Hinweis
Dieses Sicherheitsupdate wurde am 12. September 2017 erneut veröffentlicht, um bekannte Probleme im Zusammenhang mit dem Update 3170455 für CVE-2016-3238 zu beheben.
Microsoft hat die folgenden Updates für derzeit unterstützte Versionen von Microsoft Windows zur Verfügung gestellt. Weitere Informationen finden Sie im folgenden Artikel der Microsoft Knowledge Base:
-
Erneut veröffentlichtes Update 3170455 für Windows Server 2008
-
Monatlicher Rollup 4038777 und Sicherheitsupdate 4038779 für Windows 7 und Windows Server 2008 R2
-
Monatlicher Rollup 4038799 und Sicherheitsupdate 4038786 für Windows Server 2012
-
Monatlicher Rollup 4038792 und Sicherheitsupdate 4038793 für Windows 8.1 und Windows Server 2012 R2
-
Kumulatives Update 4038781 für Windows 10
-
Kumulatives Update 4038781 für Windows 10 Version 1511
-
Kumulatives Update 4038782 für Windows 10 Version 1607 und Windows Server 2016
Microsoft empfiehlt Kunden, die Windows Server 2008 verwenden, das Update 3170455 erneut zu installieren. Microsoft empfiehlt Kunden, die andere unterstützte Windows-Versionen ausführen, das entsprechende Update zu installieren. Weitere Informationen finden Sie im Microsoft Knowledge Base-Artikel 3170455:
Andere Änderungen, die in der erneuten MS16-087-Veröffentlichung enthalten sind
-
Hinzugefügte Ereignisprotokollierung, um die Ermittlung der Ursache von Fehlern bei der Installation von Druckertreibern zu unterstützen
Zuvor hatte der Kunde, um in Erfahrung zu bringen, warum für einen Treiber bei den neuen Einschränkungsprüfungen, die im Rahmen von MS16-087 implementiert wurden, Fehler aufgetreten sind, nur die Möglichkeit, Druckprotokolle zu erfassen und diese zur Analyse an Microsoft zu senden.
Wir haben die Funktionalität hinzugefügt, dass die Fehlerursache in der Ereignisprotokollierung aufgezeichnet wird, damit Kunden die eigentliche Ursache von Treiberfehlern selbst untersuchen können.
Protokollierte Informationen:
1. Wenn ein Treiber nicht paketfähig ist oder nicht ordnungsgemäß signiert wurde, wird die folgende Nachricht protokolliert:
MSG_CSRSPL_UNTRUSTED_DRIVER: „Der Druckspooler konnte das Paket für Treiber <Treibername> nicht herunterladen. Fehlercode= <Fehlercode_aus_nachfolgender_Liste>. Der Treiber wird blockiert, da ein Risiko der potenziellen Manipulation besteht.“
2. Wenn bei der Überprüfung einer Signatur anhand des bereitgestellten Katalogs ein Fehler auftritt, wird die folgende Nachricht protokolliert:
VALIDATEDRVINFO_FAILED: "In VALIDATINGDRVINFO, Adding printer driver <driverName> failed, error code <errorCodeFromListBelow>.
Mögliche Fehlercodes:
|
Code |
Bedeutung |
|
0x800F0243L |
Herausgeber nicht vertrauenswürdig |
|
0x800F024BL |
Hash nicht in Katalog enthalten |
|
0x800F022FL |
Kein Katalog für OEM INF |
|
0x800F023FL |
Kein Authenticode-Katalog |
|
0x800F0240L |
Authenticode nicht zulässig |
|
0x800F0249L |
Generische „Treiberinstallation blockiert“ |
Zusammenfassung
Dieses Sicherheitsupdate behebt Sicherheitsanfälligkeiten in Microsoft Windows. Das größere Sicherheitsrisiko könnte die Remoteausführung von Code ermöglichen, wenn ein Angreifer einen Man-in-the-Middle-Angriff (MiTM) auf einer Arbeitsstation oder einem Druckserver ausführen oder einen nicht autorisierten Druckserver im Zielnetzwerk einrichten kann.
Weitere Informationen zu dieser Sicherheitsanfälligkeit finden Sie im Microsoft-Sicherheitsbulletin MS16-087.
Weitere Informationen
Wichtig
-
Wenn Sie nach der Installation dieses Sicherheitsupdates Point-and-Print-Treiber von Druckerservern auf Clients installieren möchten, müssen Sie das folgende Windows-Updaterollup auf dem Windows 8.1- oder Windows Server 2012 R2-Druckerserver anwenden:
3000850 Updaterollup für Windows RT 8.1, Windows 8.1 und Windows Server 2012 R2 vom November 2014
-
Zum Empfang aller künftigen Sicherheitsupdates und nicht sicherheitsrelevanten Updates für Windows RT 8.1, Windows 8.1 und Windows Server 2012 R2 wird die Installation von Update 2919355 vorausgesetzt. Wir empfehlen Ihnen, das Update 2919355 auf Ihrem Computer unter Windows RT 8.1, Windows 8.1 oder Windows Server 2012 R2 zu installieren, damit Sie auch in Zukunft Updates erhalten.
-
Wenn Sie nach der Installation dieses Updates ein Language Pack installieren, müssen Sie dieses Update erneut installieren. Daher wird empfohlen, alle benötigen Language Packs vor diesem Update zu installieren. Weitere Informationen finden Sie unter Hinzufügen von Language Packs zu Windows.
Zusätzliche Informationen zu diesem Sicherheitsupdate
Die folgenden Artikel enthalten zusätzliche Informationen zu diesem Sicherheitsupdate bezogen auf einzelne Produktversionen. Die Artikel können Informationen zu bekannten Problemen enthalten.
-
3170455 MS16-087: Beschreibung des Sicherheitsupdates für Windows-Druckerspoolerkomponenten: 12. Juli 2016
-
3163912 Kumulatives Update für Windows 10: 12. Juli 2016
-
3172985 Kumulatives Update für Windows 10, Version 1511 und Windows Server 2016 Technical Preview 4: 12. Juli 2016
Bekannte Probleme
Wenn Sie in Ihrer Umgebung das Drucken über das Netzwerk verwenden, kann eines der folgenden Probleme auftreten:
-
Es wird möglicherweise eine Warnung wegen der Installation eines Druckertreibers angezeigt, oder möglicherweise schlägt die Installation des Druckertreibers ohne weiteren Hinweis fehl, nachdem Sie MS16-087 angewendet haben. Die Symptome hängen vom jeweiligen Szenario ab.
Szenario 1 Für nicht paketfähige v3-Druckertreiber wird möglicherweise die folgende Warnmeldung angezeigt, wenn Benutzer eine Verbindung mit Point-and-Print-Druckern herzustellen versuchen:
Szenario 2 Paketfähige Drucker müssen mit einem vertrauenswürdigen Zertifikat signiert sein. Bei der Überprüfung wird festgestellt, ob alle im Treiber enthaltenen Dateien im Katalog aufgeführt sind. Wenn diese Überprüfung fehlschlägt, gilt der Treiber als nicht vertrauenswürdig. In diesem Fall wird die Treiberinstallation blockiert und die folgende Warnmeldung wird angezeigt:
Szenario 3 Wenn bei nicht interaktiven Szenarien (z. B. wenn der Drucker mithilfe eines automatisierten Skripts installiert wird) der Druckertreiber die in Szenario 1 oder Szenario 2 beschriebenen Kriterien erfüllt, schlägt die Druckerinstallation fehl, und es wird keine Warnmeldung angezeigt.
Wenden Sie sich in diesen Fällen an Ihren Netzwerkadministrator, um einen aktualisierten Druckertreiber vom Druckerhersteller zu beziehen.
Hinweise für Netzwerkadministratoren:-
Aktualisieren Sie den betroffenen Druckertreiber. Paketfähige V3-Druckertreiber wurden in Windows Vista eingeführt. Das Problem wird durch die Installation eines paketfähigen Druckertreibers behoben.
-
Wenn für einen bestimmten Legacy-Drucker nicht der entsprechende Druckertreiber verfügbar ist, wird das Problem durch Vorinstallieren des fehlerhaften Druckertreibers im Clientsystem behoben.
Weitere Informationen zu diesen Szenarien finden Sie in den folgenden Microsoft-Ressourcen:
-
-
Nachdem Sie das Sicherheitsupdate MS16-087 (KB 3170455) angewendet und versucht haben, eine Verbindung mit einem vertrauenswürdigen paketfähigen Drucker herzustellen, der auf einem System unter Windows 8.1 oder Windows Server 2012 R2 installiert ist, können Sie nicht auf den Drucker zugreifen.
Wenden Sie zum Beheben dieses Problems den folgenden Windows-Updaterollup auf den Druckerserver unter Windows 8.1 oder Windows Server 2012 R2 an:3000850 Updaterollup für Windows RT 8.1, Windows 8.1 und Windows Server 2012 R2 vom November 2014
Update vom Oktober 2016: Risikominderung bei bekannten Problemen
Microsoft hat ein Update für Oktober 2016 veröffentlicht, mit dem Netzwerkadministratoren Richtlinien konfigurieren können, welche die Installation von Druckertreibern, die sie als sicher erachten, erlauben. Mit diesem Update können Netzwerkadministratoren außerdem Druckerverbindungen, die sie als sicher erachten, bereitstellen.
Die Updates sind in den folgenden Rollup-Paketen enthalten.
|
Windows 10 RTM |
|
|
Windows 10 1511 |
|
|
Windows 10 1607 |
|
|
Windows 7 und Windows Server 2008 R2 |
|
|
Windows Server 2012 |
|
|
Windows 8.1 und Windows Server 2012 R2 |
Konfigurieren der Gruppenrichtlinie zum Hinzufügen von Druckerservern zur Liste zulässiger Druckerserver
-
Klicken Sie auf Start und anschließend auf Ausführen.
-
Geben Sie gpedit.msc ein, und klicken Sie auf OK.
-
Erweitern Sie „Computerkonfiguration“ und dann „Administrative Vorlagen“.
-
Klicken Sie auf „Drucker“.
-
Doppelklicken Sie auf „Point-and-Print-Einschränkungen“, und wählen Sie dann die Option „Aktiviert“ aus.
-
Aktivieren Sie unter Optionen das Kontrollkästchen Benutzer können Point-and-Print nur mit folgenden Servern verwenden, und geben Sie dann die vollqualifizierten Servernamen (durch Semikolons getrennt) in das Textfeld ein.
-
Legen Sie diese unter „Sicherheitsaufforderungen“ wie folgt fest:
-
„Beim Installieren von Treibern für eine neue Verbindung“: „Warnung und Anhebungsaufforderung anzeigen“.
-
„Beim Aktualisieren von Treibern für eine neue Verbindung“: „Warnung und Anhebungsaufforderung anzeigen“.
-
-
Klicken Sie auf „Übernehmen“ und dann auf „OK“.
-
Doppelklicken Sie auf der Richtlinienseite Drucker auf „Point-and-Print für Pakete – Genehmigte Server“.
-
Wählen Sie die Option „Aktiviert“ aus.
-
Klicken Sie unter „Optionen“ auf „Anzeigen“.
-
Geben Sie in jede Zeile einen vollqualifizierten Servernamen ein.
-
Klicken Sie auf OK.
-
Klicken Sie auf „Übernehmen“ und dann auf „OK“.
-
Wenn Sie einen eigenständigen Client verwenden, starten Sie den Client neu, und überprüfen Sie anschließend, ob diese Richtlinien wirksam sind.
-
Wenn Sie Domänenrichtlinien verwenden, übertragen Sie die Richtlinien auf die Domänenclients, und überprüfen Sie anschließend, ob diese Richtlinien wirksam sind.
Hinweis Nachdem Sie diese Gruppenrichtlinien aktiviert haben, müssen Sie alle Druckerserver zur Liste „Point-and-Print-Einschränkungen“ und zur Liste „Point-and-Print für Pakete – Genehmigte Server“ hinzufügen. Dies gilt unabhängig von der Paketfähigkeit.
Update vom Oktober 2016: Häufig gestellte Fragen
-
F: Sollten wir das vorherige Update deinstallieren?
A: Nein. Mit dem vorherigen Update wird die Sicherheitsanfälligkeit behoben. Das Update vom Oktober 2016 bietet eine Risikominderung, indem Netzwerkadministratoren Treiber, die sie als sicher erachten, installieren können. -
F: Selbst wenn das Update vom Oktober 2016 installiert wurde und die Gruppenrichtlinien konfiguriert wurden, wird beim Versuch, einen lokalen Drucker zu installieren, weiterhin die Meldung „Vertrauen Sie diesem Drucker?“ angezeigt. Warum?
A: Diese Risikominderung ist nicht für lokale Drucker, sondern für Netzwerkdrucker gedacht, weshalb dies dem erwarteten Verhalten entspricht.
Hinweis Wenn die Meldung „Vertrauen Sie diesem Drucker?“ angezeigt wird, ersetzen Sie entweder Ihren aktuellen Druckertreiber durch einen vertrauenswürdigen paketfähigen Treiber, oder installieren Sie die Treiberdateien im lokalen Treiberspeicher, bevor Sie den lokalen Drucker installieren. Weitere Informationen finden Sie im Abschnitt Hinweise für Netzwerkadministratoren.
Bezug und Installation des Updates
Methode 1: Windows Update
Dieses Update ist über Windows Update erhältlich. Wenn Sie die automatische Aktualisierung einschalten, wird das Update heruntergeladen und automatisch installiert. Weitere Informationen zum Aktivieren der automatischen Aktualisierung finden Sie im Artikel zum automatischen Beziehen von Sicherheitsupdates.
Hinweis Für Windows RT 8.1 ist dieses Update nur über Windows Update verfügbar.
Sie können das eigenständige Updatepaket über das Microsoft Download Center beziehen. Folgen Sie den Installationsanweisungen auf der Downloadseite, um das Update zu installieren.
Klicken Sie im Microsoft-Sicherheitsbulletin MS16-087 auf den Downloadlink für die von Ihnen verwendete Windows-Version.
Weitere Informationen
Windows Vista (alle Editionen) Referenztabelle
Die folgende Tabelle enthält die Sicherheitsupdateinformationen für diese Software.
|
Dateinamen der Sicherheitsupdates |
Für alle unterstützten 32-Bit-Editionen von Windows Vista: |
|
Für alle unterstützten x64-Editionen von Windows Vista: |
|
|
Installationsoptionen |
|
|
Neustartanforderung |
In bestimmten Fällen ist nach der Installation dieses Updates kein Neustart des Systems erforderlich. Falls die benötigten Dateien gerade verwendet werden, muss das System jedoch neu gestartet werden. Wenn diese Bedingung vorliegt, wird eine Meldung angezeigt, in der Sie zum Neustart des Systems aufgefordert werden. |
|
Informationen zur Deinstallation |
Die Deinstallation von Updates wird von „WUSA.exe“ nicht unterstützt. Klicken Sie zum Deinstallieren eines von WUSA installierten Updates auf Systemsteuerung und anschließend auf Sicherheit. Klicken Sie unter Windows Update auf Installierte Updates anzeigen, und wählen Sie dann das gewünschte Update in der Liste aus. |
|
Dateiinformationen |
|
|
Überprüfung des Registrierungsschlüssels |
Hinweis: Es ist kein Registrierungsschlüssel vorhanden, der die Installation dieses Updates belegt. |
Windows Server 2008 (alle Editionen) – Referenztabelle
Die folgende Tabelle enthält die Sicherheitsupdateinformationen für diese Software.
|
Dateinamen der Sicherheitsupdates |
Für alle unterstützten 32-Bit-Editionen von Windows Server 2008: |
|
Für alle unterstützten x64-basierten Editionen von Windows Server 2008: |
|
|
Für alle unterstützten Itanium-basierten Editionen von Windows Server 2008: |
|
|
Installationsoptionen |
|
|
Neustartanforderung |
In bestimmten Fällen ist nach der Installation dieses Updates kein Neustart des Systems erforderlich. Falls die benötigten Dateien gerade verwendet werden, muss das System jedoch neu gestartet werden. Wenn diese Bedingung vorliegt, wird eine Meldung angezeigt, in der Sie zum Neustart des Systems aufgefordert werden. |
|
Informationen zur Deinstallation |
Die Deinstallation von Updates wird von „WUSA.exe“ nicht unterstützt. Klicken Sie zum Deinstallieren eines von WUSA installierten Updates auf Systemsteuerung und anschließend auf Sicherheit. Klicken Sie unter Windows Update auf Installierte Updates anzeigen, und wählen Sie dann das gewünschte Update in der Liste aus. |
|
Dateiinformationen |
|
|
Überprüfung des Registrierungsschlüssels |
Hinweis: Es ist kein Registrierungsschlüssel vorhanden, der die Installation dieses Updates belegt. |
Windows 7 (alle Editionen) – Referenztabelle
Die folgende Tabelle enthält die Sicherheitsupdateinformationen für diese Software.
|
Dateiname des Sicherheitsupdates |
Für alle unterstützten 32-Bit-Editionen von Windows 7: |
|
Für alle unterstützten x64-basierten Editionen von Windows 7: |
|
|
Installationsoptionen |
|
|
Neustartanforderung |
In bestimmten Fällen ist nach der Installation dieses Updates kein Neustart des Systems erforderlich. Falls die benötigten Dateien gerade verwendet werden, muss das System jedoch neu gestartet werden. Wenn diese Bedingung vorliegt, wird eine Meldung angezeigt, in der Sie zum Neustart des Systems aufgefordert werden. |
|
Informationen zur Deinstallation |
Zum Deinstallieren eines durch WUSA installierten Updates verwenden Sie die Befehlszeilenoption /Uninstall, oder klicken Sie auf Systemsteuerung, klicken Sie auf System und Sicherheit, klicken Sie auf Windows Update, klicken Sie auf Installierte Updates anzeigen, und wählen Sie dann das gewünschte Update in der Liste aus. |
|
Dateiinformationen |
|
|
Überprüfung des Registrierungsschlüssels |
Hinweis: Es ist kein Registrierungsschlüssel vorhanden, der die Installation dieses Updates belegt. |
Windows Server 2008 R2 (alle Editionen) – Referenztabelle
Die folgende Tabelle enthält die Sicherheitsupdateinformationen für diese Software.
|
Dateiname des Sicherheitsupdates |
Für alle unterstützten x64-basierten Editionen von Windows Server 2008 R2: |
|
Für alle unterstützten Itanium-basierten Editionen von Windows Server 2008 R2: |
|
|
Installationsoptionen |
|
|
Neustartanforderung |
In bestimmten Fällen ist nach der Installation dieses Updates kein Neustart des Systems erforderlich. Falls die benötigten Dateien gerade verwendet werden, muss das System jedoch neu gestartet werden. Wenn diese Bedingung vorliegt, wird eine Meldung angezeigt, in der Sie zum Neustart des Systems aufgefordert werden. |
|
Informationen zur Deinstallation |
Zum Deinstallieren eines durch WUSA installierten Updates verwenden Sie die Befehlszeilenoption /Uninstall, oder klicken Sie auf Systemsteuerung, klicken Sie auf System und Sicherheit, klicken Sie auf Windows Update, klicken Sie auf Installierte Updates anzeigen, und wählen Sie dann das gewünschte Update in der Liste aus. |
|
Dateiinformationen |
|
|
Überprüfung des Registrierungsschlüssels |
Hinweis: Es ist kein Registrierungsschlüssel vorhanden, der die Installation dieses Updates belegt. |
Windows 8.1 (alle Editionen) – Referenztabelle
Die folgende Tabelle enthält die Sicherheitsupdateinformationen für diese Software.
|
Dateiname des Sicherheitsupdates |
Für alle unterstützten 32-Bit-Editionen von Windows 8.1: |
|
Für alle unterstützten x64-basierten Editionen von Windows 8.1: |
|
|
Installationsoptionen |
|
|
Neustartanforderung |
In bestimmten Fällen ist nach der Installation dieses Updates kein Neustart des Systems erforderlich. Falls die benötigten Dateien gerade verwendet werden, muss das System jedoch neu gestartet werden. Wenn diese Bedingung vorliegt, wird eine Meldung angezeigt, in der Sie zum Neustart des Systems aufgefordert werden. |
|
Informationen zur Deinstallation |
Zum Deinstallieren eines durch WUSA installierten Updates verwenden Sie die Befehlszeilenoption /Uninstall, oder klicken Sie auf Systemsteuerung, klicken Sie auf System und Sicherheit, klicken Sie auf Windows Update, klicken Sie unter Siehe auch auf Installierte Updates, und wählen Sie dann das gewünschte Update in der Liste aus. |
|
Dateiinformationen |
|
|
Überprüfung des Registrierungsschlüssels |
Hinweis: Es ist kein Registrierungsschlüssel vorhanden, der die Installation dieses Updates belegt. |
Windows Server 2012 und Windows Server 2012 R2 (alle Editionen) – Referenztabelle
Die folgende Tabelle enthält die Sicherheitsupdateinformationen für diese Software.
|
Dateiname des Sicherheitsupdates |
Für alle unterstützten Editionen von Windows Server 2012: |
|
Für alle unterstützten Editionen von Windows Server 2012 R2: |
|
|
Installationsoptionen |
|
|
Neustartanforderung |
In bestimmten Fällen ist nach der Installation dieses Updates kein Neustart des Systems erforderlich. Falls die benötigten Dateien gerade verwendet werden, muss das System jedoch neu gestartet werden. Wenn diese Bedingung vorliegt, wird eine Meldung angezeigt, in der Sie zum Neustart des Systems aufgefordert werden. |
|
Informationen zur Deinstallation |
Zum Deinstallieren eines durch WUSA installierten Updates verwenden Sie die Befehlszeilenoption /Uninstall, oder klicken Sie auf Systemsteuerung, klicken Sie auf System und Sicherheit, klicken Sie auf Windows Update, klicken Sie unter Siehe auch auf Installierte Updates, und wählen Sie dann das gewünschte Update in der Liste aus. |
|
Dateiinformationen |
|
|
Überprüfung des Registrierungsschlüssels |
Hinweis: Es ist kein Registrierungsschlüssel vorhanden, der die Installation dieses Updates belegt. |
Windows RT 8.1 (alle Editionen) – Referenztabelle
Die folgende Tabelle enthält die Sicherheitsupdateinformationen für diese Software.
|
Bereitstellung |
Das Update ist nur über Windows Update verfügbar. |
|
Neustart |
In bestimmten Fällen ist nach der Installation dieses Updates kein Neustart des Systems erforderlich. Falls die benötigten Dateien gerade verwendet werden, muss das System jedoch neu gestartet werden. Wenn diese Bedingung vorliegt, wird eine Meldung angezeigt, in der Sie zum Neustart des Systems aufgefordert werden. |
|
Informationen zur Deinstallation |
Klicken Sie auf Systemsteuerung, auf System und Sicherheit, auf Windows Update und dann unter Siehe auch auf Installierte Updates. Wählen Sie dann das gewünschte Update in der Liste aus. |
|
Dateiinformationen |
Referenztabelle für Windows 10 (alle Editionen)
Die folgende Tabelle enthält die Sicherheitsupdateinformationen für diese Software.
|
Dateiname des Sicherheitsupdates |
Alle unterstützten 32-Bit-Editionen von Windows 10: |
|
Alle unterstützten x64-basierten Editionen von Windows 10: |
|
|
Alle unterstützten 32-Bit-Editionen von Windows 10, Version 1511: |
|
|
Alle unterstützten x64-basierten Editionen von Windows 10 Version 1511:{ |
|
|
Installationsoptionen |
|
|
Neustartanforderung |
In bestimmten Fällen ist nach der Installation dieses Updates kein Neustart des Systems erforderlich. Falls die benötigten Dateien gerade verwendet werden, muss das System jedoch neu gestartet werden. Wenn diese Bedingung vorliegt, wird eine Meldung angezeigt, in der Sie zum Neustart des Systems aufgefordert werden. |
|
Informationen zur Deinstallation |
Zum Deinstallieren eines durch WUSA installierten Updates verwenden Sie die Befehlszeilenoption /Uninstall, oder klicken Sie auf Systemsteuerung, klicken Sie auf System und Sicherheit, klicken Sie auf Windows Update, klicken Sie unter Siehe auch auf Installierte Updates, und wählen Sie dann das gewünschte Update in der Liste aus. |
|
Dateiinformationen |
Siehe Microsoft Knowledge Base-Artikel 3163912 |
|
Überprüfung des Registrierungsschlüssels |
Hinweis: Es ist kein Registrierungsschlüssel vorhanden, der die Installation dieses Updates belegt. |
Hilfe bei der Installation von Updates: Support für Microsoft Update
Sicherheitslösungen für IT-Profis: TechNet Security – Problembehandlung und Support
Schützen Sie Ihren Windows-basierten Computer vor Viren und Schadsoftware: Virenlösung und Sicherheitscenter
Lokaler Support entsprechend Ihrem Land: Internationaler Support
