vulnerabilities by modifying the way that Internet Explorer handles objects in memory and by helping to ensure that affected versions of Internet Explorer properly implement the ASLR security feature.
Severity Ratings and Affected Software This security update is rated Critical for Internet Explorer 6, Internet Explorer 7, Internet Explorer 8, Internet Explorer 9, Internet Explorer 10, and Internet Explorer 11 on affected Windows clients, and Moderate for Internet Explorer 6, Internet Explorer 7, Internet Explorer 8, Internet Explorer 9, Internet Explorer 10, and Internet Explorer 11 on affected Windows servers.
Attack Vectors Memory Corruption Vulnerabilities:

An attacker could host a specially crafted website that is designed to exploit these vulnerabilities through Internet Explorer, and then convince a user to view the website. The attacker could also take advantage of compromised websites and websites that accept or host user-provided content or advertisements by adding specially crafted content that could exploit these vulnerabilities. An attacker would have to convince users to take action, typically by getting them to click a link in an instant messenger or email message that takes users to the attacker’s website, or by getting them to open an attachment sent through email.
CVE-2015-1661:
An attacker could use this ASLR bypass vulnerability in conjunction with another vulnerability, such as a remote code execution vulnerability, that could take advantage of the ASLR bypass to run arbitrary code.
Mitigating Factors Microsoft has not identified any mitigations for these vulnerabilities.
Restart Requirement This update requires a restart.
Bulletins Replaced by This Update MS15-018
Full Details https://technet.microsoft.com/library/security/MS15-032

Bulletin Identifier Microsoft Security Bulletin MS15-033
Bulletin Title Vulnerabilities in Microsoft Office Could Allow Remote Code Execution (3048019)
Executive Summary This security update resolves vulnerabilities in Microsoft Office. The most severe of the vulnerabilities could allow remote code execution if a user opens a specially crafted Microsoft Office file. An attacker who successfully exploited the vulnerabilities could run arbitrary code in the context of the current user.

The security update addresses the vulnerabilities by correcting how Microsoft Office parses specially crafted files, by correcting how Office handles files in memory, and by helping to ensure that SharePoint Server properly sanitizes user input.
Severity Ratings and Affected Software This security update is rated Critical for all supported editions of the following software:

  • Microsoft Word 2007, Microsoft Office 2010, Microsoft Word 2010
  • Microsoft Word Viewer, Microsoft Office Compatibility Pack
  • Word Automation Services on Microsoft SharePoint Server 2010
  • Microsoft Office Web Apps Server 2010
This security update is rated Important for all supported editions of the following software:
  • Microsoft Word 2013
  • Microsoft Office for Mac 2011, Microsoft Word for Mac 2011, Outlook for Mac for Office 365
  • Word Automation Services on Microsoft SharePoint Server 2013
  • Microsoft Office Web Apps Server 2013
Attack Vectors CVE-2015-1641, CVE-2015-1649, CVE-2015-1650, and CVE-2015-1651:

Exploitation of these vulnerabilities requires that a user open a specially crafted file with an affected version of Microsoft Office software. In an email attack scenario an attacker could exploit the vulnerabilities by sending a specially crafted file to the user and convincing the user to open the file. In a web-based attack scenario an attacker could host a website (or leverage a compromised website that accepts or hosts user-provided content) that contains a specially crafted file that is designed to exploit the vulnerabilities.
CVE-2015-1639:
Exploitation of this vulnerability requires that a user views specially crafted content, which then could run a script in the context of the user. In a web-based attack scenario, an attacker could host a website (or leverage a compromised website that accepts or hosts user-provided content) that contains specially crafted content that is designed to exploit the vulnerability. An attacker would have to convince users to visit an affected website, typically by getting them to click a link in an instant messenger or email message, and then convince them to open the specially crafted file.
Mitigating Factors Microsoft has not identified any mitigating factors for these vulnerabilities.
Restart Requirement This update may require a restart.
Bulletins Replaced by This Update MS14-081 and MS15-022
Full Details https://technet.microsoft.com/library/security/MS15-033

Bulletin Identifier Microsoft Security Bulletin MS15-034
Bulletin Title Vulnerability in HTTP.sys Could Allow Remote Code Execution (3042553)
Executive Summary This security update resolves a vulnerability in Microsoft Windows. The vulnerability could allow remote code execution if an attacker sends a specially crafted HTTP request to an affected Windows system.

The security update addresses the vulnerability by modifying how the Windows HTTP stack handles requests.
Severity Ratings and Affected Software This security update is rated Critical for all supported editions of Windows 7, Windows Server 2008 R2, Windows 8, Windows 8.1, Windows Server 2012, and Windows Server 2012 R2.
Attack Vectors To exploit this vulnerability, an attacker would have to send a specially crafted HTTP request to the affected system.
Mitigating Factors Microsoft has not identified any mitigating factors for this vulnerability.
Restart Requirement This update requires a restart.
Bulletins Replaced by This Update None
Full Details https://technet.microsoft.com/library/security/MS15-034

Bulletin Identifier Microsoft Security Bulletin MS15-035
Bulletin Title Vulnerability in Microsoft Graphics Component Could Allow Remote Code Execution (3046306)
Executive Summary This security update resolves a vulnerability in Microsoft Windows. The vulnerability could allow remote code execution if an attacker successfully convinces a user to browse to a specially crafted website, open a specially crafted file, or browse to a working directory that contains a specially crafted Enhanced Metafile (EMF) image file. In all cases, however, an attacker would have no way to force users to take such actions; an attacker would have to convince users to do so, typically by way of enticements in email or instant messages.

The security update addresses the vulnerability by correcting how Microsoft Windows processes EMF files.
Severity Ratings and Affected Software This security update is rated Critical for all supported editions of Microsoft Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7, and Windows Server 2008 R2.
Attack Vectors In a web-based attack scenario, an attacker could host a specially crafted website that is designed to exploit the vulnerability through Internet Explorer and then convince users to view the website. This could also include compromised websites or websites that accept or host user-provided content or banner advertisements; such websites could contain specially crafted content that is designed to exploit the vulnerability. An attacker would have to convince users to visit an affected website, typically by getting them to click a link in an email or instant message request.

In an email attack scenario, an attacker could exploit the vulnerability by sending Outlook users a specially crafted email, or sending them a specially crafted Office document as an attachment, and convincing the user to read the message or open the file.
An attacker could also exploit this vulnerability by hosting a malicious image file on a network share and convincing users to navigate to the folder in Windows Explorer.
Mitigating Factors Microsoft has not identified any mitigating factors for this vulnerability.
Restart Requirement This update may require a restart.
Bulletins Replaced by This Update None
Full Details https://technet.microsoft.com/library/security/MS15-035

Bulletin Identifier Microsoft Security Bulletin MS15-036
Bulletin Title Vulnerabilities in Microsoft SharePoint Server Could Allow Elevation of Privilege (3052044)
Executive Summary This security update resolves vulnerabilities in Microsoft Office server and productivity software. The vulnerabilities could allow elevation of privilege if an attacker sends a specially crafted request to an affected SharePoint server. An attacker who successfully exploited the vulnerabilities could read content that the attacker is not authorized to read, use the victim’s identity to take actions on the SharePoint site on behalf of the victim, such as change permissions and delete content, and inject malicious content in the victim’s browser.

The security update addresses the vulnerabilities by helping to ensure that Microsoft SharePoint Server properly sanitizes user input.
Severity Ratings and Affected Software This security update is rated Important for supported editions of Microsoft SharePoint Server 2010, Microsoft SharePoint Server 2013, and Microsoft SharePoint Foundation 2013.
Attack Vectors An authenticated attacker could exploit these vulnerabilities by sending a specially crafted request to an affected SharePoint server. The attacker who successfully exploited these vulnerabilities could then perform cross-site scripting attacks on affected systems and run script in the security context of the current user. These attacks could allow the attacker to read content that the attacker is not authorized to read, use the victim’s identity to take actions on the SharePoint site on behalf of the victim, such as change permissions and delete content, and inject malicious content in the victim’s browser.
Mitigating Factors Microsoft has not identified any mitigating factors for this vulnerability.
Restart Requirement This update may require a restart.
Bulletins Replaced by This Update MS14-022 and MS15-022.
Full Details https://technet.microsoft.com/library/security/MS15-036

Bulletin Identifier Microsoft Security Bulletin MS15-037
Bulletin Title Vulnerability in Windows Task Scheduler Could Allow Elevation of Privilege (3046269)
Executive Summary This security update resolves a vulnerability in Microsoft Windows. An attacker who successfully exploited the vulnerability could leverage a known invalid task to cause Task Scheduler to run a specially crafted application in the context of the System account. An attacker could then install programs; view, change, or delete data; or create new accounts with full user rights.

The security update addresses the vulnerability by ensuring that the known invalid Windows Defender task is either not present on or removed from affected systems.
Severity Ratings and Affected Software This security update is rated Important for all supported editions of Microsoft Windows 7 and Windows Server 2008 R2.
Attack Vectors To exploit the vulnerability, an attacker would first have to log on to the target system and determine whether or not the known invalid task was present on the system. If present, the attacker could then engineer the task to execute a specially crafted application in the context of the System account.
Mitigating Factors Microsoft has not identified any mitigating factors for this vulnerability.
Restart Requirement This update does not require a restart.
Bulletins Replaced by This Update None
Full Details https://technet.microsoft.com/library/security/MS15-037
Bulletin Identifier Microsoft Security Bulletin MS15-038
Bulletin Title Vulnerabilities in Microsoft Windows Could Allow Elevation of Privilege (3049576)
Executive Summary This security update resolves vulnerabilities in Microsoft Windows. The vulnerabilities could allow elevation of privilege if an attacker logs on to the system and runs a specially crafted application. An authenticated attacker who successfully exploited these vulnerabilities could acquire administrator credentials.

The security update addresses the vulnerability by correcting how Microsoft Windows validates impersonation events.
Severity Ratings and Affected Software This security update is rated Important for all supported releases of Microsoft Windows.
Attack Vectors To exploit these vulnerabilities, an attacker would first have to log on to the system. An attacker could then run a specially crafted application designed to increase privileges.
Mitigating Factors Microsoft has not identified any mitigating factors for these vulnerabilities.
Restart Requirement This update requires a restart.
Bulletins Replaced by This Update MS15-025 and MS15-031.
Full Details https://technet.microsoft.com/library/security/MS15-038

Bulletin Identifier Microsoft Security Bulletin MS15-039
Bulletin Title Vulnerability in XML Core Services Could Allow Security Feature Bypass (3046482)
Executive Summary This security update resolves a vulnerability in Microsoft Windows. The vulnerability could allow security feature bypass if a user opens a specially crafted file.

The security update addresses the vulnerability by correcting how Microsoft XML Core services enforces the same-origin policy in a document type declaration (DTD) scenario.
Severity Ratings and Affected Software This security update for Microsoft XML Core Services 3.0 is rated Important for all supported editions of Microsoft Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7, and Windows Server 2008 R2.
Attack Vectors In an email attack scenario, an attacker could exploit the vulnerability by sending a specially crafted file to the user and by convincing the user to open the file. In a web-based attack scenario, an attacker could host a website that contains a file that is used to attempt to exploit the vulnerability. An attacker would have to convince users to open the file, typically by way of an enticement in an email or instant message.
Mitigating Factors Microsoft has not identified any mitigating factors for this vulnerability.
Restart Requirement This update may require a restart.
Bulletins Replaced by This Update MS14-067
Full Details https://technet.microsoft.com/library/security/MS15-039

Bulletin Identifier Microsoft Security Bulletin MS15-040
Bulletin Title Vulnerability in Active Directory Federation Services Could Allow Information Disclosure (3045711)
Executive Summary This security update resolves a vulnerability in Active Directory Federation Services (AD FS). The vulnerability could allow information disclosure if a user leaves their browser open after logging off from an application and an attacker reopens the application in the browser immediately after the user has logged off.

The security update addresses the vulnerability by ensuring that the logoff process properly logs off the user.
Severity Ratings and Affected Software This security update is rated Important for AD FS 3.0 when installed on x64-based editions of Microsoft Windows Server 2012 R2.
Attack Vectors An attacker who successfully exploited this vulnerability could gain access to a user’s information by reopening an application from which the user has logged off. Since the logoff actually fails an attacker is not prompted to enter a username or password. An attacker could then use this vulnerability to discover information to which an AD FS user has access.
Mitigating Factors Microsoft has not identified any mitigating factors for this vulnerability.
Restart Requirement This update may require a restart.
Bulletins Replaced by This Update None
Full Details https://technet.microsoft.com/library/security/MS15-040

Bulletin Identifier Microsoft Security Bulletin MS15-041
Bulletin Title Vulnerability in .NET Framework Could Allow Information Disclosure (3048010)
Executive Summary This security update resolves a vulnerability in Microsoft .NET Framework. The vulnerability could allow information disclosure if an attacker sends a specially crafted web request to an affected server that has custom error messages disabled. An attacker who successfully exploited the vulnerability would be able to view parts of a web configuration file, which could expose sensitive information.

The security update addresses the vulnerability by removing file content details from the error messages that were facilitating the information disclosure.
Severity Ratings and Affected Software This security update is rated Important for Microsoft .NET Framework 1.1 Service Pack 1, Microsoft .NET Framework 2.0 Service Pack 2, Microsoft .NET Framework 3.5, Microsoft .NET Framework 3.5.1, Microsoft .NET Framework 4, Microsoft .NET Framework 4.5, Microsoft .NET Framework 4.5.1, and Microsoft .NET Framework 4.5.2 on affected releases of Microsoft Windows.
Attack Vectors To exploit this vulnerability, an attacker could a send a specially crafted web request to an affected server with the intention of eliciting an error message that could disclose information pertaining to the source line that originated the exception. Ultimately, this could disclose information that was not intended to be accessible.
Mitigating Factors Only IIS servers that serve verbose error messages are affected; production servers are unlikely to be affected.
Restart Requirement This update may require a restart.
Bulletins Replaced by This Update MS14-009
Full Details https://technet.microsoft.com/library/security/MS15-041

Bulletin Identifier Microsoft Security Bulletin MS15-042
Bulletin Title Vulnerability in Windows Hyper-V Could Allow Denial of Service (3047234)
Executive Summary This security update resolves a vulnerability in Microsoft Windows. The vulnerability could allow denial of service if an authenticated attacker runs a specially crafted application in a virtual machine (VM) session. Note that the denial of service does not allow an attacker to execute code or elevate user rights on other VMs running on the Hyper-V host; however, it could cause other VMs on the host to not be manageable in Virtual Machine Manager.

The security update addresses the vulnerability by correcting how Virtual Machine Manager validates user input.
Severity Ratings and Affected Software This security update is rated Important for Microsoft Windows 8.1 for x64-based Systems and Windows Server 2012 R2.
Attack Vectors An authenticated attacker runs a specially crafted application in a virtual machine (VM) session.
Mitigating Factors Microsoft has not identified any mitigating factors for this vulnerability.
Restart Requirement This update requires a restart.
Bulletins Replaced by This Update None
Full Details https://technet.microsoft.com/library/security/MS15-042

PatchDay- September 2014 Microsoft Security Bulletin Release

New Security Bulletins

Microsoft is releasing the following four new security bulletins for newly discovered vulnerabilities:

Bulletin ID Bulletin Title Max Severity Rating Vulnerability Impact Restart Requirement Affected Software
MS14-052 Cumulative Security Update for Internet Explorer (2977629) Critical Remote Code Execution Requires restart Internet Explorer on all supported editions of Microsoft Windows.
MS14-053 Vulnerability in .NET Framework Could Allow Denial of Service (2990931) Important Denial of Service May require restart Microsoft .NET Framework 1.1 Service Pack 1, Microsoft .NET Framework 2.0 Service Pack 2, Microsoft .NET Framework 3.0 Service Pack 2, Microsoft .NET Framework 3.5, Microsoft .NET Framework 3.5.1, Microsoft .NET Framework 4, and Microsoft .NET Framework 4.5/4.5.1/4.5.2 on affected releases of Microsoft Windows.
MS14-054 Vulnerability in Windows Task Scheduler Could Allow Elevation of Privilege (2988948) Important Elevation of Privilege Requires restart Microsoft Windows 8, Windows Server 2012, Windows RT, Windows 8.1, Windows Server 2012 R2, and Windows RT 8.1.
MS14-055 Vulnerabilities in Microsoft Lync Server Could Allow Denial of Service (2990928) Important Denial of Service Does not requires restart Microsoft Lync Server 2010 and Microsoft Lync Server 2013.

Summaries for new bulletin(s) may be found at https://technet.microsoft.com/library/security/ms14-sep.

 

Seit diesem August Patchday benötigen Systeme, die über WSUS oder Windows Update / Microsoft Update mit Security und non-Security Hotfixes bestückt werden, zwingend das sogenannte Spring Update KB 2919355. Ansonsten werden die neuen Hotfixes der folgenden Bulletins und künftige nicht angeboten werden.

MS14-052 ist maximal mit critical bewertet und beschreibt das diesmonatige Cumulative Security Update for Internet Explorer (2977629).

Betroffen ist der Internet Explorer auf allen supporteten Windows Client und Server Plattformen. Maximal sind Remote Code Executions beschrieben, die durch Besuch einer böswilligen Website ausgenutzt werden können, um Code im Kontext des angemeldeten Benutzers auszuführen.

Weiterhin werden mit diesem Cumulative Update veraltete Active-X-Controls deaktiviert, namentlich verwundbare Java-Controls:

  • J2SE 4, everything below (but not including) update 43
  • J2SE 5.0, everything below (but not including) update 71
  • Java SE 6, everything below (but not including) update 81
  • Java SE 7, everything below (but not including) update 65
  • Java SE 8, everything below (but not including) update 11

Aus der letztmonatigen Patchday-Information zum Thema Deaktivierung veralteter Active-X-Controls: Das Cumulative Update bringt auch einen neuen Mechanismus mit, der künftig (erstmals am 9. September 2014) verwendet werden wird, um veraltete Active-X Controls zu blockieren. Aufgrund des Presse-, Kunden- und internen Echos wurde der Aktivierungstermin des Blockierungsmechanismus‘ um 30 Tage [auf den September Patchday] verschoben. Im September werden veraltete Oracle Java Plugins deaktiviert, wie Firefox und Chrome es bereits heute tun. Wie beschrieben im IE Blog unter http://blogs.msdn.com/b/ie/archive/2014/08/06/internet-explorer-begins-blocking-out-of-date-activex-controls.aspx werden nach der Aktivierung des Mechanismus in allen IE Zonen außer Local Intranet Zone und Trusted Sites Zone die im Blog benannten Controls gesperrt, die in der XML Datei http://go.microsoft.com/fwlink/?LinkId=403864 -> https://iecvlist.microsoft.com/ie11blocklist/1401746408/versionlist.xml gelistet sind. Im Blog ist ebenfalls beschrieben, wie die Behandlung von veralteten Active-X Controls per GPO konfiguriert werden kann (auch z.B. für ein Logging only). Außerdem ist beschrieben, wie die Einstellungen alternativ per Registry Key durchgeführt werden können. Weiterführende Informationen finden Sie in der technischen Dokumentation unter http://technet.microsoft.com/en-us/ie/dn798785.aspx.

MS14-053 ist maximal mit important bewertet und beschreibt die Vulnerability in .NET Framework Could Allow Denial of Service (2990931).

Betroffen sind alle supporteten Versionen von .NET Framework außer .NET 3.5 SP1.

Um verwundbar zu sein, muß ASP.NET manuell installiert und aktiviert und eine .NET verwendende Website im IIS registriert sein.

Dabei werden Hash-Kollisionen (identische Hash-Werte bei unterschiedlichen Konstellationen) ausgenutzt.

Mit wenigen böswilligen Anfragen kann hier die Performance so stark herabgesetzt werden, um eine Denial of Servie Situation herbeizuführen.

Hinweis für Entwickler ab .NET Framework 4.5: Aktivieren Sie die Applikations-Runtime-Einstellung UseRandomizedStringHashAlgorithm um Hash-Kollisionen auf einer per-Application-Domain Basis zu vermeiden. Mehr Informationen hierzu finden Sie unter http://msdn.microsoft.com/en-us/library/jj152924(v=vs.110).aspx.

MS14-054 ist mit important bewertet und beschreibt die Vulnerability in Windows Task Scheduler Could Allow Elevation of Privilege (2988948).

Betroffen sind Windows Client 8 und 8.1 (inklusive RT und 8.1 RT) sowie Windows Server 2012 und 2012 R2 (inklusive Server Core).

Durch die fehlerhafte Implementierung von Integritätsprüfungen kann ein Angreifer mittels böswilliger Task Schedulder Tasks Code im Kontext von Local System ausführen und damit ein System potentiell übernehmen.

MS14-055 ist mit important bewertet und beschreibt die Vulnerabilities in Microsoft Lync Server Could Allow Denial of Service (2990928).

Betroffen sind Lync Server 2010 und 2013.

Zwei der Schwachstellen sind unter Kenntnis einer validen SIP-Adresse oder einer Lync-Einladung geeignet für einen Denial of Service Angriff.

Eine Schachstelle stellt eine reflected Cross Site Scripting (XSS) Information Disclosure Schwachstelle dar. Hier kann ein Angreifer mittels böswilliger Websites Scripts im Kontext des besuchenden Users von Web Sessions ausführen.

Vor Installation des Security Hotfixes ist jeweils das neueste Cumulative Update (CU) von Lync Server als Voraussetzung erforderlich.

Ergänzender Nachtrag zu MS14-045 vom AugustVulnerabilities in Kernel-Mode Drivers Could Allow Elevation of Privilege (2984615):

Der Security Hotfix 2982791 wurde seinerzeit wegen ungewollten Bluescreens (BSoD) durch 2993651 ersetzt.

Im zugehörigen KB-Artikel http://support.microsoft.com/kb/2993651/en-us wurde bei Known Issue 2 “dringend empfohlen”, vor dem neuen Security Hotfix den alten zu deinstallieren. Diese Dringlichkeit ist etwas dramatisch formuliert. Primär geht es hier um “Housekeeping” – Aufräumen von Registry-Informationen zu installierten Hotfixes. Technisch ist zur Wirksamkeit des Security Hotfixes und zur Vermeidung der BSoD Probleme die Deinstallation des alt-Security-Hotfixes nicht zwingend nötig.

Im MBSA wird der alte Fix zwar als überholt (superseded) angezeigt, aber gleichzeitig der neue Security Hotfix als korrekt erkannt.

Das Security Advisory (2905247) Insecure ASP.NET Site Configuration Could Allow Elevation of Privilege wurde re-released (http://technet.microsoft.com/en-us/library/2905247):

Die Updates, bislang nur über das Download Center / Windows Update Catalog bereitgestellt wurden, stehen jetzt auch zur automatischen Installation per Windows Update zur Verfügung.

Das Security Advisory zu Pass-The-Hash (PTH), Update to Improve Credentials Protection and Management (2871997) http://technet.microsoft.com/en-us/library/2871997 wurde aktualisiert: Die Sicherheitsmechanismen aus Windows 8.1 und Server 2012 R2 wurden auf Windows 7 SP1 und Server 2008 R2 SP1 übernommen (backported):

 

 

Bereits veröffentlicht – die Liste wichtiger Updates über MU, WU und WSUS:

Die Informationen dazu finden Sie in Artikel http://support.microsoft.com/kb/894199/en-us

Dieser Artikel beschreibt zusätzlich zu den Security Hotfixes auch die nicht-Security relevanten Hotfixes.

Diese wichtigen Updates sind bis auf die unten genannten Ausnahmen bereits heute mit ihren KB-Artikeln aufgelistet.

Microsoft (USA), Trustworthy Computing, wird Mittwoch abend einen Webcast durchführen, um Kundenfragen zu diesem Bulletin zu beantworten.

Link zum Webcast (neu): http://technet.microsoft.com/de-de/security/dn756352 –> verweist auf:

[ggf. vorher testen] Trustworthy Computing Ustream channel

http://www.ustream.tv/channel/trustworthy-computing

Zum Termin: 10.9.2014, 11 Uhr Pacific Time (20 Uhr MESZ)

Weiterhin gibt es jeweils an diesem Mittwochmorgen um 11 Uhr (MESZ) eine Telefonkonferenz für Europa, an der Sie auch teilnehmen und Fragen stellen können.

Hierfür wählen Sie sich bei Bedarf bitte ein unter:

Telefon 089 – 3176 – 3500 (andere Einwahlnummern: https://join.microsoft.com/dialin)

Nötig für die Einwahl: Conference ID 9855950

Zugang über den Lync-Client: https://join.microsoft.com/meet/henkvanr/JWYMKCY0

Zugang über den Lync-Web-Client: https://join.microsoft.com/meet/henkvanr/JWYMKCY0?sl=1

(Der Web-Client unterstützt auch Mac-OS.)

Die ausführliche Version der Ankündigung neuer Security Bulletins für diesen Monat, finden Sie unter:

englisch: http://technet.microsoft.com/en-us/security/bulletin/ms14-sep

deutsch: http://technet.microsoft.com/de-de/security/bulletin/ms14-sep (derzeit wird dort lediglich auf die englischsprachige Version verwiesen) und unten in dieser Mail.

Die Archiv-Zusammenfassung inklusive Suchmöglichkeit (ab 06.1998) finden Sie über https://technet.microsoft.com/security/bulletin.

MBSA

Der MBSA 2.3 ist beschrieben in http://technet.microsoft.com/en-us/security/cc184924.aspx.

Windows RT wird lediglich durch Windows Update / Microsoft Update unterstützt.

Direkter Download des MBSA 2.3: via http://www.microsoft.com/download/details.aspx?id=7558

Security Bulletin Severity Rating System

Bei Fragen zur Einstufung von Security Hotfixes in critical, Important, moderate, low siehe

http://technet.microsoft.com/en-us/security/gg309177.aspx

Microsoft Ausnutzbarkeitsindex (Microsoft Exploitability Index):

Verwenden Sie diese Tabelle, um etwas über die Wahrscheinlichkeit zu erfahren, daß für die einzelnen Sicherheitsupdates, die Sie möglicherweise installieren müssen, funktionierender Angreifercode veröffentlicht wird. Sie sollten sich unter Berücksichtigung Ihrer konkreten Konfiguration jede der untenstehenden Bewertungen ansehen, um Prioritäten für Ihre Bereitstellung festzulegen.

Seit Oktober 2008 stellt Microsoft diese Tabelle für jedes Security Bulletin auf der jeweiligen Webseite zur Verfügung.

Weitere Informationen zur Bedeutung und Festlegung dieser Bewertungen finden Sie hier:

http://technet.microsoft.com/en-us/security/cc998259.aspx.

 

 

 

PatchDay- Juli 2014 Microsoft Security Bulletin Release

Microsoft hat heute abend wie angekündigt -6- Security Bulletins veröffentlicht.

Zwei der Bulletins sind mit critical bewertet und betreffen Internet Explorer sowie Windows Client und Server.

Sie beschreiben maximal Remote Code Executions.

Drei der Bulletins sind mit important bewertet und betreffen Windows Client und Server.

Sie beschreiben maximal Elevation of Privilege Schwachstellen.

Eins der Bulletins ist mit moderate bewertet, betrifft Windows Server und beschreibt eine Denial of Service Schwachstelle.

Die genau betroffenen Produkte und ihre Versionen finden Sie weiter unten in dieser Mail.

Außerdem wurden drei Security Advisories (davon auch das bekannte zum Adobe Flashplayer) überarbeitet.

Im Security Research & Defense (SRD) blog: http://blogs.technet.com/b/srd sind Hinweise zur Bewertung der Risiken der einzelnen Schwachstellen.

MS14-037 ist maximal mit critical bewertet und beschreibt das diesmonatige Cumulative Update for Internet Explorer (2975687).

Maximal sind unter den 24 Schwachstellen Remote Code Execution-Schwachstellen für alle supporteten Versionen des IE auf allen supporteten OS-Versionen beschrieben. Angreifer können jeweils maximal Code im Kontext des angemeldeten Users ausführen.

Eine Schwachstelle (security feature bypass CVE-2014-2783) ermöglicht es, die Extended Validation (EV) SSL Certificate Guidelines zu umgehen durch Aufruf einer böswilligen URL oder HTML Datei.

MS14-038 ist maximal mit critical bewertet und beschreibt die Vulnerability in Windows Journal Could Allow Remote Code Execution (2985689).

Windows Journal ist eine Komponente zur Erstellung von Notizen und ist standardmäßig auf allen supporteten Windows Clients installiert (inklusive RT / 8.1 RT).

Auf Windows Server 2008 ist Journal nur installiert, wenn die Desktop Experience aktiviert wurde.

Auf Windows Server 2008 R2 und höher ist Journal nur installiert, wenn die Handwriting Experience aktiviert wurde.

Nur wenn Journal wie oben beschrieben installiert ist, sind auch die zugehörigen Systeme betroffen.

Als Angriffsvektor dient eine Journal-Datei .JNT, die böswillig erstellt und vom Anwender geöffnet wird.

Bei erfolgreichem Angriff könnte Code im Kontext des angemeldeten Benutzers ausgeführt werden.

MS14-039 ist mit important bewertet und beschreibt die Vulnerability in On-Screen Keyboard Could Allow Elevation of Privilege (2975685).

Betroffen sind Windows Client und Server ohne Server 2003.

Entwickler, die Mouse- und Keyboard-API-Hooks nutzen, sollten sich diesen Artikel (FAQ) und die weiterführenden Informationen genauer anschauen.

Um diese Schwachstelle auszunutzen, muß ein Angreifer zunächst das On-Screen Keyboard starten und dann eine böswillige Anwendung auf das angegriffene System aufbringen.

Bei einer erfolgreichen Ausnutzung könnte der Angreifer schließlich Code im Kontext des angemeldeten Benutzers ausführen.

MS14-040 ist mit important bewertet und beschreibt die Vulnerability in Ancillary Function Driver (AFD) Could Allow Elevation of Privilege (2975684).

Alle supporteten Client- und Server Betriebssysteme (inklusive RT / 8.1 RT) sind betroffen.

Ein Angreifer kann bei erfolgreicher Ausnutzung dieser Schwachstelle mittels einer böswilligen Applikation Code im System-Kontext ausführen.

MS14-041 ist mit important bewertet und beschreibt die Vulnerability in DirectShow Could Allow Elevation of Privilege (2975681).

Alle supporteten Versionen von Windows Client und Server (ohne RT, ohne RT 8.1) sind betroffen.

Ein Angreifer kann durch Anzeige böswillig erstellter Bilddateien lokal oder in einer manipulierten Websites maximal Code im Kontext des angemeldeten Benutzers ausführen.

MS14-042 ist mit moderate bewertet und beschreibt die Vulnerability in Microsoft Service Bus Could Allow Denial of Service (2972621).

Diese Schwachstelle in Microsoft Service Bus 1.1, betrifft dann Server 2008 R2, Server 2012 und Server 2012 R2.

Microsoft Service Bus muß separat heruntergeladen, installiert und konfiguriert werden.

Sie kann durch ein böswilliges Programm ausgenutzt werden, das eine Sequenz von Nachrichten des Advanced Message Queuing Protocol (AMQP) an das angegriffene System sendet. Hierdurch ist es möglich, daß der Microsoft Service Bus keine eingehenden Nachrichten mehr bearbeitet.

Dieses Update aktuell nicht über WSUS verfügbar (ggf. später, aktuell über das Download Center / Windows Update Catalog).

Es sind non-Security-Updates mit inbegriffen, siehe KB 2979588.

Bitte beachten Sie die folgenden, erneut veröffentlichten Security Advisories ebenfalls:

Das Security Advisory Update to Improve Credentials Protection and Management, erreichbar über https://technet.microsoft.com/en-us/library/security/2871997, wurde re-released, um per Registry Konfigurationsmöglichkeiten anzubieten für den Restricted Admin mode for Credential Security Support Provider (CredSSP).

Dieser Restricted Admin Mode – Mechanismus richtet sich gegen Pass-the-Hash-Angriffe. Hierzu finden Sie weitere Informationen und White-Papers unter https://www.microsoft.com/pth.

Unser Development-Berater und Security Spezialist Oliver Niehus (siehe CC), ist Mittwoch in Karlsruhe onsite und könnte aktuell oder im Nachgang Ihre Rückruf-Wünsche und Fragen aufnehmen und morgen oder voraussichtlich in der kommenden Woche beantworten.

Für eine neue Version des Adobe Flashplayers für Windows 8.1 und Windows 8, Server 2012 R2 und 2012 wurde das Standard-Advisory https://technet.microsoft.com/library/security/2755801 gemäß

Adobes Bulletin http://helpx.adobe.com/security/products/flash-player/apsb14-17.html aktualisiert und die Downloads verlinkt via http://support.microsoft.com/kb/2974008/en-us.

Downloads für die Standalone-Versionen des Flashplayers vor Windows 8 / Server 2012 erhalten sie wie gewohnt direkt über Adobe.

Das Security Advisory Update for Disabling RC4 in .NET TLS, erreichbar über https://technet.microsoft.com/en-us/library/security/2960358, wurde aktualisiert, um auf den zugehörigen KB Artikel http://support.microsoft.com/kb/2868725/en-us zu verweisen (detection change only für KB 2868725).

Wie Ihnen gewiß bekannt, wurde im April das sogenannte Springboard – / Frühjahrsupdate für Windows 8.1 / 8.1 RT / Server 2012 veröffentlicht.

Die Zeit, in der ohne das Frühjahrsupdate (KB 2919355) noch Security Hotfixes über Windows Update installiert werden, läuft im Juni ab, d.h. bei Verwendung von WSUS / Windows Update zur automatischen Erkennung und Verteilung ist der Juni Patchday der letzte, an dem Security Updates für Systeme ohne das Frühjahrsupdate erhalten.

In http://support.microsoft.com/kb/2919355/en-us finden sie weiterführende Informationen und Details zu den Updates von

Windows 8.1 / 8.1 RT http://go.microsoft.com/fwlink/p/?LinkId=393515

und Server 2012 R2 http://go.microsoft.com/fwlink/?LinkId=394841 (inklusive IE 11 Enterprise Mode).

Die Übersetzungen ins Deutsche stehen ebenfalls auf der entsprechenden Webseite zur Verfügung.

Mit dem neuen, englischsprachigen Service My Security Bulletins Dashboard, http://mybulletins.technet.microsoft.com/,

können Sie sich eine für Sie persönlich optimierte Liste von Security Bulletins der Produkte, die Sie interessieren, zusammenstellen.

Ein Microsoft-Account (ex Windows Live Account) ist hierfür erforderlich.

Wenn künftig Security-Updates für Microsoft App-Store Applikationen veröffentlicht werden, wird vergleichbar den Adobe Flashplayer-Updates ein feststehendes Advisory auf die einzelnen Updates verweisen und fortlaufend aktualisiert werden, siehe auch http://www.microsoft.com/security/msrc/security-for-apps.aspx.

Die ausführliche Version der Ankündigung neuer Security Bulletins für diesen Monat, finden Sie unter:

englisch: http://technet.microsoft.com/en-us/security/bulletin/ms14-jul

deutsch: http://technet.microsoft.com/de-de/security/bulletin/ms14-jul (derzeit wird dort lediglich auf die englischsprachige Version verwiesen) und unten in dieser Mail.

Die Archiv-Zusammenfassung inklusive Suchmöglichkeit (ab 06.1998) finden Sie über https://technet.microsoft.com/security/bulletin/.

Bereits veröffentlicht – die Liste wichtiger Updates über MU, WU und WSUS:

Die Informationen dazu finden Sie in Artikel http://support.microsoft.com/kb/894199/en-us

Dieser Artikel beschreibt zusätzlich zu den Security Hotfixes auch die nicht-Security relevanten Hotfixes.

Diese wichtigen Updates sind bis auf die unten genannten Ausnahmen bereits heute mit ihren KB-Artikeln aufgelistet.

Im Juli sind ca. 35 Updates, die keine Security-Hotfixes umfassen, zur Bereitstellung vorgesehen.

Ein großer Teil (ca. 30) der zugehörigen KB-Artikel ist aber nach wie vor noch nicht verfaßt oder noch nicht veröffentlicht.

Davon befassen sich 17 mit Updates zu Windows 8.1 Apps (ex “Metro-Apps”), die aktualisiert werden sollen.

Eine Übersicht mit dem aktuellen, unveränderten Stand heute Nachmittag ist als Textdatei angefügt.

Leider sind vorher keine detaillierten Aussagen zu den Artikeln möglich.

Die Liste der Office non-Security Updates stelle ich bei Bedarf mit separater Mail aufgrund der Länge der Liste zur Verfügung.

MBSA

Der MBSA 2.3 ist beschrieben in http://technet.microsoft.com/en-us/security/cc184924.aspx.

Windows RT wird lediglich durch Windows Update / Microsoft Update unterstützt.

Direkter Download des MBSA 2.3: via http://www.microsoft.com/download/details.aspx?id=7558

Security Bulletin Severity Rating System

Bei Fragen zur Einstufung von Security Hotfixes in critical, Important, moderate, low siehe

http://technet.microsoft.com/en-us/security/gg309177.aspx

Microsoft Ausnutzbarkeitsindex (Microsoft Exploitability Index):

Verwenden Sie diese Tabelle, um etwas über die Wahrscheinlichkeit zu erfahren, daß für die einzelnen Sicherheitsupdates, die Sie möglicherweise installieren müssen, funktionierender Angreifercode veröffentlicht wird. Sie sollten sich unter Berücksichtigung Ihrer konkreten Konfiguration jede der untenstehenden Bewertungen ansehen, um Prioritäten für Ihre Bereitstellung festzulegen.

Seit Oktober 2008 stellt Microsoft diese Tabelle für jedes Security Bulletin auf der jeweiligen Webseite zur Verfügung.

Weitere Informationen zur Bedeutung und Festlegung dieser Bewertungen finden Sie hier:

http://technet.microsoft.com/en-us/security/cc998259.aspx.

Zusätzliche Informationen:

Microsoft Windows Malicious Software Removal Tool:

Microsoft veröffentlicht eine neue Version des “Microsoft Windows Malicious Software Removal Tool” auf Windows Update, Microsoft Update, Windows Server Update Services und dem Download Center.

Informationen zum “Microsoft Windows Malicious Software Removal Tool” (MSRT) finden Sie hier:

http://support.microsoft.com/kb/890830/en-us und weitere Informationen über http://www.microsoft.com/malwareremove.

Microsoft Security Intelligence Report SIR:

Unter http://www.microsoft.com/security/sir/default.aspx finden Sie den Microsoft Security Intelligence Report.

Dieser faßt mit einer Datenanalyse Informationen zur Bedrohungslandschaft von Exploits, Schwachstellen und Malware auf der Basis von 600 Millionen Computersystemen weltweit zusammen (letzter, aktualisierter Report vom Stand zweites Halbjahr 2013 SIR Volume 16).

Microsoft (USA), Trustworthy Computing, wird nächste Woche Mittwoch abend einen Webcast durchführen, um Kundenfragen zu diesem Bulletin zu beantworten.

Link zum Webcast (neu): http://technet.microsoft.com/de-de/security/dn756352 –> Kalendereintrag + Webpage –> verweist auf:

 

URL Struktur – Einstieg über technet.microsoft.com

Die Übersicht der vergangenen Webcasts finden Sie jeweils in der Übersicht der vergangenen Bulletins unter:

http://technet.microsoft.com/en-us/security/bulletin/ (mit Selektionsmöglichkeit nach Produkt, Bulletin-Nummer, CVE, KB-Nummer ab 06.1998).

Die Bulletin Verlinkung

Direkteinstieg Security Bulletin, z.B. via https://technet.microsoft.com/library/security/ms14-029

Direkteinstieg Advisory z.B. via https://technet.microsoft.com/library/security/2960358

Ein übergeordneter Einstieg für Security Bulletins und Security Advisories erreichen Sie über

https://technet.microsoft.com/en-us/library/security/dn610807.aspx

 

What is the purpose of this alert?

This alert is to provide you with an overview of the new security bulletins being released on July 08, 2014. Security bulletins are released monthly to resolve critical problem vulnerabilities. This alert will also provide details on security advisory revisions published on July 08, 2014.

New Security Bulletins

Microsoft is releasing the following six new security bulletins for newly discovered vulnerabilities:

Bulletin ID Bulletin Title Max Severity Rating Vulnerability Impact Restart Requirement Affected Software
MS14-037 Cumulative Security Update for Internet Explorer (2975687) Critical Remote Code Execution Requires restart Internet Explorer on all supported editions of Windows.
MS14-038 Vulnerability in Windows Journal Could Allow Remote Code Execution (2975689) Critical Remote Code Execution May require restart Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8, Windows 8.1, Windows Server 2012, Windows Server 2012 R2, Windows RT, and Windows RT 8.1.
MS14-039 Vulnerability in On-Screen Keyboard Could Allow Elevation of Privilege (2975685) Important Elevation of Privilege Requires restart All supported editions of Windows, except Windows Server 2003.
MS14-040 Vulnerability in Ancillary Function Driver (AFD) Could Allow Elevation of Privilege (2975684) Important Elevation of Privilege Requires restart All supported editions of Windows.
MS14-041 Vulnerability in DirectShow Could Allow Elevation of Privilege (2975681) Important Elevation of Privilege May require restart Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8, Windows 8.1, Windows Server 2012, and Windows Server 2012 R2.
MS14-042 Vulnerability in Microsoft Service Bus Could Allow Denial of Service (2972621) Moderate Denial of Service Does not require restart Windows Server 2008 R2, Windows Server 2012, and Windows Server 2012 R2.

Summaries for new bulletin(s) may be found at https://technet.microsoft.com/library/security/ms14-jul.

Security Advisory Revisions

Microsoft Windows Malicious Software Removal Tool

Microsoft is releasing an updated version of the Microsoft Windows Malicious Software Removal Tool on Windows Server Update Services (WSUS), Windows Update (WU), and the Download Center. Information on the Microsoft Windows Malicious Software Removal Tool is available here: http://support.microsoft.com/?kbid=890830.

High-Priority Non-Security Updates

High priority non-security updates Microsoft releases to be available on Microsoft Update (MU), Windows Update (WU), or Windows Server Update Services (WSUS) will be detailed in the following KB Article: http://support.microsoft.com/?id=894199.

Public Bulletin Webcast

Microsoft will host a webcast to address customer questions on these bulletins:

Title: Information about Microsoft July Security Bulletins (Level 200).

Date: Wednesday, July 09, 2014, 11:00 A.M. Pacific Time (U.S. & Canada).

URL:http://technet.microsoft.com/security/dn756352

New Security Bulletin Technical Details

In the following tables of affected and non-affected software, software editions that are not listed are past their support lifecycle. To determine the support lifecycle for your product and edition, visit the Microsoft Support Lifecycle website: http://support.microsoft.com/lifecycle/.

Bulletin Identifier Microsoft Security Bulletin MS14-037
Bulletin Title Cumulative Security Update for Internet Explorer (2975687)
Executive Summary This security update resolves one publicly disclosed vulnerability and twenty-three privately reported vulnerabilities in Internet Explorer. The most severe of these vulnerabilities could allow remote code execution if a user views a specially crafted webpage using Internet Explorer.

The security update addresses the vulnerabilities by modifying the way that Internet Explorer handles objects in memory, validates permissions, and handles negotiation of certificates during a TLS session.

Severity Ratings and Affected Software This security update is rated Critical for Internet Explorer 6 (IE 6), Internet Explorer 7 (IE 7), Internet Explorer 8 (IE 8), Internet Explorer 9 (IE 9), Internet Explorer 10 (IE 10), and Internet Explorer 11 (IE 11) on affected Windows clients, and Moderate for Internet Explorer 6 (IE 6), Internet Explorer 7 (IE 7), Internet Explorer 8 (IE 8), Internet Explorer 9 (IE 9), Internet Explorer 10 (IE 10), and Internet Explorer 11 (IE 11) on affected Windows servers.
Attack Vectors Multiple:

  • A maliciously crafted website.
  • Compromised websites and websites that accept or host user-provided content or advertisements.

CVE-2014-2783:

  • An attacker could attempt to exploit this vulnerability by obtaining a wildcard EV SSL certificate. Note that a Certificate Authority (CA) that issues a wildcard EV SSL certificate would be in non-compliance with EV SSL certificate guidelines
Mitigating Factors Multiple:

  • An attacker would have to convince users to take action, typically by getting them to click a link in an email message or in an instant message that takes users to the attacker’s website, or by getting them to open an attachment sent through email.
  • Exploitation only gains the same user rights as the logged-on account.
  • By default, all Microsoft email clients open HTML email messages in the Restricted Sites zone.
  • By default, Internet Explorer runs in a restricted mode for all Windows Servers.

CVE-2014-2783:

  • Extended Validation (EV) SSL Certificate guidelines disallow the use of wildcard certificates. EV SSL certificates issued by Certificate Authorities (CA) in compliance with these guidelines cannot be used to exploit this vulnerability.
Restart Requirement This update requires a restart.
Bulletins Replaced by This Update MS14-035
Full Details https://technet.microsoft.com/library/security/ms14-037
Bulletin Identifier Microsoft Security Bulletin MS14-038
Bulletin Title Vulnerability in Windows Journal Could Allow Remote Code Execution (2975689)
Executive Summary This security update resolves a privately reported vulnerability in Microsoft Windows. The vulnerability could allow remote code execution if a user opens a specially crafted Journal file.

The security update addresses the vulnerability by modifying the way that Windows Journal parses Journal files.

Severity Ratings and Affected Software This security update is rated Critical for all supported editions of Windows Vista, Windows Server 2008 (excluding Itanium), Windows 7, Windows Server 2008 R2 (excluding Itanium), Windows 8, Windows Server 2012, Windows RT, Windows 8.1, Windows Server 2012 R2, and Windows RT 8.1.
Attack Vectors
  • This vulnerability requires that a user open a specially crafted Journal file with an affected version of Windows Journal.
  • In an email attack scenario, an attacker could exploit the vulnerability by sending a specially crafted Journal file to the user and by convincing the user to open the file.
  • In a web-based attack scenario, an attacker would have to host a website that contains a Journal file that is used to attempt to exploit this vulnerability. In addition, compromised websites and websites that accept or host user-provided content could contain specially crafted content that could exploit this vulnerability.
Mitigating Factors
  • Users whose accounts are configured to have fewer user rights on the system could be less impacted than users who operate with administrative user rights.
Restart Requirement This update may require a restart.
Bulletins Replaced by This Update MS13-054
Full Details https://technet.microsoft.com/library/security/ms14-038
Bulletin Identifier Microsoft Security Bulletin MS14-039
Bulletin Title Vulnerability in On-Screen Keyboard Could Allow Elevation of Privilege (2975685)
Executive Summary This security update resolves a privately reported vulnerability in Microsoft Windows. The vulnerability could allow elevation of privilege if an attacker uses a vulnerability in a low integrity process to execute the On-Screen Keyboard (OSK) and upload a specially crafted program to the target system.

The security update addresses the vulnerability by correcting how some programs communicate with programs of a different integrity level.

Severity Ratings and Affected Software This security update is rated Important for all supported releases of Windows except Windows Server 2003.
Attack Vectors To exploit this vulnerability, an attacker would have to first use a vulnerability in a low integrity process to execute the On-Screen Keyboard and then have a method of uploading a specially crafted program to the target system.
Mitigating Factors Microsoft has not identified any mitigating factors for this vulnerability.
Restart Requirement This update requires a restart.
Bulletins Replaced by This Update MS14-015
Full Details https://technet.microsoft.com/library/security/ms14-039
Bulletin Identifier Microsoft Security Bulletin MS14-040
Bulletin Title Vulnerability in Ancillary Function Driver (AFD) Could Allow Elevation of Privilege (2975684)
Executive Summary This security update resolves a privately reported vulnerability in Microsoft Windows. The vulnerability could allow elevation of privilege if an attacker logs onto a system and runs a specially crafted application. An attacker must have valid logon credentials and be able to log on locally to exploit this vulnerability.

The security update addresses the vulnerability by correcting the way that the Ancillary Function Driver (AFD) validates input before passing the input from user mode to the Windows kernel.

Severity Ratings and Affected Software This security update is rated Important for all supported releases of Microsoft Windows.
Attack Vectors To exploit this vulnerability, an attacker would first have to log on to the system. An attacker could then run a specially crafted application that could exploit the vulnerability and take complete control over the affected system.
Mitigating Factors An attacker must have valid logon credentials and be able to log on locally to exploit this vulnerability.
Restart Requirement This update requires a restart.
Bulletins Replaced by This Update MS11-046, MS12-009, and MS13-093.
Full Details https://technet.microsoft.com/library/security/ms14-040
Bulletin Identifier Microsoft Security Bulletin MS14-041
Bulletin Title Vulnerability in DirectShow Could Allow Elevation of Privilege (2975681)
Executive Summary This security update resolves a privately reported vulnerability in Microsoft Windows. The vulnerability could allow elevation of privilege if an attacker first exploits another vulnerability in a low integrity process and then uses this vulnerability to execute specially crafted code in the context of the logged on user.

The security update addresses the vulnerability by correcting how DirectShow manages objects in memory.

Severity Ratings and Affected Software This security update is rated Important for all supported editions of Windows Vista, Windows Server 2008 (excluding Itanium), Windows 7, Windows Server 2008 R2 (excluding Itanium), Windows 8, Windows 8.1, Windows Server 2012, and Windows Server 2012 R2.
Attack Vectors To exploit this vulnerability an attacker would first have to have successfully exploit another vulnerability in a low integrity process and then use this vulnerability to execute specially crafted code in the context of the logged on user.
Mitigating Factors By default, the modern, immersive browsing experience on Windows 8 and Windows 8.1 runs with Enhanced Protected Mode (EPM). For example, customers using the touch-friendly Internet Explorer 11 browser on modern Windows tablets are using Enhanced Protected Mode by default. Enhanced Protected Mode uses advanced security protections that can help mitigate against exploitation of this vulnerability on 64-bit systems.
Restart Requirement This update may require a restart.
Bulletins Replaced by This Update MS14-013
Full Details https://technet.microsoft.com/library/security/ms14-041
Bulletin Identifier Microsoft Security Bulletin MS14-042
Bulletin Title Vulnerability in Microsoft Service Bus Could Allow Denial of Service (2972621)
Executive Summary This security update resolves one publicly disclosed vulnerability in Microsoft Service Bus for Windows Server. The vulnerability could allow denial of service if a remote authenticated attacker creates and runs a program that sends a sequence of specially crafted Advanced Message Queuing Protocol (AMQP) messages to the target system.

The security update addresses the vulnerability by modifying how Service Bus for Windows Server handles AMQP messages.

Severity Ratings and Affected Software This security update is rated Moderate for Microsoft Service Bus 1.1 when installed on affected editions of Windows Server 2008 R2, Windows Server 2012, and Windows Server 2012 R2.
Attack Vectors A remote authenticated attacker could exploit this vulnerability by creating and running a program that sends a sequence of specially crafted AMQP messages to the target system.
Mitigating Factors Microsoft Service Bus for Windows Server is not shipped with any Microsoft operating system. For an affected system to be vulnerable Microsoft Service Bus must first be downloaded, installed, and configured, and then its configuration details (farm certificate) shared with other users.
Restart Requirement This update does not require a restart.
Bulletins Replaced by This Update None
Full Details https://technet.microsoft.com/library/security/ms14-042

Regarding Information Consistency

PatchDay- Juni 2014 Microsoft Security Bulletin Release

Microsoft hat gestern abend wie angekündigt 7 Security Bulletins veröffentlicht.
Bitte beachten Sie unten auch den Link zu non-Security-Updates und auch die Security Advisories.
Zwei der Bulletins sind mit critical bewertet und betreffen Internet Explorer und Windows Livemeeting, Lync, Office.
Sie beschreiben maximal Remote Code Executions.
Fünf der Bulletins sind mit important bewertet und betreffen Microsoft Office inklusive Compatiblity Pack, Windows Client und Server.
Sie beschreiben maximal ebenfalls Remote Code Executions.
Die genau betroffenen Produkte und ihre Versionen finden Sie weiter unten in dieser Mail.
Außerdem wurde das Security Advisory zum Adobe Flashplayer überarbeitet und ein weiteres Security Advisory zur nicht weiteren Verwendung des Hashverfahrens MD5 erneut veröffentlicht.
Im Security Research & Defense (SRD) blog: http://blogs.technet.com/b/srdsind Hinweise zur Bewertung der Risiken der einzelnen Schwachstellen.
MS14-030 ist maximal mit mportantbewertet und beschreibt die Vulnerabilities in Microsoft SharePoint Server Could Allow Remote Code Execution (2952166).
Betroffen von der Schwachstelle zur Manipulation (tampering) von RDP Sessions im Rahmen eines möglichen Man-in-the-Middle-Angriffs sind Windows 7, 8, 8.1, Server 2012 und Server 2012 R2 (ohne 8 RT / 8.1 RT, ohne Mac, ohne Server Core).
Ein Angreifer könnte eine aktive RDP-Session entschlüsseln und die Inhalte der Session verändern.
MS14-031 ist maximal mit importantbewertet und beschreibt die Vulnerability in TCP Protocol Could Allow Denial of Service (2962478).
Diese temporäre Denial of Service Schwachstelle wurde mit dem neuen TCP/IP Stack ab Windows Vista / Server 2008 und neuer (inklusive RT Varianten) etabliert.
Während einer aktiven Attacke stoppt ein angegriffenes System auf, im Netz zu antworten.
Es wird kein BSoD oder Absturz eines Services bewirkt. Nach Ende des Angriffs antwortet das System wieder.
MS14-032 ist mit important bewertet und beschreibt die Vulnerability in Microsoft Lync Server Could Allow Information Disclosure (2969258).
Bei dieser Schwachstelle kann ein Angreifer bei Lync Server 2010 und 2013 über ein mit Cross Site Scripting Mitteln ausgeführter Angriff u.U. auf Informationen aus anderen Web-Sessions mittels einer manipulierten Lync-Meeting URL zugreifen.
MS14-033 ist mit important bewertet und beschreibt die Vulnerability in Microsoft XML Core Services Could Allow Information Disclosure (2966061).
Betroffen von der Schwachstelle sind alle supporteten Windows Clients und Server (inklusive RT Varianten, inklusive Server Core) und dort jeweils die XML 3 und XML 6 Core Services.
Um unter Server 2003 auch XML 6 Core Services zu patchen, muß diese Komponente erst installiert werden.
Durch eine manipulierte Website oder eine andere Applikation, die XML Inhalte rendert, kann diese Schwachstelle den Zugriff auf Information zu ermöglichen, die normalerweise nicht erlaubt sind zugegriffen zu werden.
MS14-034 ist mit important bewertet und beschreibt die Vulnerability in Microsoft Word Could Allow Remote Code Execution (2969261).
Die Remote Code Execution Schwachstelle, von der Office 2007 und das Office Compatiblity Toolkit unter Office 2010 betroffen sind, ermöglicht es einem erfolgreichen Angreifer schlimmstenfalls, mittels des Öffnens manipulierter Office Dokumente Code im Kontext des angemeldeten Benutzers auszuführen.
MS14-035 ist mit criticalbewertet und beschreibt das diesmonatigeCumulative Security Update for Internet Explorer (2969262).
Dieses (wieder kummulative) Update für IE6-IE11 adressiert insgesamt 59 Schwachstellen, von denen lediglich 2 öffentlich bekannt (aber bislang keine aktiv ausgenutzt) sind.
Öffentlich bekannt waren CVE-2014-1770 und CVE-2014-1771.
Die maximale Auswirkung einiger beschriebenen Schwachstellen sind Remote Code Executions im Kontext des angemeldeten Benutzers, andere beschreiben Elevation of Privilege, Info-Disclosure durch Entführung einer TLS Verbindung und andere Info Disclosures.
MS14-036 ist mit criticalbewertet und beschreibt die Vulnerabilities in Microsoft Graphics Component Could Allow Remote Code Execution (2967487).
Diese GDI+ Schwachstelle kann von einem erfolgreichen Angreifer beim Anzeigen manipulierter Grafiken z.B. in Office, File Explorer Vorschau oder IE genutzt werden, böswilligen Code auszuführen.
Betroffen sind alle supporteten Versionen von Windows Client und Server (inklusive RT Varianten und Server Core) sowie Office 2007, Office 2010, Live Meeting, Lync und Lync Attendee.
Zu den Details der betroffenen und nicht betroffenen Office / Lync Produkten beachten Sie bitte die Sektion „affected / non-affected Software“ des Security Bulletins.
Bitte beachten Sie die folgenden, erneut veröffentlichten Security Advisories ebenfalls:
Als weitere Maßnahme, den nicht mehr als sicher betrachteten Hash-Algrotithmus MD5 auch unter Windows Embedded 8 und Server 2012 für Embedded Systeme als nicht mehr zu verwenden einzuordnen, wurde
https://technet.microsoft.com/library/security/2862973Update for Deprecation of MD5 Hashing Algorithm for Microsoft Root Certificate Program
für diese Produkte aktualisiert. Bisher betroffene Plattformen sind bereits hinreichend adressiert mit den früheren Binaries.
Für eine neue Version des Adobe Flashplayers für Windows 8.1 und Windows 8, Server 2012 R2 und 2012 wurde das Standard-Advisory https://technet.microsoft.com/library/security/2755801 gemäß
Downloads für die Standalone-Versionen des Flashplayers vor Windows 8 / Server 2012 erhalten sie wie gewohnt direkt über Adobe.
Mit dem neuen, englischsprachigen Service My Security Bulletins Dashboard, http://mybulletins.technet.microsoft.com/,
können Sie sich eine für Sie persönlich optimierte Liste von Security Bulletins der Produkte, die Sie interessieren, zusammenstellen.
Ein Microsoft-Account (ex Windows Live Account) ist hierfür erforderlich.
Wie Ihnen gewiß bekannt, wurde im April das sogenannte Springboard – / Frühjahrsupdate für Windows 8.1 / 8.1 RT / Server 2012 veröffentlicht.
Die Zeit, in der ohne das Frühjahrsupdate (KB 2919355) noch Security Hotfixes über Windows Update installiert werden, läuft im Juni ab, d.h. bei Verwendung von WSUS / Windows Update zur automatischen Erkennung und Verteilung ist der Juni Patchday der letzte, an dem Security Updates für Systeme ohne das Frühjahrsupdate erhalten.
In http://support.microsoft.com/kb/2919355/en-us finden sie weiterführende Informationen und Details zu den Updates von
und Server 2012 R2 http://go.microsoft.com/fwlink/?LinkId=394841 (inklusive IE 11 Enterprise Mode).
Die Übersetzungen ins Deutsche stehen ebenfalls auf der entsprechenden Webseite zur Verfügung.
Wenn künftig Security-Updates für Microsoft App-Store Applikationen veröffentlicht werden, wird vergleichbar den Adobe Flashplayer-Updates ein feststehendes Advisory auf die einzelnen Updates verweisen und fortlaufend aktualisiert werden, siehe auch http://www.microsoft.com/security/msrc/security-for-apps.aspx.
Die ausführliche Version der Ankündigung neuer Security Bulletins für diesen Monat, finden Sie unter:
deutsch: http://technet.microsoft.com/de-de/security/bulletin/ms14-jun (derzeit wird dort lediglich auf die englischsprachige Version verwiesen) und unten in dieser Mail.
Die Archiv-Zusammenfassung inklusive Suchmöglichkeit (neu, ab 06.1999) finden Sie über http://go.microsoft.com/fwlink/?LinkID=217214 bzw. https://technet.microsoft.com/security/bulletin/.
Non-security High Priority updates auf MU, WU und WSUS:
Microsoft stellt auch heute neue High-Priority NON-SECURITY Updates auf Windows Update, Microsoft Update und WSUS zu Verfügung,
Um eine komplette Liste zu den Security und NON-SECURITY Updates zu bekommen, lesen Sie bitte den folgenden KB-Artikel:
z.B. für Windows 7, Server 2008 R2, Windows 8, Server 2012, Windows 8.1 und Server 2012 R2, Windows RT / RT 8.1.
Die Liste der Office non-Security Updates stelle ich mit separater Mail aufgrund der Länge der Liste zur Verfügung.
MBSA
Windows RT wird lediglich durch Windows Update / Microsoft Update unterstützt.
Direkter Download des MBSA 2.3: via http://www.microsoft.com/download/details.aspx?id=7558
Security Bulletin Severity Rating System
Bei Fragen zur Einstufung von Security Hotfixes in critical, Important, moderate, low siehe
Microsoft Ausnutzbarkeitsindex (Microsoft Exploitability Index):
Verwenden Sie diese Tabelle, um etwas über die Wahrscheinlichkeit zu erfahren, daß für die einzelnen Sicherheitsupdates, die Sie möglicherweise installieren müssen, funktionierender Angreifercode veröffentlicht wird. Sie sollten sich unter Berücksichtigung Ihrer konkreten Konfiguration jede der untenstehenden Bewertungen ansehen, um Prioritäten für Ihre Bereitstellung festzulegen.
Seit Oktober 2008 stellt Microsoft diese Tabelle für jedes Security Bulletin auf der jeweiligen Webseite zur Verfügung.
Weitere Informationen zur Bedeutung und Festlegung dieser Bewertungen finden Sie hier:
Zusätzliche Informationen:
Microsoft Windows Malicious Software Removal Tool:
Microsoft veröffentlicht eine neue Version des “Microsoft Windows Malicious Software Removal Tool” auf Windows Update, Microsoft Update, Windows Server Update Services und dem Download Center.
Informationen zum “Microsoft Windows Malicious Software Removal Tool” (MSRT) finden Sie hier:
Microsoft Security Intelligence Report SIR:
Unter http://www.microsoft.com/security/sir/default.aspx finden Sie den Microsoft Security Intelligence Report.
Dieser faßt mit einer Datenanalyse Informationen zur Bedrohungslandschaft von Exploits, Schwachstellen und Malware auf der Basis von 600 Millionen Computersystemen weltweit zusammen (letzter, aktualisierter Report vom Stand zweites Halbjahr 2013 SIR Volume 16).

PatchDay- Mai 2014 Microsoft Security Bulletin Release

Microsoft hat gestern abend wie angekündigt 8 Security Bulletins veröffentlicht.
Bitte beachten Sie unten auch den Link zu non-Security-Updates und auch die Security Advisories.
Zwei der Bulletins sind mit critical bewertet und betreffen Sharepoint und Internet Explorer
(inklusive Office Web Applicaions, Sharepoint Server Client Components SDK, Project Server und Sharepoint Designer).
Sie beschreiben maximal Remote Code Executions.
Sechs der Bulletins sind mit important bewertet und betreffen MS Office, Windows Client und Server und NET Framework.
Sie beschreiben maximal ebenfalls Remote Code Executions.
Die genau betroffenen Produkte und ihre Versionen finden Sie weiter unten in dieser Mail.
Außerdem wurde das Security Advisory zum Adobe Flashplayer überarbeitet und drei weitere Security Advisories neu veröffentlicht.
Bitte beachten Sie darüber hinaus unten den Hinweis zur Verlängerung der Hotfix-Verteilung über Windows Update um einen weiteren Monat, sofern das sogenannte Spring Update 2014 (S14 Update) noch nicht installiert wurde.
Im Security Research & Defense (SRD) blog: http://blogs.technet.com/b/srdsind Hinweise zur Bewertung der Risiken der einzelnen Schwachstellen angegeben und insbesondere für den GPP-Security Hotfix MS14-025 Details zur Anwendung.
MS14-022 ist maximal mit critical bewertet und beschreibt die Vulnerabilities in Microsoft SharePoint Server Could Allow Remote Code Execution (2952166).
Betroffen von zwei Remote Code Execution- und einer Elevation of Privilege Schwachstellen sind Sharepoint Server (inklusive Office Web Applicaions, Sharepoint Server Client Components SDK, Project Server und Sharepoint Designer). Ein authentifizierter Angreifer kann durch Upload böswilliger Seiten die Schwachstellen angreifen.
MS14-023 ist maximal mit importantbewertet und beschreibt die Vulnerabilities in Microsoft Office Could Allow Remote Code Execution (2961037).
Betroffen sind Office 2013 / 2013 RT, sowie die chinesische Grammatikprüfung in Office 2007 und Office 2010.
Eine der Schwachstellen (CVE-2014-1756) ist eine Remote Code Execution auf Basis der bekannten DLL-Sideloading Familie (siehe Security Advisory 2269637 aus 2010, https://technet.microsoft.com/library/security/2269637), das inzwischen 19 Mal aktualisiert wurde. Der Angriffsvektor ist ein Office Dokument zusammen mit einer böswillig präparierten DLL z.B. auf einem Netzwerkshare oder USB-Stick.
Die andere, durchaus schwerwiegende, Information Disclosure Schwachstelle CVE-2014-1808 besteht darin, daß ein Angreifer über eine böswillige Website das Zugriffstoken für einen angegriffenen MS Online Service zweckentfremden könnte, um Zugriff auf die Daten des Opfers zu erhalten (reuse of access token / token replay attack).
MS14-024 ist mit important bewertet und beschreibt die Vulnerability in a Microsoft Common Control Could Allow Security Feature Bypass (2961033).
Betroffen von dieser Remote Code Execution Schwachstelle sind alle supporteten Versionen von Microsoft Office und dort die MSCOMCTL Common Controls Library.
In dieser Library wurde das Security Feature ASLR fehlerhaft implementiert und kann verwendet werden, um die böswillige Verläßlichkeit anderer Angriffe zu erhöhen.
Wir haben begrenzte, gezielte Angriffe auf diese Schwachstelle kürzlich festgestellt.
EMET 4.1 (neu mit Update 1, hier http://support.microsoft.com/kb/2964759/en-us auffindbar und auch für Terminal Server nutzbar) wäre auch hier geeignet, Angriffe erfolgreich abzuwehren.
Nach der lokalen Installation von EMET finden Sie sehr weitgehende Informationen in der mit installierten Datei C:Program FilesEMETEMET User’s Guide.pdf bzw. C:Program Files (x86)EMETEMET User’s Guide.pdf.
Die neuesten Informationen über EMET finden Sie überwww.microsoft.com/emetverlinkt derzeit auf ->http://technet.microsoft.com/en-us/security/jj653751
Dort sind rechts oben die jeweils aktuellen Downloads und erläuternde Videos verlinkt.
MS14-025 ist mit important bewertet und beschreibt die Vulnerability in Group Policy Preferences Could Allow Elevation of Privilege (2962486).
Betroffen von der Schwachstelle sind alle supporteten Windows Clients und Server (ohne 2003, ohne RT / RT 8.1).
Ein Angreifer kann Paßworte, die in GPP-erzeugten GPOs hinterlegt sind, entschlüsseln und für seine Zwecke mißbräuchlich verwenden.
Dieser Angriffsweg ist der derzeit beliebteste, aktiv genutzte „in the Wild“ um von einem Benutzerkonto-Niveau aus höherwertige Berechtigungen zu erreichen.
Passende Metasploit- und PowerSploit-Angriffsmodule sind im Internet frei verfügbar.
Deshalb ist hier die Installation des Security Hotfixes alleine nicht hinreichend, sofern Sie GPP erzeugte GPO-Settings, die Benutzerkonto- und Paßwort enthalten, verwenden.
Im Security Research and Defense Blog, http://blogs.technet.com/b/srd, wird die nötige Vorgehensweise mit Änderung der Funktionalität, neuen Powershell Scripten, etc. weiter erläutert.
MS14-026 ist mit important bewertet und beschreibt die Vulnerability in .NET Framework Could Allow Elevation of Privilege (2958732).
Die Schwachstelle besteht in der Art, alle supporteten Versionen von .NET Framework auf allen supporteten Windows Client und Server OS Versionen TypeFilterLevel Prüfungen auf ungültige Objekte durchführen. Nur Anwendungen, die .NET Remoting verwenden, sind potentiell angreifbar. Anonymous .NET Remoting ist per Default deaktiviert.
Entwickler finden zum Thema .NET Remoting mehr informationen:
Workaround unter http://msdn.microsoft.com/library/59hafwyt – .NET Framework 4 – Authentication with the TCP Channel (-> legacy technology, replaced by WCF),
sowie http://msdn.microsoft.com/en-us/magazine/cc300447.aspx – Secure Your .NET Remoting Traffic by Writing an Asymmetric Encryption Channel Sink
und http://msdn.microsoft.com/en-us/library/ms978420.aspx – ASP.NET Web Services or .NET Remoting: How to Choose.
MS14-027 ist mit important bewertet und beschreibt die Vulnerability in Windows Shell Handler Could Allow Elevation of Privilege (2962488).
Betroffen von dieser Schwachstelle sind alle supporteten Versionen von Windows Client und Server.
Ein Angreifer kann unter Ausnutzung der Art, wie die Windows Shell Zuordnungen zu Dateitypen (file associations) behandelt, potentiell mittels einer böswillgen Anwendung Code im System-Kontext ausführen und damit potentiell Systeme komplett übernehmen.
MS14-028 ist mit important bewertet und beschreibt die Vulnerabilities in iSCSI Could Allow Denial of Service (2962485).
Ein Angreifer kann mittels einer großen Anzahl böswilliger iSCSI Pakete den oder die betroffenen Services dazu bringen, nicht mehr zu antworten (kein BSoD).
Betroffen sind Server 2008 x32 und x64, 2008 R2 und 2012 / 2012 R2.
Für Server 2008 kann kein Security Hotfix für diese Schwachstellen bereitgestellt werden, da dies einen massiven Umbau der OS Architektur erfordern würde.
Workarounds wären isolierte Netze für iSCSI und Firewall-Beschränkungen auf TCP Port 3260 für nur authorisierte iSCSI Client IP Adressen.
MS14-029 ist mit criticalbewertet und beschreibt einSecurity Update for Internet Explorer (2962482).
Die zwei Remote Code Execution Schwachstellen dieses Bulletins können durch Aufruf einer Website mit böswilligem Inhalt ausgenutzt werden.
Dieses Security Update ersetzt das OOB-Release Update MS14-021 der vergangenen Woche.
MS14-029 ist kein Cumulative Update und das Bulletin beschreibt, welche Abhängigkeiten bestehen.
Bitte beachten Sie die folgenden Security Advisories ebenfalls:
Als weitere Maßnahme, den nicht mehr als sicher betrachteten Verschlüsselungsmechanismus (Cipher) RC4 aus den Microsoft Produkten zu eleminieren, wird im Security Advisory
https://technet.microsoft.com/library/security/2960358Update for Disabling RC4 in .NET TLS
beschrieben, wie in .NET für TLS Verbindungen der RC4 Cipher deaktiviert werden kann.
Das referenzierte Update wird über den MS Download Center und den MS Update Catalog bereitgestellt, nicht aber über Windows Update.
Damit soll Kunden die Gelegenheit gegeben werden, den Einsatz des Updates zu planen und zu testen.
Mit dem Update des Advisories
https://technet.microsoft.com/library/security/2962824Update Rollup of Revoked Non-Compliant UEFI Modules
werden vier private, third party UEFI Module, die während eines Secure Boots geladen werden könnten, gesperrt.
Systeme, die einen Secure Boot durchführen und bislang diese Module ausführten, würden danach nicht mehr starten.
Betroffene Systeme sollten vor Einsatz des Updates mit UEFI Modulen versorgt werden, die wieder compliant sind.
Mit dem Update zum Advisory
https://technet.microsoft.com/library/security/2871997Update to Improve Credentials Protection and Management
werden Sicherheitsmechanismen gegen PasstheHashAngriffe nachgerüstet, wie sie in Windows 8.1 und Server 2012 R2 bereits implementiert wurden.
Das Update steht für Windows 7, 8, RT, Server 2008 R2 und Server 2012 für die Local Security Authority (LSA) zur Verfügung:
Es führt den restricted admin mode for Credential Security Support Provider (CredSSP) ein.
Für eine neue Version des Adobe Flashplayers für Windows 8.1 und Windows 8, Server 2012 R2 und 2012 wurde das Standard-Advisory https://technet.microsoft.com/library/security/2755801 gemäß
Downloads für die Standalone-Versionen des Flashplayers vor Windows 8 / Server 2012 erhalten sie wie gewohnt direkt über Adobe.
Wie Ihnen gewiß bekannt, wurde im April das sogenannte Springboard – / Frühjahrsupdate für Windows 8.1 / 8.1 RT / Server 2012 veröffentlicht.
Die Zeit, in der ohne das Frühjahrsupdate (KB 2919355) noch Security Hotfixes über Windows Update installiert werden, wurde von Mai auf Juni verlängert.
In http://support.microsoft.com/kb/2919355/en-us finden sie weiterführende Informationen und Details zu den Updates von
und Server 2012 R2 http://go.microsoft.com/fwlink/?LinkId=394841 (inklusive IE 11 Enterprise Mode).
Die Übersetzungen ins Deutsche stehen ebenfalls auf der entsprechenden Webseite zur Verfügung.
Wenn künftig Security-Updates für Microsoft App-Store Applikationen veröffentlicht werden, wird vergleichbar den Adobe Flashplayer-Updates ein feststehendes Advisory auf die einzelnen Updates verweisen und fortlaufend aktualisiert werden, siehe auch http://www.microsoft.com/security/msrc/security-for-apps.aspx.
Die ausführliche Version der Ankündigung neuer Security Bulletins für diesen Monat, finden Sie unter:
deutsch: http://technet.microsoft.com/de-de/security/bulletin/ms14-may (derzeit wird dort lediglich auf die englischsprachige Version verwiesen) und unten in dieser Mail.
Die Archiv-Zusammenfassung inklusive Suchmöglichkeit (neu, ab 06.1999) finden Sie über http://go.microsoft.com/fwlink/?LinkID=217214 bzw. http://technet.microsoft.com/de-DE/security/dn481339.
Non-security High Priority updates auf MU, WU und WSUS:
Microsoft stellt auch heute neue High-Priority NON-SECURITY Updates auf Windows Update, Microsoft Update und WSUS zu Verfügung,
Um eine komplette Liste zu den Security und NON-SECURITY Updates zu bekommen, lesen Sie bitte den folgenden KB-Artikel:
z.B. für Windows 7, Server 2008 R2, Windows 8, Server 2012, Windows 8.1 und Server 2012 R2, Windows RT / RT 8.1.
MBSA
Windows RT wird lediglich durch Windows Update / Microsoft Update unterstützt.
Direkter Download des MBSA 2.3: via http://www.microsoft.com/download/details.aspx?id=7558
Security Bulletin Severity Rating System
Bei Fragen zur Einstufung von Security Hotfixes in critical, Important, moderate, low siehe
Microsoft Ausnutzbarkeitsindex (Microsoft Exploitability Index):
Verwenden Sie diese Tabelle, um etwas über die Wahrscheinlichkeit zu erfahren, daß für die einzelnen Sicherheitsupdates, die Sie möglicherweise installieren müssen, funktionierender Angreifercode veröffentlicht wird. Sie sollten sich unter Berücksichtigung Ihrer konkreten Konfiguration jede der untenstehenden Bewertungen ansehen, um Prioritäten für Ihre Bereitstellung festzulegen.
Seit Oktober 2008 stellt Microsoft diese Tabelle für jedes Security Bulletin auf der jeweiligen Webseite zur Verfügung.
Weitere Informationen zur Bedeutung und Festlegung dieser Bewertungen finden Sie hier:
Zusätzliche Informationen:
Microsoft Windows Malicious Software Removal Tool:
Microsoft veröffentlicht eine neue Version des “Microsoft Windows Malicious Software Removal Tool” auf Windows Update, Microsoft Update, Windows Server Update Services und dem Download Center.
Informationen zum “Microsoft Windows Malicious Software Removal Tool” (MSRT) finden Sie hier:
Microsoft Security Intelligence Report SIR:
Unter http://www.microsoft.com/security/sir/default.aspx finden Sie den Microsoft Security Intelligence Report.
Dieser faßt mit einer Datenanalyse Informationen zur Bedrohungslandschaft von Exploits, Schwachstellen und Malware auf der Basis von 600 Millionen Computersystemen weltweit zusammen (letzter, aktualisierter Report vom Stand zweites Halbjahr 2013 SIR Volume 16).
Microsoft (USA) wird heute abend einen Webcast durchführen, um Kundenfragen zu diesem Bulletin zu beantworten.
Link zum Webcast: https://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032572979, 14.5.2014, 11 Uhr Pacific Time (20 Uhr MESZ)
Weiterhin gibt es jeweils an diesem Mittwochmorgen um 11 Uhr (MESZ) eine Telefonkonferenz für Europa, an der Sie auch teilnehmen und Fragen stellen können.
Hierfür wählen Sie sich bei Bedarf bitte ein unter:
Telefon 089 – 3176 – 3500 (andere Einwahlnummern: https://join.microsoft.com/dialin)
Nötig für die Einwahl: Conference ID 1184230907
(Der Web-Client unterstützt auch Mac-OS.)
URL Struktur geändert – Einstieg über technet.microsoft.com
Die Übersicht der vergangenen Webcasts finden Sie jeweils in der Übersicht der vergangenen Bulletins unter:
http://technet.microsoft.com/en-us/security/bulletin/ (mit Selektionsmöglichkeit nach Produkt, Bulletin-Nummer, CVE, KB-Nummer ab 06.1998).
Die Bulletin Verlinkung wurde inzwischen geändert werden auf
Direkteinstieg Security Bulletin, z.B. via https://technet.microsoft.com/library/security/ms14-029
Ein übergeordneter Einstieg für Security Bulletins und Security Advisories erreichen Sie über
What is the purpose of this alert?
This alert is to provide you with an overview of the new security bulletins being released on May 13, 2014. Security bulletins are released monthly to resolve critical problem vulnerabilities. This alert will also provide a summary of the three new security advisories that were released today.
New Security Bulletin Overview
Microsoft is releasing the following eight new security bulletins for newly discovered vulnerabilities:
Bulletin ID Bulletin Title Max Severity Rating Vulnerability Impact Restart Requirement Affected Software
MS14-022 Vulnerabilities in Microsoft SharePoint Server Could Allow Remote Code Execution (2952166) Critical Remote Code Execution May require restart Microsoft SharePoint Server 2007, SharePoint Server 2010, SharePoint Server 2013, Office Web Apps 2010, Office Web Apps 2013, SharePoint Server 2013 Client Components SDK, SharePoint Designer 2007, SharePoint Designer 2010, and SharePoint Designer 2013.
MS14-023 Vulnerabilities in Microsoft Office Could Allow Remote Code Execution (2961037) Important Remote Code Execution May require restart Microsoft Office 2007, Office 2010, Office 2013, and Office 2013 RT.
MS14-024 Vulnerability in a Microsoft Common Control Could Allow Security Feature Bypass (2961033) Important Security Feature Bypass May require restart Microsoft Office 2007, Office 2010, Office 2013, and Office 2013 RT.
MS14-025 Vulnerability in Group Policy Preferences Could Allow Elevation of Privilege (2962486) Important Elevation of Privilege May require restart Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8, Windows 8.1, Windows Server 2012, and Windows Server 2012 R2.
MS14-026 Vulnerability in .NET Framework Could Allow Elevation of Privilege (2958732) Important Elevation of Privilege May require restart Microsoft .NET Framework on Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7, Windows 2008 R2, Windows 8, Windows 8.1, Windows Server 2012, Windows Server 2012 R2, Windows RT, and Windows RT 8.1.
MS14-027 Vulnerability in Windows Shell Handler Could Allow Elevation of Privilege (2962488) Important Elevation of Privilege Requires restart Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8, Windows 8.1, Windows Server 2012, Windows Server 2012 R2, Windows RT, and Windows RT 8.1.
MS14-028 Vulnerability in iSCSI Could Allow Denial of Service (2962485) Important Denial of Service May require restart Windows Server 2008, Windows Server 2008 R2, Windows Server 2012, and Windows Server 2012 R2.
MS14-029 Security Update for Internet Explorer (2962482) Critical Remote Code Execution Requires restart Internet Explorer on Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8, Windows 8.1, Windows Server 2012, Windows Server 2012 R2, Windows RT, and Windows RT 8.1.
Summaries for new bulletin(s) may be found at http://technet.microsoft.com/library/ms14-may.
Microsoft Windows Malicious Software Removal Tool
Microsoft is releasing an updated version of the Microsoft Windows Malicious Software Removal Tool on Windows Server Update Services (WSUS), Windows Update (WU), and the Download Center. Information on the Microsoft Windows Malicious Software Removal Tool is available here: http://support.microsoft.com/?kbid=890830.
High-Priority Non-Security Updates
High priority non-security updates Microsoft releases to be available on Microsoft Update (MU), Windows Update (WU), or Windows Server Update Services (WSUS) will be detailed in the following KB Article: http://support.microsoft.com/?id=894199.
Public Bulletin Webcast
Microsoft will host a webcast to address customer questions on these bulletins:
Title: Information about Microsoft May Security Bulletins (Level 200)
Date: Wednesday, May 14, 2014, 11:00 A.M. Pacific Time (U.S. and Canada)
NEW SECURITY ADVISORIES
Microsoft published three new security advisories on May 13, 2014. Here is an overview of these new security advisories:
Security Advisory 2960358 Update for Disabling RC4 in .NET TLS (2960358)
Executive Summary Microsoft is announcing the availability of an update for Microsoft .NET Framework that disables RC4 in Transport Layer Security (TLS) through the modification of the system registry. Use of RC4 in TLS could allow an attacker to perform man-in-the-middle attacks and recover plaintext from encrypted sessions.
Affected Components Windows 7, Windows Server 2008 R2, Windows 8, Windows 8.1, Windows Server 2012, Windows Server 2012 R2, Windows RT, and Windows RT 8.1.
Recommendations Microsoft recommends that customers download and test the update before deploying it in their environments as soon as possible.
More Information
Security Advisory 2962824 Update Rollup of Revoked Non-Compliant UEFI Modules
Executive Summary With this advisory, Microsoft is revoking the digital signature for four private, third-party UEFI (Unified Extensible Firmware Interface) modules that could be loaded during UEFI Secure Boot.

These UEFI (Unified Extensible Firmware Interface) modules are partner modules distributed in backup and recovery software. When the update is applied, the affected UEFI modules will no longer be trusted and will no longer load on systems where UEFI Secure Boot is enabled. The affected UEFI modules consist of specific Microsoft-signed modules that are not in compliance with our certification program and are being revoked at the request of the author.
Microsoft is not aware of any misuse of the affected UEFI modules. Microsoft is proactively revoking these non-compliant modules in coordination with their author as part of ongoing efforts to protect customers.
Affected Components This action only affects systems running Windows 8, Windows 8.1, Windows Server 2012, and Windows Server 2012 R2 that are capable of UEFI Secure Boot where the system is configured to boot via UEFI and Secure Boot is enabled. There is no action on systems that do not support UEFI Secure Boot or where it is disabled.
Recommendations Microsoft recommends that customers apply the update at the earliest opportunity after ensuring that their systems are not using any of the affected UEFI modules. The update is available through Microsoft Update. In addition, the update is available on the Download Center as well as the Microsoft Update Catalog for Windows 8, Windows Server 2012, Windows 8.1, and Windows Server 2012 R2.
More Information Warning: Customers who apply this update on a system that is using one of the affected UEFI modules risk delivering the system into a non-bootable state. Microsoft recommends that all customers apply this update after ensuring they are running up-to-date UEFI modules. Customers with concern that they may be using an affected UEFI module should consult the „What does this update do?“ and the „What revoked digital signatures are addressed by this Update Rollup of Revoked Non-compliant UEFI modules?“ advisory FAQs for information on affected UEFI modules.

Security Advisory 2871997 Update to Improve Credentials Protection and Management
Executive Summary Microsoft is announcing the availability of an update for supported editions of Windows 8, Windows RT, Windows Server 2012, Windows 7, and Windows Server 2008 R2 that improves credential protection and domain authentication controls to reduce credential theft. This update provides additional protection for the Local Security Authority (LSA), adds a restricted admin mode for Credential Security Support Provider (CredSSP), introduces support for the protected account-restricted domain user category, and enforces stricter authentication policies for Windows 7, Windows Server 2008 R2, Windows 8, and Windows Server 2012 machines as clients.
Affected Components Windows 7, Windows Server 2008 R2, Windows 8, Windows Server 2012, and Windows RT.
Recommendations Microsoft recommends that customers apply the update immediately using update management software, or by checking for updates using the Microsoft Update service.
More Information Security Advisory 2971997: http://technet.microsoft.com/library/2871997
Rereleased SECURITY ADVISORy
Microsoft rereleased one security advisory on May 13, 2014. Here is an overview of this rereleased security advisory:
Security Advisory 2755801 Update for Vulnerabilities in Adobe Flash Player in Internet Explorer
What Has Changed? On May 13, 2014, Microsoft released an update (KB2957151) for Internet Explorer 10 on Windows 8, Windows Server 2012, and Windows RT, and for Internet Explorer 11 on Windows 8.1, Windows Server 2012 R2, and Windows RT 8.1. The update addresses the vulnerabilities described in Adobe Security bulletin APSB14-14. For more information about this update, including download links, see Microsoft Knowledge Base Article 2957151.
Executive Summary Microsoft is announcing the availability of an update for Adobe Flash Player in Internet Explorer on all supported editions of Windows 8, Windows Server 2012, Windows RT, Windows 8.1, Windows Server 2012 R2, and Windows RT 8.1. The update addresses the vulnerabilities in Adobe Flash Player by updating the affected Adobe Flash libraries contained within Internet Explorer 10 and Internet Explorer 11.
Recommendations Microsoft recommends that customers apply the current update immediately using update management software, or by checking for updates using the Microsoft Update service. Since the update is cumulative, only the current update will be offered. Customers do not need to install previous updates as a prerequisite for installing the current update.
More Information Security Advisory 2755801: http://technet.microsoft.com/library/2755801
New Security Bulletin Technical Details
In the following tables of affected and non-affected software, software editions that are not listed are past their support lifecycle. To determine the support lifecycle for your product and edition, visit the Microsoft Support Lifecycle website: http://support.microsoft.com/lifecycle/.
Bulletin Identifier Microsoft Security Bulletin MS14-022
Bulletin Title Vulnerabilities in Microsoft SharePoint Server Could Allow Remote Code Execution (2952166)
Executive Summary This security update resolves multiple privately reported vulnerabilities in Microsoft Office server and productivity software. The most severe of these vulnerabilities could allow remote code execution if an authenticated attacker sends specially crafted page content to a target SharePoint server. The security update addresses the vulnerabilities by correcting how SharePoint Server and Web Applications sanitize specially crafted page content.
Severity Ratings and Affected Software This security update is rated Critical for supported editions of Microsoft SharePoint Server 2007, Microsoft SharePoint Server 2010, Microsoft SharePoint Server 2013, Microsoft Office Web Apps 2010, Microsoft Office Web Apps Server 2013, Microsoft SharePoint Services 3.0, and Microsoft SharePoint Foundation 2010, Microsoft SharePoint Foundation 2013, Microsoft SharePoint Designer 2007, Microsoft SharePoint Designer 2010, and Microsoft SharePoint Designer 2013.
Attack Vectors An authenticated attacker could attempt to exploit any of these related vulnerabilities by sending specially crafted page content or a specially crafted request to a SharePoint server.
Mitigating Factors
  • To exploit this vulnerability, an attacker must be able to authenticate on the target SharePoint site. Note that this is not a mitigating factor if the SharePoint site is configured to allow anonymous users to access the site. By default, anonymous access is not enabled.
  • CVE-2014-1754: Microsoft has not identified any mitigating factors for this vulnerability.
Restart Requirement This update may require a restart.
Bulletins Replaced by This Update MS13-067, MS13-100, and MS14-017.
Full Details http://technet.microsoft.com/library/ms14-022
Bulletin Identifier Microsoft Security Bulletin MS14-023
Bulletin Title Vulnerabilities in Microsoft Office Could Allow Remote Code Execution (2961037)
Executive Summary This security update resolves two privately reported vulnerabilities in Microsoft Office. The most severe vulnerability could allow remote code execution if a user opens an Office file that is located in the same network directory as a specially crafted library file. The security update addresses the vulnerabilities by helping to ensure that the Chinese (Simplified) Grammar Checker feature in Microsoft Office properly verifies file paths before loading external libraries and by helping to ensure that Microsoft Office software properly handles specially crafted responses from websites.
Severity Ratings and Affected Software This security update is rated Important for supported editions of Microsoft Office 2007, Microsoft Office 2010, and Microsoft Office 2013.
Attack Vectors CVE-2014-1756

  • Attacker convinces user to open an Office file located in same network directory as a specially crafted .dll file.
  • Email vector: Attacker sends Office attachment, then convinces user to place attachment into same directory as specially crafted .dll file and open the file.
  • Network vector: Attacker could place an Office and a specially crafted .dll file in a network share, a UNC, or WebDAV location and then convince the user to open the file.
CVE-2014-1808
  • Attacker hosts a malicious website utilizing the vulnerability, then convinces users to visit the site.
  • Attacker takes advantage of compromised websites and/or sites hosting ads from other providers.
Mitigating Factors CVE-2014-1756

  • Only systems with the Grammar Checker for Chinese (Simplified) feature enabled in Microsoft Office are affected by the vulnerability.
  • For an attack to be successful in a network attack scenario, a user must visit an untrusted remote file system location or WebDAV share and open an Office-related file (such as a .docx file). The file sharing protocol, Server Message Block (SMB), is often disabled on the perimeter firewall. This limits the potential attack vectors for this vulnerability.
  • Customers whose accounts are configured to have fewer user rights on the system could be less impacted than those who operate with administrative user rights.
CVE-2014-1808
  • For an attack to be successful a user must open an attachment that is sent in an email message or click a link contained inside an email message.
  • Attacker would have to convince users to take action, typically by getting them to click a link in an email message or instant message that takes users to the attacker’s website.
Restart Requirement This update may require a restart.
Bulletins Replaced by This Update MS13-104
Full Details http://technet.microsoft.com/library/ms14-023
Bulletin Identifier Microsoft Security Bulletin MS14-024
Bulletin Title Vulnerability in a Microsoft Common Control Could Allow Security Feature Bypass (2961033)
Executive Summary This security update resolves one privately reported vulnerability in an implementation of the MSCOMCTL common controls library. The vulnerability could allow security feature bypass if a user views a specially crafted webpage in a web browser capable of instantiating COM components, such as Internet Explorer. In a web-browsing attack scenario, an attacker who successfully exploited this vulnerability could bypass the Address Space Layout Randomization (ASLR) security feature, which helps protect users from a broad class of vulnerabilities. The security feature bypass by itself does not allow arbitrary code execution. However, an attacker could use this ASLR bypass vulnerability in conjunction with another vulnerability, such as a remote code execution vulnerability that could take advantage of the ASLR bypass to run arbitrary code. The security update addresses the vulnerability by helping to ensure that the MSCOMCTL common controls library included with Microsoft Office software properly implements ASLR.
Severity Ratings and Affected Software This security update is rated Important for supported editions of Microsoft Office 2007, Microsoft Office 2010, and Microsoft Office 2013.
Attack Vectors
  • Attacker hosts a malicious website utilizing the vulnerability, then convinces users to visit the site.
  • Attacker could embed an ActiveX control marked „safe for initialization“ in an application or Office document that hosts the IE rendering engine.
  • Attacker takes advantage of compromised websites and/or sites hosting ads from other providers or that accept user provided content.
Mitigating Factors
  • For an attack to be successful a user must open or preview an attachment that is sent in an email message or click a link contained inside an email message.
  • An attacker would have to convince users to take action, typically by getting them to click a link in an email message or instant message that takes users to the attacker’s website.
  • By default, Internet Explorer on Windows Server 2003, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012, and Windows Server 2012 R2 runs in a restricted mode.
Restart Requirement This update may require a restart.
Bulletins Replaced by This Update MS12-060
Full Details http://technet.microsoft.com/library/ms14-024
Bulletin Identifier Microsoft Security Bulletin MS14-025
Bulletin Title Vulnerability in Group Policy Preferences Could Allow Elevation of Privilege (2962486)
Executive Summary This security update resolves a publicly disclosed vulnerability in Microsoft Windows. The vulnerability could allow elevation of privilege if Active Directory Group Policy preferences are used to distribute passwords across the domain – a practice that could allow an attacker to retrieve and decrypt the password stored with Group Policy preferences. The security update addresses the vulnerability by removing the ability to configure and distribute passwords that use certain Group Policy preferences extensions.
Severity Ratings and Affected Software This security update is rated Important for Remote Server Administration Tools when installed on affected editions of Windows Vista, Windows 7, Windows 8, and Windows 8.1. The update is also rated Important for all affected editions of Windows Server 2008, Windows Server 2008 R2, Windows Server 2012, and Windows Server 2012 R2.
Attack Vectors To exploit the vulnerability, an attacker would first need to gain access to an authenticated user account on the domain. If a GPO is configured using Group Policy preferences to set a local administrative password or define credentials to map a network drive, schedule a task, or configure the running context of a service, an attacker could then retrieve and decrypt the password stored with Group Policy preferences.
Mitigating Factors Microsoft has not identified any mitigating factors for this vulnerability.
Restart Requirement This update may require a restart.
Bulletins Replaced by This Update None
Full Details http://technet.microsoft.com/library/ms14-025
Bulletin Identifier Microsoft Security Bulletin MS14-026
Bulletin Title Vulnerability in .NET Framework Could Allow Elevation of Privilege (2958732)
Executive Summary This security update resolves a privately reported vulnerability in Microsoft .NET Framework. The vulnerability could allow elevation of privilege if an unauthenticated attacker sends specially crafted data to an affected workstation or server that uses .NET Remoting. .NET Remoting is not widely used by applications; only custom applications that have been specifically designed to use .NET Remoting would expose a system to the vulnerability. The security update addresses the vulnerability by helping to ensure that .NET Framework properly enforces security controls for application memory.
Severity Ratings and Affected Software This security update is rated Important for Microsoft .NET Framework 1.1 Service Pack 1, Microsoft .NET Framework 2.0 Service Pack 2, Microsoft .NET Framework 3.5, Microsoft .NET Framework 3.5.1, Microsoft .NET Framework 4, Microsoft .NET Framework 4.5, and Microsoft .NET Framework 4.5.1 on affected releases of Microsoft Windows.
Attack Vectors An unauthenticated attacker could send specially crafted data to an affected workstation or server that uses .NET Remoting, allowing the attacker to execute arbitrary code on the targeted system.
Mitigating Factors
  • NET Remoting is not widely used by applications; only custom applications that have been specifically designed to use .NET Remoting would expose a system to the vulnerability.
  • .NET Remoting endpoints are not accessible to anonymous clients by default.
Restart Requirement This update may require a restart.
Bulletins Replaced by This Update MS14-009
Full Details http://technet.microsoft.com/library/ms14-026
Bulletin Identifier Microsoft Security Bulletin MS14-027
Bulletin Title Vulnerability in Windows Shell Handler Could Allow Elevation of Privilege (2962488)
Executive Summary This security update resolves a privately reported vulnerability in Microsoft Windows. The vulnerability could allow elevation of privilege if an attacker runs a specially crafted application that uses ShellExecute. An attacker must have valid logon credentials and be able to log on locally to exploit this vulnerability.

The security update addresses the vulnerability by correcting the way that the ShellExecute API handles file associations in certain circumstances.
Severity Ratings and Affected Software This security update is rated Important for all supported releases of Windows.
Attack Vectors To exploit this vulnerability, an attacker would first have to log on to the system. An attacker could then run a specially crafted application designed to elevate privileges.
Mitigating Factors An attacker must have valid logon credentials and be able to log on locally to exploit this vulnerability.
Restart Requirement This update requires a restart.
Bulletins Replaced by This Update MS10-007 and MS12-048.
Full Details http://technet.microsoft.com/library/ms14-027
Bulletin Identifier Microsoft Security Bulletin MS14-028
Bulletin Title Vulnerabilities in iSCSI Could Allow Denial of Service (2962485)
Executive Summary This security update resolves two privately reported vulnerabilities in Microsoft Windows. The vulnerabilities could allow denial of service if an attacker sends large amounts of specially crafted iSCSI packets over the target network. This vulnerability only affects servers for which the iSCSI target role has been enabled. The security update addresses the vulnerabilities by modifying how the affected operating systems handle iSCSI connections.
Severity Ratings and Affected Software This security update is rated Important for Windows Storage Server 2008 and all supported editions of Windows Server 2012 and Windows Server 2012 R2. It is also rated Important for iSCSI Software Target 3.3 when installed on Windows Server 2008 R2 for x64-based Systems Service Pack 1.
Attack Vectors An attacker could exploit the vulnerability by creating a large number of specially crafted iSCSI packets and sending the packets to affected systems over a network. The packets could then cause the affected services to stop responding.
Mitigating Factors This vulnerability only affects servers for which the iSCSI target role has been enabled.
Restart Requirement This update may require a restart.
Bulletins Replaced by This Update None
Full Details http://technet.microsoft.com/library/ms14-028
Bulletin Identifier Microsoft Security Bulletin MS14-029
Bulletin Title Security Update for Internet Explorer (2962482)
Executive Summary This security update resolves two privately reported vulnerabilities in Internet Explorer. The vulnerabilities could allow remote code execution if a user views a specially crafted webpage using Internet Explorer. The security update addresses the vulnerabilities by modifying the way that Internet Explorer handles objects in memory.
Severity Ratings and Affected Software This security update is rated Critical for Internet Explorer 6 (IE 6), Internet Explorer 7 (IE 7), Internet Explorer 8 (IE 8), Internet Explorer 9 (IE 9), Internet Explorer 10 (IE 10), and Internet Explorer 11 (IE 11) on affected Windows clients, Moderate for Internet Explorer 6 (IE 6), Internet Explorer 7 (IE 7), Internet Explorer 8 (IE 8), Internet Explorer 9 (IE 9), Internet Explorer 10 (IE 10), and Internet Explorer 11 (IE 11) on affected Windows servers.
Attack Vectors
  • Attacker hosts a specially crafted website utilizing the vulnerability, then convinces users to visit the site.
  • Attacker could take advantage of compromised websites and websites that accept or host user-provided content or advertisements.
Mitigating Factors
  • Attacker would have to convince users to take action, typically by getting them to click a link in an email message or in an instant message that takes users to the attacker’s website, or by getting them to open an attachment sent through email. Attacker would have no way to force user to view malicious content.
  • Customers whose accounts are configured to have fewer user rights on the system could be less impacted than those who operate with administrative user rights.
  • By default, all Microsoft email clients open HTML email messages in the Restricted Sites zone.
  • By default, Internet Explorer runs in a restricted mode for all Windows Servers.
Restart Requirement This update requires a restart.
Bulletins Replaced by This Update MS14-021
Full Details http://technet.microsoft.com/library/ms14-029

 

 

PatchDay,Mai 2014,Microsoft Security Bulletin,Release

PatchDay- April 2014 Microsoft Security Bulletin Release

Microsoft hat gestern abend wie angekündigt -4- Security Bulletins veröffentlicht.
Bitte beachten Sie unten auch den Link zu non-Security-Updates.
Zwei der Bulletins sind mit critical bewertet und betreffen Internet Explorer und MS Word
(inklusive Office Compatibility Pack, Word Viewer, Word für Mac, Word Automation Services auf SharePoint, aber auch Office Web Applications beim Zugriff durch den Web Browser).
Sie beschreiben maximal Remote Code Executions.
Zwei der Bulletins sind mit important bewertet und betreffen Windows Client und Server, sowie den MS Publisher.
Sie beschreiben maximal ebenfalls Remote Code Executions.
Außerdem wurde das Security Advisory zum Adobe Flashplayer überarbeitet.
Bitte beachten Sie darüber hinaus das sogenannte Springboard – / Frühjahrsupdate für Windows 8.1 / 8.1 RT / Server 2012,
das eine neue sogenannte Servicing-Baseline (Thema GDR / LDR Code Branch) herstellt, weiter unten.
Im Security Research & Defense (SRD) blog: http://blogs.technet.com/b/srdsind Hinweise zur Bewertung der Risiken der einzelnen Schwachstellen angegeben.
MS14-017 ist maximal mit critical bewertet und beschreibt die Vulnerabilities in Microsoft Word and Office Web Apps Could Allow Remote Code Execution (2949660).
Betroffen sind MS Word (inklusive Office Compatiblity Pack, Word Viewer, Word für Mac, Word Automation Services auf Sharepoint, aber auch Office Web Applications beim Zugriff durch den Web Browser).
Sie beschreiben maximal Remote Code Executions.
Obwohl die verwundbare Komponente Word darstellt, kann, wenn Word in Outlook als Viewer für e-Mails eingestellt ist, auch die Voranzeige (Preview) in Outlook oder Web Apps bei einer der drei Schwachstellen für eine Angriffsmöglichkeit hinreichen.
Mit diesem Seucrity Bulletin wird u.a. die Zero-Day Schwachstelle Vulnerability in Microsoft Word Could Allow Remote Code Execution, http://technet.microsoft.com/security/advisory/2953095 vom 27.3.2014 adressiert.
Durch die Art, wie MS Office oder das MS Office Isolated Conversion Environment (MOICE) Dateien im Rich Text Format (RTF) parst bzw. konvertiert, tritt eine Memory Corruption auf, die theoretisch böswilligen Code ausführen möglich machen könnte, auch, wenn dieser Weg durch unsere Test-Teams im Vorfeld nicht erfolgreich ausgenutzt werden konnte.
Beim Web Apps Server beachten Sie bitte außerdem den KB-Artikel http://support.microsoft.com/kb/2878219/en-us, dort die Known-Issues.
MS14-018 ist maximal mit critical bewertet und beschreibt das diesmonatigeCumulative Security Update for Internet Explorer (2950467).
Betroffen ist der IE auf allen supporteten Plattformen inklusive Windows XP und beschreibt maximal Remote Code Executions, ABER:
Für IE6-IE9 ist dieses Update ein cumulative Security Update.
Für IE10 beinhaltet dieses Bulletin zwar Hotfixes, aber keine Security Hotfixes.
Für IE11 ist dieses Bulletin kein cumulative update. Um den neuesten Stand für den IE 11 herzustellen, benötigen Sie entweder zusätzlich das letztmonatige IE cumulative Security Update MS14-012 (inklusive KB 2904440) oder das neue, gestern veröffentlichte Springboard – / Frühjahrsupdate für Windows 8.1 / 8.1 RT / Server 2012 (hierzu unten mehr).
MS14-019 ist mit important bewertet und beschreibt die Vulnerability in Windows File Handling Component Could Allow Remote Code Execution (2922229).
Betroffen von dieser Remote Code Execution Schwachstelle sind alle supporteten Versionen von Windows Client und Windows Server inklusive Windows XP.
Die Schwachstelle könnte von einem Angreifer ausgenützt werden, wenn der Benutzer überzeugt wird, von einer trusted oder semi-trusted Network-Location eine speziell präparierte .CMD oder .BAT Datei auszuführen. Die Safe-Files-List hilft hier nicht, da die Network-Location trusted oder semi-trusted ist.
MS14-020 ist mit important bewertet und beschreibt die Vulnerability in Microsoft Publisher Could Allow Remote Code Execution (2950145).
Betroffen von diesen Schwachstellen sind Office 2003 und Office 2007.
Diese Schwachstelle kann beim Öffnen von .PUB-Dateien direkt oder mittels pubconv.dll zur Ausführung böswilligen Codes ausgenutzt werden.
Achtung, wichtig:
Das sogenannte Springboard – / Frühjahrsupdate für Windows 8.1 / 8.1 RT / Server 2012, daß mit jetzt veröffentlicht wurde,
ist ab Mai Voraussetzung, um weiterhin Security und non-Security Hotfixes zu erhalten.
Dieses Update enthält IE-Security-Updates, OS non-Security Updates.
In http://support.microsoft.com/kb/2919355/en-us finden sie weiterführende Informationen und Details zu den Updates von
und Server 2012 R2 http://go.microsoft.com/fwlink/?LinkId=394841 (inklusive IE 11 Enterprise Mode).
Dieses Frühjahrsupdate erstellt eine neue, sogenannte Servicing Baseline (Stichwort GDR / LDR Code Pfade – bei Fragen hierzu sprechen Sie mich gerne an).
Die Entscheidung, daß dieses Update ab Mai die Voraussetzung auch für weitere Security Updates darstellt und die besondere Behandlung der IE11-Security-Updates sind der Kompromißversuch,
möglichst viele OS-Änderungen zu bündeln und gleichzeitig im April möglichst wenige Abhängigkeiten der Security Hotfixes zu diesem Update herzustellen.
Für eine neue Version des Flashplayers für Windows 8.1 und Windows 8, Server 2012 R2 und 2012 wurde das Standard-Advisory http://technet.microsoft.com/en-us/security/advisory/2755801 gemäß
Downloads für die Standalone-Versionen des Flashplayers vor Windows 8 / Server 2012 erhalten sie wie gewohnt direkt über Adobe.
Die Übersetzungen ins Deutsche stehen ebenfalls auf der entsprechenden Webseite zur Verfügung.
Wenn künftig Security-Updates für Microsoft App-Store Applikationen veröffentlicht werden, wird vergleichbar den Adobe Flashplayer-Updates ein feststehendes Advisory auf die einzelnen Updates verweisen und fortlaufend aktualisiert werden, siehe auch http://www.microsoft.com/security/msrc/security-for-apps.aspx.
Die ausführliche Version der Ankündigung neuer Security Bulletins für diesen Monat, finden Sie unter:
deutsch: http://technet.microsoft.com/de-de/security/bulletin/ms14-apr (derzeit wird dort lediglich auf die englischsprachige Version verwiesen) und unten in dieser Mail.
Die Archiv-Zusammenfassung inklusive Suchmöglichkeit (neu, ab 06.1999) finden Sie über http://go.microsoft.com/fwlink/?LinkID=217214 bzw. http://technet.microsoft.com/de-DE/security/dn481339.
Non-security High Priority updates auf MU, WU und WSUS:
Microsoft stellt auch heute neue High-Priority NON-SECURITY Updates auf Windows Update, Microsoft Update und WSUS zu Verfügung,
Um eine komplette Liste zu den Security und NON-SECURITY Updates zu bekommen, lesen Sie bitte den folgenden KB-Artikel:
z.B. für Windows 7, Server 2008 R2, Windows 8, Server 2012, Windows 8.1 und Server 2012 R2, Windows RT / RT 8.1.
Diese wichtigen Updates fixen in diesem Monat Betriebssystem-Issues und aktualisieren Treiber in größerer Zahl.
Die Liste der Office non-Security Updates stelle ich mit separater Mail aufgrund der Länge der Liste zur Verfügung.
MBSA
Windows RT wird lediglich durch Windows Update / Microsoft Update unterstützt.
Direkter Download des MBSA 2.3: via http://www.microsoft.com/download/details.aspx?id=7558
Security Bulletin Severity Rating System
Bei Fragen zur Einstufung von Security Hotfixes in critical, Important, moderate, low siehe
Microsoft Ausnutzbarkeitsindex (Microsoft Exploitability Index):
Verwenden Sie diese Tabelle, um etwas über die Wahrscheinlichkeit zu erfahren, daß für die einzelnen Sicherheitsupdates, die Sie möglicherweise installieren müssen, funktionierender Angreifercode veröffentlicht wird. Sie sollten sich unter Berücksichtigung Ihrer konkreten Konfiguration jede der untenstehenden Bewertungen ansehen, um Prioritäten für Ihre Bereitstellung festzulegen.
Seit Oktober 2008 stellt Microsoft diese Tabelle für jedes Security Bulletin auf der jeweiligen Webseite zur Verfügung.
Weitere Informationen zur Bedeutung und Festlegung dieser Bewertungen finden Sie hier:
Zusätzliche Informationen:
Microsoft Windows Malicious Software Removal Tool:
Microsoft veröffentlicht eine neue Version des “Microsoft Windows Malicious Software Removal Tool” auf Windows Update, Microsoft Update, Windows Server Update Services und dem Download Center.
Informationen zum “Microsoft Windows Malicious Software Removal Tool” (MSRT) finden Sie hier:
Microsoft Security Intelligence Report SIR:
Unter http://www.microsoft.com/security/sir/default.aspx finden Sie den Microsoft Security Intelligence Report.
Dieser faßt mit einer Datenanalyse Informationen zur Bedrohungslandschaft von Exploits, Schwachstellen und Malware auf der Basis von 600 Millionen Computersystemen weltweit zusammen (letzter, aktualisierter Report vom Stand erstes Halbjahr 2013 SIR Volume 15).
Microsoft (USA) wird heute abend einen Webcast durchführen, um Kundenfragen zu diesem Bulletin zu beantworten.
Link zum Webcast: https://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032572978, 9.4.2014, 11 Uhr Pacific Time (20 Uhr MESZ)
Weiterhin gibt es jeweils an diesem Mittwochmorgen um 11 Uhr (MESZ) eine Telefonkonferenz für Europa, an der Sie auch teilnehmen und Fragen stellen können.
Hierfür wählen Sie sich bei Bedarf bitte ein unter:
Telefon 089 – 3176 – 3500 (andere Einwahlnummern: https://join.microsoft.com/dialin)
Nötig für die Einwahl: Conference ID 9402563230
(Der Web-Client unterstützt auch Mac-OS.)
Die Übersicht der vergangenen Webcasts finden Sie übrigens jeweils in der Übersicht der vergangenen Bulletins unter:
http://technet.microsoft.com/en-us/security/bulletin/summary
Die Archiv-Zusammenfassung (ab 06.2004) finden Sie über http://go.microsoft.com/fwlink/?LinkID=217214
Die Suchmöglichkeit der bisherigen Bulletins haben Sie unter http://technet.microsoft.com/security/bulletin
(mit Selektionsmöglichkeit nach Produkt, Bulletin-Nummer, CVE, KB-Nummer).
URL Struktur – Einstieg über technet.microsoft.com
Demnächst wird die Bulletin Verlinkung
http://technet.microsoft.com/security/bulletin/MSNN-NNN
geändert werden auf
http://technet.microsoft.com/library/MSNN-NNN
Sie werden in der Patchdaymail informiert, sobald die Änderung aktiviert wird.
Solange nach wie vor gültig:
Wie sie vielleicht bereits bemerkten, finden Sie die Hauptseite der Security Bulletins über
Hierüber können Sie auch nach allen Bulletins suchen.
Einzelne Bulletins werden durch Anfügen der Bulletin Nummer direkt erreicht, z.B.
Ebenfalls Sie die Hauptseite der Advisories über
und einzelne Advisories durch Anfügen der Advisory Nummer, z.B.
Lifecycle
Produkte, die mit diesem April-Patchday letztmalig supportet werden: Windows XP
Office 2003
Exchange 2003
Falls durch Security-Hotfixes dieses Patchdays Installationsprobleme für die og. Produkte auftreten sollten, so werden diese noch für die nächsten 30 Tage im Rahmen von Support Cases andressiert.
Sofern ansonsten Supportprobleme für diese Produkte auftreten, wird kein weiterer Support durch die Microsoft (außer Ihrer Möglichkeit der Web-Recherche) geleistet werden können.
Dienste wie die Produktaktivierung von Windows XP werden aber weiterhin funktionieren.
Kunden, die über den 8.4. hinaus Support z.B. für Windows XP benötigen, könnten für begrenzte Zeit ein sogenanntes Custom Support Agreement (CSA) hierfür abschließen.