Microsoft Security Bulletin MS09-061

Dieses Sicherheitsupdate behebt drei vertraulich gemeldete Sicherheitsanfälligkeiten in Microsoft .NET Framework und Microsoft Silverlight, die Remotecodeausführung ermöglichen können.

    Kennung des Bulletins:

    Microsoft Security Bulletin MS09-061

    Titel des Bulletins:

    Sicherheitsanfälligkeiten in Microsoft .NET Common Language Runtime können Remotecodeausführung ermöglichen (974378)

    Bewertung:

    Kritisch

    Auswirkung:

    Remotecodeausführung

    Betroffene Software:

    siehe unten

 

 



 

Kurzzusammenfassung

Dieses Sicherheitsupdate behebt drei vertraulich gemeldete Sicherheitsanfälligkeiten in Microsoft .NET Framework und Microsoft Silverlight. Die Sicherheitsanfälligkeiten können Remotecodeausführung auf einem Clientsystem ermöglichen, wenn ein Benutzer eine speziell gestaltete Webseite mit einem Webbrowser anzeigt, der XAML-Browseranwendungen (XBAPs) oder Silverlight-Anwendungen ausführen kann, oder wenn es einem Angreifer gelingt, einen Benutzer zu verleiten, eine speziell gestaltete .NET-Anwendung auszuführen. Für Endbenutzer, deren Konten mit weniger Benutzerrechten konfiguriert sind, kann dies geringere Auswirkungen haben als für Benutzer, die mit administrativen Benutzerrechten arbeiten. Die Sicherheitsanfälligkeiten können auch Remotecodeausführung auf einem Serversystem ermöglichen, auf dem IIS ausgeführt wird, wenn jener Server die Verarbeitung von ASP.NET-Seiten zulässt und ein Angreifer erfolgreich eine speziell gestaltete ASP.NET-Seite auf den Server hochlädt und ausführt, wie es in einem Webhosting-Szenario der Fall sein kann. Microsoft .NET-Anwendungen, Silverlight-Anwendungen, XBAPs und ASP.NET-Seiten, die nicht schädlich sind, sind durch diese Sicherheitsanfälligkeit nicht gefährdet.

Dieses Sicherheitsupdate für alle betroffenen Editionen von Microsoft .NET Framework unter Microsoft Windows 2000, Windows XP, Windows Vista und Windows 7 als Kritisch eingestuft; für Microsoft Silverlight 2 bei Installation unter Mac; und für Microsoft Silverlight 2 bei Installation unter allen Versionen von Microsoft Windows-Clients.

Dieses Sicherheitsupdate wird für alle betroffenen Editionen von Microsoft .NET Framework unter Windows Server 2003, Windows Server 2008 und Windows Server 2008 R2 als Hoch eingestuft.

Dieses Sicherheitsupdate wird für Microsoft Silverlight 2 bei Installation unter allen Versionen von Microsoft Windows-Servern als Mittel eingestuft.

Das Sicherheitsupdate behebt die Sicherheitsanfälligkeiten, indem geändert wird, wie Microsoft .NET die Regeln von Microsoft .NET überprüfbarem Code überprüft und durchsetzt, und indem geändert wird, wie Microsoft .NET Common Language Runtime (CLR) mit Schnittstellen umgeht.

Empfehlung. Microsoft empfiehlt Benutzern, dieses Sicherheitsupdate so schnell wie möglich zu installieren.

Betroffene Software

* Die Server Core-Installation ist nicht betroffen. Die durch dieses Update behobenen Sicherheitsanfälligkeiten betreffen unterstützte Editionen von Windows Server 2008 und Windows Server 2008 R2 nicht, wenn mit der Server Core-Installationsoption installiert wurde. Weitere Informationen zu dieser Installationsoption finden Sie in den MSDN-Artikeln Server Core und Server Core für Windows Server 2008 R2. Beachten Sie, dass die Server Core-Installationsoption für bestimmte Editionen von Windows Server 2008 und Windows Server 2008 R2 nicht gilt; siehe dazu Vergleichen von Server Core-Installationsoptionen.

Betriebssystem und weitere Software

  • Microsoft Silverlight 2* bei Installation unter Mac
  • Microsoft Silverlight 2* bei Installation unter auf allen Versionen von Microsoft Windows-Clients
  • Microsoft Silverlight 2* bei Installation unter allen Versionen von Microsoft Windows-Servern**

* Mit diesem Download wird Microsoft Silverlight 2 auf Microsoft Silverlight 3 aktualisiert, wodurch die Sicherheitsanfälligkeit behoben wird.

** Die Server Core-Installation ist nicht betroffen. Die durch dieses Update behobenen Sicherheitsanfälligkeiten betreffen unterstützte Editionen von Windows Server 2008 und Windows Server 2008 R2 nicht, wenn mit der Server Core-Installationsoption installiert wurde. Weitere Informationen zu dieser Installationsoption finden Sie in den MSDN-Artikeln Server Core und Server Core für Windows Server 2008 R2. Beachten Sie, dass die Server Core-Installationsoption für bestimmte Editionen von Windows Server 2008 und Windows Server 2008 R2 nicht gilt; siehe dazu Vergleichen von Server Core-Installationsoptionen.

Nicht betroffene Software

  • Alle unterstützten Versionen von Microsoft Windows
    • Microsoft .NET Framework 3.0
    • Microsoft .NET Framework 3.0 Service Pack 1
    • Microsoft .NET Framework 3.0 Service Pack 2
    • Microsoft .NET Framework 3.5.1
       
  • Windows Vista Service Pack 1
    • Microsoft .NET Framework 3.5
       
  • Windows Vista Service Pack 2
    • Microsoft .NET Framework 3.5
    • Microsoft .NET Framework 3.5 Service Pack 1
       
  • Windows Vista x64 Edition Service Pack 1
    • Microsoft .NET Framework 3.5
       
  • Windows Vista x64 Edition Service Pack 2
    • Microsoft .NET Framework 3.5
    • Microsoft .NET Framework 3.5 Service Pack 1
       
  • Windows Server 2008 für 32-Bit-Systeme, Windows Server 2008 für x64-basierte Systeme, Windows Server 2008 für Itanium-basierte Systeme
    • Microsoft .NET Framework 3.5
       
  • Windows Server 2008 für 32-Bit-Systeme Service Pack 2, Windows Server 2008 für x64-basierte Systeme Service Pack 2, Windows Server 2008 für Itanium-basierte Systeme Service Pack 2
    • Microsoft .NET Framework 3.5
    • Microsoft .NET Framework 3.5 Service Pack 1
       
  • Microsoft Silverlight
    • Microsoft Silverlight 3

Weitere Informationen zu diesem Sicherheitspatch finden Sie auf dieser Microsoft-Website.
Quelle: Microsoft Security Bulletin vom 13.10.2009

Damit Sie sich in Zukunft nicht mehr selbst um diese Arbeiten kümmern müssen, haben wir unseren SECURITY-CHECK mit Servicevertrag entwickelt. Mit dem Abschluss dieses Vertrages stellen Sie sicher, dass Ihr PC-System und Netzwerk immer auf dem aktuellen Stand der Entwicklung sind.

Sie haben Fragen!!?? >>> Nehmen Sie mit uns Kontakt auf! <<<
 
Home
Included EDV - Service
 
Copyright © 2009
INCLUDED EDV - Service
 Jobs & Karriere
 Community
 Kontakt
 Impressum