Microsoft Security Bulletin MS15-129 – Kritisch

Sicherheitsupdate für Silverlight zum Beheben der Remotecodeausführung (3106614)

Veröffentlicht: 8. Dezember 2015

Version: 1.0

Kurzfassung

Dieses Sicherheitsupdate behebt Sicherheitsrisiken in Microsoft Silverlight. Die schwerwiegendsten Sicherheitsrisiken könnten remotecodeausführung zulassen, wenn Microsoft Silverlight bestimmte offene und schließende Anforderungen falsch verarbeitet, die zu Lese- und Schreibzugriffsverletzungen führen könnten. Um die Sicherheitsanfälligkeit auszunutzen, könnte ein Angreifer eine Website hosten, die eine speziell gestaltete Silverlight-Anwendung enthält, und dann einen Benutzer davon überzeugen, eine kompromittierte Website zu besuchen. Der Angreifer könnte auch Websites nutzen, die speziell gestaltete Inhalte enthalten, einschließlich derJenigen, die vom Benutzer bereitgestellte Inhalte oder Werbung akzeptieren oder hosten.

Ein Angreifer hätte keine Möglichkeit, Benutzer zu zwingen, eine kompromittierte Website zu besuchen. Stattdessen müsste ein Angreifer einen Benutzer davon überzeugen, Maßnahmen zu ergreifen, z. B. durch Klicken auf einen Link, der den Benutzer zur Website des Angreifers führt.

Dieses Sicherheitsupdate wird für Microsoft Silverlight 5 und Microsoft Silverlight 5 Developer Runtime als kritisch eingestuft, wenn es auf einem Mac oder allen unterstützten Versionen von Microsoft Windows installiert ist. Weitere Informationen finden Sie im Abschnitt "Betroffene Software" .

Das Update behebt die Sicherheitsanfälligkeiten, indem korrigiert wird, wie Microsoft Silverlight bestimmte geöffnete und schließende Webanforderungen verarbeitet, und indem korrigiert wird, wie speicherhandhabt wird, um die Integrität der Randomisierung des Adressraumlayouts (ADDRESS Space Layout Randomization, ASLR) in Silverlight zu Standard. Weitere Informationen zu den Sicherheitsrisiken finden Sie im Abschnitt "Sicherheitsrisikoinformationen ".

Weitere Informationen zu diesem Update finden Sie im Microsoft Knowledge Base-Artikel 3106614.

Betroffene Software

Die folgenden Softwareversionen oder Editionen sind betroffen. Versionen oder Editionen, die nicht aufgeführt sind, sind entweder über ihren Supportlebenszyklus oder nicht betroffen. Informationen zum Ermitteln des Supportlebenszyklus für Ihre Softwareversion oder -edition finden Sie unter Microsoft-Support Lifecycle.

Schweregradbewertungen und Sicherheitslücken-IDs

Die folgenden Schweregradbewertungen gehen von der potenziellen maximalen Auswirkung der Sicherheitsanfälligkeit aus. Informationen zur Wahrscheinlichkeit, dass innerhalb von 30 Tagen nach der Veröffentlichung dieses Sicherheitsbulletins die Ausnutzbarkeit der Sicherheitsanfälligkeit in Bezug auf die Schweregradbewertung und die Sicherheitsauswirkungen besteht, lesen Sie bitte den Exploitability Index in der Bulletinzusammenfassung im Dezember.

Häufig gestellte Fragen zum Aktualisieren

Warum wird das Update in diesem Bulletin auch in anderen Bulletins aufgeführt, die in diesem Monat veröffentlicht werden?
Da Bulletins durch die von ihnen behobenen Sicherheitsrisiken aufgeschlüsselt werden, nicht durch die veröffentlichten Updatepakete, ist es möglich, dass separate Bulletins auf dasselbe Update verweisen, wenn die Fixes für ihre jeweiligen Sicherheitslücken in einem einzigen Updatepaket konsolidiert wurden. In solchen Situationen ist es auch möglich, dass die im 1 Bulletin beschriebenen Sicherheitsrisiken völlig unterschiedliche Schweregrad- und Auswirkungsbewertungen aufweisen als die im anderen Bulletin beschriebenen Sicherheitsrisiken. Dies ist häufig der Fall bei kumulativen Updates für Produkte wie Internet Explorer oder Silverlight, bei denen Singularupdates sehr unterschiedliche Sicherheitslücken enthalten, die in separaten Bulletins behandelt werden.

Beachten Sie, dass identische Updatedateien, die mit mehreren Bulletins versenden, nicht mehr als einmal installiert werden müssen.

Welche Webbrowser unterstützen Microsoft Silverlight-Anwendungen?
Zum Ausführen von Microsoft Silverlight-Anwendungen müssen die meisten Webbrowser, einschließlich Microsoft Internet Explorer, Microsoft Silverlight installiert und das entsprechende Plug-In aktiviert werden. Weitere Informationen zu Microsoft Silverlight finden Sie auf der offiziellen Website von Microsoft Silverlight. Weitere Informationen zum Deaktivieren oder Entfernen von Plug-Ins finden Sie in der Dokumentation Ihres Browsers.

Welche Versionen von Microsoft Silverlight 5 sind von den Sicherheitsrisiken betroffen?
Microsoft Silverlight Build 5.1.41105.00, der der aktuelle Build von Microsoft Silverlight ab dem Zeitpunkt der ersten Veröffentlichung dieses Bulletins war, behebt die Sicherheitsanfälligkeiten und ist nicht betroffen. Builds von Microsoft Silverlight vor 5.1.41105.00 sind betroffen.

Gewusst wie wissen, welche Version und welcher Build von Microsoft Silverlight derzeit auf meinem System installiert ist?
Wenn Microsoft Silverlight bereits auf Ihrem Computer installiert ist, können Sie die Seite "Microsoft Silverlight abrufen" aufrufen, die angibt, welche Version und welcher Build von Microsoft Silverlight derzeit auf Ihrem System installiert ist. Alternativ können Sie das Feature "Add-Ons verwalten" der aktuellen Versionen von Microsoft Internet Explorer verwenden, um die Version zu ermitteln und Informationen zu erstellen, die derzeit auf Ihrem System installiert sind.

Sie können auch die Versionsnummer von sllauncher.exe im Verzeichnis "%ProgramFiles%\Microsoft Silverlight" (auf x86 Microsoft Windows-Systemen) oder im Verzeichnis "%ProgramFiles(x86)%\Microsoft Silverlight" (auf x64 Microsoft Windows-Systemen) manuell überprüfen.

Darüber hinaus finden Sie unter Microsoft Windows die Versions- und Buildinformationen der aktuell installierten Version von Microsoft Silverlight in der Registrierung unter [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Silverlight]:Version auf x86 Microsoft Windows-Systemen oder [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Silverlight]:Version auf x64 Microsoft Windows-Systemen.

Unter Apple Mac OS finden Sie die Versions- und Buildinformationen der aktuell installierten Version von Microsoft Silverlight wie folgt:

1. Öffnen des Finders
2. Wählen Sie das Systemlaufwerk aus, und wechseln Sie zum Ordner Internet-Plug-Ins - Bibliothek
3. Klicken Sie mit der rechten Maustaste auf die Datei Silverlight.Plugin (wenn die Maus nur eine Schaltfläche hat, drücken Sie beim Klicken auf die Datei die STRG-TASTE ), um das Kontextmenü anzuzeigen, und klicken Sie dann auf "Paketinhalt anzeigen".
4. Suchen Sie im Inhaltsordner nach der Datei "info.plist ", und öffnen Sie sie mit einem Editor. Er enthält einen Eintrag wie diesen, der ihnen die Versionsnummer zeigt: SilverlightVersion 5.1.41105.00

Die mit diesem Sicherheitsupdate für Microsoft Silverlight 5 installierte Version ist 5.1.41105.00. Wenn Ihre Versionsnummer von Microsoft Silverlight 5 höher oder gleich dieser Versionsnummer ist, ist Ihr System nicht anfällig.

Gewusst wie Aktualisieren meiner Version von Microsoft Silverlight?
Das Feature für automatische Updates von Microsoft Silverlight hilft sicherzustellen, dass Ihre Microsoft Silverlight-Installation mit der neuesten Version von Microsoft Silverlight, Microsoft Silverlight-Funktionen und Sicherheitsfeatures auf dem neuesten Stand gehalten wird. Weitere Informationen zum Automatischen Aktualisieren von Microsoft Silverlight finden Sie im Microsoft Silverlight Updater. Windows-Benutzer, die das Feature für automatische Updates von Microsoft Silverlight deaktiviert haben, können sich bei Microsoft Update registrieren, um die neueste Version von Microsoft Silverlight zu erhalten, oder die neueste Version von Microsoft Silverlight manuell mithilfe des Downloadlinks in der Tabelle "Betroffene Software" im vorherigen Abschnitt " Betroffene Software" herunterladen. Informationen zum Bereitstellen von Microsoft Silverlight in einer Unternehmensumgebung finden Sie im Silverlight Enterprise-Bereitstellungshandbuch.

Wird dieses Update meine Version von Silverlight aktualisieren?
Das 3106614 aktualisieren frühere Versionen von Silverlight auf Silverlight, Version 5.1.41105.00. Microsoft empfiehlt, ein Upgrade auf die in diesem Bulletin beschriebene Sicherheitsanfälligkeit zu aktualisieren.

Wo finde ich zusätzliche Informationen zum Silverlight-Produktlebenszyklus?
Informationen zum Lebenszyklus, die für Silverlight spezifisch sind, finden Sie in der Microsoft Silverlight-Support-Lifecycle-Richtlinie.

Informationen zu Sicherheitsrisiken

Sicherheitsanfälligkeit in Microsoft Silverlight RCE – CVE-2015-6166

Eine Sicherheitslücke zur Remotecodeausführung ist vorhanden, wenn Microsoft Silverlight bestimmte offene und schließende Anforderungen fälschlicherweise verarbeitet, die zu Lese- und Schreibzugriffsverletzungen führen können.

Um die Sicherheitsanfälligkeit auszunutzen, könnte ein Angreifer eine Website hosten, die eine speziell gestaltete Silverlight-Anwendung enthält, und dann einen Benutzer davon überzeugen, die kompromittierte Website zu besuchen. Der Angreifer könnte auch Websites nutzen, die speziell gestaltete Inhalte enthalten, einschließlich derJenigen, die vom Benutzer bereitgestellte Inhalte oder Werbung akzeptieren oder hosten. Beispielsweise könnte ein Angreifer speziell gestaltete Webinhalte mithilfe von Banneranzeigen oder mit anderen Methoden anzeigen, um Webinhalte an betroffene Systeme zu übermitteln. In allen Fällen hätte ein Angreifer jedoch keine Möglichkeit, benutzer zu zwingen, eine kompromittierte Website zu besuchen. Stattdessen müsste ein Angreifer einen Benutzer davon überzeugen, die Website zu besuchen, in der Regel, indem er den Benutzer dazu verleitet, in einer E-Mail oder in einer Instant Messenger-Nachricht auf einen Link zu klicken.

Im Webbrowsen-Szenario könnte ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausgenutzt hat, dieselben Berechtigungen wie der aktuell angemeldete Benutzer erhalten. Wenn ein Benutzer mit Administratorrechten angemeldet ist, kann ein Angreifer die vollständige Kontrolle über das betroffene System übernehmen. Ein Angreifer könnte dann Programme installieren, Daten anzeigen, ändern, oder löschen oder neue Konten mit uneingeschränkten Benutzerrechten anlegen. Für Benutzer, deren Konten mit weniger Benutzerrechten im System konfiguriert sind, sind die Auswirkungen normalerweise geringer als für Benutzer, die mit Administratorrechten arbeiten. Das Update behebt die Sicherheitsanfälligkeit, indem korrigiert wird, wie Microsoft Silverlight bestimmte geöffnete und schließende Webanforderungen behandelt.

Microsoft hat Informationen zu dieser Sicherheitsanfälligkeit durch koordinierte Offenlegung von Sicherheitsrisiken erhalten. Zu dem Zeitpunkt, zu dem dieses Sicherheitsbulletin ursprünglich ausgestellt wurde, wusste Microsoft nicht, dass jeder Angriff versucht, diese Sicherheitsanfälligkeit auszunutzen.

Mildernde Faktoren

Microsoft hat keine mildernden Faktoren für diese Sicherheitsanfälligkeit identifiziert.

Problemumgehungen

Microsoft hat keine Problemumgehungen für diese Sicherheitsanfälligkeit identifiziert.

Mehrere Microsoft Silverlight-Sicherheitsanfälligkeiten zur Offenlegung von Informationen

Es gibt mehrere Sicherheitsrisiken zur Offenlegung von Informationen, wenn Silverlight Objekte im Arbeitsspeicher nicht ordnungsgemäß verarbeitet, was es einem Angreifer ermöglichen könnte, Zeigerwerte zuverlässiger vorherzusagen und die Wirksamkeit des ASLR-Sicherheitsfeatures (Address Space Layout Randomization) zu beeinträchtigen.

Um die Sicherheitsanfälligkeiten auszunutzen, könnte ein Angreifer in einem Webbrowsen-Angriffsszenario das ASLR-Sicherheitsfeature möglicherweise umgehen, das Benutzer vor einer breiten Klasse von Sicherheitsrisiken schützt. Die ASLR-Umgehung allein lässt keine willkürliche Codeausführung zu. Ein Angreifer könnte jedoch die Sicherheitsrisiken in Verbindung mit einer ASLR-Umgehung verwenden, um ein zielorientiertes System zu kompromittieren.

In einem webbasierten Angriffsszenario könnte ein Angreifer eine Website mit speziell gestalteten Silverlight-Inhalten hosten, um die Sicherheitsanfälligkeiten auszunutzen. Außerdem könnten kompromittierte Websites und Websites, die vom Benutzer bereitgestellte Inhalte akzeptieren oder hosten, die speziell gestaltete Inhalte enthalten, auch die Sicherheitsrisiken ausnutzen. Ein Angreifer hätte keine Möglichkeit, einen Benutzer zu erzwingen, eine speziell gestaltete Website zu besuchen. Stattdessen müsste ein Angreifer einen Benutzer davon überzeugen, Maßnahmen zu ergreifen. Beispielsweise könnte ein Angreifer einen Benutzer dazu verleiten, auf einen Link zu klicken, der den Benutzer zur Website des Angreifers führt. Das Update behebt die Sicherheitsanfälligkeiten, indem korrigiert wird, wie der Arbeitsspeicher behandelt wird, um die Integrität von ASLR in Silverlight zu Standard beibehalten.

Microsoft hat Informationen zu den Sicherheitsrisiken durch koordinierte Offenlegung von Sicherheitsrisiken erhalten. Zu dem Zeitpunkt, zu dem dieses Sicherheitsbulletin ursprünglich ausgestellt wurde, wusste Microsoft nicht, dass jeder Angriff versucht, die Sicherheitsrisiken auszunutzen.

Die folgende Tabelle enthält Links zum Standardeintrag für jede Sicherheitsanfälligkeit in der Liste allgemeiner Sicherheitsrisiken und Expositionen:

Mildernde Faktoren

Microsoft hat keine mildernden Faktoren für diese Sicherheitsanfälligkeit identifiziert.

Problemumgehungen

Die folgenden Problemumgehungen können in Ihrer Situation hilfreich sein:

• Vorübergehendes Ausführen von Microsoft Silverlight in Internet Explorer verhindern

  1. Wechseln Sie in Internet Explorer zum Menü "Extras ", und klicken Sie dann auf "Internetoptionen".
  2. Klicken Sie im Fenster "Internetoptionen" auf die Registerkarte "Programme " und dann auf "Add-Ons verwalten".
  3. Suchen Und wählen Sie in der Liste "Symbolleisten und Erweiterungen" Microsoft Silverlight aus, und klicken Sie dann auf "Deaktivieren".

• Vorübergehendes Verhindern der Ausführung von Microsoft Silverlight in Mozilla Firefox

  1. Wechseln Sie in Mozilla Firefox zum Menü "Extras ", und klicken Sie dann auf "Addons".
  2. Klicken Sie im Fenster "Addons" auf die Registerkarte "Plugins ".
  3. Suchen Sie das Silverlight-Plug-In, und klicken Sie dann auf "Deaktivieren".

• Entfernen Silverlight.Configuration.exe aus der IE ElevationPolicy

  Warnung , wenn Sie den Registrierungs-Editor falsch verwenden, können schwerwiegende Probleme auftreten, die möglicherweise erfordern, dass Sie Ihr Betriebssystem neu installieren müssen. Microsoft kann nicht garantieren, dass Probleme, die von einer falschen Verwendung des Registrierungseditors herrühren, behoben werden können. Sie verwenden den Registrierungs-Editor auf eigene Verantwortung.

  1. Öffnen Sie den Registrierungs-Editor.
  2. Erweitern HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Internet Explorer>Low Rights>ElevationPolicy
  3. Wählen Sie {003B91A6-61E3-4591-891D-01E94C8CB11E} aus.
  4. Klicken Sie auf das Menü "Datei " und dann auf " Exportieren".
  5. Geben Sie im Fenster "Registrierungsdatei exportieren" silverlight.configuration.exe_backup.reg ein, und klicken Sie dann auf " Speichern".
  6. Klicken Sie auf das Menü "Datei ", klicken Sie auf "Löschen", und klicken Sie dann auf "Ja".
  7. Schließen Sie den Registrierungs-Editor.
  8. Melden Sie sich ab, und melden Sie sich erneut an, oder starten Sie den Computer neu.

  So können Sie die Problemumgehung rückgängig machen.

  1. Öffnen Sie den Registrierungs-Editor.
  2. Klicken Sie auf das Menü "Datei " und dann auf " Importieren".
  3. Klicken Sie im Fenster "Registrierungsdatei importieren" auf silverlight.configuration.exe_backup.reg und dann auf " Öffnen".
  4. Schließen Sie den Registrierungs-Editor.
  5. Melden Sie sich ab, und melden Sie sich erneut an, oder starten Sie den Computer neu.

Bereitstellung von Sicherheitsupdates

Informationen zur Bereitstellung von Sicherheitsupdates finden Sie im Microsoft Knowledge Base-Artikel, auf den in der Zusammenfassung der Geschäftsleitung verwiesen wird.

Danksagungen

Microsoft erkennt die Bemühungen derJenigen in der Sicherheitscommunity, die uns dabei helfen, Kunden durch koordinierte Offenlegung von Sicherheitsrisiken zu schützen. Weitere Informationen finden Sie unter "Bestätigungen ".

Haftungsausschluss

Die in der Microsoft Knowledge Base bereitgestellten Informationen werden ohne Jegliche Garantie bereitgestellt. Microsoft lehnt alle Gewährleistungen ab, entweder ausdrücklich oder impliziert, einschließlich der Gewährleistungen der Händlerbarkeit und Eignung für einen bestimmten Zweck. In keinem Fall haftet die Microsoft Corporation oder seine Lieferanten für jegliche Schäden, einschließlich direkter, indirekter, zufälliger, Folgeschäden, Verlust von Geschäftsgewinnen oder sonderschäden, auch wenn die Microsoft Corporation oder ihre Lieferanten über die Möglichkeit solcher Schäden informiert wurden. Einige Staaten lassen den Ausschluss oder die Haftungsbeschränkung für Folge- oder Nebenschäden nicht zu, sodass die vorstehende Einschränkung möglicherweise nicht gilt.

Revisionen

• V1.0 (8. Dezember 2015): Bulletin veröffentlicht.

Seite generiert 2015-12-02 11:30-08:00.