Biuletyn zabezpieczeń firmy Microsoft MS16-065 — ważne
Aktualizacja zabezpieczeń programu .NET Framework (3156757)
Opublikowano: 10 maja 2016 r. | Zaktualizowano: 12 maja 2016 r.
Wersja: 1.1
Streszczenie
Ta aktualizacja zabezpieczeń usuwa lukę w zabezpieczeniach w programie Microsoft .NET Framework. Luka w zabezpieczeniach może spowodować ujawnienie informacji, jeśli osoba atakująca wprowadza niezaszyfrowane dane do docelowego bezpiecznego kanału, a następnie wykonuje atak typu man-in-the-middle (MiTM) między docelowym klientem a legalnym serwerem.
Ta aktualizacja zabezpieczeń jest oceniana jako Ważna dla programu Microsoft .NET Framework 2.0 z dodatkiem Service Pack 2, Microsoft .NET Framework 3.5, Microsoft .NET Framework 3.5.1, Microsoft .NET Framework 4.5.2, Microsoft .NET Framework 4.6 i Microsoft .NET Framework 4.6.1 w wersjach systemu Microsoft Windows. Aby uzyskać więcej informacji, zobacz sekcję Oprogramowanie, którego dotyczy problem .
Aktualizacja zabezpieczeń usuwa tę lukę w zabezpieczeniach, modyfikując sposób wysyłania i odbierania zaszyfrowanych pakietów sieciowych przez składnik szyfrowania .NET. Aby uzyskać więcej informacji na temat luki w zabezpieczeniach, zobacz sekcję Informacje o lukach w zabezpieczeniach.
Aby uzyskać więcej informacji na temat tej aktualizacji, zobacz artykuł bazy wiedzy Microsoft Knowledge Base 3156757.
Oceny ważności oprogramowania i luk w zabezpieczeniach
Dotyczy to następujących wersji oprogramowania lub edycji. Wersje lub wersje, które nie są wymienione, są przeszłości ich cyklu życia pomocy technicznej lub nie mają wpływu. Aby określić cykl życia pomocy technicznej dla wersji lub wydania oprogramowania, zobacz pomoc techniczna firmy Microsoft Cykl życia.
Oceny ważności wskazane dla każdego objętego oprogramowania zakładają potencjalny maksymalny wpływ luki w zabezpieczeniach. Aby uzyskać informacje dotyczące prawdopodobieństwa, w ciągu 30 dni od wydania tego biuletynu zabezpieczeń, możliwości wykorzystania luki w zabezpieczeniach w odniesieniu do jego oceny ważności i wpływu na zabezpieczenia, zobacz indeks wykorzystania w podsumowaniu biuletynu majowego.
| System operacyjny | Składnik | Luka w zabezpieczeniach dotycząca ujawniania informacji TLS/SSL — CVE-2016-0149 | Aktualizacje zastąpione |
|---|---|---|---|
| Windows Vista | |||
| Dodatek Service Pack 2 dla systemu Windows Vista | Microsoft .NET Framework 2.0 z dodatkiem Service Pack 2 (3142023) | Ujawnienie ważnych informacji | Brak |
| Dodatek Service Pack 2 dla systemu Windows Vista | Microsoft .NET Framework 4.5.2[1](3142033) | Ujawnienie ważnych informacji | 2972107 w ms14-057 |
| Dodatek Service Pack 2 dla systemu Windows Vista | Microsoft .NET Framework 4.6[1](3142037) | Ujawnienie ważnych informacji | Brak |
| Windows Vista x64 Edition z dodatkiem Service Pack 2 | Microsoft .NET Framework 2.0 z dodatkiem Service Pack 2 (3142023) | Ujawnienie ważnych informacji | Brak |
| Windows Vista x64 Edition z dodatkiem Service Pack 2 | Microsoft .NET Framework 4.5.2[1](3142033) | Ujawnienie ważnych informacji | 2972107 w ms14-057 |
| Windows Vista x64 Edition z dodatkiem Service Pack 2 | Microsoft .NET Framework 4.6[1](3142037) | Ujawnienie ważnych informacji | Brak |
| Windows Server 2008 | |||
| Windows Server 2008 dla systemów 32-bitowych z dodatkiem Service Pack 2 | Microsoft .NET Framework 2.0 z dodatkiem Service Pack 2 (3142023) | Ujawnienie ważnych informacji | Brak |
| Windows Server 2008 dla systemów 32-bitowych z dodatkiem Service Pack 2 | Microsoft .NET Framework 4.5.2[1](3142033) | Ujawnienie ważnych informacji | 2972107 w ms14-057 |
| Windows Server 2008 dla systemów 32-bitowych z dodatkiem Service Pack 2 | Microsoft .NET Framework 4.6[1](3142037) | Ujawnienie ważnych informacji | Brak |
| Windows Server 2008 dla systemów opartych na architekturze x64 z dodatkiem Service Pack 2 | Microsoft .NET Framework 2.0 z dodatkiem Service Pack 2 (3142023) | Ujawnienie ważnych informacji | Brak |
| Windows Server 2008 dla systemów opartych na architekturze x64 z dodatkiem Service Pack 2 | Microsoft .NET Framework 4.5.2[1](3142033) | Ujawnienie ważnych informacji | 2972107 w ms14-057 |
| Windows Server 2008 dla systemów opartych na architekturze x64 z dodatkiem Service Pack 2 | Microsoft .NET Framework 4.6[1](3142037) | Ujawnienie ważnych informacji | Brak |
| Windows Server 2008 dla systemów itanium z dodatkiem Service Pack 2 | Microsoft .NET Framework 2.0 z dodatkiem Service Pack 2 (3142023) | Ujawnienie ważnych informacji | Brak |
| Windows 7 | |||
| Windows 7 dla systemów 32-bitowych z dodatkiem Service Pack 1 | Microsoft .NET Framework 3.5.1 (3142024) | Ujawnienie ważnych informacji | Brak |
| Windows 7 dla systemów 32-bitowych z dodatkiem Service Pack 1 | Microsoft .NET Framework 4.5.2[1](3142033) | Ujawnienie ważnych informacji | 2972107 w ms14-057 |
| Windows 7 dla systemów 32-bitowych z dodatkiem Service Pack 1 | Microsoft .NET Framework 4.6/4.6.1[1](3142037) | Ujawnienie ważnych informacji | Brak |
| System Windows 7 dla systemów opartych na architekturze x64 z dodatkiem Service Pack 1 | Microsoft .NET Framework 3.5.1 (3142024) | Ujawnienie ważnych informacji | Brak |
| System Windows 7 dla systemów opartych na architekturze x64 z dodatkiem Service Pack 1 | Microsoft .NET Framework 4.5.2[1](3142033) | Ujawnienie ważnych informacji | 2972107 w ms14-057 |
| System Windows 7 dla systemów opartych na architekturze x64 z dodatkiem Service Pack 1 | Microsoft .NET Framework 4.6/4.6.1[1](3142037) | Ujawnienie ważnych informacji | Brak |
| Windows Server 2008 R2 | |||
| Windows Server 2008 R2 dla systemów opartych na architekturze x64 z dodatkiem Service Pack 1 | Microsoft .NET Framework 3.5.1 (3142024) | Ujawnienie ważnych informacji | Brak |
| Windows Server 2008 R2 dla systemów opartych na architekturze x64 z dodatkiem Service Pack 1 | Microsoft .NET Framework 4.5.2[1](3142033) | Ujawnienie ważnych informacji | 2972107 w ms14-057 |
| Windows Server 2008 R2 dla systemów opartych na architekturze x64 z dodatkiem Service Pack 1 | Microsoft .NET Framework 4.6/4.6.1[1](3142037) | Ujawnienie ważnych informacji | Brak |
| Windows Server 2008 R2 dla systemów opartych na itanium z dodatkiem Service Pack 1 | Microsoft .NET Framework 3.5.1 (3142024) | Ujawnienie ważnych informacji | Brak |
| Windows 8.1 | |||
| Windows 8.1 dla systemów 32-bitowych | Microsoft .NET Framework 3.5 (3142026) | Ujawnienie ważnych informacji | Brak |
| Windows 8.1 dla systemów 32-bitowych | Microsoft .NET Framework 4.5.2[1](3142030) | Ujawnienie ważnych informacji | 2978041 w ms14-057 |
| Windows 8.1 dla systemów 32-bitowych | Microsoft .NET Framework 4.6/4.6.1[1](3142036) | Ujawnienie ważnych informacji | Brak |
| Windows 8.1 dla systemów opartych na architekturze x64 | Microsoft .NET Framework 3.5 (3142026) | Ujawnienie ważnych informacji | Brak |
| Windows 8.1 dla systemów opartych na architekturze x64 | Microsoft .NET Framework 4.5.2[1](3142030) | Ujawnienie ważnych informacji | 2978041 w ms14-057 |
| Windows 8.1 dla systemów opartych na architekturze x64 | Microsoft .NET Framework 4.6/4.6.1[1](3142036) | Ujawnienie ważnych informacji | Brak |
| Windows Server 2012 i Windows Server 2012 R2 | |||
| Windows Server 2012 | Microsoft .NET Framework 3.5 (3142025) | Ujawnienie ważnych informacji | Brak |
| Windows Server 2012 | Microsoft .NET Framework 4.5.2[1](3142032) | Ujawnienie ważnych informacji | 2978042 w ms14-057 |
| Windows Server 2012 | Microsoft .NET Framework 4.6/4.6.1[1](3142035) | Ujawnienie ważnych informacji | Brak |
| Windows Server 2012 R2 | Microsoft .NET Framework 3.5 (3142026) | Ujawnienie ważnych informacji | Brak |
| Windows Server 2012 R2 | Microsoft .NET Framework 4.5.2[1](3142030) | Ujawnienie ważnych informacji | 2978041 w ms14-057 |
| Windows Server 2012 R2 | Microsoft .NET Framework 4.6/4.6.1[1](3142036) | Ujawnienie ważnych informacji | Brak |
| Windows RT 8.1 | |||
| Windows RT 8.1 | Microsoft .NET Framework 4.5.2[1][2](3142030) | Ujawnienie ważnych informacji | 2978041 w ms14-057 |
| Windows RT 8.1 | Microsoft .NET Framework 4.6/4.6.1[1][2](3142036) | Ujawnienie ważnych informacji | Brak |
| Windows 10 | |||
| System Windows 10 dla systemów 32-bitowych[3](3156387) | Microsoft .NET Framework 3.5 | Ujawnienie ważnych informacji | 3147458 |
| System Windows 10 dla systemów 32-bitowych[3](3156387) | Microsoft .NET Framework 4.6 | Ujawnienie ważnych informacji | 3147458 |
| System Windows 10 dla systemów opartych na architekturze x64[3](3156387) | Microsoft .NET Framework 3.5 | Ujawnienie ważnych informacji | 3147458 |
| System Windows 10 dla systemów opartych na architekturze x64[3](3156387) | Microsoft .NET Framework 4.6 | Ujawnienie ważnych informacji | 3147458 |
| Windows 10 w wersji 1511 dla systemów 32-bitowych[2](3156421) | Microsoft .NET Framework 3.5 | Ujawnienie ważnych informacji | 3140768 |
| Windows 10 w wersji 1511 dla systemów 32-bitowych[2](3156421) | Microsoft .NET Framework 4.6.1 | Ujawnienie ważnych informacji | 3140768 |
| Windows 10 w wersji 1511 dla systemów opartych na architekturze x64[2](3156421) | Microsoft .NET Framework 3.5 | Ujawnienie ważnych informacji | 3140768 |
| Windows 10 w wersji 1511 dla systemów opartych na architekturze x64[2](3156421) | Microsoft .NET Framework 4.6.1 | Ujawnienie ważnych informacji | 3140768 |
| Opcja instalacji Server Core | |||
| Windows Server 2008 R2 dla systemów opartych na architekturze x64 z dodatkiem Service Pack 1 (instalacja Server Core) | Microsoft .NET Framework 3.5.1 (3142024) | Ujawnienie ważnych informacji | Brak |
| Windows Server 2008 R2 dla systemów opartych na architekturze x64 z dodatkiem Service Pack 1 (instalacja Server Core) | Microsoft .NET Framework 4.5.2[1](3142033) | Ujawnienie ważnych informacji | 2972107 w ms14-057 |
| Windows Server 2008 R2 dla systemów opartych na architekturze x64 z dodatkiem Service Pack 1 (instalacja Server Core) | Microsoft .NET Framework 4.6/4.6.1[1](3142037) | Ujawnienie ważnych informacji | Brak |
| Windows Server 2012 (instalacja Server Core) | Microsoft .NET Framework 3.5 (3142025) | Ujawnienie ważnych informacji | Brak |
| Windows Server 2012 (instalacja Server Core) | Microsoft .NET Framework 4.5.2[1](3142032) | Ujawnienie ważnych informacji | 2978042 w ms14-057 |
| Windows Server 2012 (instalacja Server Core) | Microsoft .NET Framework 4.6/4.6.1[1](3142035) | Ujawnienie ważnych informacji | Brak |
| Windows Server 2012 R2 (instalacja Server Core) | Microsoft .NET Framework 3.5 (3142026) | Ujawnienie ważnych informacji | Brak |
| Windows Server 2012 R2 (instalacja Server Core) | Microsoft .NET Framework 4.5.2[1](3142030) | Ujawnienie ważnych informacji | 2978041 w ms14-057 |
| Windows Server 2012 R2 (instalacja Server Core) | Microsoft .NET Framework 4.6/4.6.1[1](3142036) | Ujawnienie ważnych informacji | Brak |
[1]Aby uzyskać informacje o zmianach w obsłudze programu .NET Framework 4.x, zobacz Ogłoszenia pomocy technicznej dla programów Internet Explorer i .NET Framework 4.x.
[2]Aktualizacje systemu Windows RT 8.1 są dostępne tylko za pośrednictwem usługi Windows Update.
[3]Aktualizacje systemu Windows 10 są zbiorcze. Miesięczna wersja zabezpieczeń zawiera wszystkie poprawki zabezpieczeń dla luk w zabezpieczeniach, które mają wpływ na system Windows 10, oprócz aktualizacji niezwiązanych z zabezpieczeniami. Aktualizacje są dostępne za pośrednictwem wykazu usługi Microsoft Update.
Uwaga Dotyczy to systemu Windows Server 2016 Technical Preview 5. Klienci korzystający z tego systemu operacyjnego są zachęcani do stosowania aktualizacji, która jest dostępna za pośrednictwem usługi Windows Update.
Informacje o lukach w zabezpieczeniach
Luka w zabezpieczeniach dotycząca ujawniania informacji TLS/SSL — CVE-2016-0149
Luka w zabezpieczeniach umożliwiająca ujawnienie informacji istnieje w protokole TLS/SSL zaimplementowanym w składniku szyfrowania programu Microsoft .NET Framework. Osoba atakująca, która pomyślnie wykorzystała tę lukę w zabezpieczeniach, może odszyfrować zaszyfrowany ruch SSL/TLS.
Aby wykorzystać lukę w zabezpieczeniach, osoba atakująca musiałaby najpierw wstrzyknąć niezaszyfrowane dane do bezpiecznego kanału, a następnie przeprowadzić atak typu man-in-the-middle (MiTM) między docelowym klientem a legalnym serwerem. Aktualizacja usuwa tę lukę w zabezpieczeniach, modyfikując sposób wysyłania i odbierania zaszyfrowanych pakietów sieciowych przez składnik szyfrowania .NET.
Ważne firma Microsoft zaleca klientom pobranie i przetestowanie odpowiedniej aktualizacji w środowiskach kontrolowanych/zarządzanych przed wdrożeniem ich w środowiskach produkcyjnych.
W przypadku problemów ze zgodnością aplikacji zalecaną metodą jest upewnienie się, że punkty końcowe serwera i klienta prawidłowo implementują protokół TLS RFC i że mogą interpretować dwa podzielone rekordy zawierające odpowiednio 1, n-1 bajty po tej aktualizacji. Aby uzyskać więcej informacji i wskazówek dla deweloperów, zobacz artykuł bazy wiedzy Microsoft Knowledge Base 3155464.
Poniższa tabela zawiera linki do standardowego wpisu dla każdej luki w zabezpieczeniach na liście Typowe luki w zabezpieczeniach i ekspozycji:
| Tytuł luki w zabezpieczeniach | Numer CVE | Ujawnione publicznie | Wykorzystać |
|---|---|---|---|
| Luka w zabezpieczeniach dotycząca ujawniania informacji TLS/SSL | CVE-2016-0149 | Tak | Nie. |
Czynniki korygujące
Następujące czynniki korygujące mogą być pomocne w Twojej sytuacji:
Nie ma to wpływu na klientów, którzy włączyli protokół TLS1.2. Aby uzyskać więcej informacji i wskazówek dla deweloperów, zobacz artykuł bazy wiedzy Microsoft Knowledge Base 3155464.
Obejścia
Firma Microsoft nie zidentyfikowała żadnych obejść tej luki w zabezpieczeniach .
Wdrażanie aktualizacji zabezpieczeń
Aby uzyskać informacje o wdrażaniu aktualizacji zabezpieczeń, zobacz artykuł z bazy wiedzy Microsoft Knowledge Base, do których odwołuje się podsumowanie wykonawcze.
Podziękowania
Firma Microsoft uznaje wysiłki osób w społeczności zabezpieczeń, które pomagają nam chronić klientów poprzez skoordynowane ujawnienie luk w zabezpieczeniach. Aby uzyskać więcej informacji, zobacz Potwierdzenie .
Zastrzeżenie
Informacje podane w bazie wiedzy Microsoft Knowledge Base są dostarczane "tak, jak to jest" bez gwarancji jakiegokolwiek rodzaju. Firma Microsoft nie udziela wszelkich gwarancji, wyraźnych lub domniemanych, w tym gwarancji możliwości handlowych i przydatności do określonego celu. W żadnym wypadku Firma Microsoft Corporation lub jej dostawcy nie ponosi odpowiedzialności za wszelkie szkody, w tym bezpośrednie, pośrednie, przypadkowe, wtórne, utratę zysków biznesowych lub szkody specjalne, nawet jeśli firma Microsoft Corporation lub jej dostawcy zostali poinformowani o możliwości takich szkód. Niektóre państwa nie zezwalają na wyłączenie lub ograniczenie odpowiedzialności za szkody wtórne lub przypadkowe, więc powyższe ograniczenie może nie mieć zastosowania.
Poprawki
- Wersja 1.0 (10 maja 2016 r.): Opublikowano biuletyn.
- Wersja 1.1 (12 maja 2016 r.): Poprawiony biuletyn w celu ogłoszenia zmiany wykrywania aktualizacji 3142037 programu .NET Framework 4.6/4.6.1. Jest to tylko zmiana informacyjna. Klienci, którzy pomyślnie zaktualizowali swoje systemy, nie muszą podejmować żadnych działań.
Strona wygenerowana 2016-05-12 09:54-07:00.