Biuletyn zabezpieczeń firmy Microsoft MS15-034 — krytyczny
Luka w zabezpieczeniach HTTP.sys może zezwalać na zdalne wykonywanie kodu (3042553)
Opublikowano: 14 kwietnia 2015 r. | Zaktualizowano: 22 kwietnia 2015 r.
Wersja: 1.1
Streszczenie
Ta aktualizacja zabezpieczeń usuwa lukę w zabezpieczeniach w systemie Microsoft Windows. Luka w zabezpieczeniach może umożliwić zdalne wykonywanie kodu, jeśli osoba atakująca wyśle specjalnie spreparowane żądanie HTTP do systemu Windows, którego dotyczy problem.
Ta aktualizacja zabezpieczeń jest oceniana jako krytyczna dla wszystkich obsługiwanych wersji systemu Windows 7, Windows Server 2008 R2, Windows 8, Windows Server 2012, Windows 8.1 i Windows Server 2012 R2. Aby uzyskać więcej informacji, zobacz sekcję Oprogramowanie, którego dotyczy problem .
Aktualizacja zabezpieczeń usuwa tę lukę w zabezpieczeniach, modyfikując sposób obsługi żądań przez stos HTTP systemu Windows. Aby uzyskać więcej informacji na temat luki w zabezpieczeniach, zobacz sekcję VulnerabilityInformation .
Aby uzyskać więcej informacji na temat tego dokumentu, zobacz artykuł bazy wiedzy Microsoft Knowledge Base 3042553.
Oprogramowanie, którego dotyczy problem
Dotyczy to następujących wersji oprogramowania lub edycji. Wersje lub wersje, które nie są wymienione, są przeszłości ich cyklu życia pomocy technicznej lub nie mają wpływu. Aby określić cykl życia pomocy technicznej dla wersji lub wydania oprogramowania, zobacz pomoc techniczna firmy Microsoft Cykl życia.
| System operacyjny | Maksymalny wpływ na zabezpieczenia | Ocena zagregowanej ważności | Aktualizacje zastąpione |
|---|---|---|---|
| Windows 7 | |||
| Windows 7 dla 32-bitowych systemów z dodatkiem Service Pack 1 (3042553) | Zdalne wykonywanie kodu | Krytyczne | Brak |
| System Windows 7 dla systemów opartych na architekturze x64 z dodatkiem Service Pack 1 (3042553) | Zdalne wykonywanie kodu | Krytyczne | Brak |
| Windows Server 2008 R2 | |||
| Windows Server 2008 R2 dla systemów opartych na architekturze x64 z dodatkiem Service Pack 1 (3042553) | Zdalne wykonywanie kodu | Krytyczne | Brak |
| Windows Server 2008 R2 dla systemów itanium z dodatkiem Service Pack 1 (3042553) | Zdalne wykonywanie kodu | Krytyczne | Brak |
| Windows 8 i Windows 8.1 | |||
| System Windows 8 dla systemów 32-bitowych (3042553) | Zdalne wykonywanie kodu | Krytyczne | 2829254 w ms13-039 |
| System Windows 8 dla systemów opartych na architekturze x64 (3042553) | Zdalne wykonywanie kodu | Krytyczne | 2829254 w ms13-039 |
| Windows 8.1 dla systemów 32-bitowych (3042553) | Zdalne wykonywanie kodu | Krytyczne | Brak |
| Windows 8.1 dla systemów opartych na architekturze x64 (3042553) | Zdalne wykonywanie kodu | Krytyczne | Brak |
| Windows Server 2012 i Windows Server 2012 R2 | |||
| Windows Server 2012 (3042553) | Zdalne wykonywanie kodu | Krytyczne | 2829254 w ms13-039 |
| Windows Server 2012 R2 (3042553) | Zdalne wykonywanie kodu | Krytyczne | Brak |
| Opcja instalacji Server Core | |||
| Windows Server 2008 R2 dla systemów opartych na architekturze x64 z dodatkiem Service Pack 1 (instalacja Server Core) (3042553) | Zdalne wykonywanie kodu | Krytyczne | Brak |
| Windows Server 2012 (instalacja Server Core) (3042553) | Zdalne wykonywanie kodu | Krytyczne | 2829254 w ms13-039 |
| Windows Server 2012 R2 (instalacja Server Core) (3042553) | Zdalne wykonywanie kodu | Krytyczne | Brak |
Uwaga Aktualizacja jest dostępna dla systemów Windows Technical Preview i Windows Server Technical Preview. Klienci korzystający z tych systemów operacyjnych są zachęcani do stosowania aktualizacji, która jest dostępna za pośrednictwem usługi Windows Update.
Klasyfikacje ważności i identyfikatory luk w zabezpieczeniach
Następujące oceny ważności zakładają potencjalny maksymalny wpływ luki w zabezpieczeniach. Aby uzyskać informacje dotyczące prawdopodobieństwa, w ciągu 30 dni od wydania tego biuletynu zabezpieczeń, możliwości wykorzystania luki w zabezpieczeniach w odniesieniu do jej oceny ważności i wpływu na zabezpieczenia, zobacz indeks wykorzystania w kwietniowym podsumowaniu biuletynu.
| Ocena ważności luk w zabezpieczeniach i maksymalny wpływ na zabezpieczenia przez oprogramowanie, którego dotyczy problem | ||
|---|---|---|
| Oprogramowanie, którego dotyczy problem | HTTP.sys luka w zabezpieczeniach dotycząca zdalnego wykonywania kodu — CVE-2015-1635 | Ocena zagregowanej ważności |
| Windows 7 | ||
| Windows 7 dla 32-bitowych systemów z dodatkiem Service Pack 1 (3042553) | Krytyczne zdalne wykonywanie kodu | Krytyczne |
| Windows 7 dla systemów opartych na architekturze x64 z dodatkiem Service Pack 1 3042553 | Krytyczne zdalne wykonywanie kodu | Krytyczne |
| Windows Server 2008 R2 | ||
| Windows Server 2008 R2 dla systemów itanium z dodatkiem Service Pack 1 (3042553) | Krytyczne zdalne wykonywanie kodu | Krytyczne |
| Windows Server 2008 R2 dla systemów opartych na architekturze x64 z dodatkiem Service Pack 1 (3042553) | Krytyczne zdalne wykonywanie kodu | Krytyczne |
| Windows 8 i Windows 8.1 | ||
| System Windows 8 dla systemów 32-bitowych (3042553) | Krytyczne zdalne wykonywanie kodu | Krytyczne |
| System Windows 8 dla systemów opartych na architekturze x64 (3042553) | Krytyczne zdalne wykonywanie kodu | Krytyczne |
| Windows Server 2012 i Windows Server 2012 R2 | ||
| Windows Server 2012 (3042553) | Krytyczne zdalne wykonywanie kodu | Krytyczne |
| Windows Server 2012 R2 (3042553) | Krytyczne zdalne wykonywanie kodu | Krytyczne |
| Opcja instalacji Server Core | ||
| Windows Server 2012 (instalacja Server Core) (3042553) | Krytyczne zdalne wykonywanie kodu | Krytyczne |
| Windows Server 2012 R2 (instalacja Server Core) (3042553) | Krytyczne zdalne wykonywanie kodu | Krytyczne |
Informacje o lukach w zabezpieczeniach
HTTP.sys luka w zabezpieczeniach dotycząca zdalnego wykonywania kodu — CVE-2015-1635
Luka w zabezpieczeniach dotycząca zdalnego wykonywania kodu istnieje w stosie protokołu HTTP (HTTP.sys), który jest spowodowany tym, że HTTP.sys nieprawidłowo analizuje specjalnie spreparowane żądania HTTP. Osoba atakująca, która pomyślnie wykorzystała tę lukę w zabezpieczeniach, może wykonać dowolny kod w kontekście konta systemowego.
Aby wykorzystać tę lukę w zabezpieczeniach, osoba atakująca musiałaby wysłać specjalnie spreparowane żądanie HTTP do systemu, którego dotyczy problem. Aktualizacja usuwa tę lukę w zabezpieczeniach, modyfikując sposób obsługi żądań przez stos HTTP systemu Windows.
Firma Microsoft otrzymała informacje o tej lukach w zabezpieczeniach poprzez skoordynowane ujawnienie luk w zabezpieczeniach. Po pierwotnym wydaniu tego biuletynu zabezpieczeń firma Microsoft nie otrzymała żadnych informacji wskazujących, że ta luka w zabezpieczeniach została publicznie wykorzystana do ataku na klientów.
Czynniki korygujące
Firma Microsoft nie zidentyfikowała żadnych czynników korygujących tę lukę w zabezpieczeniach.
Obejścia
Następujące obejście może być przydatne w twojej sytuacji:
Wyłączanie buforowania jądra usług IIS
To obejście jest specyficzne dla usług IIS i może powodować problemy z wydajnością. Aby uzyskać więcej informacji, zobacz Włączanie Buforowanie jądra (IIS 7).
Wdrażanie aktualizacji zabezpieczeń
Aby uzyskać informacje o wdrażaniu aktualizacji zabezpieczeń, zobacz artykuł z bazy wiedzy Microsoft Knowledge Base, do których odwołuje się podsumowanie wykonawcze.
Podziękowania
Firma Microsoft uznaje wysiłki osób w społeczności zabezpieczeń, które pomagają nam chronić klientów poprzez skoordynowane ujawnienie luk w zabezpieczeniach. Aby uzyskać więcej informacji, zobacz Potwierdzenie .
Zastrzeżenie
Informacje podane w bazie wiedzy Microsoft Knowledge Base są dostarczane "tak, jak to jest" bez gwarancji jakiegokolwiek rodzaju. Firma Microsoft nie udziela wszelkich gwarancji, wyraźnych lub domniemanych, w tym gwarancji możliwości handlowych i przydatności do określonego celu. W żadnym wypadku Firma Microsoft Corporation lub jej dostawcy nie ponosi odpowiedzialności za wszelkie szkody, w tym bezpośrednie, pośrednie, przypadkowe, wtórne, utratę zysków biznesowych lub szkody specjalne, nawet jeśli firma Microsoft Corporation lub jej dostawcy zostali poinformowani o możliwości takich szkód. Niektóre państwa nie zezwalają na wyłączenie lub ograniczenie odpowiedzialności za szkody wtórne lub przypadkowe, więc powyższe ograniczenie może nie mieć zastosowania.
Poprawki
- Wersja 1.0 (14 kwietnia 2015 r.): Opublikowano biuletyn.
- Wersja 1.1 (22 kwietnia 2015 r.): Biuletyn poprawiony w celu poprawienia wpisów zastępczych aktualizacji dla systemów Windows 8 i Windows Server 2012 w tabeli Affected Software. Jest to tylko zmiana informacyjna. Nie wprowadzono żadnych zmian w plikach aktualizacji. Klienci, którzy pomyślnie zaktualizowali swoje systemy, nie muszą podejmować żadnych działań.
Strona wygenerowana 2015-04-22 11:30Z-07:00.