Microsoft-beveiligingsbulletin MS11-099 - Belangrijk

Cumulatieve beveiligingsupdate voor Internet Explorer (2618444)

Gepubliceerd: | Bijgewerkt:

Versie: 1.2

Algemene informatie

Samenvatting

Met deze beveiligingsupdate worden drie privé gemelde beveiligingslekken in Internet Explorer opgelost. Het ernstigste beveiligingslek kan leiden tot uitvoering van externe code als een gebruiker een legitiem HTML-bestand (Hypertekst Markup Language) opent dat zich bevindt in dezelfde map als een speciaal vervaardigd DLL-bestand (dynamic-link library).

Het prioriteitsniveau van deze beveiligingsupdate is Belangrijk voor Internet Explorer 7, Internet Explorer 8 en Internet Explorer 9 op Windows-clients en voor Internet Explorer 9 voor Windows Server 2008 R2. Het prioriteitsniveau van deze beveiligingsupdate is Gemiddeld voor Internet Explorer 6 op alle ondersteunde edities van Windows XP. Het prioriteitsniveau van deze beveiligingsupdate is Laag voor Internet Explorer op Windows-servers (behalve voor Windows Server 2008 R2). Zie de subsectie Software waarin dit probleem optreedt en software waarin dit probleem niet optreedt in deze sectie voor meer informatie.

De update lost de beveiligingslekken op door de werking te wijzigen van Internet Explorer XSS-filter, en de manier te corrigeren waarop Internet Explorer externe bibliotheken laadt en de manier te corrigeren waarop Internet Explorer de inhoudsinstellingen afdwingt die door de webserver worden geleverd. Zie de subsectie Veelgestelde vragen over het specifieke beveiligingslek in de volgende sectie, Informatie over het beveiligingslek, voor meer informatie over de beveiligingslekken.

Aanbeveling. De meeste klanten hebben automatische updates ingeschakeld en hoeven geen actie te ondernemen omdat deze beveiligingsupdate automatisch wordt gedownload en geïnstalleerd. Klanten die automatische updates niet hebben ingeschakeld, moeten controleren op updates en deze update handmatig installeren. Zie Microsoft Knowledge Base-artikel 294871 voor informatie over specifieke configuratieopties voor het uitvoeren van automatische updates.

Als het gaat om beheerders en bedrijfinstallaties of eindgebruikers die deze beveiligingsupdate handmatig willen installeren, adviseert Microsoft klanten de update zo snel mogelijk toe te passen met behulp van de software voor updatebeheer of door op updates te controleren met de service Microsoft Update.

Zie ook de sectie Hulpmiddelen en richtlijnen voor detecteren en implementeren, verderop in dit bulletin.

Bekende problemen. In Microsoft Knowledge Base-artikel 2618444 worden bekende problemen beschreven die klanten mogelijk ondervinden bij de installatie van deze beveiligingsupdate. In het artikel worden ook de aanbevolen oplossingen voor deze problemen toegelicht.

Software waarin dit probleem optreedt en software waarin dit probleem niet optreedt

De volgende software is getest om te bepalen in welke versies of edities dit probleem optreedt. Andere versies of edities hebben het einde van hun ondersteuningscyclus bereikt of hebben geen last van dit beveiligingslek. Ga naar Microsoft Support Lifecycle om de ondersteuningscyclus voor uw product en versie te bepalen.

Software waarin dit probleem optreedt

BesturingssysteemOnderdeelMaximale omvang van het beveiligingslekPrioriteitsniveauBulletins die door deze update worden vervangen
Internet Explorer 6
Windows XP Service Pack 3Internet Explorer 6Vrijgeven van informatieGemiddeldMS11-081
Windows XP Professional x64 Edition Service Pack 2Internet Explorer 6Vrijgeven van informatieGemiddeldMS11-081
Windows Server 2003 Service Pack 2Internet Explorer 6Vrijgeven van informatieGeen prioriteitsniveau[1]MS11-081
Windows Server 2003 x64 Edition Service Pack 2Internet Explorer 6Vrijgeven van informatieGeen prioriteitsniveau[1]MS11-081
Windows Server 2003 met SP2 voor Itanium-systemenInternet Explorer 6Vrijgeven van informatieGeen prioriteitsniveau[1]MS11-081
Internet Explorer 7
Windows XP Service Pack 3Internet Explorer 7Vrijgeven van informatieGemiddeldMS11-081
Windows XP Professional x64 Edition Service Pack 2Internet Explorer 7Vrijgeven van informatieGemiddeldMS11-081
Windows Server 2003 Service Pack 2Internet Explorer 7Vrijgeven van informatieGeen prioriteitsniveau[1]MS11-081
Windows Server 2003 x64 Edition Service Pack 2Internet Explorer 7Vrijgeven van informatieGeen prioriteitsniveau[1]MS11-081
Windows Server 2003 met SP2 voor Itanium-systemenInternet Explorer 7Vrijgeven van informatieGeen prioriteitsniveau[1]MS11-081
Windows Vista Service Pack 2Internet Explorer 7Vrijgeven van informatieGemiddeldMS11-081
Windows Vista x64 Edition Service Pack 2Internet Explorer 7Vrijgeven van informatieGemiddeldMS11-081
Windows Server 2008 voor 32-bits systemen Service Pack 2Internet Explorer 7**Vrijgeven van informatieGeen prioriteitsniveau[1]MS11-081
Windows Server 2008 voor x64-systemen Service Pack 2Internet Explorer 7**Vrijgeven van informatieGeen prioriteitsniveau[1]MS11-081
Windows Server 2008 voor Itanium-systemen Service Pack 2Internet Explorer 7Vrijgeven van informatieGeen prioriteitsniveau[1]MS11-081
Internet Explorer 8
Windows XP Service Pack 3Internet Explorer 8Vrijgeven van informatieBelangrijkMS11-081
Windows XP Professional x64 Edition Service Pack 2Internet Explorer 8Vrijgeven van informatieBelangrijkMS11-081
Windows Server 2003 Service Pack 2Internet Explorer 8Vrijgeven van informatieLaagMS11-081
Windows Server 2003 x64 Edition Service Pack 2Internet Explorer 8Vrijgeven van informatieLaagMS11-081
Windows Vista Service Pack 2Internet Explorer 8Vrijgeven van informatieBelangrijkMS11-081
Windows Vista x64 Edition Service Pack 2Internet Explorer 8Vrijgeven van informatieBelangrijkMS11-081
Windows Server 2008 voor 32-bits systemen Service Pack 2Internet Explorer 8**Vrijgeven van informatieLaagMS11-081
Windows Server 2008 voor x64-systemen Service Pack 2Internet Explorer 8**Vrijgeven van informatieLaagMS11-081
Windows 7 voor 32-bits systemen en Windows 7 voor 32-bits systemen met Service Pack 1Internet Explorer 8Vrijgeven van informatieBelangrijkMS11-081
Windows 7 voor x64-systemen en Windows 7 voor x64-systemen met Service Pack 1Internet Explorer 8Vrijgeven van informatieBelangrijkMS11-081
Windows Server 2008 R2 voor x64-systemen en Windows Server 2008 R2 voor x64-systemen met Service Pack 1Internet Explorer 8**Vrijgeven van informatieLaagMS11-081
Windows Server 2008 R2 voor Itanium-systemen en Windows Server 2008 R2 voor Itanium-systemen met Service Pack 1Internet Explorer 8Vrijgeven van informatieLaagMS11-081
Internet Explorer 9
Windows Vista Service Pack 2Internet Explorer 9Vrijgeven van informatieGemiddeldMS11-081
Windows Vista x64 Edition Service Pack 2Internet Explorer 9Vrijgeven van informatieGemiddeldMS11-081
Windows Server 2008 voor 32-bits systemen Service Pack 2Internet Explorer 9**Vrijgeven van informatieGeen prioriteitsniveau[1]MS11-081
Windows Server 2008 voor x64-systemen Service Pack 2Internet Explorer 9**Vrijgeven van informatieGeen prioriteitsniveau[1]MS11-081
Windows 7 voor 32-bits systemen en Windows 7 voor 32-bits systemen met Service Pack 1Internet Explorer 9Uitvoering van externe code mogelijkBelangrijkMS11-081
Windows 7 voor x64-systemen en Windows 7 voor x64-systemen met Service Pack 1Internet Explorer 9Uitvoering van externe code mogelijkBelangrijkMS11-081
Windows Server 2008 R2 voor x64-systemen en Windows Server 2008 R2 voor x64-systemen met Service Pack 1Internet Explorer 9**Uitvoering van externe code mogelijkBelangrijkMS11-081

[1]Prioriteitsniveaus zijn niet van toepassing op deze update voor de opgegeven software omdat de bekende aanvalsvectoren voor het beveiligingslek die in dit bulletin worden beschreven, in een standaardconfiguratie zijn geblokkeerd. Als een ingrijpende wijziging raadt Microsoft gebruikers van deze software echter aan deze beveiligingsupdate toe te passen.

**Server Core-installatie niet getroffen. De beveiligingslekken die in deze update worden beschreven, hebben geen invloed op de ondersteunde edities van Windows Server 2008 of Windows Server 2008 R2, zoals is aangegeven, als deze zijn geïnstalleerd met behulp van de Server Core-installatieoptie. Zie de TechNet-artikelen Managing a Server Core Installation en Servicing a Server Core Installation voor meer informatie over deze installatieoptie. De Server Core-installatieoptie kan niet worden toegepast op bepaalde edities van Windows Server 2008 en Windows Server 2008 R2. Zie hiervoor Server Core-installatieopties vergelijken.

Veelgestelde vragen met betrekking tot deze beveiligingsupdate

Informatie over het beveiligingslek

Prioriteitsniveau en identificatie van het beveiligingslek

Beveiligingslek met betrekking tot het vrijgeven van informatie in XSS-filter - CVE-2011-1992

Beveiligingslek met betrekking tot onveilig laden van bibliotheken in Internet Explorer - CVE-2011-2019

Beveiligingslek in ordening van inhoud met betrekking tot het vrijgeven van informatie - CVE-2011-3404

Informatie over de update

Hulpmiddelen en richtlijnen voor detecteren en implementeren

Implementatie van de beveiligingsupdate

Overige informatie

Dankbetuiging

Microsoft bedankt de volgende partijen voor de samenwerking bij het verbeteren van de beveiliging voor klanten:

  • Thomas Stehle voor het melden van het beveiligingslek met betrekking tot het vrijgeven van informatie in XSS-filter (CVE-2011-1992)
  • Andy Cooper van het Citrix Security Team voor het melden van het beveiligingslek met betrekking tot onveilig laden van bibliotheken in Internet Explorer (CVE-2011-2019)
  • Robert Swiecki van Google Inc. voor het melden van het beveiligingslek in ordening van inhoud met betrekking tot het vrijgeven van informatie (CVE-2011-3404)
  • Yosuke Hasegawa voor de samenwerking bij het oplossen van het beveiligingslek in ordening van inhoud met betrekking tot het vrijgeven van informatie (CVE-2011-3404)
  • Jan Schejbal voor de samenwerking bij het ontwikkelen van ingrijpende wijzigingen die zijn beschreven in dit bulletin.

Microsoft Active Protections Program (MAPP)

Om de beveiliging voor klanten te verbeteren, verstrekt Microsoft bij elke maandelijkse uitgifte van beveiligingsupdates informatie over beveiligingslekken aan de grote producenten van beveiligingsprogramma's. Deze producenten kunnen dan die informatie over beveiligingslekken gebruiken om hun klanten een betere beveiliging te bieden door hun software of apparatuur aan te passen, zoals antivirusprogramma's, inbraakdetectiesystemen voor netwerken of inbraakpreventiesystemen voor hosts. Op de websites van de programmapartners (zie Microsoft Active Protections Program (MAPP)-partners) kunt u nagaan of de leveranciers van beveiligingsprogramma's hun producten steeds aanpassen.

Ondersteuning

  • Technische ondersteuning van Security Support is beschikbaar via 020-500 1005. Voor ondersteuningsverzoeken in verband met beveiligingsupdates worden geen kosten in rekening gebracht. Zie Hulp en ondersteuning van Microsoft voor meer informatie over de beschikbare ondersteuningsopties.
  • Voor internationale klanten is ondersteuning verkrijgbaar bij de Microsoft-vestiging in hun land. Voor ondersteuning in verband met beveiligingsupdates worden geen kosten in rekening gebracht. Ga naar de website voor internationale ondersteuning voor meer informatie over hoe u contact kunt opnemen met Microsoft voor ondersteuning.

Uitsluiting van aansprakelijkheid

De informatie die wordt geboden in de Microsoft Knowledge Base, wordt geleverd 'in de huidige staat' zonder enige garantie. Microsoft wijst hierbij alle expliciete of impliciete garanties van de hand, met inbegrip van alle garanties betreffende de verhandelbaarheid en geschiktheid voor een bepaald doel. Voorzover maximaal is toegestaan op grond van toepasselijk recht zijn Microsoft Corporation en/of haar leveranciers in geen geval aansprakelijk voor enige directe, indirecte of incidentele schade, bijzondere schade, gevolgschade of schade ten gevolge van het verlies van winsten, zelfs als Microsoft Corporation of haar leveranciers van de mogelijkheid van dergelijke schade op de hoogte is gesteld. Aangezien sommige staten/rechtssystemen uitsluiting of beperking van aansprakelijkheid voor gevolgschade of incidentele schade niet toestaan, is de voorgaande beperking wellicht niet op u van toepassing.

Revisies

  • V1.0 (13 december 2011): Bulletin gepubliceerd.
  • V1.1 (13 december 2011): De beperkende factoren voor CVE-2011-1992 zijn verbeterd en de prioriteitsniveaus voor CVE-2011-3404 zijn verbeterd. Het gaat alleen om wijzigingen in de informatie. De detectielogica en bestanden van de beveiligingsupdate zijn niet gewijzigd.
  • V1.2 (10 januari 2012): Aangekondigd dat deze update, MS11-099, de bescherming inschakelt die wordt aangeboden in de update MS12-006, Beveiligingslek in SSL/TLS kan leiden tot het vrijgeven van informatie, voor Internet Explorer. Raadpleeg voor meer informatie de gewijzigde veelgestelde vragen over de update.