Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Historie:
Version 2 (20.12.2016):
Microsoft hat seinen Sicherheitshinweis zweimalig aktualisiert (allerdings
bislang nur in der englischsprachigen Variante). Mit Version 1.1
informiert Microsoft unter anderem darüber, dass Microsoft .NET Framework
2.0, 3.5, 3.5.1, 4.5.2, 4.6 und 4.6.1 nicht von der Schwachstelle
betroffen sind. Windows RT wird für Security Only Releases nicht
unterstützt. In Version 2.0 informiert Microsoft über eine
Detektionsänderung für WSUS Kunden für die Security und Quality Rollup
Updates 3210142 und 3205402. Dies ist keine inhaltliche Änderung der
Updates, so dass für Kunden, die die Updates bereits ohne Probleme
installieren konnten, keine weiteren Schritte erforderlich sind.
Version 1 (14.12.2016):
Neues Advisory
Betroffene Software:
Microsoft .NET Framework 2.0 SP2
Microsoft .NET Framework 3.5
Microsoft .NET Framework 3.5.1
Microsoft .NET Framework 4.5.2
Microsoft .NET Framework 4.6
Microsoft .NET Framework 4.6.1
Microsoft .NET Framework 4.6.2
Betroffene Plattformen:
Microsoft Windows 7 SP1 x64
Microsoft Windows 7 SP1 x86
Microsoft Windows 8.1 x64
Microsoft Windows 8.1 x86
Microsoft Windows 10 x64 v1607
Microsoft Windows 10 x86 v1607
Microsoft Windows RT 8.1
Microsoft Windows Server 2008 R2 SP1 x64 Server Core Installation
Microsoft Windows Server 2008 R2 SP1 Itanium
Microsoft Windows Server 2008 R2 SP1 x64
Microsoft Windows Server 2012
Microsoft Windows Server 2012 Server Core Installation
Microsoft Windows Server 2012 R2
Microsoft Windows Server 2012 R2 Server Core Installation
Microsoft Windows Server 2016 x64 Server Core Installation
Microsoft Windows Server 2016 x64
Microsoft Windows Vista SP2
Microsoft Windows Vista SP2 x64
Eine Schwachstelle im Microsoft .NET Framework auf verschiedenen Versionen
von Microsoft Windows ermöglicht einem nicht authentisierten Angreifer im
benachbarten Netzwerk das Ausspähen von Informationen. Diese Schwachstelle
ist laut Microsoft zwar öffentlich gemeldet, eine Ausnutzung ist jedoch
nicht bekannt.
Das Sicherheitsupdate behebt die Schwachstelle, indem korrigiert wird, wie
.NET Framework den vom Entwickler bereitgestellten Schlüssel verarbeitet und
somit die Daten ordnungsgemäß schützt. Ebenfalls betroffen von der
Schwachstelle ist Windows Server 2016 Technical Preview 5. Microsoft
verweist die Anwender auf das aktuelle ‘Windows Update’.
Patch:
Microsoft Sicherheitshinweise MS16-155 (.NET Framework)
https://technet.microsoft.com/de-de/library/security/MS16-155
Patch:
Microsoft Security Bulletin MS16-155 (.NET Framework, englisch)
https://technet.microsoft.com/en-us/library/security/MS16-155
CVE-2016-7270: Schwachstelle in .NET Framework ermöglicht Ausspähen von
Informationen
Im Microsoft .NET 4.6.2 Framework-Datendienst für SQL Server existiert eine
Schwachstelle, wenn .NET Framework einen vom Entwickler bereitgestellten
Schlüssel falsch verwendet, durch welche Informationen offengelegt werden
können, die durch die Funktion ‘Always Encrypted’ geschützt werden sollten.
Außerdem ist bei falscher Verwendung des Schlüssels möglicherweise
kurzzeitig kein Datenzugriff möglich. Ein Angreifer kann diese Schwachstelle
ausnutzen, mittels eines einfach zu erratenen Schlüssels, um auf die falsch
verschlüsselten Daten zuzugreifen und somit Informationen auszuspähen.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-2067/
Microsoft Sicherheitshinweise MS16-155 (.NET Framework):
https://technet.microsoft.com/de-de/library/security/MS16-155
Schwachstelle CVE-2016-7270 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-7270
Microsoft Security Bulletin MS16-155 (.NET Framework, englisch):
https://technet.microsoft.com/en-us/library/security/MS16-155
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
