Microsoft Security Bulletin MS16-065 – Viktigt
Säkerhetsuppdatering för .NET Framework (3156757)
Publicerad: 10 maj 2016 | Uppdaterad: 12 maj 2016
Version: 1.1
Sammanfattning
Den här säkerhetsuppdateringen löser en säkerhetsrisk i Microsoft .NET Framework. Säkerhetsrisken kan orsaka avslöjande av information om en angripare matar in okrypterade data i den säkra målkanalen och sedan utför en MiTM-attack (man-in-the-middle) mellan målklienten och en legitim server.
Den här säkerhetsuppdateringen klassificeras som Viktig för Microsoft .NET Framework 2.0 Service Pack 2, Microsoft .NET Framework 3.5, Microsoft .NET Framework 3.5.1, Microsoft .NET Framework 4.5.2, Microsoft .NET Framework 4.6 och Microsoft .NET Framework 4.6.1 på berörda versioner av Microsoft Windows. Mer information finns i avsnittet Berörd programvara .
Säkerhetsuppdateringen åtgärdar säkerhetsrisken genom att ändra hur .NET-krypteringskomponenten skickar och tar emot krypterade nätverkspaket. Mer information om säkerhetsrisken finns i avsnittet Sårbarhetsinformation .
Mer information om den här uppdateringen finns i Microsoft Knowledge Base-artikeln 3156757.
Berörda klassificeringar av programvara och sårbarhetsgrader
Följande programvaruversioner eller utgåvor påverkas. Versioner eller utgåvor som inte visas har antingen passerat sin supportlivscykel eller påverkas inte. Information om hur du fastställer supportlivscykeln för din programvaruversion eller utgåva finns i Microsoft Support Lifecycle.
De allvarlighetsgradsklassificeringar som anges för varje berörd programvara förutsätter den potentiella maximala effekten av sårbarheten. Information om sannolikheten, inom 30 dagar efter att säkerhetsbulletinen har släppts, för sårbarhetens sårbarhets exploaterbarhet i förhållande till dess allvarlighetsgrad och säkerhetspåverkan, finns i översikten över sårbarhetsindex i majbulletinen.
| Operativsystem | Komponent | Säkerhetsrisk för TLS/SSL-information – CVE-2016-0149 | Uppdateringar har ersatts |
|---|---|---|---|
| Windows Vista | |||
| Windows Vista Service Pack 2 | Microsoft .NET Framework 2.0 Service Pack 2 (3142023) | Viktig information – avslöjande | Ingen |
| Windows Vista Service Pack 2 | Microsoft .NET Framework 4.5.2[1](3142033) | Viktig information – avslöjande | 2972107 i MS14-057 |
| Windows Vista Service Pack 2 | Microsoft .NET Framework 4.6[1](3142037) | Viktig information – avslöjande | Ingen |
| Windows Vista x64 Edition Service Pack 2 | Microsoft .NET Framework 2.0 Service Pack 2 (3142023) | Viktig information – avslöjande | Ingen |
| Windows Vista x64 Edition Service Pack 2 | Microsoft .NET Framework 4.5.2[1](3142033) | Viktig information – avslöjande | 2972107 i MS14-057 |
| Windows Vista x64 Edition Service Pack 2 | Microsoft .NET Framework 4.6[1](3142037) | Viktig information – avslöjande | Ingen |
| Windows Server 2008 | |||
| Windows Server 2008 för 32-bitars system Service Pack 2 | Microsoft .NET Framework 2.0 Service Pack 2 (3142023) | Viktig information – avslöjande | Ingen |
| Windows Server 2008 för 32-bitars system Service Pack 2 | Microsoft .NET Framework 4.5.2[1](3142033) | Viktig information – avslöjande | 2972107 i MS14-057 |
| Windows Server 2008 för 32-bitars system Service Pack 2 | Microsoft .NET Framework 4.6[1](3142037) | Viktig information – avslöjande | Ingen |
| Windows Server 2008 för x64-baserade System Service Pack 2 | Microsoft .NET Framework 2.0 Service Pack 2 (3142023) | Viktig information – avslöjande | Ingen |
| Windows Server 2008 för x64-baserade System Service Pack 2 | Microsoft .NET Framework 4.5.2[1](3142033) | Viktig information – avslöjande | 2972107 i MS14-057 |
| Windows Server 2008 för x64-baserade System Service Pack 2 | Microsoft .NET Framework 4.6[1](3142037) | Viktig information – avslöjande | Ingen |
| Windows Server 2008 för Itanium-baserade System Service Pack 2 | Microsoft .NET Framework 2.0 Service Pack 2 (3142023) | Viktig information – avslöjande | Ingen |
| Windows 7 | |||
| Windows 7 för 32-bitars system Service Pack 1 | Microsoft .NET Framework 3.5.1 (3142024) | Viktig information – avslöjande | Ingen |
| Windows 7 för 32-bitars system Service Pack 1 | Microsoft .NET Framework 4.5.2[1](3142033) | Viktig information – avslöjande | 2972107 i MS14-057 |
| Windows 7 för 32-bitars system Service Pack 1 | Microsoft .NET Framework 4.6/4.6.1[1](3142037) | Viktig information – avslöjande | Ingen |
| Windows 7 för x64-baserade System Service Pack 1 | Microsoft .NET Framework 3.5.1 (3142024) | Viktig information – avslöjande | Ingen |
| Windows 7 för x64-baserade System Service Pack 1 | Microsoft .NET Framework 4.5.2[1](3142033) | Viktig information – avslöjande | 2972107 i MS14-057 |
| Windows 7 för x64-baserade System Service Pack 1 | Microsoft .NET Framework 4.6/4.6.1[1](3142037) | Viktig information – avslöjande | Ingen |
| Windows Server 2008 R2 | |||
| Windows Server 2008 R2 för x64-baserade System Service Pack 1 | Microsoft .NET Framework 3.5.1 (3142024) | Viktig information – avslöjande | Ingen |
| Windows Server 2008 R2 för x64-baserade System Service Pack 1 | Microsoft .NET Framework 4.5.2[1](3142033) | Viktig information – avslöjande | 2972107 i MS14-057 |
| Windows Server 2008 R2 för x64-baserade System Service Pack 1 | Microsoft .NET Framework 4.6/4.6.1[1](3142037) | Viktig information – avslöjande | Ingen |
| Windows Server 2008 R2 för Itanium-baserade System Service Pack 1 | Microsoft .NET Framework 3.5.1 (3142024) | Viktig information – avslöjande | Ingen |
| Windows 8.1 | |||
| Windows 8.1 för 32-bitarssystem | Microsoft .NET Framework 3.5 (3142026) | Viktig information – avslöjande | Ingen |
| Windows 8.1 för 32-bitarssystem | Microsoft .NET Framework 4.5.2[1](3142030) | Viktig information – avslöjande | 2978041 i MS14-057 |
| Windows 8.1 för 32-bitarssystem | Microsoft .NET Framework 4.6/4.6.1[1](3142036) | Viktig information – avslöjande | Ingen |
| Windows 8.1 för x64-baserade system | Microsoft .NET Framework 3.5 (3142026) | Viktig information – avslöjande | Ingen |
| Windows 8.1 för x64-baserade system | Microsoft .NET Framework 4.5.2[1](3142030) | Viktig information – avslöjande | 2978041 i MS14-057 |
| Windows 8.1 för x64-baserade system | Microsoft .NET Framework 4.6/4.6.1[1](3142036) | Viktig information – avslöjande | Ingen |
| Windows Server 2012 och Windows Server 2012 R2 | |||
| Windows Server 2012 | Microsoft .NET Framework 3.5 (3142025) | Viktig information – avslöjande | Ingen |
| Windows Server 2012 | Microsoft .NET Framework 4.5.2[1](3142032) | Viktig information – avslöjande | 2978042 i MS14-057 |
| Windows Server 2012 | Microsoft .NET Framework 4.6/4.6.1[1](3142035) | Viktig information – avslöjande | Ingen |
| Windows Server 2012 R2 | Microsoft .NET Framework 3.5 (3142026) | Viktig information – avslöjande | Ingen |
| Windows Server 2012 R2 | Microsoft .NET Framework 4.5.2[1](3142030) | Viktig information – avslöjande | 2978041 i MS14-057 |
| Windows Server 2012 R2 | Microsoft .NET Framework 4.6/4.6.1[1](3142036) | Viktig information – avslöjande | Ingen |
| Windows RT 8.1 | |||
| Windows RT 8.1 | Microsoft .NET Framework 4.5.2[1][2](3142030) | Viktig information – avslöjande | 2978041 i MS14-057 |
| Windows RT 8.1 | Microsoft .NET Framework 4.6/4.6.1[1][2](3142036) | Viktig information – avslöjande | Ingen |
| Windows 10 | |||
| Windows 10 för 32-bitarssystem[3](3156387) | Microsoft .NET Framework 3.5 | Viktig information – avslöjande | 3147458 |
| Windows 10 för 32-bitarssystem[3](3156387) | Microsoft .NET Framework 4.6 | Viktig information – avslöjande | 3147458 |
| Windows 10 för x64-baserade system[3](3156387) | Microsoft .NET Framework 3.5 | Viktig information – avslöjande | 3147458 |
| Windows 10 för x64-baserade system[3](3156387) | Microsoft .NET Framework 4.6 | Viktig information – avslöjande | 3147458 |
| Windows 10 Version 1511 för 32-bitarssystem[2](3156421) | Microsoft .NET Framework 3.5 | Viktig information – avslöjande | 3140768 |
| Windows 10 Version 1511 för 32-bitarssystem [2](3156421) | Microsoft .NET Framework 4.6.1 | Viktig information – avslöjande | 3140768 |
| Windows 10 Version 1511 för x64-baserade system[2](3156421) | Microsoft .NET Framework 3.5 | Viktig information – avslöjande | 3140768 |
| Windows 10 Version 1511 för x64-baserade system [2](3156421) | Microsoft .NET Framework 4.6.1 | Viktig information – avslöjande | 3140768 |
| Installationsalternativ för Server Core | |||
| Windows Server 2008 R2 för x64-baserade System Service Pack 1 (Server Core-installation) | Microsoft .NET Framework 3.5.1 (3142024) | Viktig information – avslöjande | Ingen |
| Windows Server 2008 R2 för x64-baserade System Service Pack 1 (Server Core-installation) | Microsoft .NET Framework 4.5.2[1](3142033) | Viktig information – avslöjande | 2972107 i MS14-057 |
| Windows Server 2008 R2 för x64-baserade System Service Pack 1 (Server Core-installation) | Microsoft .NET Framework 4.6/4.6.1[1](3142037) | Viktig information – avslöjande | Ingen |
| Windows Server 2012 (Server Core-installation) | Microsoft .NET Framework 3.5 (3142025) | Viktig information – avslöjande | Ingen |
| Windows Server 2012 (Server Core-installation) | Microsoft .NET Framework 4.5.2[1](3142032) | Viktig information – avslöjande | 2978042 i MS14-057 |
| Windows Server 2012 (Server Core-installation) | Microsoft .NET Framework 4.6/4.6.1[1](3142035) | Viktig information – avslöjande | Ingen |
| Windows Server 2012 R2 (Server Core-installation) | Microsoft .NET Framework 3.5 (3142026) | Viktig information – avslöjande | Ingen |
| Windows Server 2012 R2 (Server Core-installation) | Microsoft .NET Framework 4.5.2[1](3142030) | Viktig information – avslöjande | 2978041 i MS14-057 |
| Windows Server 2012 R2 (Server Core-installation) | Microsoft .NET Framework 4.6/4.6.1[1](3142036) | Viktig information – avslöjande | Ingen |
[1]Information om ändringar i stöd för .NET Framework 4.x finns i Supportmeddelanden för Internet Explorer och .NET Framework 4.x.
[2]Windows RT 8.1-uppdateringar är endast tillgängliga via Windows Update.
[3]Windows 10-uppdateringar är kumulativa. Den månatliga säkerhetsversionen innehåller alla säkerhetskorrigeringar för säkerhetsrisker som påverkar Windows 10, förutom icke-säkerhetsuppdateringar. Uppdateringarna är tillgängliga via Microsoft Update Catalog.
Observera att Windows Server 2016 Technical Preview 5 påverkas. Kunder som kör det här operativsystemet uppmanas att tillämpa uppdateringen, som är tillgänglig via Windows Update.
Information om säkerhetsrisker
Säkerhetsrisk för TLS/SSL-information – CVE-2016-0149
Det finns en säkerhetsrisk för avslöjande av information i TLS/SSL-protokollet som implementeras i krypteringskomponenten i Microsoft .NET Framework. En angripare som har utnyttjat den här säkerhetsrisken kan dekryptera krypterad SSL/TLS-trafik.
För att utnyttja sårbarheten måste en angripare först mata in okrypterade data i den säkra kanalen och sedan utföra en miTM-attack (man-in-the-middle) mellan målklienten och en legitim server. Uppdateringen åtgärdar säkerhetsrisken genom att ändra hur .NET-krypteringskomponenten skickar och tar emot krypterade nätverkspaket.
Viktigt Microsoft rekommenderar att kunder laddar ned och testar den aktuella uppdateringen i kontrollerade/hanterade miljöer innan de distribuerar den i sina produktionsmiljöer.
Vid problem med programkompatibilitet är den rekommenderade metoden att se till att server- och klientslutpunkterna implementerar TLS RFC korrekt och att de kan tolka två delade poster som innehåller 1, n-1 byte respektive efter den här uppdateringen. Mer information och utvecklarvägledning finns i Artikeln om Microsoft Knowledge Base 3155464.
Följande tabell innehåller länkar till standardposten för varje sårbarhet i listan Vanliga sårbarheter och exponeringar:
| Rubrik för sårbarhet | CVE-nummer | Offentligt avslöjad | Exploaterad |
|---|---|---|---|
| TLS/SSL Information Disclosure Vulnerability | CVE-2016-0149 | Ja | Nej |
Mildrande faktorer
Följande förmildrande faktorer kan vara till hjälp i din situation:
Kunder som har aktiverat TLS1.2 påverkas inte. Mer information och utvecklarvägledning finns i Artikeln om Microsoft Knowledge Base 3155464.
Provisoriska lösningar
Microsoft har inte identifierat några lösningar på den här säkerhetsrisken.
Distribution av säkerhetsuppdatering
Information om distribution av säkerhetsuppdateringar finns i artikeln Microsoft Knowledge Base som refereras i sammanfattningen.
Tack
Microsoft känner igen insatserna från de i säkerhetscommunityn som hjälper oss att skydda kunder genom samordnad avslöjande av säkerhetsrisker. Mer information finns i Bekräftelser .
Friskrivning
Informationen som tillhandahålls i Microsoft Knowledge Base tillhandahålls "som den är" utan garanti av något slag. Microsoft frånsäger sig alla garantier, antingen uttryckliga eller underförstådda, inklusive garantier för säljbarhet och lämplighet för ett visst syfte. Under inga omständigheter ska Microsoft Corporation eller dess leverantörer vara ansvariga för eventuella skador, inklusive direkta, indirekta, tillfälliga, följdskador, förlust av företagsvinster eller särskilda skador, även om Microsoft Corporation eller dess leverantörer har informerats om risken för sådana skador. Vissa stater tillåter inte undantag eller begränsning av ansvar för följdskador eller oförutsedda skador, så den föregående begränsningen kanske inte gäller.
Revideringar
- V1.0 (10 maj 2016): Bulletin publicerad.
- V1.1 (12 maj 2016): Reviderad bulletin för att meddela en identifieringsändring för 3142037 uppdatering för .NET Framework 4.6/4.6.1. Detta är endast en informationsändring. Kunder som redan har uppdaterat sina system behöver inte vidta några åtgärder.
Sidan genererades 2016-05-12 09:54-07:00.