Microsoft Security Bulletin MS14-059 – Wichtig
Sicherheitsanfälligkeit in ASP.NET MVC könnte die Umgehung von Sicherheitsfeatures zulassen (2990942)
Veröffentlicht: 14. Oktober 2014
Version: 1.0
Allgemeine Informationen
Kurzfassung
Dieses Sicherheitsupdate behebt eine öffentlich offengelegte Sicherheitsanfälligkeit in ASP.NET MVC. Die Sicherheitsanfälligkeit könnte die Umgehung von Sicherheitsfeatures ermöglichen, wenn ein Angreifer einen Benutzer davon überzeugt, auf einen speziell gestalteten Link zu klicken oder eine Webseite zu besuchen, die speziell gestaltete Inhalte enthält, die für die Ausnutzung der Sicherheitsanfälligkeit konzipiert sind. In einem webbasierten Angriffsszenario könnte ein Angreifer eine speziell gestaltete Website hosten, die darauf ausgelegt ist, die Sicherheitsanfälligkeit über einen Webbrowser auszunutzen, und dann einen Benutzer davon überzeugen, die Website anzuzeigen. Der Angreifer könnte auch kompromittierte Websites und Websites nutzen, die vom Benutzer bereitgestellte Inhalte oder Werbung akzeptieren oder hosten. Diese Websites könnten speziell gestaltete Inhalte enthalten, die die Sicherheitsanfälligkeit ausnutzen könnten. In allen Fällen hätte ein Angreifer jedoch keine Möglichkeit, Benutzer zu zwingen, die vom Angreifer kontrollierten Inhalte anzuzeigen. Stattdessen müsste ein Angreifer die Benutzer davon überzeugen, maßnahmen zu ergreifen, in der Regel durch Klicken auf einen Link in einer E-Mail-Nachricht oder in einer Instant Messenger-Nachricht, die sie zur Website des Angreifers führt, oder indem er sie erhält, um eine anlage zu öffnen, die per E-Mail gesendet wird.
Dieses Sicherheitsupdate ist für ASP.NET MVC 2, ASP.NET MVC 3, ASP.NET MVC 4, ASP.NET MVC 5 und APS.NET MVC 5.1 wichtig. Weitere Informationen finden Sie im Abschnitt "Betroffene Software " dieses Bulletins.
Das Sicherheitsupdate behebt die Sicherheitsanfälligkeit, indem korrigiert wird, wie ASP.NET MVC die Codierung der Eingabe verarbeitet. Weitere Informationen zur Sicherheitsanfälligkeit finden Sie im Unterabschnitt häufig gestellte Fragen (FAQ) für die spezifische Sicherheitsanfälligkeit weiter unten in diesem Bulletin.
Empfehlung Microsoft empfiehlt Kunden, dieses Sicherheitsupdate frühestens zu installieren. In bestimmten Fällen müssen Kunden mit aktivierter automatischer Aktualisierung keine Maßnahmen ergreifen, da dieses Sicherheitsupdate automatisch heruntergeladen und installiert wird. Das Update wird Systemen mit aktivierter automatischer Aktualisierung angeboten, wenn eines der folgenden beiden Kriterien erfüllt ist:
- MVC 2.0, MVC 3.0 oder MVC 4.0 ist installiert oder
- Das System führt Microsoft .NET Framework 4.5.1 aus und eine Anwendung mit der betroffenen Komponente (System.Web.Mvc.dll für ASP.NET MVC 2.0, 3.0, 4.0, 5.0 und 5.1) wurde zuvor geladen.
Kunden mit deaktivierter automatischer Aktualisierung, deren Systeme eines der Kriterien erfüllen, können das Update auch erhalten, indem Sie mithilfe des Microsoft Update-Diensts nach Updates suchen. Kunden, deren Systeme keine Kriterien erfüllen (oder Kunden, die nicht sicher sind, wenn dies der Fall ist), sollten das Update manuell mithilfe der Microsoft Download Center-Links herunterladen und installieren, die in der Tabelle "Betroffene Software " dieses Bulletins bereitgestellt werden. Informationen zu bestimmten Konfigurationsoptionen bei der automatischen Aktualisierung finden Sie im Microsoft Knowledge Base-Artikel 294871. Für Kunden, die keine automatische Aktualisierung aktiviert haben, können die Schritte unter Aktivieren oder Deaktivieren der automatischen Aktualisierung verwendet werden, um die automatische Aktualisierung zu aktivieren.
Kunden, die MVC 3.0, MVC 4.0, MVC 5.0 oder MVC 5.1 ausführen, haben auch die Möglichkeit, das aktualisierte NuGet-Paket manuell bereitzustellen, wie im Abschnitt zur Sicherheitsupdatebereitstellung dieses Bulletins beschrieben. Beachten Sie, dass Kunden ohne Kontrolle über ihren Server, der ihre Anwendung patchen muss, ihre Anwendung nach dem Herunterladen und Installieren des aktualisierten NuGet-Pakets erneut bereitstellen. Weitere Informationen zum .NET NuGet-Wartungssupport finden Sie unter .NET 4.5.1 Unterstützt Microsoft-Sicherheitsupdates für .NET NuGet-Bibliotheken.
Knowledge Base-Artikel
- Knowledge Base-Artikel: 2990942
- Dateiinformationen: Ja
- SHA1/SHA2-Hashes: Ja
- Bekannte Probleme: Keine
Betroffene Software
Die folgenden Softwareversionen oder Editionen sind betroffen. Versionen oder Editionen, die nicht aufgeführt sind, sind entweder über ihren Supportlebenszyklus oder nicht betroffen. Informationen zum Ermitteln des Supportlebenszyklus für Ihre Softwareversion oder -edition finden Sie unter ASP.NET Support-Lifecycle-Richtlinien.
Betroffene Software
| Entwickler-Tools | Maximale Sicherheitswirkung | Bewertung des aggregierten Schweregrads | Ersetzte Updates |
|---|---|---|---|
| ASP.NET MVC 2.0\ (2993939) | Umgehung von Sicherheitsfeatures | Wichtig | Keine |
| ASP.NET MVC 3.0\ (2993937) | Umgehung von Sicherheitsfeatures | Wichtig | Keine |
| ASP.NET MVC 4.0\ (2993928) | Umgehung von Sicherheitsfeatures | Wichtig | Keine |
| ASP.NET MVC 5.0\ (2992080) | Umgehung von Sicherheitsfeatures | Wichtig | Keine |
| ASP.NET MVC 5.1\ (2994397) | Umgehung von Sicherheitsfeatures | Wichtig | Keine |
Häufig gestellte Fragen zum Aktualisieren
Was ist ASP.NET MVC?
ASP.NET MVC (Model View Controller) ist ein musterbasiertes Toolset zum Erstellen dynamischer Websites, das eine sauber Trennung von Bedenken ermöglicht und Kunden die volle Kontrolle über Markup für eine angenehme, agile Entwicklung bietet. ASP.NET MVC umfasst viele Features, die eine schnelle, TDD-freundliche Entwicklung zum Erstellen anspruchsvoller Anwendungen ermöglichen, die die neuesten Webstandards verwenden. Weitere Informationen finden Sie unter "Informationen zu ASP.NET MVC".
Wer wird das Update über die automatische Aktualisierung angeboten?
Das Update wird Systemen mit aktivierter automatischer Aktualisierung angeboten, wenn eines der folgenden beiden Kriterien erfüllt ist:
- MVC 2.0, MVC 3.0 oder MVC 4.0 ist installiert oder
- Das System führt Microsoft .NET Framework 4.5.1 aus und eine Anwendung mit der betroffenen Komponente (System.Web.Mvc.dll für ASP.NET MVC 2.0, 3.0, 4.0, 5.0 und 5.1) wurde zuvor geladen.
Kunden mit deaktivierter automatischer Aktualisierung, deren Systeme eines der Kriterien erfüllen, können das Update auch erhalten, indem Sie mithilfe des Microsoft Update-Diensts nach Updates suchen. Kunden, deren Systeme keine Kriterien erfüllen (oder Kunden, die nicht sicher sind, wenn dies der Fall ist), sollten das Update manuell mithilfe der Microsoft Download Center-Links herunterladen und installieren, die in der Tabelle "Betroffene Software " dieses Bulletins bereitgestellt werden. Informationen zu bestimmten Konfigurationsoptionen bei der automatischen Aktualisierung finden Sie im Microsoft Knowledge Base-Artikel 294871. Für Kunden, die keine automatische Aktualisierung aktiviert haben, können die Schritte unter Aktivieren oder Deaktivieren der automatischen Aktualisierung verwendet werden, um die automatische Aktualisierung zu aktivieren.
Kunden, die MVC 3.0, MVC 4.0, MVC 5.0 oder MVC 5.1 ausführen, haben auch die Möglichkeit, das aktualisierte NuGet-Paket manuell bereitzustellen, wie im Abschnitt zur Sicherheitsupdatebereitstellung dieses Bulletins beschrieben. Beachten Sie, dass Kunden ohne Kontrolle über ihren Server, der ihre Anwendung patchen muss, ihre Anwendung nach dem Herunterladen und Installieren des aktualisierten NuGet-Pakets erneut bereitstellen. Weitere Informationen zum .NET NuGet-Wartungssupport finden Sie unter .NET 4.5.1 Unterstützt Microsoft-Sicherheitsupdates für .NET NuGet-Bibliotheken.
Gewusst wie bestimmen, welche Version von ASP.NET MVC auf meinem System installiert ist?
Für MVC 4.0, MVC 5.0 oder MVC 5.1 sollten Sie die betroffene Binärdatei (System.Web.MVC.dll) mit Ihrer Anwendung bereitgestellt haben. Überprüfen Sie den Bin-Ordner Ihrer Anwendung auf die Version der Binärdatei. Informationen zu MVC 2.0, MVC 3.0 oder MVC 4.0 finden Sie im Systemsteuerungselement "Programme hinzufügen oder entfernen" für die installierte MVC-Version.
| Namen von Programmen hinzufügen/entfernen |
|---|
| Microsoft ASP.NET MVC 2 |
| Microsoft ASP.NET MVC 3 |
| Microsoft ASP.NET MVC 4 Runtime |
Muss ich Microsoft Update auf meinem Computer/Server aktivieren, um dieses Update zu erhalten?
Nein Wenn Sie Microsoft Update nicht auf Ihrem System aktivieren möchten, können Sie das Update entweder direkt aus dem Microsoft Download Center herunterladen (siehe Knowledge Base-Artikel: 2990942)), oder Sie können Ihre NuGet-Pakete auf die sichere Version aktualisieren (siehe Abschnitt " Sicherheitsupdatebereitstellung " dieses Bulletins) und dann ihre Anwendung erneut auf dem Server bereitstellen.
Was bewirkt das Update für mein System und wie ist meine MVC-Anwendung betroffen?
Das MSI-Update installiert die feste Assembly (System.Web.Mvc.dll) im GAC. Auf diese Weise werden anfällige Versionen der Assembly (System.Web.Mvc.dll) mit Anwendungen, die auf dem Server ausgeführt werden, von der Version im GAC überschrieben, bei der es sich um die sichere Version handelt.
Für MVC 3.0 und MVC 4.0 ist es möglich, das vollständige Produkt auf dem Server zu installieren, auf dem die anfällige Version von System.Web.Mvc.dll im GAC installiert ist. Um dieses Problem zu berücksichtigen, wurde die Assemblyversion in der festen Version erhöht, und die Richtlinienassembly des zugehörigen Herausgebers wird ebenfalls installiert, um frühere Versionen der Assembly umzuleiten, die mit Anwendungen bereitgestellt wurden.
Muss ich beunruhigen, dass sich dieses Update negativ auf die Funktionalität der Website auswirkt?
Nein Dieses Update wirkt sich nicht negativ auf die Websitefunktionalität aus. In seltenen Fällen, in denen ein Entwickler die Affect-Funktion verwendet und die Ausgabe manuell in HTML codiert hat, kann der Benutzer jedoch doppelcodierte Zeichen sehen. Beispielsweise könnte "<" als "<" angezeigt werden. Dies kann vom Entwickler korrigiert werden, indem der manuelle Codierungsschritt entfernt wird. Dieses Problem wirkt sich nicht auf die Websitefunktionalität aus; es ist nur ein visuelles Artefakt.
MVC 3.0 RTM ist auf meinem System installiert und nach der Installation des Updates kann ich in Visual Studio 2010 kein neues Projekt mehr erstellen, wie kann ich dies korrigieren?
ASP.NET MVC 3.0-Vorlagen für Visual Studio 2010 basieren auf Assemblys, die im Ordner "Referenzassemblys" installiert sind. Da die aktualisierte Version der Assembly für MVC 3.0 erhöht wird, funktionieren Vorlagen nicht mehr. Um dieses Problem zu beheben, installieren Sie die MVC 3.0.1-Toolaktualisierung für Visual Studio 2010.
Ich habe das Update installiert und plant jetzt, meine Anwendungen mit einer höheren Version von ASP.NET MVC erneut bereitzustellen; gibt es Probleme mit diesem Aktionsplan?
Kein Problem. Wenn Sie eine Anwendung mit einer höheren Version von System.Web.Mvc.dll als im GAC bereitstellen, hat die Version der Assembly, die mit der Anwendung bereitgestellt wird, Vorrang.
Ich verwende eine ältere Version der Software, die in diesem Sicherheitsbulletin erläutert wird. Wie sollte ich vorgehen?
Die in diesem Bulletin aufgeführte betroffene Software wurde getestet, um festzustellen, welche Versionen betroffen sind. Andere Versionen sind über ihren Supportlebenszyklus hinweg. Weitere Informationen zum ASP.NET Supportlebenszyklus finden Sie unter ASP.NET Support-Lifecycle-Richtlinien.
Es sollte eine Priorität für Kunden sein, die über ältere Versionen der Software verfügen, um zu unterstützten Versionen zu migrieren, um potenzielle Gefährdungen durch Sicherheitsrisiken zu verhindern. Informationen zum Ermitteln des Supportlebenszyklus für Ihre Softwareversion finden Sie unter Auswählen eines Produkts für Lebenszyklusinformationen. Weitere Informationen zu Service Packs für diese Softwareversionen finden Sie unter Service Pack Lifecycle Support Policy.
Kunden, die benutzerdefinierten Support für ältere Software benötigen, müssen sich an ihren Microsoft-Kontoteammitarbeiter, den Technical Account Manager oder den entsprechenden Microsoft-Partnermitarbeiter wenden, um benutzerdefinierte Supportoptionen zu erhalten. Kunden ohne Allianz-, Premier- oder autorisierten Vertrag können sich an ihr lokales Microsoft-Vertriebsbüro wenden. Kontaktinformationen finden Sie auf der Microsoft Worldwide Information-Website , und wählen Sie dann das Land aus, um eine Liste der Telefonnummern anzuzeigen. Wenn Sie anrufen, bitten Sie, mit dem lokalen Premier Support Sales Manager zu sprechen. Weitere Informationen finden Sie in den häufig gestellten Fragen zur Microsoft-Support Lifecycle-Richtlinie.
Schweregradbewertungen und Sicherheitslücken-IDs
Die folgenden Schweregradbewertungen gehen von der potenziellen maximalen Auswirkung der Sicherheitsanfälligkeit aus. Informationen zur Wahrscheinlichkeit, dass innerhalb von 30 Tagen nach der Veröffentlichung dieses Sicherheitsbulletins die Ausnutzbarkeit der Sicherheitsanfälligkeit in Bezug auf die Schweregradbewertung und die Sicherheitsauswirkungen besteht, lesen Sie bitte den Exploitability Index in der Bulletinzusammenfassung im Oktober. Weitere Informationen finden Sie unter Microsoft Exploitability Index.
| Bewertung des Schweregrads der Sicherheitsanfälligkeit und maximale Sicherheitsbeeinträchtigung durch betroffene Software | ||
|---|---|---|
| Betroffene Software | Sicherheitsanfälligkeit in MVC XSS – CVE-2014-4075 | Bewertung des aggregierten Schweregrads |
| Entwickler-Tools | ||
| ASP.NET MVC 2.0 (2993939) | Wichtige Umgehung von Sicherheitsfeatures | Wichtig |
| ASP.NET MVC 3.0 (2993937) | Wichtige Umgehung von Sicherheitsfeatures | Wichtig |
| ASP.NET MVC 4.0 (2993928) | Wichtige Umgehung von Sicherheitsfeatures | Wichtig |
| ASP.NET MVC 5.0 (2992080) | Wichtige Umgehung von Sicherheitsfeatures | Wichtig |
| ASP.NET MVC 5.1 (2994397) | Wichtige Umgehung von Sicherheitsfeatures | Wichtig |
Sicherheitsanfälligkeit in MVC XSS – CVE-2014-4075
In ASP.NET MVC ist eine websiteübergreifende Skriptinglücke (XSS) vorhanden, die es einem Angreifer ermöglichen könnte, ein clientseitiges Skript in den Webbrowser des Benutzers einzufügen. Das Skript kann Inhalte spoofen, Informationen offenlegen oder maßnahmen ergreifen, die der Benutzer im Namen des Zielbenutzers auf der Website ausführen könnte.
Informationen zum Anzeigen dieser Sicherheitsanfälligkeit als Standardeintrag in der Liste allgemeiner Sicherheitsanfälligkeiten finden Sie unter CVE-2014-4075.
Mildernde Faktoren
Die Entschärfung bezieht sich auf eine Einstellung, eine allgemeine Konfiguration oder eine allgemeine bewährte Methode, die in einem Standardzustand vorhanden ist, wodurch der Schweregrad der Ausbeutung einer Sicherheitsanfälligkeit verringert werden kann. Die folgenden mildernden Faktoren können in Ihrer Situation hilfreich sein:
- In einem webbasierten Angriffsszenario könnte ein Angreifer eine speziell gestaltete Website hosten, die darauf ausgelegt ist, diese Sicherheitsanfälligkeit über einen Webbrowser auszunutzen, und dann einen Benutzer davon überzeugen, die Website anzuzeigen. Der Angreifer könnte auch kompromittierte Websites und Websites nutzen, die vom Benutzer bereitgestellte Inhalte oder Werbung akzeptieren oder hosten. Diese Websites könnten speziell gestaltete Inhalte enthalten, die diese Sicherheitsanfälligkeit ausnutzen könnten. In allen Fällen hätte ein Angreifer jedoch keine Möglichkeit, Benutzer zu zwingen, die vom Angreifer kontrollierten Inhalte anzuzeigen. Stattdessen müsste ein Angreifer die Benutzer davon überzeugen, maßnahmen zu ergreifen, in der Regel durch Klicken auf einen Link in einer E-Mail-Nachricht oder in einer Instant Messenger-Nachricht, die sie zur Website des Angreifers führt, oder indem er sie erhält, um eine anlage zu öffnen, die per E-Mail gesendet wird.
- Der XSS-Filter in Internet Explorer 8, Internet Explorer 9, Internet Explorer 10 und Internet Explorer 11 verhindert diesen Angriff für Benutzer beim Surfen auf Websites in der Internetzone. Beachten Sie, dass der XSS-Filter in Internet Explorer 8, Internet Explorer 9, Internet Explorer 10 und Internet Explorer 11 standardmäßig in der Internetzone aktiviert ist, aber nicht standardmäßig in der Intranetzone aktiviert ist.
Problemumgehungen
Die Problemumgehung bezieht sich auf eine Einstellung oder Konfigurationsänderung, die die zugrunde liegende Sicherheitsanfälligkeit nicht korrigiert, aber bekannte Angriffsvektoren blockiert, bevor Sie das Update anwenden. Microsoft hat die folgenden Problemumgehungen getestet und gibt in der Diskussion an, ob eine Problemumgehung die Funktionalität reduziert:
Legen Sie die Sicherheitszoneneinstellungen für Internet und lokales Intranet auf "Hoch" fest, um ActiveX-Steuerelemente und active Scripting in diesen Zonen zu blockieren.
Sie können vor der Ausbeutung dieser Sicherheitsanfälligkeit schützen, indem Sie Ihre Einstellungen für die Internetsicherheitszone ändern, um ActiveX-Steuerelemente und Active Scripting zu blockieren. Sie können dies tun, indem Sie die Sicherheit Ihres Browsers auf "Hoch" festlegen.Führen Sie die folgenden Schritte aus, um die Browsersicherheitsstufe in Internet Explorer zu erhöhen:
- Klicken Sie im Menü "Internet Explorer-Tools" auf "Internetoptionen".
- Klicken Sie im Dialogfeld "Internetoptionen " auf die Registerkarte "Sicherheit " und dann auf "Internet".
- Verschieben Sie unter "Sicherheitsstufe" für diese Zone den Schieberegler auf "Hoch". Dadurch wird die Sicherheitsstufe für alle Websites festgelegt, die Sie auf "Hoch" besuchen.
- Klicken Sie auf "Lokales Intranet".
- Verschieben Sie unter "Sicherheitsstufe" für diese Zone den Schieberegler auf "Hoch". Dadurch wird die Sicherheitsstufe für alle Websites festgelegt, die Sie auf "Hoch" besuchen.
- Klicken Sie auf "OK ", um die Änderungen zu übernehmen und zu Internet Explorer zurückzukehren.
Hinweis : Wenn kein Schieberegler sichtbar ist, klicken Sie auf "Standardebene", und verschieben Sie den Schieberegler in " Hoch".
Hinweis : Das Festlegen der Ebene auf "Hoch" kann dazu führen, dass einige Websites falsch funktionieren. Wenn Sie schwierigkeiten haben, eine Website zu verwenden, nachdem Sie diese Einstellung geändert haben und sie sicher sind, dass die Website sicher zu verwenden ist, können Sie diese Website ihrer Liste der vertrauenswürdigen Websites hinzufügen. Dadurch kann die Website auch dann ordnungsgemäß funktionieren, wenn die Sicherheitseinstellung auf "Hoch" festgelegt ist.
Auswirkungen der Problemumgehung. Es gibt Nebenwirkungen zum Blockieren von ActiveX-Steuerelementen und Active Scripting. Viele Websites, die sich im Internet oder in einem Intranet befinden, verwenden ActiveX oder Active Scripting, um zusätzliche Funktionen bereitzustellen. Beispielsweise kann eine Online-E-Commerce-Website oder Bankwebsite ActiveX-Steuerelemente verwenden, um Menüs, Bestellformulare oder sogar Kontoauszüge bereitzustellen. Das Blockieren von ActiveX-Steuerelementen oder active Scripting ist eine globale Einstellung, die sich auf alle Internet- und Intranetwebsites auswirkt. Wenn Sie ActiveX-Steuerelemente oder Active Scripting für solche Websites nicht blockieren möchten, führen Sie die unter "Hinzufügen von Websites, denen Sie vertrauen, der Zone "Vertrauenswürdige Websites von Internet Explorer" beschriebenen Schritte aus.
Hinzufügen von Websites, denen Sie vertrauen, zur Zone "Vertrauenswürdige Websites" von Internet Explorer
Nachdem Sie Internet Explorer so festgelegt haben, dass ActiveX-Steuerelemente und Active Scripting in der Internetzone und in der Zone "Lokales Intranet" blockiert werden, können Sie Websites hinzufügen, die Sie der Zone "vertrauenswürdige Internet Explorer-Websites" vertrauen. Auf diese Weise können Sie weiterhin vertrauenswürdige Websites genau wie heute verwenden, während Sie sich vor diesem Angriff auf nicht vertrauenswürdige Websites schützen können. Es wird empfohlen, nur Websites hinzuzufügen, denen Sie vertrauen, der Zone "Vertrauenswürdige Websites".
Gehen Sie hierzu folgendermaßen vor:
- Klicken Sie in Internet Explorer auf "Extras", dann auf "Internetoptionen" und dann auf die Registerkarte "Sicherheit ".
- Klicken Sie in der Zone "Webinhalt auswählen", um das aktuelle Sicherheitseinstellungsfeld anzugeben, klicken Sie auf "Vertrauenswürdige Websites", und klicken Sie dann auf "Websites".
- Wenn Sie Websites hinzufügen möchten, für die kein verschlüsselter Kanal erforderlich ist, klicken Sie, um das Kontrollkästchen " Serverüberprüfung erforderlich" (https:) für alle Websites in dieser Zone zu deaktivieren.
- Geben Sie im Feld "Diese Website zum Zonenfeld hinzufügen" die URL einer Website ein, der Sie vertrauen, und klicken Sie dann auf "Hinzufügen".
- Wiederholen Sie diese Schritte für jede Website, die Sie der Zone hinzufügen möchten.
- Klicken Sie zweimal auf "OK ", um die Änderungen zu übernehmen und zu Internet Explorer zurückzukehren.
Hinweis: Fügen Sie alle Websites hinzu, denen Sie vertrauen, dass sie keine böswilligen Maßnahmen auf Ihrem System ergreifen. Zwei besonders, die Sie hinzufügen möchten, sind *.windowsupdate.microsoft.com und *.update.microsoft.com. Dies sind die Websites, die das Update hosten, und es erfordert ein ActiveX-Steuerelement, um das Update zu installieren.
Häufig gestellte Fragen
Was ist der Umfang der Sicherheitsanfälligkeit?
Dies ist eine Sicherheitsanfälligkeit bezüglich websiteübergreifender Skripterstellung (XSS), die zu einer Erhöhung von Berechtigungen führen kann.
Was verursacht die Sicherheitsanfälligkeit?
Die Sicherheitsanfälligkeit wird verursacht, wenn ASP.NET MVC eingaben nicht ordnungsgemäß codiert.
Was ist die Komponente, die von der Sicherheitsanfälligkeit betroffen ist?
System.Web.Mvc.dll ist die Komponente, die von der Sicherheitsanfälligkeit betroffen ist.
Was ist websiteübergreifendes Skripting (XSS)?
Cross-Site Scripting (XSS) ist eine Klasse von Sicherheitsrisiken, die es einem Angreifer ermöglichen kann, Skripts in die Antwort auf eine Webseitenanforderung einzufügen. Dieses Skript wird dann von der anfordernden Anwendung ausgeführt, oft mal ein Webbrowser. Das Skript könnte dann Inhalte spoofen, Informationen offenlegen oder maßnahmen ergreifen, die der Benutzer auf der betroffenen Website im Namen des Zielbenutzers ergreifen könnte.
Was kann ein Angreifer tun, um die Sicherheitsanfälligkeit zu tun?
Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausgenutzt hat, könnte ein clientseitiges Skript in die Instanz des Benutzers von Internet Explorer einfügen. Das Skript kann Inhalte spoofen, Informationen offenlegen oder maßnahmen ergreifen, die der Benutzer im Namen des Zielbenutzers auf der Website ausführen könnte.
Wie kann ein Angreifer die Sicherheitsanfälligkeit ausnutzen?
In einem webbasierten Angriffsszenario könnte ein Angreifer den Benutzer davon überzeugen, eine Webseite zu besuchen, die speziell gestaltete Inhalte enthält, die zur Ausnutzung der Sicherheitsanfälligkeit entwickelt wurden.
Welche Systeme sind in erster Linie durch die Sicherheitsanfälligkeit gefährdet?
Server, auf denen betroffene Versionen von ASP.NET MVC ausgeführt werden, sind in erster Linie durch diese Sicherheitsanfälligkeit gefährdet.
Was geschieht mit dem Update?
Das Update behebt die Sicherheitsanfälligkeit, indem korrigiert wird, wie ASP.NET MVC die Codierung der Eingabe behandelt.
Als dieses Sicherheitsbulletin ausgegeben wurde, wurde diese Sicherheitsanfälligkeit öffentlich offengelegt?
Ja. Diese Sicherheitsanfälligkeit wurde öffentlich offengelegt. Ihr wurde die Nummer für allgemeine Sicherheitsanfälligkeit und Sicherheitsanfälligkeit CVE-2014-4075 zugewiesen.
Als dieses Sicherheitsbulletin ausgegeben wurde, erhielt Microsoft alle Berichte, dass diese Sicherheitsanfälligkeit ausgenutzt wurde?
Nein Microsoft hatte keine Informationen erhalten, um anzugeben, dass diese Sicherheitsanfälligkeit öffentlich für Kunden verwendet wurde, als dieses Sicherheitsbulletin ursprünglich ausgestellt wurde.
Erkennungs- und Bereitstellungstools und Anleitungen
Es stehen mehrere Ressourcen zur Verfügung, die Administratoren bei der Bereitstellung von Sicherheitsupdates unterstützen.
- Mit Microsoft Baseline Security Analyzer (MBSA) können Administratoren lokale und Remotesysteme auf fehlende Sicherheitsupdates und allgemeine Sicherheitsfehler überprüfen.
- Windows Server Update Services (WSUS), Systems Management Server (SMS) und System Center Configuration Manager helfen Administratoren beim Verteilen von Sicherheitsupdates.
- Die komponenten der Updatekompatibilitäts-Evaluator, die im Lieferumfang des Application Compatibility Toolkit enthalten sind, um die Tests und Validierung von Windows-Updates für installierte Anwendungen zu optimieren.
Informationen zu diesen und anderen verfügbaren Tools finden Sie unter "Sicherheitstools für IT-Spezialisten".
Bereitstellung von Sicherheitsupdates
ASP.NET MVC 2.0
Referenztabelle
Die folgende Tabelle enthält die Sicherheitsupdateinformationen für diese Software.
| Übersicht | Das Update für ASP.NET MVC 2.0 wird über die automatische Aktualisierung bereitgestellt und ist auch für die manuelle Installation über das Microsoft Download Center verfügbar. |
|---|---|
| Installationsinformationen | |
| DLC-Paketdateiname und Downloadlink | AspNetMVC2.msi |
| NuGet-Paketdateiname | Nicht zutreffend |
| NuGet-Updateprozedur | Nicht zutreffend |
| Auswirkung | Durch die Installation dieses Updates wird IIS neu gestartet. |
| Anforderung für neustarten | In einigen Fällen ist für dieses Update kein Neustart erforderlich. Wenn die erforderlichen Dateien verwendet werden, erfordert dieses Update einen Neustart. Wenn dieses Verhalten auftritt, wird eine Meldung angezeigt, in der Sie aufgefordert werden, den Neustart durchzuführen. |
| Entfernungsinformationen | Um dieses Update zu entfernen, müssen Sie das Element "Programme hinzufügen oder entfernen" in Systemsteuerung verwenden, um das vollständige ASP.NET MVC 2-Produkt (Microsoft ASP.NET MVC 2) zu deinstallieren und dann die vorherige Produktversion zu installieren. |
| Aktualisieren von Informationen | Siehe Microsoft Knowledge Base-Artikel 2993939 |
| Überprüfung der Installation | Verwenden Sie das Element "Programme hinzufügen oder entfernen" in Systemsteuerung, und suchen Sie nach Microsoft ASP.NET MVC2. Die installierte Version ist 2.0.60926.0. |
ASP.NET MVC 3.0
Referenztabelle
Die folgende Tabelle enthält die Sicherheitsupdateinformationen für diese Software.
| Übersicht | Das Update für ASP.NET MVC 3.0 wird über die automatische Aktualisierung bereitgestellt und steht auch für die manuelle Installation über das Microsoft Download Center oder NuGet zur Verfügung. |
|---|---|
| Installationsinformationen | |
| DLC-Paketdateiname und Downloadlink | AspNetMVC3.msi |
| NuGet-Paketdateiname | Microsoft.AspNet.Mvc.3.0.50813.1.nupkg |
| NuGet-Updateprozedur | Aktualisieren Sie Ihre Visual Studio-Projektpakete mithilfe von NuGet, kompilieren Sie Ihre Anwendung, und stellen Sie 1 bereit . Öffnen Sie Ihre Projektmappe in Visual Studio. 2. Klicken Sie in Projektmappen-Explorer mit der rechten Maustaste auf den Knoten "Verweise", und klicken Sie dann auf "NuGet-Pakete verwalten". 3. Wählen Sie die Registerkarte "Updates" aus. Eine Liste der Pakete mit Updates wird im mittleren Bereich angezeigt. 4. Wählen Sie das Updatepaket für Ihre Version von ASP.NET MVC aus, und klicken Sie dann auf "Aktualisieren". 5. Kompilieren und Bereitstellen Der Webanwendung. Weitere Informationen zum Verwalten von NuGet-Paketen mithilfe des NuGet-Dialogfelds finden Sie unter Verwalten von NuGet-Paketen mithilfe des Dialogfelds. |
| Auswirkung | Durch die Installation dieses Updates wird IIS neu gestartet. |
| Anforderung für neustarten | In einigen Fällen ist für dieses Update kein Neustart erforderlich. Wenn die erforderlichen Dateien verwendet werden, erfordert dieses Update einen Neustart. Wenn dieses Verhalten auftritt, wird eine Meldung angezeigt, in der Sie aufgefordert werden, den Neustart durchzuführen. |
| Entfernungsinformationen | Um dieses Update zu entfernen, müssen Sie das Element "Programme hinzufügen oder entfernen" in Systemsteuerung verwenden, um das vollständige ASP.NET MVC 3-Produkt (Microsoft ASP.NET MVC 3) zu deinstallieren und dann die vorherige Produktversion zu installieren. |
| Aktualisieren von Informationen | Siehe Microsoft Knowledge Base-Artikel 2993937 |
| Überprüfung der Installation | Verwenden Sie das Element "Programme hinzufügen oder entfernen" in Systemsteuerung, und suchen Sie nach Microsoft ASP.NET MVC 3. Die installierte Version ist 3.0.50813.0. Für das NuGet-Update ist die Dateiversion der bereitgestellten Binärdatei 3.0.50813.0. |
ASP.NET MVC 4.0
Referenztabelle
Die folgende Tabelle enthält die Sicherheitsupdateinformationen für diese Software.
| Übersicht | Das Update für ASP.NET MVC 4.0 wird über die automatische Aktualisierung bereitgestellt und ist auch für die manuelle Installation über das Microsoft Download Center oder NuGet verfügbar. |
|---|---|
| Installationsinformationen | |
| DLC-Paketdateiname und Downloadlink | AspNetMVC4.msi |
| NuGet-Paketdateiname | Microsoft.AspNet.Mvc.4.0.40804.0.nupkg |
| NuGet-Updateprozedur | Aktualisieren Sie Ihre Visual Studio-Projektpakete mithilfe von NuGet, kompilieren Sie Ihre Anwendung, und stellen Sie 1 bereit . Öffnen Sie Ihre Projektmappe in Visual Studio. 2. Klicken Sie in Projektmappen-Explorer mit der rechten Maustaste auf den Knoten "Verweise", und klicken Sie dann auf "NuGet-Pakete verwalten". 3. Wählen Sie die Registerkarte "Updates" aus. Eine Liste der Pakete mit Updates wird im mittleren Bereich angezeigt. 4. Wählen Sie das Updatepaket für Ihre Version von ASP.NET MVC aus, und klicken Sie dann auf "Aktualisieren". 5. Kompilieren und Bereitstellen Der Webanwendung. Weitere Informationen zum Verwalten von NuGet-Paketen mithilfe des NuGet-Dialogfelds finden Sie unter Verwalten von NuGet-Paketen mithilfe des Dialogfelds. |
| Auswirkung | Durch die Installation dieses Updates wird IIS neu gestartet. |
| Anforderung für neustarten | In einigen Fällen ist für dieses Update kein Neustart erforderlich. Wenn die erforderlichen Dateien verwendet werden, erfordert dieses Update einen Neustart. Wenn dieses Verhalten auftritt, wird eine Meldung angezeigt, in der Sie aufgefordert werden, den Neustart durchzuführen. |
| Entfernungsinformationen | Um dieses Update zu entfernen, müssen Sie das Element "Programme hinzufügen oder entfernen" in Systemsteuerung verwenden, um das vollständige ASP.NET MVC 4-Produkt (Microsoft ASP.NET MVC 4 Runtime) zu deinstallieren und dann die vorherige Produktversion zu installieren. |
| Aktualisieren von Informationen | Siehe Microsoft Knowledge Base-Artikel 2993928 |
| Überprüfung der Installation | Verwenden Sie das Element "Programme hinzufügen oder entfernen" in Systemsteuerung, und suchen Sie nach Microsoft ASP.NET MVC 4 Runtime. Die installierte Version ist 4.0.40804.0. Für das NuGet-Update ist die Dateiversion der bereitgestellten Binärdatei 4.0.40804.0. |
ASP.NET MVC 5.0
Referenztabelle
Die folgende Tabelle enthält die Sicherheitsupdateinformationen für diese Software.
| Übersicht | Das Update für ASP.NET MVC 5.0 ist für die manuelle Installation über das Microsoft Download Center oder NuGet verfügbar. Dieses Update ist ein Patch für das ASP.NET MVC 5.0-Produkt. |
|---|---|
| Installationsinformationen | |
| DLC-Paketdateiname und Downloadlink | AspNetWebFxUpdate_KB2992080.msi |
| NuGet-Paketdateiname | Microsoft.AspNet.Mvc.5.0.2.nupkg |
| NuGet-Updateprozedur | Aktualisieren Sie Ihre Visual Studio-Projektpakete mithilfe von NuGet, kompilieren Sie Ihre Anwendung, und stellen Sie 1 bereit . Öffnen Sie Ihre Projektmappe in Visual Studio. 2. Klicken Sie in Projektmappen-Explorer mit der rechten Maustaste auf den Knoten "Verweise", und klicken Sie dann auf "NuGet-Pakete verwalten". 3. Wählen Sie die Registerkarte "Updates" aus. Eine Liste der Pakete mit Updates wird im mittleren Bereich angezeigt. 4. Wählen Sie das Updatepaket für Ihre Version von ASP.NET MVC aus, und klicken Sie dann auf "Aktualisieren". 5. Kompilieren und Bereitstellen Der Webanwendung. Weitere Informationen zum Verwalten von NuGet-Paketen mithilfe des NuGet-Dialogfelds finden Sie unter Verwalten von NuGet-Paketen mithilfe des Dialogfelds. |
| Auswirkung | Durch die Installation dieses Updates wird IIS neu gestartet. |
| Anforderung für neustarten | In einigen Fällen ist für dieses Update kein Neustart erforderlich. Wenn die erforderlichen Dateien verwendet werden, erfordert dieses Update einen Neustart. Wenn dieses Verhalten auftritt, wird eine Meldung angezeigt, in der Sie aufgefordert werden, den Neustart durchzuführen. |
| Entfernungsinformationen | Verwenden Sie das Element "Programme hinzufügen oder entfernen" in Systemsteuerung, und klicken Sie mit der rechten Maustaste, um das Update zu entfernen. Der angezeigte Updatename ist das Microsoft ASP.NET Web Frameworks 5.0-Sicherheitsupdate (KB2992080). |
| Aktualisieren von Informationen | Siehe Microsoft Knowledge Base-Artikel 2992080 |
| Überprüfung der Installation | Verwenden Sie das Element "Programme hinzufügen oder entfernen" in Systemsteuerung, und suchen Sie nach Microsoft ASP.NET Web Frameworks 5.0-Sicherheitsupdate (KB2992080). Für das NuGet-Update ist die Dateiversion der bereitgestellten Binärdatei 5.0.20821.0. |
ASP.NET MVC 5.1
Referenztabelle
Die folgende Tabelle enthält die Sicherheitsupdateinformationen für diese Software.
| Übersicht | Das Update für ASP.NET MVC 5.1 ist für die manuelle Installation über das Microsoft Download Center oder NuGet verfügbar. Dieses Update ist ein Patch für das ASP.NET MVC 5.1-Produkt. |
|---|---|
| Installationsinformationen | |
| DLC-Paketdateiname und Downloadlink | AspNetWebFxUpdate_KB2994397.msi |
| NuGet-Paketdateiname | Microsoft.AspNet.Mvc.5.1.3.nupkg |
| NuGet-Updateprozedur | Aktualisieren Sie Ihre Visual Studio-Projektpakete mithilfe von NuGet, kompilieren Sie Ihre Anwendung, und stellen Sie 1 bereit . Öffnen Sie Ihre Projektmappe in Visual Studio. 2. Klicken Sie in Projektmappen-Explorer mit der rechten Maustaste auf den Knoten "Verweise", und klicken Sie dann auf "NuGet-Pakete verwalten". 3. Wählen Sie die Registerkarte "Updates" aus. Eine Liste der Pakete mit Updates wird im mittleren Bereich angezeigt. 4. Wählen Sie das Updatepaket für Ihre Version von ASP.NET MVC aus, und klicken Sie dann auf "Aktualisieren". 5. Kompilieren und Bereitstellen Der Webanwendung. Weitere Informationen zum Verwalten von NuGet-Paketen mithilfe des NuGet-Dialogfelds finden Sie unter Verwalten von NuGet-Paketen mithilfe des Dialogfelds. |
| Auswirkung | Durch die Installation dieses Updates wird IIS neu gestartet. |
| Anforderung für neustarten | In einigen Fällen ist für dieses Update kein Neustart erforderlich. Wenn die erforderlichen Dateien verwendet werden, erfordert dieses Update einen Neustart. Wenn dieses Verhalten auftritt, wird eine Meldung angezeigt, in der Sie aufgefordert werden, den Neustart durchzuführen. |
| Entfernungsinformationen | Verwenden Sie das Element "Programme hinzufügen oder entfernen" in Systemsteuerung, und klicken Sie mit der rechten Maustaste, um das Update zu entfernen. Der angezeigte Updatename lautet Microsoft ASP.NET Web Frameworks 5.1-Sicherheitsupdate (KB2994397). |
| Aktualisieren von Informationen | Siehe Microsoft Knowledge Base-Artikel 2994397 |
| Überprüfung der Installation | Verwenden Sie das Element "Programme hinzufügen oder entfernen" in Systemsteuerung, und suchen Sie nach Microsoft ASP.NET Web Frameworks 5.1-Sicherheitsupdate (KB2994397). Für das NuGet-Update ist die Dateiversion der bereitgestellten Binärdatei 5.1.20821.0. |
Sonstige Informationen
Microsoft Active Protections Program (MAPP)
Um den Sicherheitsschutz für Kunden zu verbessern, stellt Microsoft Sicherheitsrisiken für wichtige Sicherheitssoftwareanbieter im Voraus jeder monatlichen Sicherheitsupdateversion bereit. Sicherheitssoftwareanbieter können diese Sicherheitsrisikoinformationen dann verwenden, um Kunden über ihre Sicherheitssoftware oder Geräte, z. B. Antivirensoftware, netzwerkbasierte Angriffserkennungssysteme oder hostbasierte Angriffsschutzsysteme, aktualisierte Schutzmaßnahmen bereitzustellen. Um festzustellen, ob aktive Schutzmaßnahmen von Sicherheitssoftwareanbietern verfügbar sind, wechseln Sie zu den aktiven Schutzwebsites, die von Programmpartnern bereitgestellt werden, die in Microsoft Active Protections Program (MAPP)-Partnern aufgeführt sind.
Unterstützung
So erhalten Sie Hilfe und Support für dieses Sicherheitsupdate
- Hilfe beim Installieren von Updates: Support für Microsoft Update
- Sicherheitslösungen für IT-Experten: TechNet Security Troubleshooting and Support
- Schützen Sie Ihren Computer, auf dem Windows ausgeführt wird, vor Viren und Schadsoftware: Virenlösung und Security Center
- Lokaler Support nach Ihrem Land: Internationaler Support
Haftungsausschluss
Die in der Microsoft Knowledge Base bereitgestellten Informationen werden ohne Jegliche Garantie bereitgestellt. Microsoft lehnt alle Gewährleistungen ab, entweder ausdrücklich oder impliziert, einschließlich der Gewährleistungen der Händlerbarkeit und Eignung für einen bestimmten Zweck. In keinem Fall haftet die Microsoft Corporation oder seine Lieferanten für jegliche Schäden, einschließlich direkter, indirekter, zufälliger, Folgeschäden, Verlust von Geschäftsgewinnen oder sonderschäden, auch wenn die Microsoft Corporation oder ihre Lieferanten über die Möglichkeit solcher Schäden informiert wurden. Einige Staaten lassen den Ausschluss oder die Haftungsbeschränkung für Folge- oder Nebenschäden nicht zu, sodass die vorstehende Einschränkung möglicherweise nicht gilt.
Revisionen
- V1.0 (14. Oktober 2014): Bulletin veröffentlicht.
Seite generiert 2014-10-15 12:02Z-07:00.