Microsoft Security Bulletin MS16-109 – Wichtig
Sicherheitsupdate für Silverlight (3182373)
Veröffentlicht: 13. September 2016
Version: 1.0
Kurzfassung
Dieses Sicherheitsupdate behebt eine Sicherheitsanfälligkeit in Microsoft Silverlight. Die Sicherheitsanfälligkeit könnte die Remotecodeausführung zulassen, wenn ein Benutzer eine kompromittierte Website besucht, die eine speziell gestaltete Silverlight-Anwendung enthält. Ein Angreifer hätte keine Möglichkeit, einen Benutzer zu erzwingen, eine kompromittierte Website zu besuchen. Stattdessen müsste ein Angreifer den Benutzer davon überzeugen, die Website zu besuchen, in der Regel, indem er dazu verleitet, auf einen Link in einer E-Mail oder Chatnachricht zu klicken, die den Benutzer zur Website des Angreifers führt.
Dieses Sicherheitsupdate ist für Microsoft Silverlight 5 und Microsoft Silverlight 5 Developer Runtime wichtig, wenn es auf dem Mac oder allen unterstützten Versionen von Microsoft Windows installiert ist. Weitere Informationen finden Sie im Abschnitt "Betroffene Software" .
Das Update behebt die Sicherheitsanfälligkeit, indem korrigiert wird, wie Microsoft Silverlight Speicher zum Einfügen und Anfügen von Zeichenfolgen in StringBuilder zuordnet. Weitere Informationen zu den Sicherheitsrisiken finden Sie im Abschnitt "Sicherheitsrisikoinformationen ".
Weitere Informationen zu diesem Update finden Sie im Microsoft Knowledge Base-Artikel 3182373.
Schweregradbewertungen betroffener Software und Sicherheitsrisiken
Die folgenden Softwareversionen oder Editionen sind betroffen. Versionen oder Editionen, die nicht aufgeführt sind, sind entweder über ihren Supportlebenszyklus oder nicht betroffen. Informationen zum Ermitteln des Supportlebenszyklus für Ihre Softwareversion oder -edition finden Sie unter Microsoft-Support Lifecycle.
Die für jede betroffene Software angegebenen Schweregradbewertungen gehen von der potenziellen maximalen Auswirkung der Sicherheitsanfälligkeit aus. Informationen zur Wahrscheinlichkeit, dass innerhalb von 30 Tagen nach der Veröffentlichung dieses Sicherheitsbulletins die Ausnutzbarkeit der Sicherheitsanfälligkeit in Bezug auf die Schweregradbewertung und die Sicherheitsauswirkungen besteht, lesen Sie bitte den Exploitability Index in der Bulletinzusammenfassung im September.
| Entwickler-Tools | Sicherheitsanfälligkeit in Microsoft Silverlight bezüglich Speicherbeschädigung – CVE-2016-3367 | Ersetzte Updates |
|---|---|---|
| Software | ||
| Microsoft Silverlight 5 bei Der Installation auf dem Mac (3182373) | Wichtige Remotecodeausführung | 3126036 in MS16-006 |
| Microsoft Silverlight 5 Developer Runtime bei der Installation auf dem Mac (3182373) | Wichtige Remotecodeausführung | 3126036 in MS16-006 |
| Microsoft Silverlight 5 bei der Installation auf allen unterstützten Versionen von Microsoft Windows-Clients (3182373) | Wichtige Remotecodeausführung | 3126036 in MS16-006 |
| Microsoft Silverlight 5 Developer Runtime bei der Installation auf allen unterstützten Versionen von Microsoft Windows-Clients (3182373) | Wichtige Remotecodeausführung | 3126036 in MS16-006 |
| Microsoft Silverlight 5 bei der Installation auf allen unterstützten Versionen von Microsoft Windows-Servern (3182373) | Wichtige Remotecodeausführung | 3126036 in MS16-006 |
| Microsoft Silverlight 5 Developer Runtime bei der Installation auf allen unterstützten Versionen von Microsoft Windows-Servern (3182373) | Wichtige Remotecodeausführung | 3126036 in MS16-006 |
Häufig gestellte Fragen zum Aktualisieren
Welche Webbrowser unterstützen Microsoft Silverlight-Anwendungen?
Zum Ausführen von Microsoft Silverlight-Anwendungen müssen die meisten Webbrowser, einschließlich Microsoft Internet Explorer, Microsoft Silverlight installiert und das entsprechende Plug-In aktiviert werden. Weitere Informationen zu Microsoft Silverlight finden Sie auf der offiziellen Website von Microsoft Silverlight. Weitere Informationen zum Deaktivieren oder Entfernen von Plug-Ins finden Sie in der Dokumentation Ihres Browsers.
Welche Versionen von Microsoft Silverlight 5 sind von den Sicherheitsrisiken betroffen?
Microsoft Silverlight Build 5.1.50709.0, der der aktuelle Build von Microsoft Silverlight ab dem Zeitpunkt der ersten Veröffentlichung dieses Bulletins war, behebt die Sicherheitsanfälligkeiten und ist nicht betroffen. Builds von Microsoft Silverlight vor 5.1.50709.0 sind betroffen.
Gewusst wie wissen, welche Version und welcher Build von Microsoft Silverlight derzeit auf meinem System installiert ist?
Wenn Microsoft Silverlight bereits auf Ihrem Computer installiert ist, können Sie die Seite "Microsoft Silverlight abrufen" aufrufen, die angibt, welche Version und welcher Build von Microsoft Silverlight derzeit auf Ihrem System installiert ist. Alternativ können Sie das Feature "Add-Ons verwalten" der aktuellen Versionen von Microsoft Internet Explorer verwenden, um die Version zu ermitteln und Informationen zu erstellen, die derzeit auf Ihrem System installiert sind.
Sie können auch die Versionsnummer von sllauncher.exe im Verzeichnis "%ProgramFiles%\Microsoft Silverlight" (auf x86 Microsoft Windows-Systemen) oder im Verzeichnis "%ProgramFiles(x86)%\Microsoft Silverlight" (auf x64 Microsoft Windows-Systemen) manuell überprüfen.
Darüber hinaus finden Sie unter Microsoft Windows die Versions- und Buildinformationen der aktuell installierten Version von Microsoft Silverlight in der Registrierung unter [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Silverlight]:Version auf x86 Microsoft Windows-Systemen oder [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Silverlight]:Version auf x64 Microsoft Windows-Systemen.
Unter Apple Mac OS finden Sie die Versions- und Buildinformationen der aktuell installierten Version von Microsoft Silverlight wie folgt:
- Öffnen Sie den Finder.
- Wählen Sie das Systemlaufwerk aus, und wechseln Sie zum Ordner "Internet-Plug-Ins – Bibliothek".
- Klicken Sie mit der rechten Maustaste auf die Datei Silverlight.Plugin (wenn die Maus nur eine Schaltfläche hat, drücken Sie beim Klicken auf die Datei die STRG-TASTE ), um das Kontextmenü anzuzeigen, und klicken Sie dann auf "Paketinhalt anzeigen".
- Suchen Sie im Inhaltsordner nach der Datei "info.plist ", und öffnen Sie sie mit einem Editor. Er enthält einen Eintrag wie folgt, der die Versionsnummer zeigt: SilverlightVersion 5.1.50709.0
Die mit diesem Sicherheitsupdate für Microsoft Silverlight 5 installierte Version ist 5.1.50709.0. Wenn Ihre Versionsnummer von Microsoft Silverlight 5 höher oder gleich dieser Versionsnummer ist, ist Ihr System nicht anfällig.
Gewusst wie Aktualisieren meiner Version von Microsoft Silverlight?
Das Feature für automatische Updates von Microsoft Silverlight hilft sicherzustellen, dass Ihre Microsoft Silverlight-Installation mit der neuesten Version von Microsoft Silverlight, Microsoft Silverlight-Funktionen und Sicherheitsfeatures auf dem neuesten Stand gehalten wird. Weitere Informationen zum Automatischen Aktualisieren von Microsoft Silverlight finden Sie im Microsoft Silverlight Updater. Windows-Benutzer, die das Feature für automatische Updates von Microsoft Silverlight deaktiviert haben, können sich bei Microsoft Update registrieren, um die neueste Version von Microsoft Silverlight zu erhalten, oder die neueste Version von Microsoft Silverlight manuell mithilfe des Downloadlinks in der Tabelle "Betroffene Software" im vorherigen Abschnitt "Betroffene Software" herunterladen. Informationen zum Bereitstellen von Microsoft Silverlight in einer Unternehmensumgebung finden Sie im Silverlight Enterprise-Bereitstellungshandbuch.
Wird dieses Update meine Version von Silverlight aktualisieren?
Das 3182373 aktualisieren frühere Versionen von Silverlight auf Silverlight, Version 5.1.50709.0. Microsoft empfiehlt, ein Upgrade auf die in diesem Bulletin beschriebene Sicherheitsanfälligkeit zu aktualisieren.
Wo finde ich zusätzliche Informationen zum Silverlight-Produktlebenszyklus? Informationen zum Lebenszyklus, die für Silverlight spezifisch sind, finden Sie in der Microsoft Silverlight-Support-Lifecycle-Richtlinie.
Informationen zu Sicherheitsrisiken
Sicherheitsanfälligkeit in Microsoft Silverlight bezüglich Speicherbeschädigung – CVE-2016-3367
Eine Sicherheitslücke zur Remotecodeausführung ist vorhanden, wenn Microsoft Silverlight Anwendungen den Zugriff auf Objekte im Arbeitsspeicher nicht ordnungsgemäß zulässt. Die Sicherheitsanfälligkeit könnte den Systemspeicher beschädigen, wodurch ein Angreifer beliebigen Code ausführen kann. In einem Webbrowsenszenario könnte ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausgenutzt hat, dieselben Berechtigungen wie der aktuell angemeldete Benutzer erhalten. Wenn ein Benutzer mit Administratorrechten angemeldet ist, kann ein Angreifer die vollständige Kontrolle über das betroffene System übernehmen. Ein Angreifer könnte dann Programme installieren, Daten anzeigen, ändern, oder löschen oder neue Konten mit uneingeschränkten Benutzerrechten anlegen. Für Benutzer, deren Konten mit weniger Benutzerrechten im System konfiguriert sind, sind die Auswirkungen normalerweise geringer als für Benutzer, die mit Administratorrechten arbeiten.
Um die Sicherheitsanfälligkeit auszunutzen, könnte ein Angreifer eine Website hosten, die eine speziell gestaltete Silverlight-Anwendung enthält, und dann einen Benutzer davon überzeugen, die kompromittierte Website zu besuchen. Der Angreifer könnte auch Websites nutzen, die speziell gestaltete Inhalte enthalten, einschließlich derJenigen, die vom Benutzer bereitgestellte Inhalte oder Werbung akzeptieren oder hosten. Beispielsweise könnte ein Angreifer speziell gestaltete Webinhalte mithilfe von Banneranzeigen oder mit anderen Methoden anzeigen, um Webinhalte an betroffene Systeme zu übermitteln. In allen Fällen hätte ein Angreifer jedoch keine Möglichkeit, einen Benutzer zu erzwingen, eine kompromittierte Website zu besuchen. Stattdessen müsste ein Angreifer einen Benutzer davon überzeugen, die Website zu besuchen, in der Regel, indem er den Benutzer dazu verleitet, entweder in einer E-Mail oder Chatnachricht auf einen Link zu klicken. Das Update behebt die Sicherheitsanfälligkeit, indem korrigiert wird, wie Microsoft Silverlight Speicher zum Einfügen und Anfügen von Zeichenfolgen in StringBuilder zuordnet.
Die folgende Tabelle enthält Links zum Standardeintrag für jede Sicherheitsanfälligkeit in der Liste allgemeiner Sicherheitsrisiken und Expositionen:
| **Titel der Sicherheitsanfälligkeit ** | **CVE-Nummer ** | Öffentlich offengelegt | Genutzt |
|---|---|---|---|
| Sicherheitsanfälligkeit in Microsoft Silverlight bezüglich Speicherbeschädigung | CVE-2016-3367 | No | No |
Mildernde Faktoren
Microsoft hat keine mildernden Faktoren für diese Sicherheitsanfälligkeit identifiziert.
Problemumgehungen
Microsoft hat keine Problemumgehungen für diese Sicherheitsanfälligkeit identifiziert.
Bereitstellung von Sicherheitsupdates
Informationen zur Bereitstellung von Sicherheitsupdates finden Sie im Microsoft Knowledge Base-Artikel, auf den in der Zusammenfassung der Geschäftsleitung verwiesen wird.
Danksagungen
Microsoft erkennt die Bemühungen derJenigen in der Sicherheitscommunity, die uns dabei helfen, Kunden durch koordinierte Offenlegung von Sicherheitsrisiken zu schützen. Weitere Informationen finden Sie unter "Bestätigungen ".
Haftungsausschluss
Die in der Microsoft Knowledge Base bereitgestellten Informationen werden ohne Jegliche Garantie bereitgestellt. Microsoft lehnt alle Gewährleistungen ab, entweder ausdrücklich oder impliziert, einschließlich der Gewährleistungen der Händlerbarkeit und Eignung für einen bestimmten Zweck. In keinem Fall haftet die Microsoft Corporation oder seine Lieferanten für jegliche Schäden, einschließlich direkter, indirekter, zufälliger, Folgeschäden, Verlust von Geschäftsgewinnen oder sonderschäden, auch wenn die Microsoft Corporation oder ihre Lieferanten über die Möglichkeit solcher Schäden informiert wurden. Einige Staaten lassen den Ausschluss oder die Haftungsbeschränkung für Folge- oder Nebenschäden nicht zu, sodass die vorstehende Einschränkung möglicherweise nicht gilt.
Revisionen
- V1.0 (13. September 2016): Bulletin veröffentlicht.
Seite generiert 2016-09-12 09:56-07:00.