Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Luka w zabezpieczeniach w programie Silverlight może zezwalać na podniesienie uprawnień (3058985)
Opublikowano: 12 maja 2015 r. | Zaktualizowano: 23 czerwca 2015 r.
Wersja: 1.1
Streszczenie
Ta aktualizacja zabezpieczeń usuwa lukę w zabezpieczeniach w programie Microsoft Silverlight. Luka w zabezpieczeniach może umożliwić podniesienie uprawnień, jeśli specjalnie spreparowana aplikacja Silverlight jest uruchamiana w systemie, którego dotyczy problem. Aby wykorzystać lukę w zabezpieczeniach, osoba atakująca musiałaby najpierw zalogować się do systemu lub przekonać zalogowanego użytkownika w celu wykonania specjalnie spreparowanej aplikacji.
Ta aktualizacja zabezpieczeń jest oceniana jako Ważna dla programów Microsoft Silverlight 5 i Microsoft Silverlight 5 Developer Runtime po zainstalowaniu na komputerach Mac lub wszystkich obsługiwanych wersjach systemu Microsoft Windows. Aby uzyskać więcej informacji, zobacz sekcję Oprogramowanie, którego dotyczy problem .
Aktualizacja zabezpieczeń usuwa tę lukę w zabezpieczeniach, dodając dodatkowe kontrole, aby upewnić się, że procesy bez podwyższonych uprawnień są ograniczone do uruchamiania na niskim poziomie integralności (bardzo ograniczone uprawnienia). Aby uzyskać więcej informacji na temat luki w zabezpieczeniach, zobacz sekcję Informacje o lukach w zabezpieczeniach.
Aby uzyskać więcej informacji na temat tej aktualizacji, zobacz artykuł bazy wiedzy Microsoft Knowledge Base 3058985.
Oprogramowanie, którego dotyczy problem
Dotyczy to następujących wersji oprogramowania lub edycji. Wersje lub wersje, które nie są wymienione, są przeszłości ich cyklu życia pomocy technicznej lub nie mają wpływu. Aby określić cykl życia pomocy technicznej dla wersji lub wydania oprogramowania, zobacz pomoc techniczna firmy Microsoft Cykl życia.
| System operacyjny | Maksymalny wpływ na zabezpieczenia | Ocena zagregowanej ważności | Aktualizacje zastąpione |
|---|---|---|---|
| Oprogramowanie | |||
| Program Microsoft Silverlight 5 po zainstalowaniu na komputerze Mac (3056819) | Ważne | Elevation of Privilege (podniesienie uprawnień) | 2932677 w ms14-014 |
| Środowisko uruchomieniowe dewelopera programu Microsoft Silverlight 5 po zainstalowaniu na komputerze Mac (3056819) | Ważne | Elevation of Privilege (podniesienie uprawnień) | 2932677 w ms14-014 |
| Program Microsoft Silverlight 5 po zainstalowaniu we wszystkich obsługiwanych wersjach klientów systemu Microsoft Windows (3056819) | Ważne | Elevation of Privilege (podniesienie uprawnień) | 2932677 w ms14-014 |
| Środowisko uruchomieniowe programu Microsoft Silverlight 5 Developer Runtime zainstalowane we wszystkich obsługiwanych wersjach klientów systemu Microsoft Windows (3056819) | Ważne | Elevation of Privilege (podniesienie uprawnień) | 2932677 w ms14-014 |
| Program Microsoft Silverlight 5 po zainstalowaniu we wszystkich obsługiwanych wersjach serwerów z systemem Microsoft Windows (3056819) | Ważne | Elevation of Privilege (podniesienie uprawnień) | 2932677 w ms14-014 |
| Środowisko uruchomieniowe dewelopera Programu Microsoft Silverlight 5 po zainstalowaniu we wszystkich obsługiwanych wersjach serwerów z systemem Microsoft Windows (3056819) | Ważne | Elevation of Privilege (podniesienie uprawnień) | 2932677 w ms14-014 |
Klasyfikacje ważności i identyfikatory luk w zabezpieczeniach
Następujące oceny ważności zakładają potencjalny maksymalny wpływ luki w zabezpieczeniach. Aby uzyskać informacje dotyczące prawdopodobieństwa, w ciągu 30 dni od wydania tego biuletynu zabezpieczeń, możliwości wykorzystania luki w zabezpieczeniach w odniesieniu do jego oceny ważności i wpływu na zabezpieczenia, zobacz indeks wykorzystania w podsumowaniu biuletynu majowego.
| Ocena ważności luk w zabezpieczeniach i maksymalny wpływ na zabezpieczenia przez oprogramowanie, którego dotyczy problem | ||
|---|---|---|
| Oprogramowanie, którego dotyczy problem | Luka w zabezpieczeniach aplikacji programu Microsoft Silverlight poza przeglądarką — CVE-2015-1715 | Ocena zagregowanej ważności |
| Program Microsoft Silverlight 5 po zainstalowaniu na komputerze Mac (3056819) | Ważne podniesienie uprawnień | Ważny |
| Środowisko uruchomieniowe dewelopera programu Microsoft Silverlight 5 po zainstalowaniu na komputerze Mac (3056819) | Ważne podniesienie uprawnień | Ważny |
| Program Microsoft Silverlight 5 po zainstalowaniu we wszystkich obsługiwanych wersjach klientów systemu Microsoft Windows (3056819) | Ważne podniesienie uprawnień | Ważny |
| Środowisko uruchomieniowe microsoft Silverlight 5 Developer Runtime zainstalowane we wszystkich obsługiwanych wersjach klientów systemu Microsoft Windows (3056819) | Ważne podniesienie uprawnień | Ważny |
| Program Microsoft Silverlight 5 po zainstalowaniu we wszystkich obsługiwanych wersjach serwerów z systemem Microsoft Windows (3056819) | Ważne podniesienie uprawnień | Ważny |
| Środowisko uruchomieniowe dewelopera programu Microsoft Silverlight 5 po zainstalowaniu we wszystkich obsługiwanych wersjach serwerów z systemem Microsoft Windows (3056819) | Ważne podniesienie uprawnień | Ważny |
Często zadawane pytania dotyczące aktualizacji
Dlaczego te same pliki aktualizacji w tym biuletynie są również oznaczone w biuletynie GDI+?
Mimo że ten biuletyn i biuletyn GDI+ wydany jednocześnie każdy adres różnych luk w zabezpieczeniach, aktualizacje zabezpieczeń dla każdego z nich zostały skonsolidowane, dlatego wystąpienie identycznych plików aktualizacji jest obecne w dwóch biuletynach.
Należy pamiętać, że identyczne pakiety aktualizacji oznaczone w wielu biuletynach nie muszą być instalowane więcej niż raz.
Które przeglądarki internetowe obsługują aplikacje Microsoft Silverlight?
Aby można było uruchamiać aplikacje Microsoft Silverlight, większość przeglądarek internetowych, w tym microsoft Internet Explorer, wymaga zainstalowania programu Microsoft Silverlight i włączenia odpowiedniej wtyczki. Aby uzyskać więcej informacji na temat programu Microsoft Silverlight, zobacz oficjalną witrynę Microsoft Silverlight. Zapoznaj się z dokumentacją przeglądarki, aby dowiedzieć się więcej na temat sposobu wyłączania lub usuwania wtyczek.
Na jakie wersje programu Microsoft Silverlight 5 ma wpływ luka w zabezpieczeniach?
Kompilacja microsoft Silverlight 5.1.40416.00, która była bieżącą kompilacją programu Microsoft Silverlight od momentu wydania tego biuletynu, usuwa lukę w zabezpieczeniach i nie ma to wpływu. Dotyczy to kompilacji programu Microsoft Silverlight wcześniejszych niż 5.1.40416.00.
Jak mogę wiedzieć, która wersja i kompilacja programu Microsoft Silverlight jest obecnie zainstalowana w moim systemie?
Jeśli program Microsoft Silverlight jest już zainstalowany na komputerze, możesz odwiedzić stronę Get Microsoft Silverlight (Pobierz program Microsoft Silverlight ), która wskaże, która wersja i kompilacja programu Microsoft Silverlight jest obecnie zainstalowana w systemie. Alternatywnie możesz użyć funkcji Zarządzaj dodatkami dla bieżących wersji programu Microsoft Internet Explorer, aby określić wersję i informacje o kompilacji, które są aktualnie zainstalowane w systemie.
Możesz również ręcznie sprawdzić numer wersji sllauncher.exe znajdujący się w katalogu "%ProgramFiles%\Microsoft Silverlight" (w systemach systemu Microsoft Windows x86) lub w katalogu "%ProgramFiles(x86)%\Microsoft Silverlight" (w systemach systemu Microsoft Windows x64).
Ponadto w systemie Microsoft Windows informacje o wersji i kompilacji aktualnie zainstalowanej wersji programu Microsoft Silverlight można znaleźć w rejestrze pod adresem [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Silverlight]:Version on x86 Microsoft Windows systems lub [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Silverlight]:Version on x64 Microsoft Windows systems.
W systemie Apple Mac OS informacje o wersji i kompilacji aktualnie zainstalowanej wersji programu Microsoft Silverlight można znaleźć w następujący sposób:
- Otwórz program Finder
- Wybierz dysk systemowy i przejdź do folderu Wtyczki internetowe — biblioteka
- Kliknij prawym przyciskiem myszy plik Silverlight.Plugin (jeśli mysz ma tylko jeden przycisk, naciśnij klawisz Ctrl po kliknięciu pliku), aby wyświetlić menu kontekstowe, a następnie kliknij polecenie Pokaż zawartość pakietu
- W folderze zawartości znajdź plik info.plist i otwórz go za pomocą edytora. Będzie on zawierać wpis podobny do tego, który pokazuje numer wersji:
SilverlightVersion
5.1.40416.00
Wersja zainstalowana z tą aktualizacją zabezpieczeń programu Microsoft Silverlight 5 to 5.1.40416.00. Jeśli numer wersji programu Microsoft Silverlight 5 jest wyższy lub równy temu numerowi wersji, system nie jest narażony na zagrożenia.
Jak mogę uaktualnić moją wersję programu Microsoft Silverlight?
Funkcja automatycznej aktualizacji programu Microsoft Silverlight pomaga upewnić się, że instalacja programu Microsoft Silverlight jest aktualna dzięki najnowszej wersji programu Microsoft Silverlight, funkcji programu Microsoft Silverlight i funkcji zabezpieczeń. Aby uzyskać więcej informacji na temat funkcji automatycznej aktualizacji programu Microsoft Silverlight, zobacz Microsoft Silverlight Updater. Użytkownicy systemu Windows, którzy wyłączyli funkcję automatycznej aktualizacji programu Microsoft Silverlight, mogą zarejestrować się w usłudze Microsoft Update w celu uzyskania najnowszej wersji programu Microsoft Silverlight lub pobrać najnowszą wersję programu Microsoft Silverlight ręcznie przy użyciu linku pobierania w tabeli Affected Software we wcześniejszej sekcji, Affected and Non-Affected Software. Aby uzyskać informacje o wdrażaniu programu Microsoft Silverlight w środowisku przedsiębiorstwa, zobacz Przewodnik wdrażania programu Silverlight Enterprise.
Czy ta aktualizacja uaktualnia moją wersję programu Silverlight?
Aktualizacja 3056819 uaktualnia poprzednie wersje programu Silverlight do programu Silverlight w wersji 5.1.40416.00. Firma Microsoft zaleca uaktualnienie do ochrony przed luką w zabezpieczeniach opisaną w tym biuletynie.
Gdzie można znaleźć dodatkowe informacje o cyklu życia produktu Silverlight?
Aby uzyskać informacje o cyklu życia specyficzne dla programu Silverlight, zobacz zasady cyklu życia pomocy technicznej programu Microsoft Silverlight.
Informacje o lukach w zabezpieczeniach
Luka w zabezpieczeniach aplikacji programu Microsoft Silverlight poza przeglądarką — CVE-2015-1715
Istnieje luka w zabezpieczeniach dotycząca podniesienia uprawnień w programie Microsoft Silverlight, która jest spowodowana niewłaściwie zezwala aplikacjom, które mają być uruchamiane na niskim poziomie integralności (bardzo ograniczone uprawnienia), które mają być wykonywane na średnim poziomie integralności (uprawnienia bieżącego użytkownika) lub wyższym. Aby wykorzystać tę lukę w zabezpieczeniach, osoba atakująca musiałaby najpierw zalogować się do systemu lub przekonać zalogowanego użytkownika w celu wykonania specjalnie spreparowanej aplikacji Silverlight.
Osoba atakująca, która pomyślnie wykorzystała tę lukę w zabezpieczeniach, może wykonać dowolny kod z tym samym lub wyższym poziomem uprawnień co aktualnie zalogowany użytkownik. Osoba atakująca może następnie zainstalować programy; wyświetlanie, zmienianie lub usuwanie danych; lub utwórz nowe konta z pełnymi uprawnieniami administracyjnymi. Aktualizacja usuwa tę lukę w zabezpieczeniach przez dodanie dodatkowych kontroli w celu zapewnienia, że procesy bez podwyższonych uprawnień są ograniczone do uruchamiania na niskim poziomie integralności (bardzo ograniczone uprawnienia).
Firma Microsoft otrzymała informacje o tej lukach w zabezpieczeniach poprzez skoordynowane ujawnienie luk w zabezpieczeniach. Kiedy ten biuletyn zabezpieczeń został pierwotnie wydany, firma Microsoft nie otrzymała żadnych informacji, aby wskazać, że ta luka w zabezpieczeniach została publicznie wykorzystana do ataku na klientów.
Czynniki korygujące
Firma Microsoft nie zidentyfikowała żadnych czynników korygujących tę lukę w zabezpieczeniach.
Obejścia
Następujące obejścia mogą być przydatne w Twojej sytuacji:
Tymczasowo uniemożliwianie uruchamiania programu Microsoft Silverlight w programie Internet Explorer
- W programie Internet Explorer przejdź do menu Narzędzia , a następnie kliknij pozycję Opcje internetowe.
- W oknie Opcje internetowe kliknij kartę Programy , a następnie kliknij pozycję Zarządzaj dodatkami.
- Na liście Paski narzędzi i rozszerzenia znajdź i wybierz pozycję Microsoft Silverlight, a następnie kliknij pozycję Wyłącz.
Tymczasowo uniemożliwianie uruchamiania programu Microsoft Silverlight w programie Mozilla Firefox
- W przeglądarce Mozilla Firefox przejdź do menu Narzędzia , a następnie kliknij pozycję Dodatki.
- W oknie Dodatki kliknij kartę Wtyczki .
- Znajdź wtyczkę Silverlight, a następnie kliknij pozycję Wyłącz.
Tymczasowo uniemożliwianie uruchamiania programu Microsoft Silverlight w przeglądarce Google Chrome
- W przeglądarce Google Chrome wpisz about :plugins na pasku adresu.
- W wyświetlonym oknie znajdź wtyczkę Silverlight, a następnie ją wyłącz.
Usuwanie Silverlight.Configuration.exe z zasad podniesienia uprawnień programu IE
Ostrzeżenie Jeśli używasz edytora rejestru niepoprawnie, może to spowodować poważne problemy, które mogą wymagać ponownego zainstalowania systemu operacyjnego. Firma Microsoft nie może zagwarantować, że możesz rozwiązać problemy wynikające z nieprawidłowego używania Edytora rejestru. Użyj Edytora rejestru na własne ryzyko.- Uruchom Edytor rejestru.
- Rozwiń węzeł HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Internet Explorer>Low Rights>ElevationPolicy
- Wybierz pozycję {003B91A6-61E3-4591-891D-01E94C8CB11E}
- Kliknij menu Plik, a następnie kliknij pozycję Eksportuj.
- W oknie Eksportuj plik rejestru wpisz silverlight.configuration.exe_backup.reg, a następnie kliknij przycisk Zapisz.
- Kliknij menu Plik, kliknij przycisk Usuń, a następnie kliknij przycisk Tak.
- Zamknij Edytor rejestru.
- Wyloguj się, a następnie zaloguj się ponownie lub uruchom ponownie komputer.
Jak cofnąć obejście.
- Uruchom Edytor rejestru.
- Kliknij menu Plik, a następnie kliknij przycisk Importuj.
- W oknie Importuj plik rejestru kliknij silverlight.configuration.exe_backup.reg, a następnie kliknij przycisk Otwórz.
- Zamknij Edytor rejestru.
- Wyloguj się, a następnie zaloguj się ponownie lub uruchom ponownie komputer.
Wdrażanie aktualizacji zabezpieczeń
Aby uzyskać informacje o wdrażaniu aktualizacji zabezpieczeń, zobacz artykuł z bazy wiedzy Microsoft Knowledge Base, do których odwołuje się podsumowanie wykonawcze.
Podziękowania
Firma Microsoft uznaje wysiłki osób w społeczności zabezpieczeń, które pomagają nam chronić klientów poprzez skoordynowane ujawnienie luk w zabezpieczeniach. Aby uzyskać więcej informacji, zobacz Potwierdzenie .
Zastrzeżenie
Informacje podane w bazie wiedzy Microsoft Knowledge Base są dostarczane "tak, jak to jest" bez gwarancji jakiegokolwiek rodzaju. Firma Microsoft nie udziela wszelkich gwarancji, wyraźnych lub domniemanych, w tym gwarancji możliwości handlowych i przydatności do określonego celu. W żadnym wypadku Firma Microsoft Corporation lub jej dostawcy nie ponosi odpowiedzialności za wszelkie szkody, w tym bezpośrednie, pośrednie, przypadkowe, wtórne, utratę zysków biznesowych lub szkody specjalne, nawet jeśli firma Microsoft Corporation lub jej dostawcy zostali poinformowani o możliwości takich szkód. Niektóre państwa nie zezwalają na wyłączenie lub ograniczenie odpowiedzialności za szkody wtórne lub przypadkowe, więc powyższe ograniczenie może nie mieć zastosowania.
Poprawki
- Wersja 1.0 (12 maja 2015 r.): Opublikowano biuletyn.
- Wersja 1.1 (23 czerwca 2015 r.): Biuletyn poprawiony w celu ogłoszenia zmiany wykrywania w aktualizacji 3056819 dla programu Microsoft Silverlight 5. Jest to tylko zmiana wykrywania. Klienci, którzy pomyślnie zaktualizowali swoje systemy, nie muszą podejmować żadnych działań.
Strona wygenerowana 2015-06-23 10:35Z-07:00.