Sicherheitsupdate für Silverlight zum Beheben der Remotecodeausführung (3126036)
Veröffentlicht: 12. Januar 2016 | Aktualisiert: 14. Januar 2016
Version: 1.1
Kurzfassung
Dieses Sicherheitsupdate behebt eine Sicherheitsanfälligkeit in Microsoft Silverlight. Die Sicherheitsanfälligkeit könnte die Remotecodeausführung zulassen, wenn ein Benutzer eine kompromittierte Website besucht, die eine speziell gestaltete Silverlight-Anwendung enthält. Ein Angreifer hätte keine Möglichkeit, Benutzer zu zwingen, eine kompromittierte Website zu besuchen. Stattdessen müsste ein Angreifer die Benutzer davon überzeugen, die Website zu besuchen, in der Regel durch Klicken auf einen Link in einer E-Mail oder Chatnachricht, die Benutzer zur Website des Angreifers führt.
Dieses Sicherheitsupdate wird für Microsoft Silverlight 5 und Microsoft Silverlight 5 Developer Runtime als kritisch eingestuft, wenn es auf einem Mac oder allen unterstützten Versionen von Microsoft Windows installiert ist. Weitere Informationen finden Sie im Abschnitt "Betroffene Software" .
Das Update behebt die Sicherheitsanfälligkeiten, indem korrigiert wird, wie Microsoft Silverlight die Decoderergebnisse überprüft. Weitere Informationen zu den Sicherheitsrisiken finden Sie im Abschnitt "Sicherheitsrisikoinformationen ".
Schweregradbewertungen betroffener Software und Sicherheitsrisiken
Die folgenden Softwareversionen oder Editionen sind betroffen. Versionen oder Editionen, die nicht aufgeführt sind, sind entweder über ihren Supportlebenszyklus oder nicht betroffen. Informationen zum Ermitteln des Supportlebenszyklus für Ihre Softwareversion oder -edition finden Sie unter Microsoft-Support Lifecycle.
Die für jede betroffene Software angegebenen Schweregradbewertungen gehen von der potenziellen maximalen Auswirkung der Sicherheitsanfälligkeit aus. Informationen zur Wahrscheinlichkeit, dass innerhalb von 30 Tagen nach der Veröffentlichung dieses Sicherheitsbulletins die Ausnutzbarkeit der Sicherheitsanfälligkeit in Bezug auf die Schweregradbewertung und die Sicherheitsauswirkungen besteht, lesen Sie bitte den Exploitability Index in der Bulletinzusammenfassung vom Januar.
Welche Webbrowser unterstützen Microsoft Silverlight-Anwendungen?
Zum Ausführen von Microsoft Silverlight-Anwendungen müssen die meisten Webbrowser, einschließlich Microsoft Internet Explorer, Microsoft Silverlight installiert und das entsprechende Plug-In aktiviert werden. Weitere Informationen zu Microsoft Silverlight finden Sie auf der offiziellen Website von Microsoft Silverlight. Weitere Informationen zum Deaktivieren oder Entfernen von Plug-Ins finden Sie in der Dokumentation Ihres Browsers.
Welche Versionen von Microsoft Silverlight 5 sind von den Sicherheitsrisiken betroffen?
Microsoft Silverlight Build 5.1.41212.0, der der aktuelle Build von Microsoft Silverlight ab dem Zeitpunkt der ersten Veröffentlichung dieses Bulletins war, behebt die Sicherheitsanfälligkeiten und ist nicht betroffen. Builds von Microsoft Silverlight vor 5.1.41212.0 sind betroffen.
Gewusst wie wissen, welche Version und welcher Build von Microsoft Silverlight derzeit auf meinem System installiert ist?
Wenn Microsoft Silverlight bereits auf Ihrem Computer installiert ist, können Sie die Seite "Microsoft Silverlight abrufen" aufrufen, die angibt, welche Version und welcher Build von Microsoft Silverlight derzeit auf Ihrem System installiert ist. Alternativ können Sie das Feature "Add-Ons verwalten" der aktuellen Versionen von Microsoft Internet Explorer verwenden, um die Version zu ermitteln und Informationen zu erstellen, die derzeit auf Ihrem System installiert sind.
Sie können auch die Versionsnummer von sllauncher.exe im Verzeichnis "%ProgramFiles%\Microsoft Silverlight" (auf x86 Microsoft Windows-Systemen) oder im Verzeichnis "%ProgramFiles(x86)%\Microsoft Silverlight" (auf x64 Microsoft Windows-Systemen) manuell überprüfen.
Darüber hinaus finden Sie unter Microsoft Windows die Versions- und Buildinformationen der aktuell installierten Version von Microsoft Silverlight in der Registrierung unter [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Silverlight]:Version auf x86 Microsoft Windows-Systemen oder [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Silverlight]:Version auf x64 Microsoft Windows-Systemen.
Unter Apple Mac OS finden Sie die Versions- und Buildinformationen der aktuell installierten Version von Microsoft Silverlight wie folgt:
Öffnen des Finders
Wählen Sie das Systemlaufwerk aus, und wechseln Sie zum Ordner Internet-Plug-Ins - Bibliothek
Klicken Sie mit der rechten Maustaste auf die Datei Silverlight.Plugin (wenn die Maus nur eine Schaltfläche hat, drücken Sie beim Klicken auf die Datei die STRG-TASTE ), um das Kontextmenü anzuzeigen, und klicken Sie dann auf "Paketinhalt anzeigen".
Suchen Sie im Inhaltsordner nach der Datei "info.plist ", und öffnen Sie sie mit einem Editor. Er enthält einen Eintrag wie folgt, der ihnen die Versionsnummer anzeigt:
SilverlightVersion
5.1.41212.0
Die mit diesem Sicherheitsupdate für Microsoft Silverlight 5 installierte Version ist 5.1.41212.0. Wenn Ihre Versionsnummer von Microsoft Silverlight 5 höher oder gleich dieser Versionsnummer ist, ist Ihr System nicht anfällig.
Gewusst wie Aktualisieren meiner Version von Microsoft Silverlight?
Das Feature für automatische Updates von Microsoft Silverlight hilft sicherzustellen, dass Ihre Microsoft Silverlight-Installation mit der neuesten Version von Microsoft Silverlight, Microsoft Silverlight-Funktionen und Sicherheitsfeatures auf dem neuesten Stand gehalten wird. Weitere Informationen zum Automatischen Aktualisieren von Microsoft Silverlight finden Sie im Microsoft Silverlight Updater. Windows-Benutzer, die das Feature für automatische Updates von Microsoft Silverlight deaktiviert haben, können sich bei Microsoft Update registrieren, um die neueste Version von Microsoft Silverlight zu erhalten, oder die neueste Version von Microsoft Silverlight manuell mithilfe des Downloadlinks in der Tabelle "Betroffene Software" im vorherigen Abschnitt " Betroffene Software" herunterladen. Informationen zum Bereitstellen von Microsoft Silverlight in einer Unternehmensumgebung finden Sie im Silverlight Enterprise-Bereitstellungshandbuch.
Wird dieses Update meine Version von Silverlight aktualisieren?
Das 3126036 aktualisieren frühere Versionen von Silverlight auf Silverlight, Version 5.1.41212.0. Microsoft empfiehlt, ein Upgrade auf die in diesem Bulletin beschriebene Sicherheitsanfälligkeit zu aktualisieren.
Wo finde ich zusätzliche Informationen zum Silverlight-Produktlebenszyklus?
Informationen zum Lebenszyklus, die für Silverlight spezifisch sind, finden Sie in der Microsoft Silverlight-Support-Lifecycle-Richtlinie.
Informationen zu Sicherheitsrisiken
Sicherheitsanfälligkeit in Silverlight-Runtime bezüglich Remotecodeausführung – CVE-2016-0034
Eine Sicherheitsanfälligkeit in Remotecodeausführung ist vorhanden, wenn Microsoft Silverlight Zeichenfolgen mithilfe eines schädlichen Decoders decodiert, der negative Offsets zurückgeben kann, die dazu führen, dass Silverlight unsichere Objektheader durch Inhalte ersetzt, die von einem Angreifer bereitgestellt werden. In einem Webbrowsenszenario könnte ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausgenutzt hat, dieselben Berechtigungen wie der aktuell angemeldete Benutzer erhalten. Wenn ein Benutzer mit Administratorrechten angemeldet ist, kann ein Angreifer die vollständige Kontrolle über das betroffene System übernehmen. Ein Angreifer könnte dann Programme installieren, Daten anzeigen, ändern, oder löschen oder neue Konten mit uneingeschränkten Benutzerrechten anlegen. Für Benutzer, deren Konten mit weniger Benutzerrechten im System konfiguriert sind, sind die Auswirkungen normalerweise geringer als für Benutzer, die mit Administratorrechten arbeiten.
Um die Sicherheitsanfälligkeit auszunutzen, könnte ein Angreifer eine Website hosten, die eine speziell gestaltete Silverlight-Anwendung enthält, und dann einen Benutzer davon überzeugen, die kompromittierte Website zu besuchen. Der Angreifer könnte auch Websites nutzen, die speziell gestaltete Inhalte enthalten, einschließlich derJenigen, die vom Benutzer bereitgestellte Inhalte oder Werbung akzeptieren oder hosten. Beispielsweise könnte ein Angreifer speziell gestaltete Webinhalte mithilfe von Banneranzeigen oder mit anderen Methoden anzeigen, um Webinhalte an betroffene Systeme zu übermitteln. In allen Fällen hätte ein Angreifer jedoch keine Möglichkeit, benutzer zu zwingen, eine kompromittierte Website zu besuchen. Stattdessen müsste ein Angreifer einen Benutzer davon überzeugen, die Website zu besuchen, in der Regel, indem er sie dazu verleitet, in einer E-Mail oder Chatnachricht auf einen Link zu klicken. Das Update behebt diese Sicherheitsanfälligkeit, indem korrigiert wird, wie Microsoft Silverlight die Decoderergebnisse überprüft.
Microsoft hat Informationen zu dieser Sicherheitsanfälligkeit durch koordinierte Offenlegung von Sicherheitsrisiken erhalten. Zu dem Zeitpunkt, zu dem dieses Sicherheitsbulletin ursprünglich ausgegeben wurde, erhielt Microsoft einen Bericht, der auf einen begrenzten Angriff hinweisen konnte, der versucht, diese Sicherheitsanfälligkeit auszunutzen.
Mildernde Faktoren
Microsoft hat keine mildernden Faktoren für diese Sicherheitsanfälligkeit identifiziert.
Problemumgehungen
Microsoft hat keine Problemumgehungen für diese Sicherheitsanfälligkeit identifiziert.
Bereitstellung von Sicherheitsupdates
Informationen zur Bereitstellung von Sicherheitsupdates finden Sie im Microsoft Knowledge Base-Artikel, auf den in der Zusammenfassung der Geschäftsleitung verwiesen wird.
Danksagungen
Microsoft erkennt die Bemühungen derJenigen in der Sicherheitscommunity, die uns dabei helfen, Kunden durch koordinierte Offenlegung von Sicherheitsrisiken zu schützen. Weitere Informationen finden Sie unter "Bestätigungen ".
Haftungsausschluss
Die in der Microsoft Knowledge Base bereitgestellten Informationen werden ohne Jegliche Garantie bereitgestellt. Microsoft lehnt alle Gewährleistungen ab, entweder ausdrücklich oder impliziert, einschließlich der Gewährleistungen der Händlerbarkeit und Eignung für einen bestimmten Zweck. In keinem Fall haftet die Microsoft Corporation oder seine Lieferanten für jegliche Schäden, einschließlich direkter, indirekter, zufälliger, Folgeschäden, Verlust von Geschäftsgewinnen oder sonderschäden, auch wenn die Microsoft Corporation oder ihre Lieferanten über die Möglichkeit solcher Schäden informiert wurden. Einige Staaten lassen den Ausschluss oder die Haftungsbeschränkung für Folge- oder Nebenschäden nicht zu, sodass die vorstehende Einschränkung möglicherweise nicht gilt.
Revisionen
V1.0 (12. Januar 2016): Bulletin veröffentlicht.
V1.1 (14. Januar 2016): Update to Vulnerability Information for CVE-2016-0034. Dies ist nur eine Informationsänderung.
Als Informationssicherheitsadministrator planen und implementieren Sie die Informationssicherheit vertraulicher Daten mithilfe von Microsoft Purview und verwandten Diensten. Sie sind dafür verantwortlich, Risiken zu minimieren, indem Sie Daten innerhalb von Zusammenarbeitsumgebungen schützen, die von Microsoft 365 vor internen und externen Bedrohungen verwaltet werden, und zum Schutz von Daten, die von KI-Diensten verwendet werden. Außerdem implementieren Sie Informationsschutz, Verhinderung von Datenverlus