MS16-087: Sicherheitsupdate für Windows-Druckerspooler-Komponenten: 12. Juli 2016

Zusammenfassung
Dieses Sicherheitsupdate behebt Sicherheitsanfälligkeiten in Microsoft Windows. Das gravierendere dieser Sicherheitsrisiken kann Remotecodeausführung ermöglichen, wenn ein Angreifer in der Lage ist, einen „Man-in-the-Middle“ (MiTM)-Angriff auf eine Arbeitsstation oder einen Druckerserver auszuführen oder einen nicht autorisierten Druckerserver im Zielnetzwerk einzurichten.

Weitere Informationen zu diesem Sicherheitsrisiko finden Sie im Microsoft-Sicherheitsbulletin MS16-087.
Weitere Informationen
Wichtig
  • Wenn Sie nach der Installation dieses Sicherheitsupdates Point-and-Print-Treiber von Druckerservern auf Clients installieren möchten, müssen Sie das folgende Windows-Updaterollup auf dem Windows 8.1- oder Windows Server 2012 R2-Druckerserver anwenden:
    3000850 Updaterollup für Windows RT 8.1, Windows 8.1 und Windows Server 2012 R2 vom November 2014
  • Alle künftigen Sicherheitsupdates und nicht sicherheitsrelevanten Updates für Windows RT 8.1, Windows 8.1 und Windows Server 2012 R2 erfordern die Installation von Update 2919355. Wir empfehlen Ihnen, das Update 2919355 auf Ihrem Computer mit Windows RT 8.1, Windows 8.1 oder Windows Server 2012 R2 zu installieren, damit Sie auch in Zukunft Updates erhalten.
  • Wenn Sie nach der Installation dieses Updates ein Language Pack installieren, müssen Sie dieses Update erneut installieren. Daher wird empfohlen, alle benötigen Language Packs vor diesem Update zu installieren. Weitere Informationen finden Sie unter Hinzufügen von Language Packs zu Windows.
Zusätzliche Informationen zu diesem Sicherheitsupdate
Die folgenden Artikel enthalten zusätzliche Informationen zu diesem Sicherheitsupdate bezogen auf einzelne Produktversionen. Die Artikel können Informationen zu bekannten Problemen enthalten.

  • 3170455 MS16-087: Hinweise zum Sicherheitsupdate für Windows-Druckerspooler-Komponenten: 12. Juli 2016
  • 3163912 Kumulatives Update für Windows 10: 12. Juli 2016
  • 3172985 Kumulatives Update für Windows 10 Version 1511 und Windows Server 2016 Technical Preview 4: 12. Juli 2016

Bekannte Probleme

Wenn Sie in Ihrer Umgebung das Drucken über das Netzwerk verwenden, kann eines der folgenden Probleme auftreten:
  • Es wird möglicherweise eine Warnung wegen der Installation eines Druckertreibers angezeigt, oder möglicherweise schlägt die Installation des Druckertreibers ohne weiteren Hinweis fehl, nachdem Sie MS16-087 angewendet haben. Die Symptome hängen vom jeweiligen Szenario ab.

    Szenario 1

    Für nicht paketfähige v3-Druckertreiber wird möglicherweise die folgende Warnmeldung angezeigt, wenn Benutzer eine Verbindung mit Point-and-Print-Drucker herzustellen versuchen:

    Vertrauen Sie diesem Drucker?

    Szenario 2

    Paketfähige Drucker müssen mit einem vertrauenswürdigen Zertifikat signiert sein. Bei der Überprüfung wird festgestellt, ob alle im Treiber enthaltenen Dateien im Katalog aufgeführt sind. Wenn diese Überprüfung fehlschlägt, gilt der Treiber als nicht vertrauenswürdig. In diesem Fall wird die Treiberinstallation blockiert und die folgende Warnmeldung wird angezeigt:

    Drucker hinzufügen

    Szenario 3

    Wenn bei nicht interaktiven Szenarien (z. B. wenn der Drucker mithilfe eines automatisierten Skripts installiert wird) der Druckertreiber die in Szenario 1 oder Szenario 2 beschriebenen Kriterien erfüllt, schlägt die Druckerinstallation fehl und es wird keine Warnmeldung angezeigt.

    Wenden Sie sich in diesen Fällen an Ihren Netzwerkadministrator, um einen aktualisierten Druckertreiber vom Druckerhersteller zu beziehen.

    Hinweise für Netzwerkadministratoren:
    • Aktualisieren Sie den betroffenen Druckertreiber. Paketfähige V3-Druckertreiber wurden in Windows Vista eingeführt. Das Problem wird durch die Installation eines paketfähigen Druckertreibers behoben.
    • Wenn für einen bestimmten Legacy-Drucker nicht der entsprechende Druckertreiber verfügbar ist, wird das Problem durch Vorinstallieren des fehlerhaften Druckertreibers im Clientsystem behoben.
    Weitere Informationen zu diesen Szenarien finden Sie in den folgenden Microsoft-Ressourcen:
  • Nachdem Sie das Sicherheitsupdate MS16-087 (KB 3170455) angewendet und versucht haben, eine Verbindung mit einem vertrauenswürdigen paketfähigen Drucker herzustellen, der auf einem System unter Windows 8.1 oder Windows Server 2012 R2 installiert ist, können Sie nicht auf den Drucker zugreifen.

    Wenden Sie zum Beheben dieses Problems das folgende Windows-Updaterollup auf dem Druckerserver unter Windows 8.1 oder Windows Server 2012 R2 an:
    3000850 Updaterollup für Windows RT 8.1, Windows 8.1 und Windows Server 2012 R2 vom November 2014

Update vom Oktober 2016: Risikominderung bei bekannten Problemen

Microsoft hat ein Update für Oktober 2016 veröffentlicht, mit dem Netzwerkadministratoren Richtlinien konfigurieren können, welche die Installation von Druckertreibern, die sie als sicher erachten, erlauben. Mit diesem Update können Netzwerkadministratoren außerdem Druckerverbindungen, die sie als sicher erachten, bereitstellen.

Die Updates sind in den folgenden Rollup-Paketen enthalten.

Windows 10 RTM KB 3192440
Windows 10 1511 KB 3192441
Windows 10 1607 KB 3194798
Windows 7 und Windows Server 2008 R2 KB 3192403
Windows Server 2012 KB 3192406
Windows 8.1 und Windows Server 2012 R2 KB 3192404

Konfigurieren der Gruppenrichtlinie zum Hinzufügen von Druckerservern zur Liste zulässiger Druckerserver

  1. Klicken Sie auf Start und anschließend auf Ausführen.
  2. Geben Sie gpedit.msc ein, und klicken Sie auf OK.
  3. Erweitern Sie Computerkonfiguration und dann Administrative Vorlagen.
  4. Klicken Sie auf Drucker.
  5. Doppelklicken Sie auf Point-and-Print-Einschränkungen, und wählen Sie dann die Option Aktiviert aus.
  6. Aktivieren Sie unter Optionen das Kontrollkästchen Benutzer können Point-and-Print nur mit folgenden Servern verwenden, und geben Sie dann die vollqualifizierten Servernamen (durch Semikolons getrennt) in das Textfeld ein.
  7. Wählen Sie unter Sicherheitshinweise die Option Warnung oder Anhebungsaufforderung nicht anzeigen in den Listen Beim Installieren von Treibern für eine neue Verbindung und Beim Aktualisieren von Treibern für eine vorhandene Verbindung aus.
  8. Klicken Sie auf Übernehmen und dann auf OK.
  9. Doppelklicken Sie auf der Gruppenrichtlinienseite Drucker auf Point-and-Print für Pakete - Genehmigte Server.
  10. Wählen Sie die Option Aktiviert aus.
  11. Klicken Sie unter Optionen auf Anzeigen.
  12. Geben Sie in jede Zeile einen vollqualifizierten Servernamen ein.
  13. Klicken Sie auf OK.
  14. Klicken Sie auf Übernehmen und dann auf OK.
  15. Wenn Sie einen eigenständigen Client verwenden, starten Sie den Client neu, und überprüfen Sie anschließend, ob diese Richtlinien wirksam sind.
  16. Wenn Sie Domänenrichtlinien verwenden, übertragen Sie die Richtlinien auf die Domänenclients, und überprüfen Sie anschließend, ob diese Richtlinien wirksam sind.
Hinweis Nachdem Sie diese Gruppenrichtlinien aktiviert haben, müssen Sie alle Druckerserver zur Liste Point-and-Print-Einschränkungen und zur Liste Point-and-Print für Pakete - Genehmigte Server hinzufügen. Dies gilt unabhängig von der Paketfähigkeit.

Update vom Oktober 2016: Häufig gestellte Fragen

  • F: Sollte das vorherige Update deinstalliert werden?
    A: Nein. Mit dem vorherigen Update wird die Sicherheitsanfälligkeit behoben. Das Update vom Oktober 2016 bietet eine Risikominderung, indem Netzwerkadministratoren Treiber, die sie als sicher erachten, installieren können.
  • F: Selbst wenn das Update vom Oktober 2016 installiert wurde und die Gruppenrichtlinien konfiguriert wurden, wird beim Versuch, einen lokalen Drucker zu installieren, weiterhin die Meldung „Vertrauen Sie diesem Drucker?“ angezeigt. Warum ist das so?
    A: Diese Risikominderung ist nicht für lokale Drucker, sondern für Netzwerkdrucker gedacht, weshalb dies dem erwarteten Verhalten entspricht.

    Hinweis Wenn die Meldung „Vertrauen Sie diesem Drucker?“ angezeigt wird, ersetzen Sie entweder Ihren aktuellen Druckertreiber durch einen vertrauenswürdigen paketfähigen Treiber, oder installieren Sie die Treiberdateien im lokalen Treiberspeicher, bevor Sie den lokalen Drucker installieren. Weitere Informationen finden Sie im Abschnitt Hinweise für Netzwerkadministratoren.
Bezug und Installation des Updates

Methode 1: Windows Update

Dieses Update ist über Windows Update erhältlich. Wenn Sie die automatische Aktualisierung einschalten, wird das Update heruntergeladen und automatisch installiert. Weitere Informationen zur Aktivierung der automatischen Aktualisierung finden Sie unter Sicherheitsupdates automatisch laden.

Hinweis Für Windows RT 8.1 ist dieses Update nur über Windows Update erhältlich.

Methode 2: Microsoft Download Center

Sie können das eigenständige Updatepaket über das Microsoft Download Center beziehen. Folgen Sie den Installationsanweisungen auf der Downloadseite, um das Update zu installieren.

Klicken Sie im Microsoft-Sicherheitsbulletin MS16-087 auf den Downloadlink für die von Ihnen verwendete Windows-Version.
Weitere Informationen

Informationen zur Bereitstellung von Sicherheitsupdates

Windows Vista (alle Editionen)

Referenztabelle

Die folgende Tabelle enthält die Sicherheitsupdateinformationen für diese Software.

Dateinamen der SicherheitsupdatesAlle unterstützten 32-Bit-Editionen von Windows Vista:
Windows6.0-KB3170455-x86.msu
Alle unterstützten x64-Editionen von Windows Vista:
Windows6.0-KB3170455-x64.msu
InstallationsoptionenSiehe Microsoft Knowledge Base-Artikel 934307.
NeustartIn bestimmten Fällen ist nach der Installation dieses Updates kein Neustart des Systems erforderlich. Falls die benötigten Dateien gerade verwendet werden, muss das System jedoch neu gestartet werden. Wenn diese Bedingung vorliegt, wird eine Meldung angezeigt, in der Sie zum Neustart des Systems aufgefordert werden.
Informationen zur DeinstallationDie Deinstallation von Updates wird von „WUSA.exe“ nicht unterstützt. Klicken Sie zum Deinstallieren eines von WUSA installierten Updates auf Systemsteuerung und anschließend auf Sicherheit. Klicken Sie unter Windows Update auf Installierte Updates anzeigen, und wählen Sie dann das gewünschte Update in der Liste aus.
DateiinformationenSiehe Microsoft Knowledge Base-Artikel 3170455.
Überprüfung des RegistrierungsschlüsselsHinweis Es ist kein Registrierungsschlüssel vorhanden, der die Installation dieses Updates belegt.

Windows Server 2008 (alle Editionen)

Referenztabelle

Die folgende Tabelle enthält die Sicherheitsupdateinformationen für diese Software.

Dateinamen der SicherheitsupdatesAlle unterstützten 32-Bit-Editionen von Windows Server 2008:
Windows6.0-KB3170455-x86.msu
Alle unterstützten x64-basierten Editionen von Windows Server 2008:
Windows6.0-KB3170455-x64.msu
Alle unterstützten Itanium-basierten Editionen von Windows Server 2008:
Windows6.0-KB3170455-ia64.msu
InstallationsoptionenSiehe Microsoft Knowledge Base-Artikel 934307.
NeustartIn bestimmten Fällen ist nach der Installation dieses Updates kein Neustart des Systems erforderlich. Falls die benötigten Dateien gerade verwendet werden, muss das System jedoch neu gestartet werden. Wenn diese Bedingung vorliegt, wird eine Meldung angezeigt, in der Sie zum Neustart des Systems aufgefordert werden.
Informationen zur DeinstallationDie Deinstallation von Updates wird von „WUSA.exe“ nicht unterstützt. Klicken Sie zum Deinstallieren eines von WUSA installierten Updates auf Systemsteuerung und anschließend auf Sicherheit. Klicken Sie unter Windows Update auf Installierte Updates anzeigen, und wählen Sie dann das gewünschte Update in der Liste aus.
DateiinformationenSiehe Microsoft Knowledge Base-Artikel 3170455.
Überprüfung des RegistrierungsschlüsselsHinweis Es ist kein Registrierungsschlüssel vorhanden, der die Installation dieses Updates belegt.

Windows 7 (Alle Editionen)

Referenztabelle

Die folgende Tabelle enthält die Sicherheitsupdateinformationen für diese Software.

Dateiname des SicherheitsupdatesAlle unterstützten 32-Bit-Editionen von Windows 7:
Windows6.1-KB3170455-x86.msu
Alle unterstützten x64-basierten Editionen von Windows 7:
Windows6.1-KB3170455-x64.msu
InstallationsoptionenSiehe Microsoft Knowledge Base-Artikel 934307.
NeustartIn bestimmten Fällen ist nach der Installation dieses Updates kein Neustart des Systems erforderlich. Falls die benötigten Dateien gerade verwendet werden, muss das System jedoch neu gestartet werden. Wenn diese Bedingung vorliegt, wird eine Meldung angezeigt, in der Sie zum Neustart des Systems aufgefordert werden.
Informationen zur DeinstallationZum Deinstallieren eines durch WUSA installierten Updates verwenden Sie die Befehlszeilenoption /Uninstall, oder klicken Sie auf Systemsteuerung, klicken Sie auf System und Sicherheit, klicken Sie auf Windows Update, klicken Sie auf Installierte Updates anzeigen, und wählen Sie dann das gewünschte Update in der Liste aus.
DateiinformationenSiehe Microsoft Knowledge Base-Artikel 3170455.
Überprüfung des RegistrierungsschlüsselsHinweis Es ist kein Registrierungsschlüssel vorhanden, der die Installation dieses Updates belegt.

Windows Server 2008 R2 (alle Editionen)

Referenztabelle

Die folgende Tabelle enthält die Sicherheitsupdateinformationen für diese Software.

Dateiname des SicherheitsupdatesAlle unterstützten x64-basierten Editionen von Windows Server 2008 R2:
Windows6.1-KB3170455-x64.msu
Alle unterstützten Itanium-basierten Editionen von Windows Server 2008 R2:
Windows6.1-KB3170455-ia64.msu
InstallationsoptionenSiehe Microsoft Knowledge Base-Artikel 934307.
NeustartIn bestimmten Fällen ist nach der Installation dieses Updates kein Neustart des Systems erforderlich. Falls die benötigten Dateien gerade verwendet werden, muss das System jedoch neu gestartet werden. Wenn diese Bedingung vorliegt, wird eine Meldung angezeigt, in der Sie zum Neustart des Systems aufgefordert werden.
Informationen zur DeinstallationZum Deinstallieren eines durch WUSA installierten Updates verwenden Sie die Befehlszeilenoption /Uninstall, oder klicken Sie auf Systemsteuerung, klicken Sie auf System und Sicherheit, klicken Sie auf Windows Update, klicken Sie auf Installierte Updates anzeigen, und wählen Sie dann das gewünschte Update in der Liste aus.
DateiinformationenSiehe Microsoft Knowledge Base-Artikel 3170455.
Überprüfung des RegistrierungsschlüsselsHinweis Es ist kein Registrierungsschlüssel vorhanden, der die Installation dieses Updates belegt.

Windows 8.1 (Alle Editionen)

Referenztabelle

Die folgende Tabelle enthält die Sicherheitsupdateinformationen für diese Software.

Dateiname des SicherheitsupdatesAlle unterstützten 32-Bit-Editionen von Windows 8.1:
Windows8.1-KB3170455-x86.msu
Alle unterstützten x64-basierten Editionen von Windows 8.1:
Windows8.1-KB3170455-x64.msu
InstallationsoptionenSiehe Microsoft Knowledge Base-Artikel 934307.
NeustartIn bestimmten Fällen ist nach der Installation dieses Updates kein Neustart des Systems erforderlich. Falls die benötigten Dateien gerade verwendet werden, muss das System jedoch neu gestartet werden. Wenn diese Bedingung vorliegt, wird eine Meldung angezeigt, in der Sie zum Neustart des Systems aufgefordert werden.
Informationen zur DeinstallationZum Deinstallieren eines durch WUSA installierten Updates verwenden Sie die Befehlszeilenoption /Uninstall, oder klicken Sie auf Systemsteuerung, klicken Sie auf System und Sicherheit, klicken Sie auf Windows Update, klicken Sie unter Siehe auch auf Installierte Updates, und wählen Sie dann das gewünschte Update in der Liste aus.
DateiinformationenSiehe Microsoft Knowledge Base-Artikel 3170455.
Überprüfung des RegistrierungsschlüsselsHinweis Es ist kein Registrierungsschlüssel vorhanden, der die Installation dieses Updates belegt.

Windows Server 2012 und Windows Server 2012 R2 (alle Editionen)

Referenztabelle

Die folgende Tabelle enthält die Sicherheitsupdateinformationen für diese Software.

Dateiname des SicherheitsupdatesAlle unterstützten Editionen von Windows Server 2012:
Windows8-RT-KB3170455-x64.msu
Alle unterstützten Editionen von Windows Server 2012 R2:
Windows8.1-KB3170455-x64.msu
InstallationsoptionenSiehe Microsoft Knowledge Base-Artikel 934307.
NeustartIn bestimmten Fällen ist nach der Installation dieses Updates kein Neustart des Systems erforderlich. Falls die benötigten Dateien gerade verwendet werden, muss das System jedoch neu gestartet werden. Wenn diese Bedingung vorliegt, wird eine Meldung angezeigt, in der Sie zum Neustart des Systems aufgefordert werden.
Informationen zur DeinstallationZum Deinstallieren eines durch WUSA installierten Updates verwenden Sie die Befehlszeilenoption /Uninstall, oder klicken Sie auf Systemsteuerung, klicken Sie auf System und Sicherheit, klicken Sie auf Windows Update, klicken Sie unter Siehe auch auf Installierte Updates, und wählen Sie dann das gewünschte Update in der Liste aus.
DateiinformationenSiehe Microsoft Knowledge Base-Artikel 3170455.
Überprüfung des RegistrierungsschlüsselsHinweis Es ist kein Registrierungsschlüssel vorhanden, der die Installation dieses Updates belegt.

Windows RT 8.1 (alle Editionen)

Referenztabelle

Die folgende Tabelle enthält die Sicherheitsupdateinformationen für diese Software.

BereitstellungDas Update ist nur über Windows Update verfügbar.
NeustartIn bestimmten Fällen ist nach der Installation dieses Updates kein Neustart des Systems erforderlich. Falls die benötigten Dateien gerade verwendet werden, muss das System jedoch neu gestartet werden. Wenn diese Bedingung vorliegt, wird eine Meldung angezeigt, in der Sie zum Neustart des Systems aufgefordert werden.
Informationen zur DeinstallationKlicken Sie auf Systemsteuerung, auf System und Sicherheit, auf Windows Update und dann unter Siehe auch auf Installierte Updates. Wählen Sie dann das gewünschte Update in der Liste aus.
DateiinformationenSiehe Microsoft Knowledge Base-Artikel 3170455.

Windows 10 (Alle Editionen)

Referenztabelle

Die folgende Tabelle enthält die Sicherheitsupdateinformationen für diese Software.

Dateiname des SicherheitsupdatesAlle unterstützten 32-Bit-Editionen von Windows 10:
Windows10.0-KB3163912-x86.msu
Alle unterstützten x64-basierten Editionen von Windows 10:
Windows10.0-KB3163912-x64.msu
Alle unterstützten 32-Bit-Editionen von Windows 10 Version 1511:
Windows10.0-KB3172985-x86.msu
Alle unterstützten x64-basierten Editionen von Windows 10 Version 1511:
Windows10.0-KB3172985-x64.msu
InstallationsoptionenSiehe Microsoft Knowledge Base-Artikel 934307.
NeustartIn bestimmten Fällen ist nach der Installation dieses Updates kein Neustart des Systems erforderlich. Falls die benötigten Dateien gerade verwendet werden, muss das System jedoch neu gestartet werden. Wenn diese Bedingung vorliegt, wird eine Meldung angezeigt, in der Sie zum Neustart des Systems aufgefordert werden.
Informationen zur DeinstallationZum Deinstallieren eines durch WUSA installierten Updates verwenden Sie die Befehlszeilenoption /Uninstall, oder klicken Sie auf Systemsteuerung, klicken Sie auf System und Sicherheit, klicken Sie auf Windows Update, klicken Sie unter Siehe auch auf Installierte Updates, und wählen Sie dann das gewünschte Update in der Liste aus.
DateiinformationenSiehe Microsoft Knowledge Base-Artikel 3163912.
Siehe Microsoft Knowledge Base-Artikel 3172985.
Überprüfung des RegistrierungsschlüsselsHinweis Es ist kein Registrierungsschlüssel vorhanden, der die Installation dieses Updates belegt.

Hilfe und Support zum Sicherheitsupdate

Hilfe bei der Installation von Updates: Support für Microsoft Update

Sicherheitslösungen für IT-Profis: TechNet Security – Problembehandlung und Support

Schützen Sie Ihren Windows-basierten Computer vor Viren und Schadsoftware: Virenlösung und Sicherheitscenter

Lokaler Support entsprechend Ihrem Land: Internationaler Support
Böswilliger Angreifer Exploit
Eigenschaften

Artikelnummer: 3170005 – Letzte Überarbeitung: 10/27/2016 11:16:00 – Revision: 5.0

Windows Server 2012 R2 Datacenter, Windows Server 2012 R2 Standard, Windows Server 2012 R2 Essentials, Windows Server 2012 R2 Foundation, Windows 8.1 Enterprise, Windows 8.1 Pro, Windows 8.1, Windows RT 8.1, Windows Server 2012 Datacenter, Windows Server 2012 Standard, Windows Server 2012 Essentials, Windows Server 2012 Foundation, Windows Server 2008 R2 Service Pack 1, Windows 7 Service Pack 1, Windows Server 2008 Service Pack 2, Windows Vista Service Pack 2

  • atdownload kbbug kbexpertiseinter kbfix kbsecbulletin kbsecurity kbsecvulnerability KB3170005
Feedback