Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Уязвимость в Silverlight может разрешить повышение привилегий (3058985)
Опубликовано: 12 мая 2015 г. | Обновлено: 23 июня 2015 г.
Версия: 1.1
Краткий обзор
Это обновление системы безопасности устраняет уязвимость в Microsoft Silverlight. Уязвимость может разрешить повышение привилегий, если специально созданное приложение Silverlight выполняется в затронутой системе. Чтобы воспользоваться уязвимостью, злоумышленнику сначала придется войти в систему или убедить пользователя, вошедшего в систему, чтобы выполнить специально созданное приложение.
Это обновление безопасности оценивается как важно для среды выполнения разработчика Microsoft Silverlight 5 и Microsoft Silverlight 5 при установке на Mac или всех поддерживаемых выпусках Microsoft Windows. Дополнительные сведения см. в разделе "Затронутая программа ".
Обновление системы безопасности устраняет уязвимость, добавляя дополнительные проверка, чтобы гарантировать, что не повышенные привилегии могут выполняться на низком уровне целостности (очень ограниченные разрешения). Дополнительные сведения об уязвимости см. в разделе "Сведения об уязвимостях".
Дополнительные сведения об этом обновлении см . в статье базы знаний Майкрософт 3058985.
Затронутого программного обеспечения
Затронуты следующие версии программного обеспечения или выпуски. Версии или выпуски, не перечисленные в списке, были в прошлом жизненном цикле поддержки или не затронуты. Сведения о жизненном цикле поддержки для версии или выпуска программного обеспечения см. в разделе служба поддержки Майкрософт Жизненный цикл.
| Операционная система | Максимальное влияние на безопасность | Оценка серьезности агрегата | Обновления заменено |
|---|---|---|---|
| Программное обеспечение. | |||
| Microsoft Silverlight 5 при установке на Mac (3056819) | Внимание | Несанкционированное получение привилегий | 2932677 в MS14-014 |
| Среда выполнения разработчика Microsoft Silverlight 5 при установке на Mac (3056819) | Внимание | Несанкционированное получение привилегий | 2932677 в MS14-014 |
| Microsoft Silverlight 5 при установке во всех поддерживаемых выпусках клиентов Microsoft Windows (3056819) | Внимание | Несанкционированное получение привилегий | 2932677 в MS14-014 |
| Среда выполнения разработчика Microsoft Silverlight 5 при установке во всех поддерживаемых выпусках клиентов Microsoft Windows (3056819) | Внимание | Несанкционированное получение привилегий | 2932677 в MS14-014 |
| Microsoft Silverlight 5 при установке на всех поддерживаемых выпусках серверов Microsoft Windows (3056819) | Внимание | Несанкционированное получение привилегий | 2932677 в MS14-014 |
| Среда выполнения разработчика Microsoft Silverlight 5 при установке на всех поддерживаемых выпусках серверов Microsoft Windows (3056819) | Внимание | Несанкционированное получение привилегий | 2932677 в MS14-014 |
Оценки серьезности и идентификаторы уязвимостей
Следующие оценки серьезности предполагают потенциальное максимальное влияние уязвимости. Сведения о вероятности, в течение 30 дней после выпуска этого бюллетеня по безопасности, о эксплойтации уязвимости по отношению к его оценке серьезности и влиянию на безопасность, см. в сводке по индексу эксплойтации в майских бюллетенях.
| Оценка серьезности уязвимостей и максимальное влияние на безопасность затронутого программного обеспечения | ||
|---|---|---|
| Затронутого программного обеспечения | Уязвимость приложения Microsoft Silverlight из браузера — CVE-2015-1715 | Оценка серьезности агрегата |
| Microsoft Silverlight 5 при установке на Mac (3056819) | Важное повышение привилегий | Важно! |
| Среда выполнения разработчика Microsoft Silverlight 5 при установке на Mac (3056819) | Важное повышение привилегий | Важно! |
| Microsoft Silverlight 5 при установке во всех поддерживаемых выпусках клиентов Microsoft Windows (3056819) | Важное повышение привилегий | Важно! |
| Среда выполнения разработчика Microsoft Silverlight 5 при установке во всех поддерживаемых выпусках клиентов Microsoft Windows (3056819) | Важное повышение привилегий | Важно! |
| Microsoft Silverlight 5 при установке на всех поддерживаемых выпусках серверов Microsoft Windows (3056819) | Важное повышение привилегий | Важно! |
| Среда выполнения разработчика Microsoft Silverlight 5 при установке на всех поддерживаемых выпусках серверов Microsoft Windows (3056819) | Важное повышение привилегий | Важно! |
Вопросы и ответы по обновлению
Почему те же файлы обновлений в этом бюллетене также обозначены в бюллетене GDI+ ?
Хотя этот бюллетень и бюллетень GDI+ выпускают одновременно каждый из разных уязвимостей безопасности, обновления безопасности для каждой из них были консолидированы, поэтому появление идентичных файлов обновлений присутствует в двух бюллетенях.
Обратите внимание, что одинаковые пакеты обновлений, обозначаемые в нескольких бюллетенях, не нужно устанавливать несколько раз.
Какие веб-браузеры поддерживают приложения Microsoft Silverlight?
Для запуска приложений Microsoft Silverlight большинство веб-браузеров, включая Microsoft Internet Обозреватель, требуется установить Microsoft Silverlight и включить соответствующий подключаемый модуль. Дополнительные сведения о Microsoft Silverlight см. на официальном сайте Microsoft Silverlight. Дополнительные сведения об отключении или удалении подключаемых модулей см. в документации браузера.
Какие версии Microsoft Silverlight 5 влияют на уязвимость?
Microsoft Silverlight build 5.1.40416.00, которая была текущей сборкой Microsoft Silverlight по состоянию на момент первого выпуска этого бюллетеня, устраняет уязвимость и не затрагивается. Затронуты сборки Microsoft Silverlight до версии 5.1.40416.00.
Разделы справки знать, какая версия и сборка Microsoft Silverlight сейчас установлена в моей системе?
Если Microsoft Silverlight уже установлен на компьютере, вы можете посетить страницу Get Microsoft Silverlight , которая будет указывать, какая версия и сборка Microsoft Silverlight сейчас установлена в вашей системе. Кроме того, можно использовать функцию "Управление надстройками" текущих версий Microsoft Internet Обозреватель для определения версии и сведений о сборке, установленных в настоящее время в вашей системе.
Вы также можете вручную проверка номер версии sllauncher.exe, расположенный в каталоге "%ProgramFiles%\Microsoft Silverlight" (в системах Microsoft Windows x86) или в каталоге "%ProgramFiles(x86)%\Microsoft Silverlight" (в системах Microsoft Windows x64).
Кроме того, в Microsoft Windows сведения о версии и сборке установленной в настоящее время версии Microsoft Silverlight можно найти в реестре по адресу [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Silverlight]:Version on x86 Microsoft Windows systems, or [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Silverlight]:Version on x64 Microsoft Windows systems.
В Apple Mac OS сведения о версии и сборке установленной в настоящее время версии Microsoft Silverlight можно найти следующим образом:
- Открытие средства поиска
- Выберите системный диск и перейдите в папку Подключаемые модули Интернета — Библиотека
- Щелкните правой кнопкой мыши файл Silverlight.Plugin (если мышь имеет только одну кнопку, нажмите клавишу CTRL при нажатии на файл), чтобы открыть контекстное меню, а затем нажмите кнопку "Показать содержимое пакета"
- В папке содержимого найдите файл info.plist и откройте его с помощью редактора. Он будет содержать запись, похожую на следующую, которая показывает номер версии:
SilverlightVersion
5.1.40416.00
Версия, установленная с этим обновлением безопасности для Microsoft Silverlight 5, — 5.1.40416.00. Если номер версии Microsoft Silverlight 5 выше или равен этому номеру версии, система не уязвима.
Разделы справки обновить версию Microsoft Silverlight?
Функция автоматического обновления Microsoft Silverlight помогает убедиться, что установка Microsoft Silverlight обновлена с последней версией Microsoft Silverlight, функциями Microsoft Silverlight и функциями безопасности. Дополнительные сведения о функции автоматического обновления Microsoft Silverlight см. в microsoft Silverlight Updater. Пользователи Windows, которые отключили функцию автоматического обновления Microsoft Silverlight, могут зарегистрироваться в Центре обновления Майкрософт, чтобы получить последнюю версию Microsoft Silverlight, или скачать последнюю версию Microsoft Silverlight вручную с помощью ссылки на скачивание в таблице "Затронутое программное обеспечение" в предыдущем разделе", "Затронутое и не затронутое программное обеспечение". Сведения о развертывании Microsoft Silverlight в корпоративной среде см . в руководстве по развертыванию Silverlight Enterprise.
Будет ли это обновление обновлять мою версию Silverlight?
Обновление 3056819 обновляет предыдущие версии Silverlight до Silverlight версии 5.1.40416.00. Корпорация Майкрософт рекомендует выполнить обновление для защиты от уязвимости, описанной в этом бюллетене.
Где можно найти дополнительные сведения о жизненном цикле продукта Silverlight?
Сведения о жизненном цикле, относящиеся к Silverlight, см. в политике жизненного цикла поддержки Microsoft Silverlight.
Сведения об уязвимостях
Уязвимость приложения Microsoft Silverlight из браузера — CVE-2015-1715
Уязвимость с повышением привилегий существует в Microsoft Silverlight, которая возникает, когда Silverlight неправильно разрешает приложениям, которые должны выполняться на низком уровне целостности (очень ограниченные разрешения) для выполнения на среднем уровне целостности (разрешения текущего пользователя) или выше. Чтобы воспользоваться этой уязвимостью, злоумышленнику сначала придется войти в систему или убедить пользователя, вошедшего в систему, чтобы выполнить специально созданное приложение Silverlight.
Злоумышленник, успешно использующий эту уязвимость, может выполнить произвольный код с тем же или более высоким уровнем разрешений, что и вошедший в систему пользователь. Затем злоумышленник может установить программы; просмотр, изменение или удаление данных; или создайте новые учетные записи с полными правами администратора. Обновление устраняет уязвимость путем добавления дополнительных проверка, чтобы гарантировать, что не более повышенные привилегии обрабатываются на низком уровне целостности (очень ограниченные разрешения).
Корпорация Майкрософт получила информацию об этой уязвимости через согласованное раскрытие уязвимостей. Когда этот бюллетень по безопасности был первоначально выдан корпорацией Майкрософт, не получил никакой информации, чтобы указать, что эта уязвимость была публично использована для атак клиентов.
Смягчающие факторы
Корпорация Майкрософт не определила какие-либо факторы устранения этой уязвимости.
Методы обхода проблемы
В вашей ситуации могут быть полезны следующие обходные решения.
Временно предотвратить работу Microsoft Silverlight в Интернете Обозреватель
- В Интернете Обозреватель перейдите в меню "Сервис" и выберите пункт "Параметры браузера".
- В окне "Параметры браузера" перейдите на вкладку "Программы" и выберите пункт "Управление надстройками".
- В списке панелей инструментов и расширений найдите и выберите Microsoft Silverlight и нажмите кнопку "Отключить".
Временно предотвратить работу Microsoft Silverlight в Mozilla Firefox
- В Mozilla Firefox перейдите в меню "Сервис" и нажмите кнопку "Добавить".
- В окне "Надстройки" перейдите на вкладку "Подключаемые модули".
- Найдите подключаемый модуль Silverlight и нажмите кнопку "Отключить".
Временно предотвратить работу Microsoft Silverlight в Google Chrome
- В Google Chrome введите about:plugins в адресной строке.
- В результирующем окне найдите подключаемый модуль Silverlight и отключите его.
Удаление Silverlight.Configuration.exe из IE ElevationPolicy
Предупреждение при неправильном использовании редактора реестра может привести к серьезным проблемам, которые могут потребовать переустановки операционной системы. Корпорация Майкрософт не может гарантировать, что вы можете решить проблемы, возникающие в результате неправильного использования редактора реестра. Вся ответственность за использование редактора реестра ложится на пользователя.- Откройте редактор реестра.
- Разверните HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Internet Обозреватель> Low Rights>ElevationPolicy
- Выберите {003B91A6-61E3-4591-891D-01E94C8CB11E}
- Выберите меню "Файл" и нажмите кнопку "Экспорт".
- В окне "Экспорт файла реестра" silverlight.configuration.exe_backup.reg и нажмите кнопку "Сохранить".
- Выберите меню "Файл", нажмите кнопку "Удалить" и нажмите кнопку "Да".
- Закройте редактор реестра.
- Выйдите из системы и снова войдите в систему или перезагрузите компьютер.
Как отменить обходное решение.
- Откройте редактор реестра.
- Выберите меню "Файл" и нажмите кнопку "Импорт".
- В окне импорта файла реестра щелкните silverlight.configuration.exe_backup.reg и нажмите кнопку "Открыть".
- Закройте редактор реестра.
- Выйдите из системы и снова войдите в систему или перезагрузите компьютер.
Развертывание обновлений безопасности
Сведения о развертывании обновлений безопасности см. в статье базы знаний Майкрософт, на которую ссылается сводка по исполнительному руководству.
Благодарности
Корпорация Майкрософт признает усилия тех, кто в сообществе безопасности помогает нам защитить клиентов с помощью скоординированного раскрытия уязвимостей. Дополнительные сведения см . в подтверждениях .
Заявление об отказе
Сведения, предоставленные в Базе знаний Майкрософт, предоставляются "как есть" без каких-либо гарантий. Корпорация Майкрософт отказывается от всех гарантий, явных или подразумеваемых, включая гарантии торговых возможностей и соответствия определенной цели. В любом случае корпорация Майкрософт или ее поставщики не несут ответственности за любые убытки, включая прямые, косвенные, случайные, косвенные, косвенные, следовательно, потерю прибыли или специальные убытки, даже если корпорация Майкрософт или ее поставщики были уведомлены о возможности таких повреждений. Некоторые государства не разрешают исключение или ограничение ответственности за последующие или случайные убытки, поэтому не может применяться ограничение.
Редакции
- V1.0 (12 мая 2015 г.): Бюллетень опубликован.
- Версия 1.1 (23 июня 2015 г.): бюллетень изменен, чтобы объявить об изменении обнаружения в обновлении 3056819 для Microsoft Silverlight 5. Это только изменение обнаружения. Клиентам, которые уже успешно обновили свои системы, не нужно предпринимать никаких действий.
Страница создана 2015-06-23 10:35Z-07:00.