Bulletin zabezpečení společnosti Microsoft MS15-034 – kritické
Ohrožení zabezpečení v HTTP.sys by mohlo umožnit vzdálené spuštění kódu (3042553)
Publikováno: 14. dubna 2015 | Aktualizováno: 22. dubna 2015
Verze: 1.1
Shrnutí
Tato aktualizace zabezpečení řeší chybu zabezpečení v systému Microsoft Windows. Ohrožení zabezpečení může umožnit vzdálené spuštění kódu, pokud útočník odešle speciálně vytvořený požadavek HTTP do ovlivněného systému Windows.
Tato aktualizace zabezpečení je hodnocena jako kritická pro všechny podporované edice Systému Windows 7, Windows Server 2008 R2, Windows 8, Windows Server 2012, Windows 8.1 a Windows Server 2012 R2. Další informace najdete v části Ovlivněný software .
Aktualizace zabezpečení řeší ohrožení zabezpečení úpravou způsobu, jakým zásobník HTTP systému Windows zpracovává požadavky. Další informace o ohrožení zabezpečení naleznete v části VulnerabilityInformation .
Další informace o tomto dokumentu naleznete v článku znalostní báze Microsoft Knowledge Base 3042553.
Ovlivněný software
Ovlivněné jsou následující verze softwaru nebo edice. Verze nebo edice, které nejsou uvedené, jsou buď po jejich životním cyklu podpory, nebo nejsou ovlivněny. Pokud chcete určit životní cyklus podpory pro vaši verzi nebo edici softwaru, přečtěte si téma podpora Microsoftu životní cyklus.
| Operační systém | Maximální dopad na zabezpečení | Agregované hodnocení závažnosti | Aktualizace nahrazeno |
|---|---|---|---|
| Windows 7 | |||
| Windows 7 pro 32bitové systémy Service Pack 1 (3042553) | Vzdálené spuštění kódu | Kritické | Nic |
| Windows 7 pro systémy založené na platformě x64 Service Pack 1 (3042553) | Vzdálené spuštění kódu | Kritické | Nic |
| Windows Server 2008 R2 | |||
| Windows Server 2008 R2 pro systémy s platformou x64 Service Pack 1 (3042553) | Vzdálené spuštění kódu | Kritické | Nic |
| Windows Server 2008 R2 pro počítače s procesorem Itanium Service Pack 1 (3042553) | Vzdálené spuštění kódu | Kritické | Nic |
| Windows 8 a Windows 8.1 | |||
| Windows 8 pro 32bitové systémy (3042553) | Vzdálené spuštění kódu | Kritické | 2829254 v MS13-039 |
| Windows 8 pro systémy x64 (3042553) | Vzdálené spuštění kódu | Kritické | 2829254 v MS13-039 |
| Windows 8.1 pro 32bitové systémy (3042553) | Vzdálené spuštění kódu | Kritické | Nic |
| Windows 8.1 pro systémy s platformou x64 (3042553) | Vzdálené spuštění kódu | Kritické | Nic |
| Windows Server 2012 a Windows Server 2012 R2 | |||
| Windows Server 2012 (3042553) | Vzdálené spuštění kódu | Kritické | 2829254 v MS13-039 |
| Windows Server 2012 R2 (3042553) | Vzdálené spuštění kódu | Kritické | Nic |
| Možnost instalace jádra serveru | |||
| Windows Server 2008 R2 pro systémy založené na platformě x64 Service Pack 1 (instalace jádra serveru) (3042553) | Vzdálené spuštění kódu | Kritické | Nic |
| Windows Server 2012 (instalace jádra serveru) (3042553) | Vzdálené spuštění kódu | Kritické | 2829254 v MS13-039 |
| Windows Server 2012 R2 (instalace jádra serveru) (3042553) | Vzdálené spuštění kódu | Kritické | Nic |
Poznámka: Aktualizace je k dispozici pro Windows Technical Preview a Windows Server Technical Preview. Zákazníkům, kteří používají tyto operační systémy, doporučujeme použít aktualizaci, která je dostupná prostřednictvím služba Windows Update.
Hodnocení závažnosti a identifikátory ohrožení zabezpečení
Následující hodnocení závažnosti předpokládají potenciální maximální dopad ohrožení zabezpečení. Informace týkající se pravděpodobnosti, že do 30 dnů od vydání tohoto bulletinu zabezpečení dojde k zneužití ohrožení zabezpečení v souvislosti s jeho závažností a dopadem na zabezpečení, najdete v souhrnu bulletinu v indexu zneužitelnosti.
| Hodnocení závažnosti ohrožení zabezpečení a maximální dopad na zabezpečení ovlivněným softwarem | ||
|---|---|---|
| Ovlivněný software | ohrožení zabezpečení z hlediska možnosti vzdáleného spuštění kódu HTTP.sys – CVE-2015-1635 | Agregované hodnocení závažnosti |
| Windows 7 | ||
| Windows 7 pro 32bitové systémy Service Pack 1 (3042553) | Kritické vzdálené spuštění kódu | Kritická |
| Windows 7 pro systémy s platformou x64 Service Pack 1 3042553 | Kritické vzdálené spuštění kódu | Kritická |
| Windows Server 2008 R2 | ||
| Windows Server 2008 R2 pro počítače s procesorem Itanium Service Pack 1 (3042553) | Kritické vzdálené spuštění kódu | Kritická |
| Windows Server 2008 R2 pro systémy s platformou x64 Service Pack 1 (3042553) | Kritické vzdálené spuštění kódu | Kritická |
| Windows 8 a Windows 8.1 | ||
| Windows 8 pro 32bitové systémy (3042553) | Kritické vzdálené spuštění kódu | Kritická |
| Windows 8 pro systémy založené na platformě x64 (3042553) | Kritické vzdálené spuštění kódu | Kritická |
| Windows Server 2012 a Windows Server 2012 R2 | ||
| Windows Server 2012 (3042553) | Kritické vzdálené spuštění kódu | Kritická |
| Windows Server 2012 R2 (3042553) | Kritické vzdálené spuštění kódu | Kritická |
| Možnost instalace jádra serveru | ||
| Windows Server 2012 (instalace jádra serveru) (3042553) | Kritické vzdálené spuštění kódu | Kritická |
| Windows Server 2012 R2 (instalace jádra serveru) (3042553) | Kritické vzdálené spuštění kódu | Kritická |
Informace o ohrožení zabezpečení
ohrožení zabezpečení z hlediska možnosti vzdáleného spuštění kódu HTTP.sys – CVE-2015-1635
V zásobníku protokolu HTTP (HTTP.sys) existuje ohrožení zabezpečení spočívající ve vzdáleném spuštění kódu, které je způsobeno tím, že HTTP.sys nesprávně parsuje speciálně vytvořené požadavky HTTP. Útočník, který tuto chybu zabezpečení úspěšně zneužil, může v kontextu systémového účtu spustit libovolný kód.
Aby mohl útočník tuto chybu zabezpečení zneužít, musel by do ovlivněného systému odeslat speciálně vytvořený požadavek HTTP. Tato aktualizace řeší ohrožení zabezpečení úpravou způsobu, jakým zásobník HTTP systému Windows zpracovává požadavky.
Společnost Microsoft obdržela informace o této chybě zabezpečení prostřednictvím koordinovaného zpřístupnění ohrožení zabezpečení. Při původním vydání tohoto bulletinu zabezpečení společnost Microsoft nepřijala žádné informace, které by značily, že se tato chyba zabezpečení veřejně používala k útoku zákazníků.
Faktory pro zmírnění rizika
Společnost Microsoft nezjistila žádné faktory pro zmírnění tohoto ohrožení zabezpečení.
Alternativní řešení
Ve vaší situaci může být užitečné následující alternativní řešení :
Zakázání ukládání jádra IIS do mezipaměti
Toto alternativní řešení je specifické pro službu IIS a může způsobit problémy s výkonem. Další informace naleznete v tématu Povolení Ukládání do mezipaměti jádra (IIS 7).
Nasazení aktualizace zabezpečení
Informace o nasazení aktualizací zabezpečení naleznete v článku znalostní báze Microsoft Knowledge Base, na který se odkazuje v souhrnu vedení.
Poděkování
Microsoft rozpoznává úsilí těch, kteří jsou v komunitě zabezpečení, kteří nám pomáhají chránit zákazníky prostřednictvím koordinovaného zpřístupnění ohrožení zabezpečení. Další informace najdete v části Potvrzení .
Právní doložka
Informace poskytované ve znalostní bázi Microsoft Knowledge Base jsou poskytovány "tak, jak jsou" bez záruky jakéhokoli druhu. Společnost Microsoft odmítá všechny záruky, ať už výslovné nebo předpokládané, včetně záruk prodejnosti a vhodnosti pro určitý účel. V žádném případě společnost Microsoft Corporation nebo její dodavatelé nenese odpovědnost za jakékoli škody, včetně přímých, nepřímých, náhodných, následných, ztrát obchodních zisků nebo zvláštních škod, a to i v případě, že společnost Microsoft Corporation nebo její dodavatelé byli upozorněni na možnost těchto škod. Některé státy neumožňují vyloučení nebo omezení odpovědnosti za následné nebo náhodné škody, takže výše uvedené omezení nemusí platit.
Revize
- V1.0 (14. dubna 2015): Bulletin publikován.
- V1.1 (22. dubna 2015): Bulletin opravený tak, aby opravoval náhradní položky aktualizací pro Windows 8 a Windows Server 2012 v tabulce Ovlivněný software. Jedná se pouze o informační změnu. V aktualizačních souborech nebyly žádné změny. Zákazníci, kteří už úspěšně aktualizovali své systémy, nemusí provádět žádnou akci.
Stránka vygenerovaná 2015-04-22 11:30Z-07:00.