Microsoft Security Bulletin MS15-049 – Wichtig

  • Artikel

Sicherheitsanfälligkeit in Silverlight könnte rechteerweiterungen zulassen (3058985)

Veröffentlicht: 12. Mai 2015 | Aktualisiert: 23. Juni 2015

Version: 1.1

Kurzfassung

Dieses Sicherheitsupdate behebt eine Sicherheitsanfälligkeit in Microsoft Silverlight. Die Sicherheitsanfälligkeit könnte die Rechteerweiterung zulassen, wenn eine speziell gestaltete Silverlight-Anwendung auf einem betroffenen System ausgeführt wird. Um die Sicherheitsanfälligkeit auszunutzen, müsste sich ein Angreifer zuerst beim System anmelden oder einen angemeldeten Benutzer davon überzeugen, die speziell gestaltete Anwendung auszuführen.

Dieses Sicherheitsupdate ist für Microsoft Silverlight 5 und Microsoft Silverlight 5 Developer Runtime wichtig, wenn es auf dem Mac oder allen unterstützten Versionen von Microsoft Windows installiert ist. Weitere Informationen finden Sie im Abschnitt "Betroffene Software" .

Das Sicherheitsupdate behebt die Sicherheitsanfälligkeit, indem zusätzliche Prüfungen hinzugefügt werden, um sicherzustellen, dass nicht erhöhte Prozesse auf eine niedrige Integritätsebene (sehr eingeschränkte Berechtigungen) beschränkt sind. Weitere Informationen zur Sicherheitsanfälligkeit finden Sie im Abschnitt "Sicherheitsrisikeninformationen ".

Weitere Informationen zu diesem Update finden Sie im Microsoft Knowledge Base-Artikel 3058985.

Betroffene Software

Die folgenden Softwareversionen oder Editionen sind betroffen. Versionen oder Editionen, die nicht aufgeführt sind, sind entweder über ihren Supportlebenszyklus oder nicht betroffen. Informationen zum Ermitteln des Supportlebenszyklus für Ihre Softwareversion oder -edition finden Sie unter Microsoft-Support Lifecycle.

Betriebssystem Maximale Sicherheitswirkung Bewertung des aggregierten Schweregrads Ersetzte Updates
Software
Microsoft Silverlight 5 bei Der Installation auf dem Mac (3056819) Wichtig Angriffe durch Rechteerweiterung 2932677 in MS14-014
Microsoft Silverlight 5 Developer Runtime , wenn sie auf einem Mac installiert ist (3056819) Wichtig Angriffe durch Rechteerweiterung 2932677 in MS14-014
Microsoft Silverlight 5 bei der Installation auf allen unterstützten Versionen von Microsoft Windows-Clients (3056819) Wichtig Angriffe durch Rechteerweiterung 2932677 in MS14-014
Microsoft Silverlight 5 Developer Runtime bei der Installation auf allen unterstützten Versionen von Microsoft Windows-Clients (3056819) Wichtig Angriffe durch Rechteerweiterung 2932677 in MS14-014
Microsoft Silverlight 5 bei der Installation auf allen unterstützten Versionen von Microsoft Windows-Servern (3056819) Wichtig Angriffe durch Rechteerweiterung 2932677 in MS14-014
Microsoft Silverlight 5 Developer Runtime bei Installation auf allen unterstützten Versionen von Microsoft Windows-Servern (3056819) Wichtig Angriffe durch Rechteerweiterung 2932677 in MS14-014

Schweregradbewertungen und Sicherheitslücken-IDs

Die folgenden Schweregradbewertungen gehen von der potenziellen maximalen Auswirkung der Sicherheitsanfälligkeit aus. Informationen zur Wahrscheinlichkeit, dass innerhalb von 30 Tagen nach der Veröffentlichung dieses Sicherheitsbulletins die Ausnutzbarkeit der Sicherheitsanfälligkeit in Bezug auf die Schweregradbewertung und die Sicherheitsauswirkungen besteht, lesen Sie bitte den Exploitability Index in der Bulletinzusammenfassung vom Mai.

Bewertung des Schweregrads der Sicherheitsanfälligkeit und maximale Sicherheitsbeeinträchtigung durch betroffene Software
Betroffene Software Sicherheitsanfälligkeit in Microsoft Silverlight bezüglich Browseranwendung – CVE-2015-1715 Bewertung des aggregierten Schweregrads
Microsoft Silverlight 5 bei Der Installation auf dem Mac (3056819) Wichtige Rechteerweiterung Wichtig
Microsoft Silverlight 5 Developer Runtime bei Der Installation auf dem Mac (3056819) Wichtige Rechteerweiterung Wichtig
Microsoft Silverlight 5 bei der Installation auf allen unterstützten Versionen von Microsoft Windows-Clients (3056819) Wichtige Rechteerweiterung Wichtig
Microsoft Silverlight 5 Developer Runtime bei der Installation auf allen unterstützten Versionen von Microsoft Windows-Clients (3056819) Wichtige Rechteerweiterung Wichtig
Microsoft Silverlight 5 bei der Installation auf allen unterstützten Versionen von Microsoft Windows-Servern (3056819) Wichtige Rechteerweiterung Wichtig
Microsoft Silverlight 5 Developer Runtime bei der Installation auf allen unterstützten Versionen von Microsoft Windows-Servern (3056819) Wichtige Rechteerweiterung Wichtig

Häufig gestellte Fragen zum Aktualisieren

Warum werden dieselben Updatedateien in diesem Bulletin auch im GDI+-Bulletin bezeichnet?
Obwohl dieses Bulletin und das GDI+-Bulletin, das gleichzeitig veröffentlicht wird, verschiedene Sicherheitsrisiken behandeln, wurden die Sicherheitsupdates für jedes zusammengeführt, daher das Auftreten identischer Updatedateien, die in den beiden Bulletins vorhanden sind.

Beachten Sie, dass identische Updatepakete, die in mehreren Bulletins gekennzeichnet sind, nicht mehr als einmal installiert werden müssen.

Welche Webbrowser unterstützen Microsoft Silverlight-Anwendungen?
Um Microsoft Silverlight-Anwendungen auszuführen, müssen die meisten Webbrowser, einschließlich Microsoft Internet Explorer, Microsoft Silverlight installiert und das entsprechende Plug-In aktiviert werden. Weitere Informationen zu Microsoft Silverlight finden Sie auf der offiziellen Website von Microsoft Silverlight. Weitere Informationen zum Deaktivieren oder Entfernen von Plug-Ins finden Sie in der Dokumentation Ihres Browsers.

Welche Versionen von Microsoft Silverlight 5 sind von der Sicherheitsanfälligkeit betroffen?
Microsoft Silverlight Build 5.1.40416.00, der der aktuelle Build von Microsoft Silverlight ab dem Zeitpunkt der ersten Veröffentlichung dieses Bulletins war, behebt die Sicherheitsanfälligkeit und ist nicht betroffen. Builds von Microsoft Silverlight vor 5.1.40416.00 sind betroffen.

Gewusst wie wissen, welche Version und welcher Build von Microsoft Silverlight derzeit auf meinem System installiert ist?
Wenn Microsoft Silverlight bereits auf Ihrem Computer installiert ist, können Sie die Seite "Microsoft Silverlight abrufen" aufrufen, die angibt, welche Version und welcher Build von Microsoft Silverlight derzeit auf Ihrem System installiert ist. Alternativ können Sie das Feature "Add-Ons verwalten" der aktuellen Versionen von Microsoft Internet Explorer verwenden, um die Version zu ermitteln und Informationen zu erstellen, die derzeit auf Ihrem System installiert sind.

Sie können auch die Versionsnummer von sllauncher.exe im Verzeichnis "%ProgramFiles%\Microsoft Silverlight" (auf x86 Microsoft Windows-Systemen) oder im Verzeichnis "%ProgramFiles(x86)%\Microsoft Silverlight" (auf x64 Microsoft Windows-Systemen) manuell überprüfen.

Darüber hinaus finden Sie unter Microsoft Windows die Versions- und Buildinformationen der aktuell installierten Version von Microsoft Silverlight in der Registrierung unter [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Silverlight]:Version auf x86 Microsoft Windows-Systemen oder [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Silverlight]:Version auf x64 Microsoft Windows-Systemen.

Unter Apple Mac OS finden Sie die Versions- und Buildinformationen der aktuell installierten Version von Microsoft Silverlight wie folgt:

  1. Öffnen des Finders
  2. Wählen Sie das Systemlaufwerk aus, und wechseln Sie zum Ordner Internet-Plug-Ins - Bibliothek
  3. Klicken Sie mit der rechten Maustaste auf die Datei Silverlight.Plugin (wenn die Maus nur eine Schaltfläche hat, drücken Sie beim Klicken auf die Datei die STRG-TASTE ), um das Kontextmenü anzuzeigen, und klicken Sie dann auf "Paketinhalte anzeigen".
  4. Suchen Sie im Inhaltsordner nach der Datei "info.plist ", und öffnen Sie sie mit einem Editor. Er enthält einen Eintrag wie folgt, der ihnen die Versionsnummer anzeigt:
    SilverlightVersion
    5.1.40416.00

Die mit diesem Sicherheitsupdate für Microsoft Silverlight 5 installierte Version ist 5.1.40416.00. Wenn Ihre Versionsnummer von Microsoft Silverlight 5 höher oder gleich dieser Versionsnummer ist, ist Ihr System nicht anfällig.

Gewusst wie Aktualisieren meiner Version von Microsoft Silverlight?
Das Feature für automatische Updates von Microsoft Silverlight hilft sicherzustellen, dass Ihre Microsoft Silverlight-Installation mit der neuesten Version von Microsoft Silverlight, Microsoft Silverlight-Funktionen und Sicherheitsfeatures auf dem neuesten Stand gehalten wird. Weitere Informationen zum Automatischen Aktualisieren von Microsoft Silverlight finden Sie im Microsoft Silverlight Updater. Windows-Benutzer, die das Feature für automatische Updates von Microsoft Silverlight deaktiviert haben, können sich bei Microsoft Update registrieren, um die neueste Version von Microsoft Silverlight zu erhalten, oder die neueste Version von Microsoft Silverlight manuell mithilfe des Downloadlinks in der Tabelle "Betroffene Software" im vorherigen Abschnitt, betroffene und nicht betroffene Software herunterladen. Informationen zum Bereitstellen von Microsoft Silverlight in einer Unternehmensumgebung finden Sie im Silverlight Enterprise-Bereitstellungshandbuch.

Wird dieses Update meine Version von Silverlight aktualisieren?
Das 3056819 aktualisieren frühere Versionen von Silverlight auf Silverlight, Version 5.1.40416.00. Microsoft empfiehlt, ein Upgrade auf die in diesem Bulletin beschriebene Sicherheitsanfälligkeit zu aktualisieren.

Wo finde ich zusätzliche Informationen zum Silverlight-Produktlebenszyklus?
Informationen zum Lebenszyklus, die für Silverlight spezifisch sind, finden Sie in der Microsoft Silverlight-Support-Lifecycle-Richtlinie.

Informationen zu Sicherheitsrisiken

Sicherheitsanfälligkeit in Microsoft Silverlight bezüglich Browseranwendung – CVE-2015-1715

In Microsoft Silverlight ist eine Sicherheitslücke zur Erhöhung von Berechtigungen vorhanden, die verursacht wird, wenn Silverlight Anwendungen, die auf einer niedrigen Integritätsebene (sehr eingeschränkte Berechtigungen) ausgeführt werden sollen, nicht ordnungsgemäß ausgeführt werden kann (Berechtigungen des aktuellen Benutzers) oder höher. Um diese Sicherheitsanfälligkeit auszunutzen, müsste sich ein Angreifer zuerst beim System anmelden oder einen angemeldeten Benutzer davon überzeugen, eine speziell gestaltete Silverlight-Anwendung auszuführen.

Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausgenutzt hat, kann beliebigen Code mit derselben oder höherer Berechtigungsstufe wie der aktuell angemeldete Benutzer ausführen. Ein Angreifer könnte dann Programme installieren; Daten anzeigen, ändern oder löschen; oder erstellen Sie neue Konten mit vollständigen Administratorrechten. Das Update behebt die Sicherheitsanfälligkeit, indem zusätzliche Prüfungen hinzugefügt werden, um sicherzustellen, dass nicht erhöhte Prozesse auf eine niedrige Integritätsebene (sehr eingeschränkte Berechtigungen) beschränkt sind.

Microsoft hat Informationen zu dieser Sicherheitsanfälligkeit durch koordinierte Offenlegung von Sicherheitsrisiken erhalten. Als dieses Sicherheitsbulletin ursprünglich ausgegeben wurde, hatte Microsoft keine Informationen erhalten, um anzugeben, dass diese Sicherheitsanfälligkeit öffentlich für Angriffe auf Kunden verwendet wurde.

Mildernde Faktoren

Microsoft hat keine mildernden Faktoren für diese Sicherheitsanfälligkeit identifiziert.

Problemumgehungen

Die folgenden Problemumgehungen können in Ihrer Situation hilfreich sein:

  • Vorübergehendes Ausführen von Microsoft Silverlight in Internet Explorer verhindern

    1. Wechseln Sie in Internet Explorer zum Menü "Extras ", und klicken Sie dann auf "Internetoptionen".
    2. Klicken Sie im Fenster "Internetoptionen" auf die Registerkarte "Programme " und dann auf "Add-Ons verwalten".
    3. Suchen Und wählen Sie in der Liste "Symbolleisten und Erweiterungen" Microsoft Silverlight aus, und klicken Sie dann auf "Deaktivieren".

     

  • Vorübergehendes Verhindern der Ausführung von Microsoft Silverlight in Mozilla Firefox

    1. Wechseln Sie in Mozilla Firefox zum Menü "Extras ", und klicken Sie dann auf "Addons".
    2. Klicken Sie im Fenster "Addons" auf die Registerkarte "Plugins ".
    3. Suchen Sie das Silverlight-Plug-In, und klicken Sie dann auf "Deaktivieren".

     

  • Vorübergehendes Verhindern der Ausführung von Microsoft Silverlight in Google Chrome

    1. Geben Sie in Google Chrome "about:plugins " in die Adressleiste ein.
    2. Suchen Sie im resultierenden Fenster das Silverlight-Plug-In, und deaktivieren Sie es.

     

  • Entfernen Silverlight.Configuration.exe aus der IE ElevationPolicy
    Warnung , wenn Sie den Registrierungs-Editor falsch verwenden, können schwerwiegende Probleme auftreten, die möglicherweise erfordern, dass Sie Ihr Betriebssystem neu installieren müssen. Microsoft kann nicht garantieren, dass Probleme, die von einer falschen Verwendung des Registrierungseditors herrühren, behoben werden können. Sie verwenden den Registrierungs-Editor auf eigene Verantwortung.

    1. Öffnen Sie den Registrierungs-Editor.
    2. Erweitern HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Internet Explorer>Low Rights>ElevationPolicy
    3. Wählen Sie {003B91A6-61E3-4591-891D-01E94C8CB11E} aus.
    4. Klicken Sie auf das Menü "Datei " und dann auf " Exportieren".
    5. Geben Sie im Fenster "Registrierungsdatei exportieren" silverlight.configuration.exe_backup.reg ein, und klicken Sie dann auf " Speichern".
    6. Klicken Sie auf das Menü "Datei ", klicken Sie auf "Löschen", und klicken Sie dann auf "Ja".
    7. Schließen Sie den Registrierungs-Editor.
    8. Melden Sie sich ab, und melden Sie sich erneut an, oder starten Sie den Computer neu.

     

So können Sie die Problemumgehung rückgängig machen.

  1. Öffnen Sie den Registrierungs-Editor.
  2. Klicken Sie auf das Menü "Datei " und dann auf " Importieren".
  3. Klicken Sie im Fenster "Registrierungsdatei importieren" auf silverlight.configuration.exe_backup.reg und dann auf " Öffnen".
  4. Schließen Sie den Registrierungs-Editor.
  5. Melden Sie sich ab, und melden Sie sich erneut an, oder starten Sie den Computer neu.

Bereitstellung von Sicherheitsupdates

Informationen zur Bereitstellung von Sicherheitsupdates finden Sie im Microsoft Knowledge Base-Artikel, auf den in der Zusammenfassung der Geschäftsleitung verwiesen wird.

Danksagungen

Microsoft erkennt die Bemühungen derJenigen in der Sicherheitscommunity, die uns dabei helfen, Kunden durch koordinierte Offenlegung von Sicherheitsrisiken zu schützen. Weitere Informationen finden Sie unter "Bestätigungen ".

Haftungsausschluss

Die in der Microsoft Knowledge Base bereitgestellten Informationen werden ohne Jegliche Garantie bereitgestellt. Microsoft lehnt alle Gewährleistungen ab, entweder ausdrücklich oder impliziert, einschließlich der Gewährleistungen der Händlerbarkeit und Eignung für einen bestimmten Zweck. In keinem Fall haftet die Microsoft Corporation oder seine Lieferanten für jegliche Schäden, einschließlich direkter, indirekter, zufälliger, Folgeschäden, Verlust von Geschäftsgewinnen oder sonderschäden, auch wenn die Microsoft Corporation oder ihre Lieferanten über die Möglichkeit solcher Schäden informiert wurden. Einige Staaten lassen den Ausschluss oder die Haftungsbeschränkung für Folge- oder Nebenschäden nicht zu, sodass die vorstehende Einschränkung möglicherweise nicht gilt.

Revisionen

  • V1.0 (12. Mai 2015): Bulletin veröffentlicht.
  • V1.1 (23. Juni 2015): Bulletin überarbeitet, um eine Erkennungsänderung im 3056819 Update für Microsoft Silverlight 5 anzukündigen. Dies ist nur eine Erkennungsänderung. Kunden, die ihre Systeme bereits erfolgreich aktualisiert haben, müssen keine Maßnahmen ergreifen.

Seite generiert 2015-06-23 10:35Z-07:00.