Microsoft-beveiligingsbulletin MS16-065 - Belangrijk
Beveiligingsupdate voor .NET Framework (3156757)
Gepubliceerd: 10 mei 2016 | Bijgewerkt: 12 mei 2016
Versie: 1.1
Samenvatting
Met deze beveiligingsupdate wordt een beveiligingsprobleem in Microsoft .NET Framework opgelost. Het beveiligingsprobleem kan openbaarmaking van informatie veroorzaken als een aanvaller niet-versleutelde gegevens in het doelbeveiligingskanaal injecteert en vervolgens een man-in-the-middle-aanval (MiTM) tussen de beoogde client en een legitieme server uitvoert.
Deze beveiligingsupdate is geclassificeerd als Belangrijk voor Microsoft .NET Framework 2.0 Service Pack 2, Microsoft .NET Framework 3.5, Microsoft .NET Framework 3.5.1, Microsoft .NET Framework 4.5.2, Microsoft .NET Framework 4.6 en Microsoft .NET Framework 4.6.1 op betrokken versies van Microsoft Windows. Zie de sectie Beïnvloede software voor meer informatie.
Met de beveiligingsupdate wordt het beveiligingsprobleem opgelost door de manier te wijzigen waarop het .NET-versleutelingsonderdeel versleutelde netwerkpakketten verzendt en ontvangt. Zie de sectie Informatie over beveiligingsproblemen voor meer informatie over het beveiligingsprobleem.
Zie het Microsoft Knowledge Base-artikel 3156757 voor meer informatie over deze update.
Ernstclassificaties voor betrokken software en beveiligingsproblemen
De volgende softwareversies of -edities worden beïnvloed. Versies of edities die niet worden vermeld, vallen na de levenscyclus van de ondersteuning of worden niet beïnvloed. Zie Microsoft Ondersteuning Levenscyclus om de levenscyclus van de ondersteuning voor uw softwareversie of -editie te bepalen.
Bij de ernstclassificaties die voor elke betrokken software worden aangegeven, wordt ervan uitgegaan dat de mogelijke maximale impact van het beveiligingsprobleem wordt overschreden. Voor informatie over de waarschijnlijkheid, binnen 30 dagen na de release van dit beveiligingsbulletin, van de misbruikbaarheid van het beveiligingsprobleem ten opzichte van de ernstclassificatie en beveiligingsimpact, raadpleegt u de Index exploitability in de samenvatting van het bulletin van mei.
| Besturingssysteem | Onderdeel | Beveiligingsprobleem met betrekking tot openbaarmaking van TLS/SSL-informatie - CVE-2016-0149 | Updates vervangen |
|---|---|---|---|
| Windows Vista | |||
| Windows Vista Service Pack 2 | Microsoft .NET Framework 2.0 Service Pack 2 (3142023) | Belangrijke openbaarmaking van informatie | Geen |
| Windows Vista Service Pack 2 | Microsoft .NET Framework 4.5.2[1](3142033) | Belangrijke openbaarmaking van informatie | 2972107 in MS14-057 |
| Windows Vista Service Pack 2 | Microsoft .NET Framework 4.6[1](3142037) | Belangrijke openbaarmaking van informatie | Geen |
| Windows Vista x64 Edition Service Pack 2 | Microsoft .NET Framework 2.0 Service Pack 2 (3142023) | Belangrijke openbaarmaking van informatie | Geen |
| Windows Vista x64 Edition Service Pack 2 | Microsoft .NET Framework 4.5.2[1](3142033) | Belangrijke openbaarmaking van informatie | 2972107 in MS14-057 |
| Windows Vista x64 Edition Service Pack 2 | Microsoft .NET Framework 4.6[1](3142037) | Belangrijke openbaarmaking van informatie | Geen |
| Windows Server 2008 | |||
| Windows Server 2008 voor 32-bits systemen Service Pack 2 | Microsoft .NET Framework 2.0 Service Pack 2 (3142023) | Belangrijke openbaarmaking van informatie | Geen |
| Windows Server 2008 voor 32-bits systemen Service Pack 2 | Microsoft .NET Framework 4.5.2[1](3142033) | Belangrijke openbaarmaking van informatie | 2972107 in MS14-057 |
| Windows Server 2008 voor 32-bits systemen Service Pack 2 | Microsoft .NET Framework 4.6[1](3142037) | Belangrijke openbaarmaking van informatie | Geen |
| Windows Server 2008 voor x64-systemen Service Pack 2 | Microsoft .NET Framework 2.0 Service Pack 2 (3142023) | Belangrijke openbaarmaking van informatie | Geen |
| Windows Server 2008 voor x64-systemen Service Pack 2 | Microsoft .NET Framework 4.5.2[1](3142033) | Belangrijke openbaarmaking van informatie | 2972107 in MS14-057 |
| Windows Server 2008 voor x64-systemen Service Pack 2 | Microsoft .NET Framework 4.6[1](3142037) | Belangrijke openbaarmaking van informatie | Geen |
| Windows Server 2008 voor Op Itanium gebaseerde systemen Service Pack 2 | Microsoft .NET Framework 2.0 Service Pack 2 (3142023) | Belangrijke openbaarmaking van informatie | Geen |
| Windows 7 | |||
| Windows 7 voor 32-bits systemen Service Pack 1 | Microsoft .NET Framework 3.5.1 (3142024) | Belangrijke openbaarmaking van informatie | Geen |
| Windows 7 voor 32-bits systemen Service Pack 1 | Microsoft .NET Framework 4.5.2[1](3142033) | Belangrijke openbaarmaking van informatie | 2972107 in MS14-057 |
| Windows 7 voor 32-bits systemen Service Pack 1 | Microsoft .NET Framework 4.6/4.6.1[1](3142037) | Belangrijke openbaarmaking van informatie | Geen |
| Windows 7 voor x64-systemen Service Pack 1 | Microsoft .NET Framework 3.5.1 (3142024) | Belangrijke openbaarmaking van informatie | Geen |
| Windows 7 voor x64-systemen Service Pack 1 | Microsoft .NET Framework 4.5.2[1](3142033) | Belangrijke openbaarmaking van informatie | 2972107 in MS14-057 |
| Windows 7 voor x64-systemen Service Pack 1 | Microsoft .NET Framework 4.6/4.6.1[1](3142037) | Belangrijke openbaarmaking van informatie | Geen |
| Windows Server 2008 R2 | |||
| Windows Server 2008 R2 voor x64-systemen Service Pack 1 | Microsoft .NET Framework 3.5.1 (3142024) | Belangrijke openbaarmaking van informatie | Geen |
| Windows Server 2008 R2 voor x64-systemen Service Pack 1 | Microsoft .NET Framework 4.5.2[1](3142033) | Belangrijke openbaarmaking van informatie | 2972107 in MS14-057 |
| Windows Server 2008 R2 voor x64-systemen Service Pack 1 | Microsoft .NET Framework 4.6/4.6.1[1](3142037) | Belangrijke openbaarmaking van informatie | Geen |
| Windows Server 2008 R2 voor Op Itanium gebaseerde systemen Service Pack 1 | Microsoft .NET Framework 3.5.1 (3142024) | Belangrijke openbaarmaking van informatie | Geen |
| Windows 8.1 | |||
| Windows 8.1 voor 32-bits systemen | Microsoft .NET Framework 3.5 (3142026) | Belangrijke openbaarmaking van informatie | Geen |
| Windows 8.1 voor 32-bits systemen | Microsoft .NET Framework 4.5.2[1](3142030) | Belangrijke openbaarmaking van informatie | 2978041 in MS14-057 |
| Windows 8.1 voor 32-bits systemen | Microsoft .NET Framework 4.6/4.6.1[1](3142036) | Belangrijke openbaarmaking van informatie | Geen |
| Windows 8.1 voor x64-systemen | Microsoft .NET Framework 3.5 (3142026) | Belangrijke openbaarmaking van informatie | Geen |
| Windows 8.1 voor x64-systemen | Microsoft .NET Framework 4.5.2[1](3142030) | Belangrijke openbaarmaking van informatie | 2978041 in MS14-057 |
| Windows 8.1 voor x64-systemen | Microsoft .NET Framework 4.6/4.6.1[1](3142036) | Belangrijke openbaarmaking van informatie | Geen |
| Windows Server 2012 en Windows Server 2012 R2 | |||
| Windows Server 2012 | Microsoft .NET Framework 3.5 (3142025) | Belangrijke openbaarmaking van informatie | Geen |
| Windows Server 2012 | Microsoft .NET Framework 4.5.2[1](3142032) | Belangrijke openbaarmaking van informatie | 2978042 in MS14-057 |
| Windows Server 2012 | Microsoft .NET Framework 4.6/4.6.1[1](3142035) | Belangrijke openbaarmaking van informatie | Geen |
| Windows Server 2012 R2 | Microsoft .NET Framework 3.5 (3142026) | Belangrijke openbaarmaking van informatie | Geen |
| Windows Server 2012 R2 | Microsoft .NET Framework 4.5.2[1](3142030) | Belangrijke openbaarmaking van informatie | 2978041 in MS14-057 |
| Windows Server 2012 R2 | Microsoft .NET Framework 4.6/4.6.1[1](3142036) | Belangrijke openbaarmaking van informatie | Geen |
| Windows RT 8.1 | |||
| Windows RT 8.1 | Microsoft .NET Framework 4.5.2[1][2](3142030) | Belangrijke openbaarmaking van informatie | 2978041 in MS14-057 |
| Windows RT 8.1 | Microsoft .NET Framework 4.6/4.6.1[1][2](3142036) | Belangrijke openbaarmaking van informatie | Geen |
| Windows 10 | |||
| Windows 10 voor 32-bits systemen[3](3156387) | .NET Framework 3.5 | Belangrijke openbaarmaking van informatie | 3147458 |
| Windows 10 voor 32-bits systemen[3](3156387) | Microsoft .NET Framework 4.6 | Belangrijke openbaarmaking van informatie | 3147458 |
| Windows 10 voor x64-systemen[3](3156387) | .NET Framework 3.5 | Belangrijke openbaarmaking van informatie | 3147458 |
| Windows 10 voor x64-systemen[3](3156387) | Microsoft .NET Framework 4.6 | Belangrijke openbaarmaking van informatie | 3147458 |
| Windows 10 versie 1511 voor 32-bits systemen[2](3156421) | .NET Framework 3.5 | Belangrijke openbaarmaking van informatie | 3140768 |
| Windows 10 versie 1511 voor 32-bits systemen[2](3156421) | Microsoft .NET Framework 4.6.1 | Belangrijke openbaarmaking van informatie | 3140768 |
| Windows 10 versie 1511 voor op x64 gebaseerde systemen[2](3156421) | .NET Framework 3.5 | Belangrijke openbaarmaking van informatie | 3140768 |
| Windows 10 versie 1511 voor op x64 gebaseerde systemen[2](3156421) | Microsoft .NET Framework 4.6.1 | Belangrijke openbaarmaking van informatie | 3140768 |
| Server Core-installatieoptie | |||
| Windows Server 2008 R2 voor x64-systemen Service Pack 1 (Server Core-installatie) | Microsoft .NET Framework 3.5.1 (3142024) | Belangrijke openbaarmaking van informatie | Geen |
| Windows Server 2008 R2 voor x64-systemen Service Pack 1 (Server Core-installatie) | Microsoft .NET Framework 4.5.2[1](3142033) | Belangrijke openbaarmaking van informatie | 2972107 in MS14-057 |
| Windows Server 2008 R2 voor x64-systemen Service Pack 1 (Server Core-installatie) | Microsoft .NET Framework 4.6/4.6.1[1](3142037) | Belangrijke openbaarmaking van informatie | Geen |
| Windows Server 2012 (Server Core-installatie) | Microsoft .NET Framework 3.5 (3142025) | Belangrijke openbaarmaking van informatie | Geen |
| Windows Server 2012 (Server Core-installatie) | Microsoft .NET Framework 4.5.2[1](3142032) | Belangrijke openbaarmaking van informatie | 2978042 in MS14-057 |
| Windows Server 2012 (Server Core-installatie) | Microsoft .NET Framework 4.6/4.6.1[1](3142035) | Belangrijke openbaarmaking van informatie | Geen |
| Windows Server 2012 R2 (Server Core-installatie) | Microsoft .NET Framework 3.5 (3142026) | Belangrijke openbaarmaking van informatie | Geen |
| Windows Server 2012 R2 (Server Core-installatie) | Microsoft .NET Framework 4.5.2[1](3142030) | Belangrijke openbaarmaking van informatie | 2978041 in MS14-057 |
| Windows Server 2012 R2 (Server Core-installatie) | Microsoft .NET Framework 4.6/4.6.1[1](3142036) | Belangrijke openbaarmaking van informatie | Geen |
[1]Zie Internet Explorer en .NET Framework 4.x ondersteuningsaankondigingen voor informatie over wijzigingen in ondersteuning voor .NET Framework 4.x.
[2]Windows RT 8.1-updates zijn alleen beschikbaar via Windows Update.
[3]Windows 10-updates zijn cumulatief. De maandelijkse beveiligingsrelease bevat alle beveiligingsoplossingen voor beveiligingsproblemen die van invloed zijn op Windows 10, naast niet-beveiligingsupdates. De updates zijn beschikbaar via de Microsoft Update-catalogus.
Houd er rekening mee dat Windows Server 2016 Technical Preview 5 wordt beïnvloed. Klanten die dit besturingssysteem uitvoeren, worden aangemoedigd om de update toe te passen, die beschikbaar is via Windows Update.
Informatie over het beveiligingsprobleem
Beveiligingsprobleem met betrekking tot openbaarmaking van TLS/SSL-informatie - CVE-2016-0149
Er bestaat een beveiligingsprobleem met betrekking tot openbaarmaking van informatie in het TLS/SSL-protocol, geïmplementeerd in het versleutelingsonderdeel van Microsoft .NET Framework. Een aanvaller die dit beveiligingsprobleem heeft misbruikt, kan versleuteld SSL/TLS-verkeer ontsleutelen.
Om het beveiligingsprobleem te misbruiken, moet een aanvaller eerst niet-versleutelde gegevens in het beveiligde kanaal injecteren en vervolgens een man-in-the-middle-aanval (MiTM) uitvoeren tussen de beoogde client en een legitieme server. Met de update wordt het beveiligingsprobleem opgelost door de manier te wijzigen waarop het .NET-versleutelingsonderdeel versleutelde netwerkpakketten verzendt en ontvangt.
Belangrijk Microsoft raadt klanten aan om de toepasselijke update te downloaden en te testen in gecontroleerde/beheerde omgevingen voordat ze deze in hun productieomgevingen implementeren.
In het geval van compatibiliteitsproblemen met toepassingen moet u ervoor zorgen dat de server- en clienteindpunten de TLS RFC correct implementeren en dat ze twee gesplitste records met respectievelijk 1, n-1 bytes na deze update kunnen interpreteren. Zie het Microsoft Knowledge Base-artikel 3155464 voor meer informatie en richtlijnen voor ontwikkelaars.
De volgende tabel bevat koppelingen naar de standaardvermelding voor elk beveiligingsprobleem in de lijst algemene beveiligingsproblemen en blootstellingen:
| Titel van beveiligingsprobleem | CVE-nummer | Openbaar gemaakt | Benut |
|---|---|---|---|
| Beveiligingsprobleem met betrekking tot openbaarmaking van TLS/SSL-gegevens | CVE-2016-0149 | Ja | Nr. |
Factoren beperken
De volgende beperkende factoren kunnen nuttig zijn in uw situatie:
Klanten die TLS1.2 hebben ingeschakeld, worden niet beïnvloed. Zie het Microsoft Knowledge Base-artikel 3155464 voor meer informatie en richtlijnen voor ontwikkelaars.
Tijdelijke oplossingen
Microsoft heeft geen tijdelijke oplossingen voor dit beveiligingsprobleem geïdentificeerd.
Implementatie van beveiligingsupdates
Zie het Microsoft Knowledge Base-artikel waarnaar wordt verwezen in het executive-overzicht voor informatie over de implementatie van beveiligingsupdates.
Erkenningen
Microsoft herkent de inspanningen van degenen in de beveiligingscommunity die ons helpen klanten te beschermen via gecoördineerde openbaarmaking van beveiligingsproblemen. Zie Bevestigingen voor meer informatie.
Vrijwaring
De informatie in de Microsoft Knowledge Base wordt geleverd zonder enige garantie. Microsoft wijst alle garanties af, hetzij uitdrukkelijk of impliciet, met inbegrip van de garanties van verkoopbaarheid en geschiktheid voor een bepaald doel. In geen geval is Microsoft Corporation of haar leveranciers aansprakelijk voor enige schade, waaronder directe, indirecte, incidentele, gevolgschade, verlies van bedrijfswinst of speciale schade, zelfs als Microsoft Corporation of haar leveranciers op de hoogte zijn gesteld van de mogelijkheid van dergelijke schade. Sommige staten staan de uitsluiting of beperking van aansprakelijkheid voor gevolgschade of incidentele schade niet toe, zodat de voorgaande beperking mogelijk niet van toepassing is.
Revisies
- V1.0 (10 mei 2016): Bulletin gepubliceerd.
- V1.1 (12 mei 2016): Herzien bulletin om een detectiewijziging voor de 3142037-update voor .NET Framework 4.6/4.6.1 aan te kondigen. Dit is alleen een informatieve wijziging. Klanten die hun systemen al hebben bijgewerkt, hoeven geen actie te ondernemen.
Pagina gegenereerd 2016-05-12 09:54-07:00.