Бюлетин сигурност (Microsoft) ms14-014

Преглед

Тази актуализация на сигурността е класиран "съществена" за Microsoft Silverlight и Microsoft Silverlight 5 5 Developer Runtime Инсталиране на Mac и всички поддържани издания на Microsoft Windows. За повече информация, вижте. В подраздел, засегнати и незасегнати Software, в този раздел.

Тази актуализация на сигурността актуализира предишната версия на Silverlight за Silverlight версия 5.1.30214.0, първата версия на Silverlight 5, не е предмет на тази уязвимост. Тази актуализация елиминира тази уязвимост чрез коригиране на функция, за да се гарантира целостта на DEP (производителност превенция на данни) и технологията адресно пространство Разпределение на Произволна (ASLR) в Silverlight. За повече информация относно уязвимостта, вижте. В раздел "Въпроси и отговори" информация за уязвимостта.

Вижте. Освен Инструменти секция и ориентиране за откриване и внедряването на този бюлетин.

Кои уеб браузъри подкрепа на Microsoft Silverlight приложения?
За да изпълните приложения Microsoft Silverlight, повечето уеб браузъри, включително Microsoft Internet Explorer, трябва да инсталирате платформата на Microsoft Silverlight и да даде възможност на съответния плъгин. За повече информация за платформата на Microsoft Silverlight, вижте. Microsoft Silverlight на официалния сайт. Информация за това как да се деактивира или премахне плъгини, вижте. В браузъра документация.

Кои версии на Microsoft Silverlight 5 са ​​засегнати от тази уязвимост?
Изграждане на Microsoft Silverlight 5.1.30214.0, която е била на текущата изграждане Microsoft Silverlight по време на първия брой на бюлетина е насочена към уязвимостта и не се влияе от това. Microsoft Silverlight монтаж до версия 5.1.30214.0 са засегнати от тази уязвимост.

Как да определите коя версия на събранието и платформата на Microsoft Silverlight е инсталирана на моята система?
Ако вече имате Microsoft Silverlight платформа, можете да отидете на Get Microsoft Silverlight. което определя версията инсталиран на вашата система и изграждане на Microsoft Silverlight платформа. В допълнение, можете да използвате "Управление на добавки" в сегашните версии на Microsoft Internet Explorer, което може да се определи информацията за инсталираната версия на системата и монтажа.

Можете и ръчно да се провери номера на версията sllauncher.exe файл, намиращ се в директорията "% ProgramFiles% \ Microsoft Silverlight" (в Microsoft Windows системи на x86 платформа базирани) или в директорията "% ProgramFiles (x86)% \ Microsoft Silverlight" (в Microsoft системи Windows x64-базирани).

И накрая, в Microsoft Windows операционна система информация за инсталираната версия на Microsoft Silverlight може да бъде намерена в регистъра ключ [HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Silverlight]: Версия (в Microsoft Windows системи на платформа базирани на x86) или [HKEY_LOCAL_MACHINE \ SOFTWARE \ Wow6432Node \ Microsoft \ Silverlight] Версия (в Microsoft Windows x64-базирани).

OS на Apple Mac OS Информацията за около инсталираната версия на Microsoft Silverlight може да се намери, както следва.

Тази актуализация за Microsoft Silverlight 5 установява система за безопасност версия 5.1.30214.0. Ако имате този или по-нова версия на Microsoft Silverlight 5, вашата система не е засегната от уязвимостта.

Къде мога да намеря повече информация за Silverlight, жизненият цикъл?
Информация за жизнения цикъл на Silverlight, вижте. Член Microsoft Silverlight политика за подкрепа на различни етапи (на английски език) на жизнения цикъл.

Потребителите на ранни версии на софтуера, за да бъдат бързо мигрират към поддържани версии за предотвратяване на потенциално излагане на уязвимости. За определяне на жизнения цикъл подкрепа за вашата версия на софтуера, посетете уеб страницата Изберете продукт, за да се покаже информация за жизнения цикъл на продукта. За повече информация за сервизни пакети за тези версии, вижте. От за политика уеб страницата на Microsoft Support Lifecycle.

Уязвимост Информация

В Silverlight дължи на неправилно прилагане на Данни Изпълнение Предотвратяване (DEP) и адресно пространство Разпределение на Произволна (ASLR) уязвимост съществува, която ви позволява да се заобиколят защитните елементи. Тази уязвимост може да позволи на някой хакер да заобиколят DEP / ASLR функции за сигурност, най-вероятно с помощта на уязвимост може да позволи дистанционно изпълнение на код.

смекчаващи фактори

Смекчаване отнася до настройка, обща конфигурация, или общо най-добрите практики, съществуващи в състояние по подразбиране, което може да намали тежестта на експлоатация на уязвимост. Следващите смекчаващи фактори могат да намалят тежестта на експлоатация на уязвимост.

заобиколни

  • Временно деактивирайте Microsoft Silverlight в Internet Explorer

Временно изключване Silverlight в Internet Explorer може да се предпазите от тази уязвимост. За деактивиране на Silverlight в Internet Explorer, изпълнете следните стъпки:

  1. В Internet Explorer, отворете менюто Tools. и след това върху Опции за интернет.
  2. Щракнете върху "Програми" и след това щракнете върху Конфигуриране на надстройка.
  3. В списъка на лентите с инструменти и разширения, изберете "Microsoft Silverlight" и щракнете върху Забрани.
  • Временно деактивирайте Microsoft Silverlight в Mozilla Firefox

    Silverlight временно спиране на Mozilla Firefox можете да се предпазите от тази уязвимост. За деактивиране на Silverlight в Firefox, изпълнете следните стъпки:

    1. Във Firefox кликнете върху менюто Инструменти и изберете Добавки.
    2. В добавките, отидете на раздела Plugins.
    3. Изберете Silverlight я и поставете върху Забрани.
  • Временно деактивирайте Microsoft Silverlight в Google Chrome

    Silverlight временно изключване на Google Chrome може да се предпазите от тази уязвимост. За деактивиране на Silverlight на Chrome, изпълнете следните стъпки:

    Често задавани въпроси

    Какъв е обхватът на уязвимостта?
    Тази уязвимост да заобиколят защитните елементи.

    Какви са причините за уязвимостта?
    Уязвимостта е причинена, когато Microsoft Silverlight правилно изпълнява функции за сигурност DEP / ASLR, което позволява на нападателя да се определи точно отместването в памет специфични указания, дадени в набора от повикване.

    Какво е Microsoft Silverlight?
    Microsoft Silverlight платформа - за изпълнение на .NET Framework на Microsoft за най-различни системи и браузъри, които ви позволява да създавате богати мултимедийни и интерактивни уеб приложения. За повече информация, вижте. Microsoft Silverlight на официалния сайт.

    ASLR произволност местоположението като грамада и стека памет:

    Един нападател, който успешно използва тази уязвимост?
    В случай на нападение чрез уеб страница на атака, който успешно използва тази уязвимост може да бъде заобиколена функция сигурност DEP на / ASLR, която защитава потребителите от широк клас от уязвимости. сам по себе си този байпас самата функция за сигурност не позволява изпълнението на произволен код. Въпреки това заобикаляйки функция DEP / ASLR дава възможност да се изпълни произволен код с помощта на други уязвимости, като тази, която дава възможност за отдалечено изпълнение на код.

    Как може някой хакер използва etoyuyazvimostyu?
    В случай на нападение чрез интернет атакуващият трябва да бъде домакин на уеб сайт със специално създаден Silverlight съдържание, предназначено да се възползват от тази уязвимост. Освен това, уеб сайтове, които са били компрометирани, както и сайтове, които домакин на потребителя или приемни материали могат също да бъдат специално изработени съдържание, което може да се възползват от тази уязвимост. Един хакер не може да принуди потребителите да посещават специално изработени уебсайт. Вместо това нападателят ще трябва да убеди потребителите да изпълняват някои действия. Например, атакуващият може да излъже, за да убеди потребителите да се свържат с техния уебсайт.

    Когато потребителите преглеждат сайтове с обидно съдържание Silverlight с уеб браузър, например Internet Explorer, можете да заобиколите DEP / ASLR функции за сигурност.

    Един хакер може да връзвам уязвимост, която позволява да се заобиколи функции за сигурност, от друга уязвимост е вероятно да уязвимост може да позволи дистанционно изпълнение на код. Използването на тази допълнителна уязвимост е възможно само чрез функции байпас сигурност. Например, в случай на успешна байпас DEP / ASLR функция, можете да използвате уязвимостта може да позволи дистанционно изпълнение на код, които бяха блокирани от DEP / ASLR функция.

    Дали Emet намали риска от атаки, насочени към ispolzovanieetoyuyazvimosti?
    Да. Toolkit Enhanced Experience Toolkit Смекчаване (Emet) позволява на потребителите да управляват технологии за намаляване на риска за системи за сигурност, които помагат да се усложни нападателите възползват от слабите места в дадена част от софтуера. Emet помага за смекчаване на въздействието на тези уязвимости в Silverlight системи, които Emet набор от инструменти, инсталиран и конфигуриран да работи с Internet Explorer.

    Какви системи са предимно в риск?
    В предимно рисковите работни станции и терминални сървъри. Сървъри може да бъде по-голям риск, ако администраторите позволяват на потребителите да влизат в сървърите и да се изпълняват програми. Въпреки това, най-добри практики разубеждават, позволявайки на тази власт.

    Какво прави актуализация?
    Тази актуализация елиминира тази уязвимост чрез коригиране на функция, за да се гарантира, DEP / ASLR цялост Silverlight.

    За информация за модернизация