CVE-2018-8202 – Leitfaden für Sicherheitsupdates – Microsoft - Sicherheitsanfälligkeit in .NET Framework bezüglich Rechteerweiterungen

Kurzfassung

In .NET Framework besteht eine Sicherheitsanfälligkeit bezüglich Rechteerweiterungen, durch die ein Angreifer seine Berechtigungsstufe erhöhen könnte.

Um diese Sicherheitsanfälligkeit auszunutzen, muss ein Angreifer zunächst auf den lokalen Computer zugreifen und anschließend ein Schadprogramm ausführen.

Das Update behebt die Sicherheitsanfälligkeit, indem korrigiert wird, wie .NET Framework COM-Objekte aktiviert.

Ausnutzbarkeit

Die folgende Tabelle enthält eine Bewertung der Ausnutzbarkeit dieser Sicherheitsanfälligkeit zum Zeitpunkt der ursprünglichen Veröffentlichung.

Publicly disclosed: Nein
Exploited: Nein
Exploitability assessment: Sicherheitslücke ist unwahrscheinlicher

FAQ

Nachdem ich die Updates vom Juli 2018 für .NET Framework installiert habe, können Anwendungen nicht gestartet werden oder funktionieren nicht ordnungsgemäß. Wie kann ich diese Situation beheben?

Microsoft hat Kenntnis von Berichten mehrerer Kunden, dass Anwendungen nicht gestartet werden oder nicht ordnungsgemäß funktionieren. Weitere Informationen finden Sie im Abschnitt „Empfohlene Maßnahmen“.

Empfohlene Maßnahmen

Kunden, die die am 10. Juli veröffentlichten Sicherheitsupdates für .NET Framework nicht installiert haben: Testen Sie die am 10. Juli veröffentlichten Sicherheitsupdates, und wenn keine Anwendungsfehler gefunden werden, wenden Sie die Updates auf die Produktionsumgebung an.

Kunden, die die am 10. Juli veröffentlichten Sicherheitsupdates für .NET Framework erfolgreich installiert haben und bei denen keine Probleme auftreten: Es sind keine weiteren Maßnahmen erforderlich.

Kunden, die die am 10. Juli veröffentlichten Sicherheitsupdates für .NET Framework installiert haben und bei denen Anwendungsprobleme auftreten:

Registrieren Sie sich für Sicherheitsbenachrichtigungen per E-Mail, um über inhaltliche Änderungen dieser Sicherheitsempfehlung informiert zu werden und Benachrichtigungen bezüglich neuer Updates zu erhalten.  Weitere Informationen finden Sie unter Technische Sicherheitsbenachrichtigungen von Microsoft.
Analysieren Sie das Risiko für Anwendungsfehler aufgrund der Updates im Vergleich zum Risiko durch eine Sicherheitsanfälligkeit:

Leitfaden zu den Risiken:

Arbeitsstationen und Terminalserver sind das Hauptziel für Angreifer, um sich Zugriff auf Benutzerebene zu verschaffen und die Sicherheitsanfälligkeit auszunutzen. In Szenarien mit Webanwendungsservern haben nicht berechtigte Benutzer in der Regel keine Zugriffsrechte, um sich am System anzumelden. Dadurch wird die Angriffsfläche reduziert.

Wenn das Risiko von Anwendungsfehlern akzeptabel ist, dann gehen Sie wie folgt vor:

Wenden Sie die am 10. Juli veröffentlichten Sicherheitsupdates für .NET Framework auf Arbeitsstationen und andere als Webanwendungsserver an.
Bereiten Sie die Installation des anstehenden kumulativen Updates vor, das nicht mehr die in KB4345913 beschriebenen Anwendungsfehler aufweist. Kunden werden mittels einer Aktualisierung dieses CVE benachrichtigt, sobald diese Updates verfügbar sind.

Wenn das Risiko von Anwendungsfehlern nicht akzeptabel ist, dann gehen Sie wie folgt vor:

Entfernen Sie die am 10. Juli veröffentlichten Sicherheitsupdates für .NET Framework auf Systemen, auf denen Anwendungsfehler auftreten.
Sie werden mittels einer Aktualisierung dieses CVE benachrichtigt, sobald in den nächsten Tagen ein Limited Distribution Update verfügbar ist. Wenden Sie das Update auf die betroffenen Webanwendungsserver an.

Danksagung

Lasse Trolle Borup of Langkjaer Cyber Defence

Microsoft würdigt die Bemühungen derjenigen Benutzer der Sicherheitscommunity, die uns dabei helfen, Kunden durch eine koordinierte Offenlegung von Sicherheitsanfälligkeiten zu schützen. Weitere Informationen finden Sie unter Danksagung.

Sicherheitsupdates

Besuchen Sie die Seite Microsoft Lebenszyklusinformationen, um den Supportlebenszyklus für Ihre Softwareversion oder zu ermitteln.

Veröffentlichungsdatum Descending

Veröffentlichungsdatum

Produkt

Plattform

Auswirkung

Maximaler Schweregrad

Artikel

Download

Build Number

10. Juli 2018

Microsoft .NET Framework 4.7.1/4.7.2

Windows Server, version 1709 (Server Core Installation)

Elevation of Privilege

Important

-
-

10. Juli 2018

Microsoft .NET Framework 4.7.1/4.7.2

Windows 10 Version 1709 for x64-based Systems

Elevation of Privilege

Important

-
-

10. Juli 2018

Microsoft .NET Framework 4.7.1/4.7.2

Windows 10 Version 1709 for 32-bit Systems

Elevation of Privilege

Important

-
-

10. Juli 2018

Microsoft .NET Framework 4.7/4.7.1/4.7.2

Windows 10 Version 1703 for x64-based Systems

Elevation of Privilege

Important

-
-

10. Juli 2018

Microsoft .NET Framework 4.7/4.7.1/4.7.2

Windows 10 Version 1703 for 32-bit Systems

Elevation of Privilege

Important

-
-

10. Juli 2018

Microsoft .NET Framework 4.6.2/4.7/4.7.1/4.7.2

Windows Server 2016 (Server Core installation)

Elevation of Privilege

Important

-
-

10. Juli 2018

Microsoft .NET Framework 4.6.2/4.7/4.7.1/4.7.2

Windows Server 2016

Elevation of Privilege

Important

-
-

10. Juli 2018

Microsoft .NET Framework 4.6.2/4.7/4.7.1/4.7.2

Windows 10 Version 1607 for x64-based Systems

Elevation of Privilege

Important

-
-

10. Juli 2018

Microsoft .NET Framework 4.6.2/4.7/4.7.1/4.7.2

Windows 10 Version 1607 for 32-bit Systems

Elevation of Privilege

Important

-
-

10. Juli 2018

Microsoft .NET Framework 4.6/4.6.1/4.6.2/4.7/4.7.1/4.7.2

Windows Server 2012 R2 (Server Core installation)

Elevation of Privilege

Important

-
-

10. Juli 2018

Microsoft .NET Framework 4.6/4.6.1/4.6.2/4.7/4.7.1/4.7.2

Windows Server 2012 R2

Elevation of Privilege

Important

-
-

10. Juli 2018

Microsoft .NET Framework 4.6/4.6.1/4.6.2/4.7/4.7.1/4.7.2

Windows Server 2012 (Server Core installation)

Elevation of Privilege

Important

-
-

10. Juli 2018

Microsoft .NET Framework 4.6/4.6.1/4.6.2/4.7/4.7.1/4.7.2

Windows Server 2012

Elevation of Privilege

Important

-
-

10. Juli 2018

Microsoft .NET Framework 4.6/4.6.1/4.6.2/4.7/4.7.1/4.7.2

Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)

Elevation of Privilege

Important

-
-

10. Juli 2018

Microsoft .NET Framework 4.6/4.6.1/4.6.2/4.7/4.7.1/4.7.2

Windows Server 2008 R2 for x64-based Systems Service Pack 1

Elevation of Privilege

Important

-
-

10. Juli 2018

Microsoft .NET Framework 4.6/4.6.1/4.6.2/4.7/4.7.1/4.7.2

Windows RT 8.1

Elevation of Privilege

Important

4344145

Monthly Rollup

-

10. Juli 2018

Microsoft .NET Framework 4.6/4.6.1/4.6.2/4.7/4.7.1/4.7.2

Windows 8.1 for x64-based systems

Elevation of Privilege

Important

-
-

10. Juli 2018

Microsoft .NET Framework 4.6/4.6.1/4.6.2/4.7/4.7.1/4.7.2

Windows 8.1 for 32-bit systems

Elevation of Privilege

Important

-
-

10. Juli 2018

Microsoft .NET Framework 4.6/4.6.1/4.6.2/4.7/4.7.1/4.7.2

Windows 7 for x64-based Systems Service Pack 1

Elevation of Privilege

Important

-
-

10. Juli 2018

Microsoft .NET Framework 4.6/4.6.1/4.6.2/4.7/4.7.1/4.7.2

Windows 7 for 32-bit Systems Service Pack 1

Elevation of Privilege

Important

-
-

10. Juli 2018

Microsoft .NET Framework 3.5

Windows Server, version 1803 (Server Core Installation)

Elevation of Privilege

Important

-
-

10. Juli 2018

Microsoft .NET Framework 3.5

Windows 10 Version 1803 for x64-based Systems

Elevation of Privilege

Important

-
-

10. Juli 2018

Microsoft .NET Framework 3.5

Windows 10 Version 1803 for 32-bit Systems

Elevation of Privilege

Important

-
-

10. Juli 2018

Microsoft .NET Framework 4.6/4.6.1/4.6.2

Windows 10 for x64-based Systems

Elevation of Privilege

Important

-
-

10. Juli 2018

Microsoft .NET Framework 4.6/4.6.1/4.6.2

Windows 10 for 32-bit Systems

Elevation of Privilege

Important

-
-

10. Juli 2018

Microsoft .NET Framework 4.7.2

Windows Server, version 1803 (Server Core Installation)

Elevation of Privilege

Important

-
-

10. Juli 2018

Microsoft .NET Framework 4.7.2

Windows 10 Version 1803 for x64-based Systems

Elevation of Privilege

Important

-
-

10. Juli 2018

Microsoft .NET Framework 4.7.2

Windows 10 Version 1803 for 32-bit Systems

Elevation of Privilege

Important

-
-

10. Juli 2018

Microsoft .NET Framework 4.5.2

Windows Server 2012 R2 (Server Core installation)

Elevation of Privilege

Important

-
-

10. Juli 2018

Microsoft .NET Framework 4.5.2

Windows Server 2012 R2

Elevation of Privilege

Important

-
-

10. Juli 2018

Microsoft .NET Framework 4.5.2

Windows Server 2012 (Server Core installation)

Elevation of Privilege

Important

-
-

10. Juli 2018

Microsoft .NET Framework 4.5.2

Windows Server 2012

Elevation of Privilege

Important

-
-

10. Juli 2018

Microsoft .NET Framework 4.5.2

Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)

Elevation of Privilege

Important

-
-

10. Juli 2018

Microsoft .NET Framework 4.5.2

Windows Server 2008 R2 for x64-based Systems Service Pack 1

Elevation of Privilege

Important

-
-

10. Juli 2018

Microsoft .NET Framework 4.5.2

Windows Server 2008 for x64-based Systems Service Pack 2

Elevation of Privilege

Important

-
-

10. Juli 2018

Microsoft .NET Framework 4.5.2

Windows Server 2008 for 32-bit Systems Service Pack 2

Elevation of Privilege

Important

-
-

10. Juli 2018

Microsoft .NET Framework 4.5.2

Windows RT 8.1

Elevation of Privilege

Important

4344147

Monthly Rollup

-

10. Juli 2018

Microsoft .NET Framework 4.5.2

Windows 8.1 for x64-based systems

Elevation of Privilege

Important

-
-

10. Juli 2018

Microsoft .NET Framework 4.5.2

Windows 8.1 for 32-bit systems

Elevation of Privilege

Important

-
-

10. Juli 2018

Microsoft .NET Framework 4.5.2

Windows 7 for x64-based Systems Service Pack 1

Elevation of Privilege

Important

-
-

All results loaded

Alle 71 Zeilen geladen

Haftungsausschluss

Die Informationen der Microsoft Knowledge Base werden wie besehen und ohne jede Gewährleistung bereitgestellt. Microsoft schließt alle anderen Garantien, gleichgültig, ob ausdrücklich oder konkludent, einschließlich der Garantien der Handelsüblichkeit oder Eignung für einen bestimmten Zweck aus. In keinem Fall kann die Microsoft Corporation und/oder deren jeweilige Lieferanten haftbar gemacht werden für Schäden irgendeiner Art, einschließlich direkter, indirekter, zufällig entstandener Schäden, Folgeschäden, Folgen entgangenen Gewinns oder spezieller Schäden, selbst dann nicht, wenn Microsoft Corporation und/oder deren jeweilige Lieferanten auf die mögliche Entstehung dieser Schäden hingewiesen wurde. Weil in einigen Staaten/Rechtsordnungen der Ausschluss oder die Beschränkung einer Haftung für zufällig entstandene Schäden oder Folgeschäden nicht gestattet ist, gilt die obige Einschränkung eventuell nicht für Sie.

Revisionen

version

revisionDate

description

5.0

15. Aug. 2018

Microsoft veröffentlicht die monatlichen Rollups vom August, reine Sicherheitsupdates und Sicherheitsupdates, um bekannte Probleme vollständig zu beheben, die bei manchen Kunden nach der Installation der Sicherheitsupdates für .NET Framework vom Juli aufgetreten sind. Kunden, die entweder die eigenständigen Updates oder das alternative kumulative Update installiert haben, sollten auch die Updates vom August installieren. Links zum Herunterladen und Installieren der Updates vom August finden Sie in der Tabelle „Betroffene Produkte“.

4.1

1. Aug. 2018

Artikel- und Downloadeinträge wurden in der Tabelle „Betroffene Produkte“ korrigiert. Dies ist lediglich eine Informationsänderung.

4.0

31. Juli 2018

Microsoft kündigt die Veröffentlichung von Updates an, die über den Microsoft Update-Katalog verfügbar sind. Hiermit werden bekannte Probleme behoben, die bei manchen Kunden nach der Installation der Sicherheitsupdates für .NET Framework vom Juli 2018 aufgetreten sind. Microsoft empfiehlt Kunden, bei denen die in KB4345913 (https://support.microsoft.com/de-de/help/4345913) beschriebenen Anwendungsprobleme aufgetreten sind, das betreffende eigenständige Update für ihr System zu installieren. Kunden, die Windows 10, Version 1607, oder Windows Server 2016 ausführen, sollten das kumulative Update 4346877 installieren, um Anwendungsfehler zu beheben. Links zum Herunterladen und Installieren der Updates finden Sie in der Tabelle „Betroffene Produkte“.

3.0

26. Juli 2018

Microsoft hat Kenntnis von einem bekannten Problem, das manche Kunden nach der Installation der am 10. Juli veröffentlichten Sicherheitsupdates für CVE-2018-8202 haben. Wir untersuchen dieses Problem und werden Sicherheitsupdates für diesen CVE veröffentlichen, sobald sie verfügbar sind. In der Zwischenzeit finden Sie im Abschnitt „Häufig gestellte Fragen (FAQ)“ von CVE-2018-8202 empfohlene Maßnahmen, die Sie vor der Bereitstellung dieser Updates ergreifen können. In KB4345913 finden Sie außerdem weitere Informationen, einschließlich Beschreibungen von Anwendungsfehlern, die bei Kunden auftreten können, sowie verfügbare Problemumgehungen.

2.0

19. Juli 2018

Zur Behebung eines bekannten Problems in den am 10. Juli veröffentlichten Sicherheitsupdates veröffentlicht Microsoft alternative kumulative Updatepakete für alle unterstützten Editionen von Windows 10. Diese Pakete sind über den Microsoft Update-Katalog, WSUS oder die manuelle Suche in Windows Update verfügbar. Kunden, die nach der Installation der Windows-Sicherheitsupdates vom Juli Probleme haben, sollten im Bedarfsfall die Ersatzpakete installieren. Beachten Sie, dass die monatlichen Rollup- und reinen Sicherheitsupdates für .NET Framework nicht davon betroffen sind. Informationen zu den KB-Nummern der Ersatzpakete finden Sie in der Tabelle „Betroffene Produkte“. Für Kunden, die die Sicherheitsupdates erfolgreich installiert haben und keine Probleme haben, besteht kein Handlungsbedarf.

2.1

19. Juli 2018

Die Einträge zur Ablösung in der Tabelle „Betroffene Produkte“ wurden korrigiert. Dies ist lediglich eine Informationsänderung.

1.0

10. Juli 2018

Informationen wurden veröffentlicht.