Biuletyn zabezpieczeń firmy Microsoft MS09-061 – krytyczny

Aplikacje Microsoft .NET, które nie są złośliwe, nie są narażone na wykorzystanie w związku z omawianą luką. Luka ta może być wykorzystana tylko przez aplikacje zbudowane z określonymi złośliwymi zamiarami.

W przypadku ataku z wykorzystaniem hostingu w sieci Web osoba atakująca musi posiadać pozwolenie na przekazanie do witryny sieci Web dowolnych stron ASP.NET, a na serwerze sieci Web musi być zainstalowane oprogramowanie ASP.NET. W konfiguracji domyślnej użytkownik anonimowy nie może przekazywać ani uruchamiać kodu Microsoft .NET na serwerze Internet Information Server (IIS).

Domyślnie program Internet Explorer w systemach Windows Server 2003 i Windows Server 2008 jest uruchamiany w trybie chronionym określanym jako Konfiguracja zwiększonych zabezpieczeń. Ten tryb ogranicza zagrożenie powodowane przez lukę tylko w scenariuszu ataku opartego o sieć Web. Dodatkowe informacje na temat konfiguracji zwiększonych zabezpieczeń w programie Internet Explorer można znaleźć w sekcji często zadawanych pytań na temat tej luki.

Program Internet Explorer 8 wyłącza filtr Microsoft .NET MIME w strefie Internet. Ta funkcja programu Internet Explorer 8 utrudnia pomyślne wykorzystanie tej luki w zabezpieczeniach dzięki zablokowaniu znanego sposobu obchodzenia ochrony ASLR i DEP. Wyłączenie filtru MIME Microsoft .NET w strefie Internet nie uniemożliwia wykorzystania omawianej luki w programie Internet Explorer 8, ale utrudnia jej wykorzystanie przez złośliwe witryny sieci Web.

Osoba atakująca za pośrednictwem sieci Web, która chce wykorzystać tę lukę, może udostępniać witrynę zawierającą odpowiednią stronę sieci Web. Dodatkowo, witryny sieci Web, które akceptują lub udostępniają zawartość wprowadzoną przez użytkownika lub reklamy, jak również witryny niesprawdzone, mogą zawierać specjalnie spreparowane treści, które mogą wykorzystać lukę w zabezpieczeniach. Jednakże w żadnym przypadku osoba atakująca nie może zmusić użytkowników do odwiedzenia takich witryn. Osoba taka musi natomiast przekonać użytkowników do odwiedzenia tej witryny, najczęściej zachęcając do kliknięcia łącza w wiadomości e-mail lub wiadomości błyskawicznej, które przekieruje użytkowników do witryny osoby atakującej.

Osoba atakująca, której uda się wykorzystać tę lukę, może uzyskać takie same uprawnienia, jak użytkownik lokalny lub konto użytkownika ASP.NET. Użytkownicy lub konta, które zostały skonfigurowane w taki sposób, że mają niewielkie uprawnienia w systemie, ponoszą mniejsze ryzyko niż użytkownicy i konta pracujące z uprawnieniami administracyjnymi.

Wyłączenie aplikacji Microsoft .NET uruchamianych w częściowej relacji zaufania

Aby wyłączyć wszystkie aplikacje Microsoft .NET uruchamiane w częściowej relacji zaufania, w tym aplikacje przeglądarki XAML (XBAP) oraz aplikacje Microsoft .NET znajdujące się w sieci, uruchom następujące polecenia z wiersza polecenia, mając podniesione uprawnienia:

caspol –pp off
caspol –m –resetlockdown
caspol –pp on

Uwaga Aby móc zastosować to obejście, użytkownik musi być zalogowany jako administrator lub posiadać poświadczenia administracyjne.

Wpływ obejścia. Część aplikacji Microsoft .NET nie będzie działać.

Cofnięcie obejścia.

Aby zresetować zasady zabezpieczeń Microsoft .NET do ustawień domyślnych, uruchom następujące polecenia z wiersza polecenia administratora:

caspol –pp off
caspol –m –reset
caspol –pp on

Uwaga Aby móc cofnąć to obejście, użytkownik musi być zalogowany jako administrator lub posiadać poświadczenia administracyjne.

Wyłączenie aplikacji przeglądarki XAML w programie Internet Explorer

Przed skutkami tej luki można się chronić, zmieniając ustawienia tak, aby przed uruchomieniem aplikacji przeglądarki XAML (XBAP) wyświetlany był monit lub aby aplikacje XBAP zostały wyłączone w strefie zabezpieczeń Internet i Lokalny intranet.

Wpływ obejścia. Kod Microsoft .NET nie będzie uruchamiany w programie Internet Explorer lub nie będzie uruchamiany bez monitu. Wyłączenie aplikacji i składników Microsoft .NET w strefie zabezpieczeń Internet i Lokalny intranet może spowodować nieprawidłowe działanie niektórych witryn sieci Web. W razie trudności z korzystaniem z witryny sieci Web po zmianie tego ustawienia przy pewności, że witryna taka jest bezpieczna, można ją dodać do listy witryn zaufanych. Witryna będzie wówczas działać poprawnie.

Cofnięcie obejścia.

Scenariusz z wykorzystaniem przeglądania sieci Web
Osoba atakująca może udostępnić specjalnie spreparowaną witrynę sieci Web zawierającą specjalnie spreparowaną aplikację XBAP (Aplikacja przeglądarek XAML), która mogłaby pozwolić na wykorzystanie omawianej luki, a następnie przekonać użytkownika do wyświetlenia tej witryny Web. Osoba ta może również wykorzystywać witryny sieci Web, które akceptują lub udostępniają treści lub reklamy wprowadzone przez użytkownika. Witryny te mogą zawierać specjalnie spreparowane treści, które mogą wykorzystywać omawianą lukę w zabezpieczeniach. Jednakże w żadnym przypadku osoba atakująca nie może zmusić użytkowników do odwiedzenia takich witryn. Musi natomiast przekonać użytkowników do odwiedzenia tej witryny, najczęściej zachęcając do kliknięcia łącza w wiadomości e-mail lub wiadomości błyskawicznej, które przekieruje użytkowników do witryny osoby atakującej. Może również istnieć możliwość wyświetlenia specjalnie spreparowanej zawartości strony sieci Web z wykorzystaniem reklam banerowych lub innych metod jej dostarczenia do systemów, których dotyczy luka.

Scenariusz z wykorzystaniem hostingu w sieci Web
W środowisku usług hosta sieci Web, które pozwala użytkownikom na przekazywanie niestandardowych aplikacji ASP.NET, osoba atakująca mogłaby przekazać złośliwą aplikację ASP.NET, która wykorzystuje omawianą lukę do wydostania się poza piaskownicę zastosowaną w celu zapobiegania szkodliwemu działaniu kodu ASP.NET w systemie serwera.

Scenariusz z wykorzystaniem aplikacji Microsoft .NET Framework
Osoba atakująca może umieścić złośliwą aplikację Microsoft .NET Framework w udziale sieciowym i nakłaniać użytkowników danej sieci do uruchamiania tej aplikacji.

Scenariusz z wykorzystaniem przeglądania sieci Web
Aby można było wykorzystać tę lukę, użytkownik musi być zalogowany i odwiedzać witryny sieci Web przy użyciu przeglądarki sieci Web, w której można uruchomić aplikację XBAP. Dlatego też najbardziej narażone na skutki wykorzystania tej luki są systemy, w których często wykorzystywana jest przeglądarka sieci Web, takie jak stacje robocze i serwery terminalowe. Zagrożenie serwerów może się zwiększyć, jeśli administratorzy pozwolą użytkownikom przeglądać i czytać wiadomości e-mail na serwerach. Jednak zestawy najlepszych praktyk zdecydowanie to odradzają.

Scenariusz z wykorzystaniem hostingu w sieci Web
Na ryzyko wykorzystania luki w większym stopniu narażone są witryny hostingu w sieci Web, które pozwalają użytkownikom przekazywać niestandardowe aplikacje ASP.NET.

Aplikacje Microsoft .NET, które nie są złośliwe, nie są narażone na wykorzystanie w związku z omawianą luką. Luka ta może być wykorzystana tylko przez aplikacje zbudowane z określonymi złośliwymi zamiarami.

W przypadku ataku z wykorzystaniem hostingu w sieci Web osoba atakująca musi posiadać pozwolenie na przekazanie do witryny sieci Web dowolnych stron ASP.NET, a na serwerze sieci Web musi być zainstalowane oprogramowanie ASP.NET. W konfiguracji domyślnej użytkownik anonimowy nie może przekazywać ani uruchamiać kodu Microsoft .NET na serwerze Internet Information Server (IIS).

Domyślnie program Internet Explorer w systemach Windows Server 2003 i Windows Server 2008 jest uruchamiany w trybie chronionym określanym jako Konfiguracja zwiększonych zabezpieczeń. Ten tryb ogranicza zagrożenie powodowane przez lukę tylko w scenariuszu ataku opartego o sieć Web. Dodatkowe informacje na temat konfiguracji zwiększonych zabezpieczeń w programie Internet Explorer można znaleźć w sekcji często zadawanych pytań na temat tej luki.

Program Internet Explorer 8 wyłącza filtr Microsoft .NET MIME w strefie Internet. Ta funkcja programu Internet Explorer 8 utrudnia pomyślne wykorzystanie tej luki w zabezpieczeniach dzięki zablokowaniu znanego sposobu obchodzenia ochrony ASLR i DEP. Wyłączenie filtru MIME Microsoft .NET w strefie Internet nie uniemożliwia wykorzystania omawianej luki w programie Internet Explorer 8, ale utrudnia jej wykorzystanie przez złośliwe witryny sieci Web.

Osoba atakująca za pośrednictwem sieci Web, która chce wykorzystać tę lukę, może udostępniać witrynę zawierającą odpowiednią stronę sieci Web. Dodatkowo, witryny sieci Web, które akceptują lub udostępniają zawartość wprowadzoną przez użytkownika lub reklamy, jak również witryny niesprawdzone, mogą zawierać specjalnie spreparowane treści, które mogą wykorzystać lukę w zabezpieczeniach. Jednakże w żadnym przypadku osoba atakująca nie może zmusić użytkowników do odwiedzenia takich witryn. Osoba taka musi natomiast przekonać użytkowników do odwiedzenia tej witryny, najczęściej zachęcając do kliknięcia łącza w wiadomości e-mail lub wiadomości błyskawicznej, które przekieruje użytkowników do witryny osoby atakującej.

Osoba atakująca, której uda się wykorzystać tę lukę, może uzyskać takie same uprawnienia, jak użytkownik lokalny lub konto użytkownika ASP.NET. Użytkownicy lub konta, które zostały skonfigurowane w taki sposób, że mają niewielkie uprawnienia w systemie, ponoszą mniejsze ryzyko niż użytkownicy i konta pracujące z uprawnieniami administracyjnymi.

Wyłączenie aplikacji Microsoft .NET uruchamianych w częściowej relacji zaufania

Aby wyłączyć wszystkie aplikacje Microsoft .NET uruchamiane w częściowej relacji zaufania, w tym aplikacje przeglądarki XAML (XBAP) oraz aplikacje Microsoft .NET znajdujące się w sieci, uruchom następujące polecenia z wiersza polecenia, mając podniesione uprawnienia:

caspol –pp off
caspol –m –resetlockdown
caspol –pp on

Uwaga Aby móc zastosować to obejście, użytkownik musi być zalogowany jako administrator lub posiadać poświadczenia administracyjne.

Wpływ obejścia. Część aplikacji Microsoft .NET nie będzie działać.

Cofnięcie obejścia.

Aby zresetować zasady zabezpieczeń Microsoft .NET do ustawień domyślnych, uruchom następujące polecenia z wiersza polecenia administratora:

caspol –pp off
caspol –m –reset
caspol –pp on

Uwaga Aby móc cofnąć to obejście, użytkownik musi być zalogowany jako administrator lub posiadać poświadczenia administracyjne.

Wyłączenie aplikacji przeglądarki XAML w programie Internet Explorer

Przed skutkami tej luki można się chronić, zmieniając ustawienia tak, aby przed uruchomieniem aplikacji przeglądarki XAML (XBAP) wyświetlany był monit lub aby aplikacje XBAP zostały wyłączone w strefie zabezpieczeń Internet i Lokalny intranet.

Wpływ obejścia. Kod Microsoft .NET nie będzie uruchamiany w programie Internet Explorer lub nie będzie uruchamiany bez monitu. Wyłączenie aplikacji i składników Microsoft .NET w strefie zabezpieczeń Internet i Lokalny intranet może spowodować nieprawidłowe działanie niektórych witryn sieci Web. W razie trudności z korzystaniem z witryny sieci Web po zmianie tego ustawienia przy pewności, że witryna taka jest bezpieczna, można ją dodać do listy witryn zaufanych. Witryna będzie wówczas działać poprawnie.

Cofnięcie obejścia.

Scenariusz z wykorzystaniem przeglądania sieci Web
Osoba atakująca może udostępnić specjalnie spreparowaną witrynę sieci Web zawierającą specjalnie spreparowaną aplikację XBAP (Aplikacja przeglądarek XAML), która mogłaby pozwolić na wykorzystanie omawianej luki, a następnie przekonać użytkownika do wyświetlenia tej witryny Web. Osoba ta może również wykorzystywać witryny sieci Web, które akceptują lub udostępniają treści lub reklamy wprowadzone przez użytkownika. Witryny te mogą zawierać specjalnie spreparowane treści, które mogą wykorzystywać omawianą lukę w zabezpieczeniach. Jednakże w żadnym przypadku osoba atakująca nie może zmusić użytkowników do odwiedzenia takich witryn. Musi natomiast przekonać użytkowników do odwiedzenia tej witryny, najczęściej zachęcając do kliknięcia łącza w wiadomości e-mail lub wiadomości błyskawicznej, które przekieruje użytkowników do witryny osoby atakującej. Może również istnieć możliwość wyświetlenia specjalnie spreparowanej zawartości strony sieci Web z wykorzystaniem reklam banerowych lub innych metod jej dostarczenia do systemów, których dotyczy luka.

Scenariusz z wykorzystaniem hostingu w sieci Web
W środowisku usług hosta sieci Web, które pozwala użytkownikom na przekazywanie niestandardowych aplikacji ASP.NET, osoba atakująca mogłaby przekazać złośliwą aplikację ASP.NET, która wykorzystuje omawianą lukę do wydostania się poza piaskownicę zastosowaną w celu zapobiegania szkodliwemu działaniu kodu ASP.NET w systemie serwera.

Scenariusz z wykorzystaniem aplikacji Microsoft .NET Framework
Osoba atakująca może umieścić złośliwą aplikację Microsoft .NET Framework w udziale sieciowym i nakłaniać użytkowników danej sieci do uruchamiania tej aplikacji.

Scenariusz z wykorzystaniem przeglądania sieci Web
Aby można było wykorzystać tę lukę, użytkownik musi być zalogowany i odwiedzać witryny sieci Web przy użyciu przeglądarki sieci Web, w której można uruchomić aplikację XBAP. Dlatego też najbardziej narażone na skutki wykorzystania tej luki są systemy, w których często wykorzystywana jest przeglądarka sieci Web, takie jak stacje robocze i serwery terminalowe. Zagrożenie serwerów może się zwiększyć, jeśli administratorzy pozwolą użytkownikom przeglądać i czytać wiadomości e-mail na serwerach. Jednak zestawy najlepszych praktyk zdecydowanie to odradzają.

Scenariusz z wykorzystaniem hostingu w sieci Web
Na ryzyko wykorzystania luki w większym stopniu narażone są witryny hostingu w sieci Web, które pozwalają użytkownikom przekazywać niestandardowe aplikacje ASP.NET.

Omawiana luka nie dotyczy bieżącej wersji programu Microsoft Silverlight – Silverlight 3. Program Silverlight będzie domyślnie sprawdzać dostępność aktualizacji w witrynie sieci Web firmy Microsoft, aby dostarczyć użytkownikowi najnowsze funkcje i udoskonalenia. Jeśli dostępna będzie nowsza wersja, zostanie ona pobrana i zainstalowana na komputerze. W większości systemów będzie już działać wersja Silverlight 3. Aby uzyskać więcej informacji, zobacz artykuł Microsoft Silverlight Updater.

Aplikacje Microsoft .NET, które nie są złośliwe, nie są narażone na wykorzystanie w związku z omawianą luką. Luka ta może być wykorzystana tylko przez aplikacje zbudowane z określonymi złośliwymi zamiarami.

W przypadku ataku z wykorzystaniem hostingu w sieci Web osoba atakująca musi posiadać pozwolenie na przekazanie do witryny sieci Web dowolnych stron ASP.NET, a na serwerze sieci Web musi być zainstalowane oprogramowanie ASP.NET. W konfiguracji domyślnej użytkownik anonimowy nie może przekazywać ani uruchamiać kodu Microsoft .NET na serwerze Internet Information Server (IIS).

Domyślnie program Internet Explorer w systemach Windows Server 2003 i Windows Server 2008 jest uruchamiany w trybie chronionym określanym jako Konfiguracja zwiększonych zabezpieczeń. Ten tryb ogranicza zagrożenie powodowane przez lukę tylko w scenariuszu ataku opartego o sieć Web. Dodatkowe informacje na temat konfiguracji zwiększonych zabezpieczeń w programie Internet Explorer można znaleźć w sekcji często zadawanych pytań na temat tej luki.

Program Internet Explorer 8 wyłącza filtr Microsoft .NET MIME w strefie Internet. Ta funkcja programu Internet Explorer 8 utrudnia pomyślne wykorzystanie w nim tej luki w zabezpieczeniach dzięki zablokowaniu znanego sposobu obchodzenia ochrony ASLR i DEP. Nie uniemożliwia to wykorzystania omawianej luki w programie Internet Explorer 8, ale utrudnia jej wykorzystanie przez złośliwe witryny sieci Web.

Osoba atakująca za pośrednictwem sieci Web, która chce wykorzystać tę lukę, może udostępniać witrynę zawierającą odpowiednią stronę sieci Web. Dodatkowo, witryny sieci Web, które akceptują lub udostępniają zawartość wprowadzoną przez użytkownika lub reklamy, jak również witryny niesprawdzone, mogą zawierać specjalnie spreparowane treści, które mogą wykorzystać lukę w zabezpieczeniach. Jednakże w żadnym przypadku osoba atakująca nie może zmusić użytkowników do odwiedzenia takich witryn. Osoba taka musi natomiast przekonać użytkowników do odwiedzenia tej witryny, najczęściej zachęcając do kliknięcia łącza w wiadomości e-mail lub wiadomości błyskawicznej, które przekieruje użytkowników do witryny osoby atakującej.

Osoba atakująca, której uda się wykorzystać tę lukę, może uzyskać takie same uprawnienia, jak użytkownik lokalny lub konto użytkownika ASP.NET. Użytkownicy lub konta, które zostały skonfigurowane w taki sposób, że mają niewielkie uprawnienia w systemie, ponoszą mniejsze ryzyko niż użytkownicy i konta pracujące z uprawnieniami administracyjnymi.

Wyłączenie aplikacji Microsoft .NET uruchamianych w częściowej relacji zaufania

Aby wyłączyć wszystkie aplikacje Microsoft .NET uruchamiane w częściowej relacji zaufania, w tym aplikacje XBAP oraz aplikacje Microsoft .NET znajdujące się w sieci, uruchom następujące polecenia z wiersza polecenia, mając podniesione uprawnienia:

caspol –pp off
caspol –m –resetlockdown
caspol –pp on

Uwaga Aby móc zastosować to obejście, użytkownik musi być zalogowany jako administrator lub posiadać poświadczenia administracyjne.

Wpływ obejścia. Część aplikacji Microsoft .NET nie będzie działać.

Cofnięcie obejścia.

Aby zresetować zasady zabezpieczeń Microsoft .NET do ustawień domyślnych, uruchom następujące polecenia z wiersza polecenia administratora:

caspol –pp off
caspol –m –reset
caspol –pp on

Uwaga Aby móc cofnąć to obejście, użytkownik musi być zalogowany jako administrator lub posiadać poświadczenia administracyjne.

Wyłączenie aplikacji przeglądarki XAML w programie Internet Explorer

Przed skutkami tej luki można się chronić, zmieniając ustawienia tak, aby przed uruchomieniem aplikacji przeglądarki XAML wyświetlany był monit lub aby aplikacje przeglądarki XAML były wyłączone w strefach zabezpieczeń Internet i Lokalny intranet.

Wpływ obejścia. Kod Microsoft .NET nie będzie uruchamiany w programie Internet Explorer lub nie będzie uruchamiany bez monitu. Wyłączenie aplikacji i składników Microsoft .NET w strefie zabezpieczeń Internet i Lokalny intranet może spowodować nieprawidłowe działanie niektórych witryn sieci Web. W razie trudności z korzystaniem z witryny sieci Web po zmianie tego ustawienia przy pewności, że witryna taka jest bezpieczna, można ją dodać do listy witryn zaufanych. Witryna będzie wówczas działać poprawnie.

Cofnięcie obejścia.

Tymczasowe zapobieganie uruchamianiu formantu ActiveX Microsoft Silverlight w programie Internet Explorer w systemie Windows XP z dodatkiem Service Pack 2 lub nowszym

Przed skutkami tych luk można się chronić, tymczasowo zapobiegając uruchamianiu formantu ActiveX programu Silverlight w programie Internet Explorer. Do wyłączenia tego formantu można użyć funkcji zarządzania dodatkami programu Internet Explorer.

Uwaga Jeśli nie można zlokalizować formantu ActiveX, należy użyć listy rozwijanej, aby przełączyć pozycję „Dodatki obecnie załadowane w przeglądarce Internet Explorer” na pozycję „Dodatki, które były używane przez przeglądarkę Internet Explorer” lub pozycję „Załadowane dodatki" na „Wszystkie dodatki”, a następnie wykonać kroki 2 i 3. Jeśli formant ActiveX nie jest wyświetlany na liście, oznacza to, że nie był on wcześniej używany lub nie jest zainstalowany w systemie.

Uwaga Niniejsze obejście przeznaczone jest tylko dla systemów, w których zainstalowano już program Silverlight, i nie można stosować go proaktywnie w systemach bez zainstalowanego programu Silverlight.

Więcej informacji na temat funkcji zarządzania dodatkami programu Internet Explorer w systemie Windows XP z dodatkiem Service Pack 2 można znaleźć w artykule 883256 w bazie wiedzy Microsoft Knowledge Base.

Wpływ obejścia. Aplikacje i witryny sieci Web wymagające formantu ActiveX programu Microsoft Silverlight mogą przestać działać poprawnie. Zastosowanie tego obejścia wpłynie na wszystkie formanty ActiveX programu Silverlight zainstalowane w systemie.

Cofnięcie obejścia.

Tymczasowe zapobieganie uruchamianiu formantu ActiveX programu Microsoft Silverlight w programie Internet Explorer

Przed skutkami tych luk można się chronić, tymczasowo zapobiegając próbom uruchamiania formantu ActiveX programu Silverlight w programie Internet Explorer poprzez ustawienie dla tego formantu bitu „zabicia”.

Ostrzeżenie Nieprawidłowe korzystanie z Edytora rejestru może spowodować poważne problemy wymagające ponownego zainstalowania systemu operacyjnego. Firma Microsoft nie gwarantuje możliwości rozwiązania problemów, wynikających z nieprawidłowego użycia edytora rejestru. Zmian w rejestrze można dokonywać wyłącznie na własne ryzyko.

Przed przystąpieniem do modyfikacji rejestru zaleca się utworzenie jego kopii zapasowej.

Skorzystaj z poniższego tekstu w celu utworzenia pliku .reg tymczasowo zapobiegającego uruchomieniu formantu ActiveX programu Silverlight w programie Internet Explorer. W celu utworzenia takiego pliku należy skopiować poniższy tekst i wkleić go w edytorze tekstu, np. Notatniku, po czym zapisać plik z rozszerzeniem .reg. Uruchom plik .reg na zagrożonym komputerze.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{DFEAF541-F3E1-4C24-ACAC-99C30715084A}]

Zamknij program Internet Explorer i otwórz go ponownie, aby zmiany zostały uwzględnione.

Szczegółowa instrukcja zablokowania uruchamiania formantu w programie Internet Explorer znajduje się w artykule 240797 bazy wiedzy Microsoft Knowledge Base. Postępuj zgodnie z procedurą podaną w tym artykule i utwórz wartość znaczników kompatybilności w rejestrze, aby zapobiec uruchamianiu formantu ActiveX programu Silverlight w programie Internet Explorer

Wpływ obejścia. Aplikacje i witryny sieci Web wymagające formantu ActiveX programu Microsoft Silverlight mogą przestać działać poprawnie. Zastosowanie tego obejścia wpłynie na wszystkie formanty ActiveX programu Silverlight zainstalowane w systemie.

Jak cofnąć obejście. Usuń wpisy rejestru dodane do niego w celu tymczasowego zablokowania możliwości uruchomienia formantu ActiveX programu Silverlight w przeglądarce Internet Explorer.

Scenariusz z wykorzystaniem przeglądania sieci Web
Osoba atakująca może udostępnić specjalnie spreparowaną witrynę sieci Web zawierającą specjalnie spreparowaną aplikację XBAP (Aplikacja przeglądarek XAML) lub aplikację Silverlight, która mogłaby pozwolić na wykorzystanie omawianej luki, a następnie przekonać użytkownika do wyświetlenia tej witryny Web. Osoba ta może również wykorzystywać witryny sieci Web, które akceptują lub udostępniają treści lub reklamy wprowadzone przez użytkownika. Witryny te mogą zawierać specjalnie spreparowane treści, które mogą wykorzystywać omawianą lukę w zabezpieczeniach. Jednakże w żadnym przypadku osoba atakująca nie może zmusić użytkowników do odwiedzenia takich witryn. Musi natomiast przekonać użytkowników do odwiedzenia tej witryny, najczęściej zachęcając do kliknięcia łącza w wiadomości e-mail lub wiadomości błyskawicznej, które przekieruje użytkowników do witryny osoby atakującej. Może również istnieć możliwość wyświetlenia specjalnie spreparowanej zawartości strony sieci Web z wykorzystaniem reklam banerowych lub innych metod jej dostarczenia do systemów, których dotyczy luka.

Scenariusz z wykorzystaniem hostingu w sieci Web
W środowisku usług hosta sieci Web, które pozwala użytkownikom na przekazywanie niestandardowych aplikacji ASP.NET, osoba atakująca mogłaby przekazać złośliwą aplikację ASP.NET, która wykorzystuje omawianą lukę do wydostania się poza piaskownicę zastosowaną w celu zapobiegania szkodliwemu działaniu kodu ASP.NET w systemie serwera.

Scenariusz z wykorzystaniem aplikacji Microsoft .NET Framework
Osoba atakująca może umieścić złośliwą aplikację Microsoft .NET Framework w udziale sieciowym i nakłaniać użytkowników danej sieci do uruchamiania tej aplikacji.

Scenariusz z wykorzystaniem przeglądania sieci Web
Aby można było wykorzystać tę lukę, użytkownik musi być zalogowany i odwiedzać witryny sieci Web przy użyciu przeglądarki sieci Web, w której można uruchomić aplikację XBAP lub aplikację Silverlight. Dlatego też najbardziej narażone na skutki wykorzystania tej luki są systemy, w których często wykorzystywana jest przeglądarka sieci Web, takie jak stacje robocze i serwery terminalowe. Zagrożenie serwerów może się zwiększyć, jeśli administratorzy pozwolą użytkownikom przeglądać i czytać wiadomości e-mail na serwerach. Jednak zestawy najlepszych praktyk zdecydowanie to odradzają.

Scenariusz z wykorzystaniem hostingu w sieci Web
Na ryzyko wykorzystania luki w większym stopniu narażone są witryny hostingu w sieci Web, które pozwalają użytkownikom przekazywać niestandardowe aplikacje ASP.NET.