Buletinul de securitate (Microsoft) ms14-014

Prezentare generală

Această actualizare de securitate este evaluat „substanțială“ pentru Microsoft Silverlight și Microsoft Silverlight 5 5 Developer Runtime Instalarea pe Mac și toate edițiile acceptate de Microsoft Windows. Pentru mai multe informații, consultați. În subsecțiunea, lezată și software non-afectate, în această secțiune.

Această actualizare de securitate actualizează versiunea anterioară a Silverlight pentru Silverlight versiunea 5.1.30214.0, prima versiune a Silverlight 5, nu face obiectul acestei vulnerabilități. Această actualizare elimină această vulnerabilitate prin corectarea funcției, în scopul de a asigura integritatea DEP (performanța de prevenire a datelor) și Tehnologiei Adresa Space Layout randomizare (ASLR) în Silverlight. Pentru mai multe informații despre vulnerabilitatea, a se vedea. În secțiunea Informații de „Întrebări și răspunsuri“ cu privire la vulnerabilitatea.

A se vedea, de asemenea, instrumentele. Secțiunea de detectare și de orientare și desfășurarea acestui buletin.

Ce browsere web suporta aplicatii Microsoft Silverlight?
Pentru a efectua aplicații Microsoft Silverlight, cele mai multe browsere Web, inclusiv Microsoft Internet Explorer, trebuie să instalați platforma Microsoft Silverlight și activați adecvat plug-in. Pentru mai multe informații despre platforma Microsoft Silverlight, a se vedea. Microsoft Silverlight pe site-ul oficial. Informații despre cum să dezactivați sau să eliminați plug-in-uri, a se vedea. In browser-ul de documentare.

Ce versiuni ale Microsoft Silverlight 5 sunt afectate de această vulnerabilitate?
Construiți Microsoft Silverlight 5.1.30214.0, care a fost actualul construi Microsoft Silverlight la momentul primului număr al acestui buletin informativ abordează vulnerabilitatea și nu este afectată de aceasta. Microsoft Silverlight de asamblare la versiunea 5.1.30214.0 sunt afectate de această vulnerabilitate.

Cum de a determina ce versiune a ansamblului și platforma Microsoft Silverlight este instalat pe sistemul meu?
Dacă aveți deja platforma Microsoft Silverlight, puteți merge la Get Microsoft Silverlight. care specifică versiunea instalată pe sistemul dumneavoastră și de a construi platforma Microsoft Silverlight. În plus, puteți utiliza „Gestionare programe de completare“ în versiunile curente ale Microsoft Internet Explorer, care poate determina informațiile despre versiunea instalată a sistemului și a ansamblului.

De asemenea, puteți verifica manual numărul de versiune fișierul sllauncher.exe localizat în directorul „% ProgramFiles% \ Microsoft Silverlight“ (în sistemele Microsoft Windows pe bazate pe platforme x86) sau în directorul „% ProgramFiles (x86)% \ Microsoft Silverlight“ (în sistemele Microsoft pentru Windows x64).

În cele din urmă, în informațiile de sistem de operare Microsoft Windows despre versiunea instalată a Microsoft Silverlight poate fi găsită în registru cheie [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Silverlight]: versiunea (în sistemele Microsoft Windows pe bazate pe platforme x86) sau [HKEY_LOCAL_MACHINE \ SOFTWARE \ Wow6432Node \ Microsoft \ Silverlight] : Versiune (în Microsoft Windows x64).

OS informații Apple a Mac OS despre versiunea instalată a Microsoft Silverlight pot fi găsite după cum urmează.

Această actualizare pentru Microsoft Silverlight 5 seturi de sistem de siguranță versiunea 5.1.30214.0. Dacă aveți această sau o versiune ulterioară a Microsoft Silverlight 5, sistemul nu este afectat de vulnerabilitatea.

Unde pot găsi mai multe informații despre Silverlight, ciclul de viață?
Informații despre ciclul de viață al Silverlight, a se vedea. Articolul Microsoft Silverlight Politica de sprijin în diferite etape (în limba engleză) a ciclului de viață.

Utilizatorii versiunilor anterioare ale software-ului pentru a fi rapid migra la versiuni acceptate pentru a preveni expunerea potențială la vulnerabilități. Pentru a determina ciclul de viață de sprijin pentru eliberarea software-ul, du-te la pagina web Selectați un produs pentru a afișa informații despre ciclul de viață al produsului. Pentru mai multe informații despre pachetele de servicii pentru aceste versiuni de software, a se vedea. Pe pagina de web a politicii Microsoft de suport pe durata ciclului de viață.

Informații vulnerabilitate

În Silverlight ca urmare a punerii în aplicare incorectă a executării de date există Prevenire (DEP) și spațiul de adrese Layout randomizare (ASLR) vulnerabilitate care vă permite să ocolească caracteristicile de securitate. Aceasta vulnerabilitate ar putea permite unui atacator pentru a ocoli caracteristici de securitate DEP / ASLR, cel mai probabil, folosind vulnerabilitate ar putea permite executarea de cod de la distanță.

factori de atenuare

Atenuarea se referă la o setare, configurație comună, sau cele mai bune practici generale, existente într-un stat implicit care ar putea reduce severitatea de exploatare a unei vulnerabilități. Următorii factori pot reduce atenuante severitatea exploatării unei vulnerabilități.

rezolvări

Dezactivați temporar Microsoft Silverlight în Internet Explorer

Silverlight temporară off în Internet Explorer poate ajuta la protejarea împotriva acestei vulnerabilități. Pentru a dezactiva Silverlight în Internet Explorer, urmați acești pași:

În Internet Explorer, deschideți meniul Tools. și apoi faceți clic pe Opțiuni Internet.
Faceți clic pe fila „Programs“ și apoi faceți clic pe Configurare suprastructură.
În lista de Bare de instrumente și extensii, selectați „Microsoft Silverlight“ și faceți clic pe Dezactivați.

Dezactivați temporar Microsoft Silverlight în Mozilla Firefox

oprire temporară Silverlight în Mozilla Firefox poate ajuta la protejarea împotriva acestei vulnerabilități. Pentru a dezactiva Silverlight în Firefox, urmați acești pași:

În Firefox, faceți clic pe meniul Instrumente și selectați Add-ons.
În programele de completare, accesați fila Plugin-uri.
Selectați Silverlight plug-in și faceți clic pe Dezactivați.

Dezactivați temporar Microsoft Silverlight în Google Chrome

oprire temporară Silverlight Google Chrome poate ajuta la protejarea împotriva acestei vulnerabilități. Pentru a dezactiva Silverlight în Chrome, urmați acești pași:

Întrebări frecvente

Care este domeniul de aplicare al vulnerabilității?
Această vulnerabilitate pentru a ocoli caracteristicile de securitate.

Care sunt cauzele vulnerabilitatea?
Vulnerabilitatea este cauzată atunci când Microsoft Silverlight pune în aplicare în mod corespunzător caracteristici de securitate, DEP / ASLR, care permite unui atacator pentru a prezice fiabil offset în instrucțiunile specifice de memorie date în stiva de apel.

Ce este Microsoft Silverlight?
Platforma Microsoft Silverlight - o implementare a Microsoft .NET Framework pentru o varietate de sisteme și browsere care vă permite să creați multimedia bogat și aplicații web interactive. Pentru mai multe informații, consultați. Microsoft Silverlight pe site-ul oficial.

ASLR randomizes locația ca heap si stiva de memorie:

Un atacator care a exploatat cu succes aceasta vulnerabilitate?
În cazul unui atac prin intermediul unei pagini web, un atacator care exploatează cu succes această vulnerabilitate poate trece funcția de securitate DEP / ASLR, care protejează utilizatorii dintr-o clasă largă de vulnerabilități. pe cont propriu de bypass această caracteristică de securitate în sine nu permite executarea de cod arbitrar. Cu toate acestea ocolind funcția DEP / ASLR face posibilă executarea unui cod arbitrar prin utilizarea altor vulnerabilități, o metodă care permite executarea de cod de la distanță.

Cum ar putea un atacator exploata etoyuyazvimostyu?
În cazul unui atac prin intermediul internetului un atacator trebuie să găzduiască un site web cu un conținut de Silverlight, special create, concepute pentru a exploata aceasta vulnerabilitate. În plus, site-uri web care au fost compromise, precum și site-uri care materialele de utilizator gazdă sau gazdă pot fi, de asemenea conținut special creat, care ar putea exploata această vulnerabilitate. Un atacator nu poate obliga utilizatorii să viziteze un site special conceput. În schimb, atacatorul ar trebui să convingă utilizatorii să efectueze o acțiune. De exemplu, un atacator poate păcăli pentru a convinge utilizatorii să se conecteze la site-ul lor.

Atunci când utilizatorii navighează pe site-uri cu Silverlight conținut rău intenționat cu un browser Web, cum ar fi Internet Explorer, puteți ignora caracteristicile de securitate DEP / ASLR.

Un atacator poate lega o vulnerabilitate care permite de a eluda caracteristicile de securitate, pe de altă vulnerabilitate este de natură să vulnerabilitate ar putea permite executarea de cod de la distanță. Folosind această vulnerabilitate suplimentară este posibilă doar prin caracteristici de securitate de by-pass. De exemplu, în cazul unei funcții de succes de by-pass DEP / ASLR, puteți utiliza vulnerabilitate ar putea permite executarea de cod de la distanță, care au fost blocate de caracteristica / ASLR DEP.

Are EMET reduce riscul de atacuri care vizează ispolzovanieetoyuyazvimosti?
Da. Setul de instrumente Enhanced Mitigation Experience Toolkit (EMET) permite utilizatorilor să gestioneze tehnologii de reducere a riscurilor pentru sistemele de securitate, care ajută să complice atacatorii exploateze vulnerabilități într-o anumită bucată de software. EMET contribuie la atenuarea impactului acestor vulnerabilități în sistemele Silverlight care Emet set de instrumente instalate și configurate pentru a lucra cu Internet Explorer.

Ce sisteme sunt în primul rând la risc?
În primul rând, la stațiile de lucru cu risc și servere terminale. Servere ar putea fi la un risc mai mare în cazul în care administratorii permit utilizatorilor să se conecteze la servere și pentru a rula programe. Cu toate acestea, cele mai bune practici descurajează puternic care să permită acestei autorități.