Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Обновление безопасности для Silverlight для решения удаленного выполнения кода (3126036)
Опубликовано: 12 января 2016 г. | Обновлено: 14 января 2016 г.
Версия: 1.1
Краткий обзор
Это обновление системы безопасности устраняет уязвимость в Microsoft Silverlight. Уязвимость может разрешить удаленное выполнение кода, если пользователь посещает скомпрометированный веб-сайт, содержащий специально созданное приложение Silverlight. Злоумышленник не сможет заставить пользователей посетить скомпрометированный веб-сайт. Вместо этого злоумышленнику придется убедить пользователей посетить веб-сайт, как правило, щелкнув ссылку в сообщении электронной почты или мгновенном сообщении, которое принимает пользователей на веб-сайт злоумышленника.
Это обновление системы безопасности имеет критически важное значение для среды выполнения разработчика Microsoft Silverlight 5 и Microsoft Silverlight 5 при установке на Mac или всех поддерживаемых выпусках Microsoft Windows. Дополнительные сведения см. в разделе "Затронутая программа ".
Обновление устраняет уязвимости, исправляя способ проверки результатов декодировщика Microsoft Silverlight. Дополнительные сведения об уязвимостях см. в разделе "Сведения об уязвимостях".
Дополнительные сведения об этом обновлении см. в статье базы знаний Майкрософт 3126036.
Оценки серьезности уязвимостей и программного обеспечения
Затронуты следующие версии программного обеспечения или выпуски. Версии или выпуски, не перечисленные в списке, были в прошлом жизненном цикле поддержки или не затронуты. Сведения о жизненном цикле поддержки для версии или выпуска программного обеспечения см. в разделе служба поддержки Майкрософт Жизненный цикл.
Оценки серьезности, указанные для каждого затронутого программного обеспечения, предполагают потенциальное максимальное влияние уязвимости. Сведения о вероятности, в течение 30 дней после выпуска этого бюллетеня по безопасности, о эксплойтации уязвимости в отношении его оценки серьезности и влияния на безопасность, см. в сводке по индексу эксплойтации в январе бюллетеня.
| Операционная система | Уязвимость удаленного выполнения кода Silverlight — CVE-2016-0034 | Обновления заменено |
|---|---|---|
| Программное обеспечение. | ||
| Microsoft Silverlight 5 при установке на Mac (3126036) | Критическое удаленное выполнение кода | 3106614 в MS15-129 |
| Среда выполнения разработчика Microsoft Silverlight 5 при установке на Mac (3126036) | Критическое удаленное выполнение кода | 3106614 в MS15-129 |
| Microsoft Silverlight 5 при установке во всех поддерживаемых выпусках клиентов Microsoft Windows (3126036) | Критическое удаленное выполнение кода | 3106614 в MS15-129 |
| Среда выполнения разработчика Microsoft Silverlight 5 при установке во всех поддерживаемых выпусках клиентов Microsoft Windows (3126036) | Критическое удаленное выполнение кода | 3106614 в MS15-129 |
| Microsoft Silverlight 5 при установке на всех поддерживаемых выпусках серверов Microsoft Windows (3126036) | Критическое удаленное выполнение кода | 3106614 в MS15-129 |
| Среда выполнения разработчика Microsoft Silverlight 5 при установке на всех поддерживаемых выпусках серверов Microsoft Windows (3126036) | Критическое удаленное выполнение кода | 3106614 в MS15-129 |
Вопросы и ответы по обновлению
Какие веб-браузеры поддерживают приложения Microsoft Silverlight?
Для запуска приложений Microsoft Silverlight большинство веб-браузеров, включая Microsoft Internet Обозреватель, требуется установить Microsoft Silverlight и включить соответствующий подключаемый модуль. Дополнительные сведения о Microsoft Silverlight см. на официальном сайте Microsoft Silverlight. Дополнительные сведения об отключении или удалении подключаемых модулей см. в документации браузера.
Какие версии Microsoft Silverlight 5 влияют на уязвимости?
Microsoft Silverlight build 5.1.41212.0, которая была текущей сборкой Microsoft Silverlight по состоянию на момент первого выпуска этого бюллетеня, устраняет уязвимости и не затрагивается. Затронуты сборки Microsoft Silverlight до 5.1.41212.0.
Разделы справки знать, какая версия и сборка Microsoft Silverlight сейчас установлена в моей системе?
Если Microsoft Silverlight уже установлен на компьютере, вы можете посетить страницу Get Microsoft Silverlight , которая будет указывать, какая версия и сборка Microsoft Silverlight сейчас установлена в вашей системе. Кроме того, можно использовать функцию "Управление надстройками" текущих версий Microsoft Internet Обозреватель для определения версии и сведений о сборке, установленных в настоящее время в вашей системе.
Вы также можете вручную проверка номер версии sllauncher.exe, расположенный в каталоге "%ProgramFiles%\Microsoft Silverlight" (в системах Microsoft Windows x86) или в каталоге "%ProgramFiles(x86)%\Microsoft Silverlight" (в системах Microsoft Windows x64).
Кроме того, в Microsoft Windows сведения о версии и сборке установленной в настоящее время версии Microsoft Silverlight можно найти в реестре по адресу [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Silverlight]:Version on x86 Microsoft Windows systems, or [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Silverlight]:Version on x64 Microsoft Windows systems.
В Apple Mac OS сведения о версии и сборке установленной в настоящее время версии Microsoft Silverlight можно найти следующим образом:
Открытие средства поиска
Выберите системный диск и перейдите в папку Подключаемые модули Интернета — Библиотека
Щелкните правой кнопкой мыши файл Silverlight.Plugin (если мышь имеет только одну кнопку, нажмите клавишу CTRL при нажатии на файл), чтобы открыть контекстное меню, а затем нажмите кнопку "Показать содержимое пакета".
В папке содержимого найдите файл info.plist и откройте его с помощью редактора. Он будет содержать запись, похожую на следующую, которая показывает номер версии:
SilverlightVersion
5.1.41212.0
Версия, установленная с этим обновлением безопасности для Microsoft Silverlight 5, — 5.1.41212.0. Если номер версии Microsoft Silverlight 5 выше или равен этому номеру версии, система не уязвима.
Разделы справки обновить версию Microsoft Silverlight?
Функция автоматического обновления Microsoft Silverlight помогает убедиться, что установка Microsoft Silverlight обновлена с последней версией Microsoft Silverlight, функциями Microsoft Silverlight и функциями безопасности. Дополнительные сведения о функции автоматического обновления Microsoft Silverlight см. в microsoft Silverlight Updater. Пользователи Windows, которые отключили функцию автоматического обновления Microsoft Silverlight, могут зарегистрироваться в Центре обновления Майкрософт, чтобы получить последнюю версию Microsoft Silverlight, или скачать последнюю версию Microsoft Silverlight вручную с помощью ссылки на скачивание в таблице "Затронутое программное обеспечение" в предыдущем разделе " Затронутое программное обеспечение". Сведения о развертывании Microsoft Silverlight в корпоративной среде см . в руководстве по развертыванию Silverlight Enterprise.
Будет ли это обновление обновлять мою версию Silverlight?
Обновление 3126036 обновляет предыдущие версии Silverlight до Silverlight версии 5.1.41212.0. Корпорация Майкрософт рекомендует выполнить обновление для защиты от уязвимости, описанной в этом бюллетене.
Где можно найти дополнительные сведения о жизненном цикле продукта Silverlight?
Сведения о жизненном цикле, относящиеся к Silverlight, см. в политике жизненного цикла поддержки Microsoft Silverlight.
Сведения об уязвимостях
Уязвимость удаленного выполнения кода Silverlight — CVE-2016-0034
Уязвимость удаленного выполнения кода существует, когда Microsoft Silverlight декодирует строки с помощью вредоносного декодера, который может возвращать отрицательные смещения, которые приводят к замене небезопасных заголовков объектов с содержимым, предоставленным злоумышленником. В сценарии просмотра веб-страниц злоумышленник, который успешно воспользовался этой уязвимостью, может получить те же разрешения, что и пользователь, вошедший в систему. Если пользователь входит в систему с правами администратора, злоумышленник может полностью контролировать затронутую систему. Он может устанавливать программы, просматривать, изменять или удалять данные и создавать новые учетные записи с полными пользовательскими правами. Пользователи, учетные записи которых имеют в системе меньше прав, уязвимы меньше, чем пользователи с правами администратора.
Чтобы воспользоваться уязвимостью, злоумышленник может разместить веб-сайт, содержащий специально созданное приложение Silverlight, а затем убедить пользователя посетить скомпрометированный веб-сайт. Злоумышленник также может воспользоваться преимуществами веб-сайтов, содержащих специально созданное содержимое, включая те, которые принимают или размещают предоставленное пользователем содержимое или рекламу. Например, злоумышленник может отображать специально созданное веб-содержимое с помощью рекламных баннеров или с помощью других методов доставки веб-содержимого в затронутые системы. Однако во всех случаях злоумышленник не сможет заставить пользователей посетить скомпрометированный веб-сайт. Вместо этого злоумышленнику придется убедить пользователя посетить веб-сайт, как правило, заманив их, чтобы щелкнуть ссылку в сообщении электронной почты или мгновенном сообщении. Обновление устраняет эту уязвимость, исправляя способ проверки результатов декодировщика Microsoft Silverlight.
Корпорация Майкрософт получила информацию об этой уязвимости через согласованное раскрытие уязвимостей. В то время, когда этот бюллетень по безопасности был первоначально выдан, корпорация Майкрософт получила отчет, который может указывать на ограниченную атаку, пытающуюся использовать эту уязвимость.
Смягчающие факторы
Корпорация Майкрософт не определила какие-либо факторы устранения этой уязвимости.
Методы обхода проблемы
Корпорация Майкрософт не определила обходные пути для этой уязвимости .
Развертывание обновлений безопасности
Сведения о развертывании обновлений безопасности см. в статье базы знаний Майкрософт, на которую ссылается сводка по исполнительному руководству.
Благодарности
Корпорация Майкрософт признает усилия тех, кто в сообществе безопасности помогает нам защитить клиентов с помощью скоординированного раскрытия уязвимостей. Дополнительные сведения см . в подтверждениях .
Заявление об отказе
Сведения, предоставленные в Базе знаний Майкрософт, предоставляются "как есть" без каких-либо гарантий. Корпорация Майкрософт отказывается от всех гарантий, явных или подразумеваемых, включая гарантии торговых возможностей и соответствия определенной цели. В любом случае корпорация Майкрософт или ее поставщики не несут ответственности за любые убытки, включая прямые, косвенные, случайные, косвенные, косвенные, следовательно, потерю прибыли или специальные убытки, даже если корпорация Майкрософт или ее поставщики были уведомлены о возможности таких повреждений. Некоторые государства не разрешают исключение или ограничение ответственности за последующие или случайные убытки, поэтому не может применяться ограничение.
Редакции
- Версия 1.0 (12 января 2016 г.): бюллетень опубликован.
- Версия 1.1 (14 января 2016 г.): обновление сведений об уязвимостях для CVE-2016-0034. Это только информационное изменение.
Страница создана 2016-01-27 09:22-08:00.