Microsoft-beveiligingsbulletin MS12-023 - Kritiek

Met beperkende factoren wordt verwezen naar een instelling, de algehele configuratie of algemene tips voor een standaardstatus waarmee de ernst van misbruik via een beveiligingslek kan worden verminderd. De volgende beperkende factoren kunnen in uw situatie van pas komen:

• De optie "Tabel met koppelingen afdrukken" is niet standaard ingeschakeld voor afdrukken via Internet Explorer. Alleen klanten die deze functie handmatig inschakelen wanneer zij een webpagina afdrukken, lopen risico op dit probleem.
• Een aanvaller die erin slaagt misbruik te maken van dit beveiligingslek, kan dezelfde rechten over het systeem krijgen als de lokale gebruiker. Gebruikers met accounts waarvoor minder gebruikersrechten op het systeem zijn ingesteld, lopen minder risico dan gebruikers die met beheerdersrechten werken.

Microsoft heeft nog geen oplossingen voor dit beveiligingslek.

Wat is de omvang van het beveiligingslek? 
Dit beveiligingslek heeft betrekking op de uitvoering van externe code.

Waardoor wordt het beveiligingslek veroorzaakt? 
Onder bepaalde omstandigheden drukt Internet Explorer een speciaal vervaardigde HTML-pagina niet goed af.

Met welk doel kan een aanvaller het beveiligingslek misbruiken? 
Een aanvaller die erin slaagt misbruik te maken van dit beveiligingslek, kan dezelfde rechten over het systeem krijgen als de lokale gebruiker. Als de lokale gebruiker met beheerdersrechten is aangemeld, kan een aanvaller die misbruik weet te maken van dit beveiligingslek, volledige controle krijgen over een systeem waarin dit probleem optreedt. De aanvaller kan vervolgens programma's installeren, gegevens bekijken, wijzigen of wissen, of nieuwe accounts met volledige gebruikersrechten maken.

Hoe kan een aanvaller dit beveiligingslek misbruiken? 
Van dit beveiligingslek kan pas misbruik worden gemaakt als een gebruiker probeert een speciaal vervaardigde HTML-pagina af te drukken wanneer de optie "Tabel met koppelingen afdrukken" is ingeschakeld.

In een aanval via het web kan een aanvaller een speciaal vervaardigde website hosten die is ontworpen om misbruik te maken van dit beveiligingslek via Internet Explorer en een gebruiker er vervolgens toe overhalen de website te bekijken en de pagina af te drukken met de optie "Tabel met koppelingen afdrukken" ingeschakeld. Een aanvaller kan ook een ActiveX-besturingselement dat is gemarkeerd als "veilig voor initialisering" invoegen in een toepassing of Microsoft Office-document met de IE-engine. De aanvaller zou ook misbruik kunnen maken van gemanipuleerde websites en websites die inhoud of advertenties van gebruikers accepteren of hosten. Deze websites kunnen speciaal vervaardigde inhoud bevatten, die misbruik van dit beveiligingslek kan maken. Een aanvaller kan een gebruiker er echter niet toe dwingen de inhoud van de aanvaller weer te geven en af te drukken. Bovendien kan een aanvaller de optie "Tabel met koppelingen afdrukken" niet automatisch inschakelen. In plaats daarvan moet een aanvaller gebruikers ertoe overhalen een bepaalde handeling uit te voeren, doorgaans door op een koppeling in een e-mailbericht of Instant Messenger-bericht te klikken, waardoor de gebruiker naar de website van de aanvaller gaat, of door een e-mailbijlage te openen en de gebruiker er vervolgens toe over te halen de speciaal vervaardigde inhoud af te drukken met de optie "Tabel met koppelingen afdrukken" ingeschakeld.

In een aanval per e-mail kan een aanvaller een speciaal vervaardigd e-mailbericht verzenden naar een potentieel slachtoffer en het slachtoffer er vervolgens toe voerhalen het e-mailbericht af te drukken met de optie "Tabel met koppelingen afdrukken" ingeschakeld. Alleen e-mailtoepassingen zoals Microsoft Outlook 2003, Microsoft Outlook Express, Windows Mail en Windows Live Mail, die de optie "Tabel met koppelingen afdrukken" ondersteunen, kunnen door de aanvaller worden gebruikt voor misbruik van dit beveiligingslek. Als echter een e-mailservice op het web wordt gebruikt, is het aanvalsscenario via het web van toepassing.

Voor welke systemen vormt dit beveiligingslek het grootste risico? 
Systemen waarop Internet Explorer regelmatig wordt gebruikt, zoals werkstations en terminalservers, lopen het meeste risico.

Wat doet de update? 
De update lost het beveiligingslek op doordat de manier wordt gewijzigd waarop Internet Explorer speciaal vervaardigde HTML-inhoud afdrukt. De wijzigingen in Internet Explorer lossen ook de e-mailaanvalsvector via Microsoft Outlook 2003, Microsoft Outlook Express, Windows Mail en Windows Live Mail op.

Was dit beveiligingslek openbaar gemaakt op het moment dat dit beveiligingsbulletin werd uitgegeven? 
Nee. Microsoft heeft uit betrouwbare bronnen informatie over dit beveiligingslek ontvangen.

Was aan Microsoft gerapporteerd dat er misbruik was gemaakt van dit beveiligingslek op het moment dat dit beveiligingsbulletin werd uitgegeven? 
Nee. Microsoft heeft geen informatie ontvangen die erop wees dat dit beveiligingslek was gebruikt om aanvallen uit te voeren op klanten op het moment dat dit beveiligingsbulletin oorspronkelijk werd uitgegeven.

Met beperkende factoren wordt verwezen naar een instelling, de algehele configuratie of algemene tips voor een standaardstatus waarmee de ernst van misbruik via een beveiligingslek kan worden verminderd. De volgende beperkende factoren kunnen in uw situatie van pas komen:

• In het geval van een aanval vanaf het web kan de aanvaller beschikken over een website waarop zich een webpagina bevindt waarmee dit beveiligingslek wordt misbruikt. Daarnaast kunnen ook gemanipuleerde websites en websites waarop gegevens of advertenties staan of gegevens of advertenties kunnen worden ingevoerd, schadelijke inhoud bevatten die dit beveiligingslek kunnen misbruiken. Een aanvaller kan echter een gebruiker er niet toe dwingen om naar deze websites te gaan. De aanvaller moet een gebruiker er dus van overtuigen een bezoek te brengen aan de website. In de meeste gevallen doet de aanvaller dat door de gebruiker ertoe te bewegen op een koppeling in een e-mailbericht of een verzoek in een expresbericht te klikken waarmee de gebruiker naar de website van de aanvaller gaat.
• HTML-e-mailberichten worden door alle ondersteunde versies van Microsoft Outlook en Microsoft Outlook Express en Windows Mail standaard geopend in de zone Websites met beperkte toegang. De zone Websites met beperkte toegang, die script- en ActiveX-besturingselementen uitschakelt, vermindert het risico dat een aanvaller gebruik kan maken van dit beveiligingslek om schadelijke code uit te voeren. Als een gebruiker op een koppeling in een e-mailbericht klikt, kan deze nog wel als gevolg van het beveiligingslek via een aanval vanaf het web worden getroffen.
• Een aanvaller die erin slaagt misbruik te maken van dit beveiligingslek, kan dezelfde rechten over het systeem krijgen als de lokale gebruiker. Gebruikers met accounts waarvoor minder gebruikersrechten op het systeem zijn ingesteld, lopen minder risico dan gebruikers die met beheerdersrechten werken.
• Standaard wordt Internet Explorer op Windows Server 2003, Windows Server 2008 en Windows Server 2008 R2 uitgevoerd in een beperkte modus genaamd Verbeterde beveiliging. Deze modus vermindert het probleem van dit beveiligingslek. Zie het gedeelte Veelgestelde vragen met betrekking tot dit beveiligingslek voor meer informatie over Verbeterde beveiliging van Internet Explorer.

Tijdelijke oplossingen zijn wijzigingen in een instelling of configuratie waardoor het beveiligingslek zelf niet wordt gedicht, maar waarmee aanvalsvectoren wel worden geblokkeerd voordat u de update uitvoert. Microsoft heeft de volgende methoden en statussen om het probleem te omzeilen getest om uit te zoeken of een tijdelijke oplossing functionaliteit vermindert:

• Stel het beveiligingsniveau van de zones Internet en Lokaal intranet in op Hoog om ActiveX-besturingselementen en Active Scripting te blokkeren

  U kunt het systeem beter tegen de gevaren van dit beveiligingslek beschermen door bepaalde instellingen voor de beveiligingszone Het Internet zodanig te wijzigen dat ActiveX-besturingselementen en het actief uitvoeren van scripts worden geblokkeerd. U kunt dit doen door de beveiliging van uw browser in te stellen op Hoog.

  Ga als volgt te werk als u het beveiligingsniveau van Internet Explorer wilt verhogen:

  1. Ga in Internet Explorer naar het menu Extra en klik op Internet-opties.
  2. Klik in het dialoogvenster Internet-opties op het tabblad Beveiliging en klik op het pictogram Internet.
  3. Verplaats de schuifregelaar bij Beveiligingsniveau voor deze zone naar Hoog. Hiermee wordt het beveiligingsniveau voor alle websites die u bezoekt, ingesteld op Hoog.

  Opmerking Klik als er geen schuifregelaar zichtbaar is, op Standaardniveau en verplaats de schuifregelaar vervolgens naar Hoog.

  Opmerking Als u het niveau instelt op Hoog worden bepaalde websites mogelijk onjuist weergegeven. Als u problemen ervaart met het bezoeken van websites nadat u deze instelling hebt gewijzigd, en u weet zeker dat het bezoek van de desbetreffende website veilig is, kunt u die website aan uw lijst met vertrouwde websites toevoegen. Hierdoor werkt de website weer goed, zelfs met de beveiligingsinstelling Hoog.

  Gevolgen van de tijdelijke oplossing. Er kleven enkele nadelen aan het uitschakelen van ActiveX-besturingselementen en Active Scripting. Veel websites op internet of een intranet bieden extra functionaliteit dankzij ActiveX of Active Scripting. Een website van een e-commerce-bedrijf of een bank kan met ActiveX-besturingselementen bijvoorbeeld menu's, bestelformulieren of zelfs bankafschriften ter beschikking stellen. Het blokkeren van ActiveX-besturingselementen of Active Scripting is een algemene instelling die voor alle websites (internet en intranet) geldt. Als u niet wilt dat ActiveX-besturingselementen en Active Scripting voor dergelijke websites worden geblokkeerd, kunt u de stappen uitvoeren die worden beschreven in de volgende paragraaf "Vertrouwde websites toevoegen aan de zone Vertrouwde websites in Internet Explorer".

  Vertrouwde websites toevoegen aan de zone Vertrouwde websites in Internet Explorer

  Nadat u Internet Explorer zodanig hebt ingesteld dat ActiveX-besturingselementen en het actief uitvoeren van scripts worden geblokkeerd in de zone Het Internet en de zone Lokaal intranet, kunt u al uw vertrouwde websites aan de zone Vertrouwde websites van Internet Explorer toevoegen. Op deze manier bent u beveiligd tegen aanvallen op dit beveiligingslek vanaf niet-vertrouwde websites en kunt u als altijd blijven gebruikmaken van vertrouwde websites. Het is raadzaam alleen websites die u vertrouwt aan de zone Vertrouwde websites toe te voegen.

  Voer hiertoe de volgende stappen uit:

  1. Klik op Internet-opties in het menu Extra van Internet Explorer. Klik op het tabblad Beveiliging.
  2. Klik in het vak Selecteer de zone waarvoor u beveiligingsinstellingen wilt opgeven op Vertrouwde websites en klik op Websites.
  3. Als u websites wilt toevoegen waarvoor geen gecodeerd kanaal is vereist, schakelt u het selectievakje Serververificatie (https:) voor alle websites in deze zone verplicht uit.
  4. In het vak Deze website aan de zone toevoegen typt u de URL van een website die u vertrouwt. Klik vervolgens op Toevoegen.
  5. Herhaal deze stappen voor elke website die u aan de zone wilt toevoegen.
  6. Klik tweemaal op OK om de wijzigingen te accepteren en terug te keren naar Internet Explorer.

  Opmerking Als er websites zijn waarvan u niet verwacht dat daarvandaan schadelijke acties op uw systeem worden ondernomen, voegt u deze aan de vertrouwde websites toe. U kunt bijvoorbeeld de websites *.windowsupdate.microsoft.com en *.update.microsoft.com toevoegen. Dit zijn de websites waar de update is te vinden. Er is een ActiveX-besturingselement nodig om de update te kunnen installeren.

   

• Stel Internet Explorer zodanig in dat u wordt gevraagd of u actieve scripts wilt uitvoeren, of schakel de optie Actief uitvoeren van scripts uit voor de beveiligingszones Het Internet en Lokaal intranet

  U kunt het systeem beter beschermen tegen misbruik van dit beveiligingslek door bepaalde instellingen te wijzigen zodat u wordt gevraagd om bevestiging voordat scripts actief worden uitgevoerd. U kunt ook de optie Actief uitvoeren van scripts uitschakelen in de beveiligingszones Het Internet en Lokaal intranet. Voer hiertoe de volgende stappen uit:

  1. Klik op Internet-opties in het menu Extra van Internet Explorer.
  2. Klik op het tabblad Beveiliging.
  3. Klik op Het Internet en klik op Aangepast niveau.
  4. Ga naar Instellingen, klik in de sectie Uitvoeren van scripts onder de optie Actief uitvoeren van scripts op Vragen  of Uitschakelen en klik op OK.
  5. Klik op Lokaal intranet en klik op Aangepast niveau.
  6. Ga naar Instellingen, klik in de sectie Uitvoeren van scripts onder de optie Actief uitvoeren van scripts op Vragen  of Uitschakelen en klik op OK.
  7. Klik tweemaal op OK om terug te gaan naar Internet Explorer.

  Opmerking Als u Actief uitvoeren van scripts uitschakelt in de beveiligingszones Het Internet en Lokaal intranet, is het mogelijk dat sommige websites niet correct werken. Als u problemen ervaart met het bezoeken van websites nadat u deze instelling hebt gewijzigd, en u weet zeker dat het bezoek van de desbetreffende website veilig is, kunt u die website aan uw lijst met vertrouwde websites toevoegen. Hierdoor werkt de website weer goed.

  Gevolgen van de tijdelijke oplossing. Wanneer u vraagt om bevestiging voordat u Active Scripting uitvoert, zijn de volgende punten van toepassing. Veel websites op internet of een intranet bieden extra functionaliteit dankzij de technologie voor actieve scripts. Een website van een e-commerce-bedrijf of een bank kan met de optie Actief uitvoeren van scripts menu's, bestelformulieren of zelfs bankafschriften ter beschikking stellen. Vragen om bevestiging voordat actieve scripts worden uitgevoerd, is een instelling die geldt voor alle websites (internet en intranet). Wanneer u voor deze oplossing hebt gekozen, zal het vraagvenster veelvuldig worden weergegeven. Telkens wanneer het vraagvenster verschijnt, dient u op Ja te klikken als u de website vertrouwt die u wilt bezoeken. Hierna worden de actieve scripts van die website uitgevoerd. Als u niet wilt dat het vraagvenster voor al deze websites wordt weergegeven, kunt u de stappen uitvoeren die worden beschreven in de volgende paragraaf "Vertrouwde websites toevoegen aan de zone Vertrouwde websites in Internet Explorer".

  Vertrouwde websites toevoegen aan de zone Vertrouwde websites in Internet Explorer

  Nadat u Internet Explorer zodanig hebt ingesteld dat u wordt gevraagd om bevestiging bij het uitvoeren van ActiveX-besturingselementen en het actief uitvoeren van scripts in de zone Het Internet en de zone Lokaal intranet, kunt u al uw vertrouwde websites aan de zone Vertrouwde websites van Internet Explorer toevoegen. Op deze manier bent u beveiligd tegen aanvallen op dit beveiligingslek vanaf niet-vertrouwde websites en kunt u als altijd blijven gebruikmaken van vertrouwde websites. Het is raadzaam alleen websites die u vertrouwt aan de zone Vertrouwde websites toe te voegen.

  Voer hiertoe de volgende stappen uit:

  1. Klik op Internet-opties in het menu Extra van Internet Explorer. Klik op het tabblad Beveiliging.
  2. Klik in het vak Selecteer de zone waarvoor u beveiligingsinstellingen wilt opgeven op Vertrouwde websites en klik op Websites.
  3. Als u websites wilt toevoegen waarvoor geen gecodeerd kanaal is vereist, schakelt u het selectievakje Serververificatie (https:) voor alle websites in deze zone verplicht uit.
  4. In het vak Deze website aan de zone toevoegen typt u de URL van een website die u vertrouwt. Klik vervolgens op Toevoegen.
  5. Herhaal deze stappen voor elke website die u aan de zone wilt toevoegen.
  6. Klik tweemaal op OK om de wijzigingen te accepteren en terug te keren naar Internet Explorer.

  Opmerking Als er websites zijn waarvan u niet verwacht dat daarvandaan schadelijke acties op uw systeem worden ondernomen, voegt u deze aan de vertrouwde websites toe. U kunt bijvoorbeeld de websites *.windowsupdate.microsoft.com en *.update.microsoft.com toevoegen. Dit zijn de websites waar de update is te vinden. Er is een ActiveX-besturingselement nodig om de update te kunnen installeren.

   

Wat is de omvang van het beveiligingslek? 
Dit beveiligingslek heeft betrekking op de uitvoering van externe code.

Waardoor wordt het beveiligingslek veroorzaakt? 
Wanneer Internet Explorer toegang probeert te krijgen tot een object dat is verwijderd, kan het geheugen dusdanig worden ontregeld dat een aanvaller willekeurige code kan uitvoeren in de context van de aangemelde gebruiker.

Met welk doel kan een aanvaller het beveiligingslek misbruiken? 
Een aanvaller die erin slaagt misbruik te maken van dit beveiligingslek, kan dezelfde rechten over het systeem krijgen als de lokale gebruiker. Als de lokale gebruiker met beheerdersrechten is aangemeld, kan een aanvaller die misbruik weet te maken van dit beveiligingslek, volledige controle krijgen over een systeem waarin dit probleem optreedt. De aanvaller kan vervolgens programma's installeren, gegevens bekijken, wijzigen of wissen, of nieuwe accounts met volledige gebruikersrechten maken.

Hoe kan een aanvaller dit beveiligingslek misbruiken? 
Een aanvaller kan over een website beschikken die speciaal is ontworpen om via Internet Explorer misbruik te maken van dit lek, en vervolgens de gebruiker ertoe overhalen deze website te bekijken. Een aanvaller kan ook een ActiveX-besturingselement dat is gemarkeerd als "veilig voor initialisering" invoegen in een toepassing of Microsoft Office-document met de IE-engine. De aanvaller zou ook misbruik kunnen maken van gemanipuleerde websites en websites die inhoud of advertenties van gebruikers accepteren of hosten. Deze websites kunnen speciaal vervaardigde inhoud bevatten, die misbruik van dit beveiligingslek kan maken. Een aanvaller kan een gebruiker er echter niet toe dwingen de inhoud van de aanvaller weer te geven. In plaats daarvan zou een aanvaller gebruikers ertoe moeten overhalen een handeling uit te voeren, doorgaans door op een koppeling in een e-mailbericht of een Instant Messenger-bericht te klikken, waardoor de gebruiker naar de website van de aanvaller gaat, of door een bijlage bij een e-mail te openen.

Voor welke systemen vormt dit beveiligingslek het grootste risico? 
Systemen waarop Internet Explorer regelmatig wordt gebruikt, zoals werkstations en terminalservers, lopen het meeste risico.

Ik gebruik Internet Explorer voor Windows Server 2003, Windows Server 2008 of Windows Server 2008 R2. Betekent dit dat het beveiligingslek minder problemen oplevert? 
Ja. Standaard wordt Internet Explorer op Windows Server 2003, Windows Server 2008 en Windows Server 2008 R2 uitgevoerd in een beperkte modus genaamd Verbeterde beveiliging. Verbeterde beveiliging van Internet Explorer betreft een groep vooraf geconfigureerde Internet Explorer-instellingen die de kans vrij klein maken dat een gebruiker of beheerder speciaal vervaardigde webinhoud op een server downloadt en uitvoert. Dit is een beperkende factor voor websites die u niet aan de zone Vertrouwde websites van Internet Explorer hebt toegevoegd.

Wat doet de update? 
De update lost het beveiligingslek op doordat de manier wordt gewijzigd waarop Internet Explorer objecten in het geheugen verwerkt.

Was dit beveiligingslek openbaar gemaakt op het moment dat dit beveiligingsbulletin werd uitgegeven? 
Nee. Microsoft heeft uit betrouwbare bronnen informatie over dit beveiligingslek ontvangen.

Was aan Microsoft gerapporteerd dat er misbruik was gemaakt van dit beveiligingslek op het moment dat dit beveiligingsbulletin werd uitgegeven? 
Nee. Microsoft heeft geen informatie ontvangen die erop wees dat dit beveiligingslek was gebruikt om aanvallen uit te voeren op klanten op het moment dat dit beveiligingsbulletin oorspronkelijk werd uitgegeven.

Met beperkende factoren wordt verwezen naar een instelling, de algehele configuratie of algemene tips voor een standaardstatus waarmee de ernst van misbruik via een beveiligingslek kan worden verminderd. De volgende beperkende factoren kunnen in uw situatie van pas komen:

• In het geval van een aanval vanaf het web kan de aanvaller beschikken over een website waarop zich een webpagina bevindt waarmee dit beveiligingslek wordt misbruikt. Daarnaast kunnen ook gemanipuleerde websites en websites waarop gegevens of advertenties staan of gegevens of advertenties kunnen worden ingevoerd, schadelijke inhoud bevatten die dit beveiligingslek kunnen misbruiken. Een aanvaller kan echter een gebruiker er niet toe dwingen om naar deze websites te gaan. De aanvaller moet een gebruiker er dus van overtuigen een bezoek te brengen aan de website. In de meeste gevallen doet de aanvaller dat door de gebruiker ertoe te bewegen op een koppeling in een e-mailbericht of een verzoek in een expresbericht te klikken waarmee de gebruiker naar de website van de aanvaller gaat.
• Een aanvaller die erin slaagt misbruik te maken van dit beveiligingslek, kan dezelfde rechten over het systeem krijgen als de lokale gebruiker. Gebruikers met accounts waarvoor minder gebruikersrechten op het systeem zijn ingesteld, lopen minder risico dan gebruikers die met beheerdersrechten werken.
• HTML-e-mailberichten worden door alle ondersteunde versies van Microsoft Outlook en Microsoft Outlook Express en Windows Mail standaard geopend in de zone Websites met beperkte toegang. De zone Websites met beperkte toegang, die script- en ActiveX-besturingselementen uitschakelt, vermindert het risico dat een aanvaller gebruik kan maken van dit beveiligingslek om schadelijke code uit te voeren. Als een gebruiker op een koppeling in een e-mailbericht klikt, kan deze nog wel als gevolg van het beveiligingslek via een aanval vanaf het web worden getroffen.
• Standaard wordt Internet Explorer op Windows Server 2003, Windows Server 2008 en Windows Server 2008 R2 uitgevoerd in een beperkte modus genaamd Verbeterde beveiliging. Deze modus vermindert het probleem van dit beveiligingslek. Zie het gedeelte Veelgestelde vragen met betrekking tot dit beveiligingslek voor meer informatie over Verbeterde beveiliging van Internet Explorer.
• Dit beveiligingslek komt niet voor in Internet Explorer 8 en Internet Explorer 9.

Tijdelijke oplossingen zijn wijzigingen in een instelling of configuratie waardoor het beveiligingslek zelf niet wordt gedicht, maar waarmee aanvalsvectoren wel worden geblokkeerd voordat u de update uitvoert. Microsoft heeft de volgende methoden en statussen om het probleem te omzeilen getest om uit te zoeken of een tijdelijke oplossing functionaliteit vermindert:

• Stel het beveiligingsniveau van de zones Internet en Lokaal intranet in op Hoog om ActiveX-besturingselementen en Active Scripting te blokkeren

  U kunt het systeem beter tegen de gevaren van dit beveiligingslek beschermen door bepaalde instellingen voor de beveiligingszone Het Internet zodanig te wijzigen dat ActiveX-besturingselementen en het actief uitvoeren van scripts worden geblokkeerd. U kunt dit doen door de beveiliging van uw browser in te stellen op Hoog.

  Ga als volgt te werk als u het beveiligingsniveau van Internet Explorer wilt verhogen:

  1. Ga in Internet Explorer naar het menu Extra en klik op Internet-opties.
  2. Klik in het dialoogvenster Internet-opties op het tabblad Beveiliging en klik op het pictogram Internet.
  3. Verplaats de schuifregelaar bij Beveiligingsniveau voor deze zone naar Hoog. Hiermee wordt het beveiligingsniveau voor alle websites die u bezoekt, ingesteld op Hoog.

  Opmerking Klik als er geen schuifregelaar zichtbaar is, op Standaardniveau en verplaats de schuifregelaar vervolgens naar Hoog.

  Opmerking Als u het niveau instelt op Hoog worden bepaalde websites mogelijk onjuist weergegeven. Als u problemen ervaart met het bezoeken van websites nadat u deze instelling hebt gewijzigd, en u weet zeker dat het bezoek van de desbetreffende website veilig is, kunt u die website aan uw lijst met vertrouwde websites toevoegen. Hierdoor werkt de website weer goed, zelfs met de beveiligingsinstelling Hoog.

  Gevolgen van de tijdelijke oplossing. Er kleven enkele nadelen aan het uitschakelen van ActiveX-besturingselementen en Active Scripting. Veel websites op internet of een intranet bieden extra functionaliteit dankzij ActiveX of Active Scripting. Een website van een e-commerce-bedrijf of een bank kan met ActiveX-besturingselementen bijvoorbeeld menu's, bestelformulieren of zelfs bankafschriften ter beschikking stellen. Het blokkeren van ActiveX-besturingselementen of Active Scripting is een algemene instelling die voor alle websites (internet en intranet) geldt. Als u niet wilt dat ActiveX-besturingselementen en Active Scripting voor dergelijke websites worden geblokkeerd, kunt u de stappen uitvoeren die worden beschreven in de volgende paragraaf "Vertrouwde websites toevoegen aan de zone Vertrouwde websites in Internet Explorer".

  Vertrouwde websites toevoegen aan de zone Vertrouwde websites in Internet Explorer

  Nadat u Internet Explorer zodanig hebt ingesteld dat ActiveX-besturingselementen en het actief uitvoeren van scripts worden geblokkeerd in de zone Het Internet en de zone Lokaal intranet, kunt u al uw vertrouwde websites aan de zone Vertrouwde websites van Internet Explorer toevoegen. Op deze manier bent u beveiligd tegen aanvallen op dit beveiligingslek vanaf niet-vertrouwde websites en kunt u als altijd blijven gebruikmaken van vertrouwde websites. Het is raadzaam alleen websites die u vertrouwt aan de zone Vertrouwde websites toe te voegen.

  Voer hiertoe de volgende stappen uit:

  1. Klik op Internet-opties in het menu Extra van Internet Explorer. Klik op het tabblad Beveiliging.
  2. Klik in het vak Selecteer de zone waarvoor u beveiligingsinstellingen wilt opgeven op Vertrouwde websites en klik op Websites.
  3. Als u websites wilt toevoegen waarvoor geen gecodeerd kanaal is vereist, schakelt u het selectievakje Serververificatie (https:) voor alle websites in deze zone verplicht uit.
  4. In het vak Deze website aan de zone toevoegen typt u de URL van een website die u vertrouwt. Klik vervolgens op Toevoegen.
  5. Herhaal deze stappen voor elke website die u aan de zone wilt toevoegen.
  6. Klik tweemaal op OK om de wijzigingen te accepteren en terug te keren naar Internet Explorer.

  Opmerking Als er websites zijn waarvan u niet verwacht dat daarvandaan schadelijke acties op uw systeem worden ondernomen, voegt u deze aan de vertrouwde websites toe. U kunt bijvoorbeeld de websites *.windowsupdate.microsoft.com en *.update.microsoft.com toevoegen. Dit zijn de websites waar de update is te vinden. Er is een ActiveX-besturingselement nodig om de update te kunnen installeren.

   

• Stel Internet Explorer zodanig in dat u wordt gevraagd of u actieve scripts wilt uitvoeren, of schakel de optie Actief uitvoeren van scripts uit voor de beveiligingszones Het Internet en Lokaal intranet

  U kunt het systeem beter beschermen tegen misbruik van dit beveiligingslek door bepaalde instellingen te wijzigen zodat u wordt gevraagd om bevestiging voordat scripts actief worden uitgevoerd. U kunt ook de optie Actief uitvoeren van scripts uitschakelen in de beveiligingszones Het Internet en Lokaal intranet. Voer hiertoe de volgende stappen uit:

  1. Klik op Internet-opties in het menu Extra van Internet Explorer.
  2. Klik op het tabblad Beveiliging.
  3. Klik op Het Internet en klik op Aangepast niveau.
  4. Ga naar Instellingen, klik in de sectie Uitvoeren van scripts onder de optie Actief uitvoeren van scripts op Vragen  of Uitschakelen en klik op OK.
  5. Klik op Lokaal intranet en klik op Aangepast niveau.
  6. Ga naar Instellingen, klik in de sectie Uitvoeren van scripts onder de optie Actief uitvoeren van scripts op Vragen  of Uitschakelen en klik op OK.
  7. Klik tweemaal op OK om terug te gaan naar Internet Explorer.

  Opmerking Als u Actief uitvoeren van scripts uitschakelt in de beveiligingszones Het Internet en Lokaal intranet, is het mogelijk dat sommige websites niet correct werken. Als u problemen ervaart met het bezoeken van websites nadat u deze instelling hebt gewijzigd, en u weet zeker dat het bezoek van de desbetreffende website veilig is, kunt u die website aan uw lijst met vertrouwde websites toevoegen. Hierdoor werkt de website weer goed.

  Gevolgen van de tijdelijke oplossing. Wanneer u vraagt om bevestiging voordat u Active Scripting uitvoert, zijn de volgende punten van toepassing. Veel websites op internet of een intranet bieden extra functionaliteit dankzij de technologie voor actieve scripts. Een website van een e-commerce-bedrijf of een bank kan met de optie Actief uitvoeren van scripts menu's, bestelformulieren of zelfs bankafschriften ter beschikking stellen. Vragen om bevestiging voordat actieve scripts worden uitgevoerd, is een instelling die geldt voor alle websites (internet en intranet). Wanneer u voor deze oplossing hebt gekozen, zal het vraagvenster veelvuldig worden weergegeven. Telkens wanneer het vraagvenster verschijnt, dient u op Ja te klikken als u de website vertrouwt die u wilt bezoeken. Hierna worden de actieve scripts van die website uitgevoerd. Als u niet wilt dat het vraagvenster voor al deze websites wordt weergegeven, kunt u de stappen uitvoeren die worden beschreven in de volgende paragraaf "Vertrouwde websites toevoegen aan de zone Vertrouwde websites in Internet Explorer".

  Vertrouwde websites toevoegen aan de zone Vertrouwde websites in Internet Explorer

  Nadat u Internet Explorer zodanig hebt ingesteld dat u wordt gevraagd om bevestiging bij het uitvoeren van ActiveX-besturingselementen en het actief uitvoeren van scripts in de zone Het Internet en de zone Lokaal intranet, kunt u al uw vertrouwde websites aan de zone Vertrouwde websites van Internet Explorer toevoegen. Op deze manier bent u beveiligd tegen aanvallen op dit beveiligingslek vanaf niet-vertrouwde websites en kunt u als altijd blijven gebruikmaken van vertrouwde websites. Het is raadzaam alleen websites die u vertrouwt aan de zone Vertrouwde websites toe te voegen.

  Voer hiertoe de volgende stappen uit:

  1. Klik op Internet-opties in het menu Extra van Internet Explorer. Klik op het tabblad Beveiliging.
  2. Klik in het vak Selecteer de zone waarvoor u beveiligingsinstellingen wilt opgeven op Vertrouwde websites en klik op Websites.
  3. Als u websites wilt toevoegen waarvoor geen gecodeerd kanaal is vereist, schakelt u het selectievakje Serververificatie (https:) voor alle websites in deze zone verplicht uit.
  4. In het vak Deze website aan de zone toevoegen typt u de URL van een website die u vertrouwt. Klik vervolgens op Toevoegen.
  5. Herhaal deze stappen voor elke website die u aan de zone wilt toevoegen.
  6. Klik tweemaal op OK om de wijzigingen te accepteren en terug te keren naar Internet Explorer.

  Opmerking Als er websites zijn waarvan u niet verwacht dat daarvandaan schadelijke acties op uw systeem worden ondernomen, voegt u deze aan de vertrouwde websites toe. U kunt bijvoorbeeld de websites *.windowsupdate.microsoft.com en *.update.microsoft.com toevoegen. Dit zijn de websites waar de update is te vinden. Er is een ActiveX-besturingselement nodig om de update te kunnen installeren.

   

Wat is de omvang van het beveiligingslek? 
Dit beveiligingslek heeft betrekking op de uitvoering van externe code.

Waardoor wordt het beveiligingslek veroorzaakt? 
Wanneer Internet Explorer toegang probeert te krijgen tot een object dat is verwijderd, kan het geheugen dusdanig worden ontregeld dat een aanvaller willekeurige code kan uitvoeren in de context van de aangemelde gebruiker.

Met welk doel kan een aanvaller het beveiligingslek misbruiken? 
Een aanvaller die erin slaagt misbruik te maken van dit beveiligingslek, kan dezelfde rechten over het systeem krijgen als de lokale gebruiker. Als de lokale gebruiker met beheerdersrechten is aangemeld, kan een aanvaller die misbruik weet te maken van dit beveiligingslek, volledige controle krijgen over een systeem waarin dit probleem optreedt. De aanvaller kan vervolgens programma's installeren, gegevens bekijken, wijzigen of wissen, of nieuwe accounts met volledige gebruikersrechten maken.

Hoe kan een aanvaller dit beveiligingslek misbruiken? 
Een aanvaller kan over een website beschikken die speciaal is ontworpen om via Internet Explorer misbruik te maken van dit lek, en vervolgens de gebruiker ertoe overhalen deze website te bekijken. Een aanvaller kan ook een ActiveX-besturingselement dat is gemarkeerd als "veilig voor initialisering" invoegen in een toepassing of Microsoft Office-document met de IE-engine. De aanvaller zou ook misbruik kunnen maken van gemanipuleerde websites en websites die inhoud of advertenties van gebruikers accepteren of hosten. Deze websites kunnen speciaal vervaardigde inhoud bevatten, die misbruik van dit beveiligingslek kan maken. Een aanvaller kan een gebruiker er echter niet toe dwingen de inhoud van de aanvaller weer te geven. In plaats daarvan zou een aanvaller gebruikers ertoe moeten overhalen een handeling uit te voeren, doorgaans door op een koppeling in een e-mailbericht of een Instant Messenger-bericht te klikken, waardoor de gebruiker naar de website van de aanvaller gaat, of door een bijlage bij een e-mail te openen.

Voor welke systemen vormt dit beveiligingslek het grootste risico? 
Systemen waarop Internet Explorer regelmatig wordt gebruikt, zoals werkstations en terminalservers, lopen het meeste risico.

Ik gebruik Internet Explorer voor Windows Server 2003, Windows Server 2008 of Windows Server 2008 R2. Betekent dit dat het beveiligingslek minder problemen oplevert? 
Ja. Standaard wordt Internet Explorer op Windows Server 2003, Windows Server 2008 en Windows Server 2008 R2 uitgevoerd in een beperkte modus genaamd Verbeterde beveiliging. Verbeterde beveiliging van Internet Explorer betreft een groep vooraf geconfigureerde Internet Explorer-instellingen die de kans vrij klein maken dat een gebruiker of beheerder speciaal vervaardigde webinhoud op een server downloadt en uitvoert. Dit is een beperkende factor voor websites die u niet aan de zone Vertrouwde websites van Internet Explorer hebt toegevoegd.

Wat doet de update? 
De update lost het beveiligingslek op doordat de manier wordt gewijzigd waarop Internet Explorer objecten in het geheugen verwerkt.

Was dit beveiligingslek openbaar gemaakt op het moment dat dit beveiligingsbulletin werd uitgegeven? 
Nee. Microsoft heeft uit betrouwbare bronnen informatie over dit beveiligingslek ontvangen.

Was aan Microsoft gerapporteerd dat er misbruik was gemaakt van dit beveiligingslek op het moment dat dit beveiligingsbulletin werd uitgegeven? 
Nee. Microsoft heeft geen informatie ontvangen die erop wees dat dit beveiligingslek was gebruikt om aanvallen uit te voeren op klanten op het moment dat dit beveiligingsbulletin oorspronkelijk werd uitgegeven.

Met beperkende factoren wordt verwezen naar een instelling, de algehele configuratie of algemene tips voor een standaardstatus waarmee de ernst van misbruik via een beveiligingslek kan worden verminderd. De volgende beperkende factoren kunnen in uw situatie van pas komen:

• In het geval van een aanval vanaf het web kan de aanvaller beschikken over een website waarop zich een webpagina bevindt waarmee dit beveiligingslek wordt misbruikt. Daarnaast kunnen ook gemanipuleerde websites en websites waarop gegevens of advertenties staan of gegevens of advertenties kunnen worden ingevoerd, schadelijke inhoud bevatten die dit beveiligingslek kunnen misbruiken. Een aanvaller kan echter een gebruiker er niet toe dwingen om naar deze websites te gaan. De aanvaller moet een gebruiker er dus van overtuigen een bezoek te brengen aan de website. In de meeste gevallen doet de aanvaller dat door de gebruiker ertoe te bewegen op een koppeling in een e-mailbericht of een verzoek in een expresbericht te klikken waarmee de gebruiker naar de website van de aanvaller gaat.
• Een aanvaller die erin slaagt misbruik te maken van dit beveiligingslek, kan dezelfde rechten over het systeem krijgen als de lokale gebruiker. Gebruikers met accounts waarvoor minder gebruikersrechten op het systeem zijn ingesteld, lopen minder risico dan gebruikers die met beheerdersrechten werken.
• HTML-e-mailberichten worden door alle ondersteunde versies van Microsoft Outlook en Microsoft Outlook Express en Windows Mail standaard geopend in de zone Websites met beperkte toegang. De zone Websites met beperkte toegang, die script- en ActiveX-besturingselementen uitschakelt, vermindert het risico dat een aanvaller gebruik kan maken van dit beveiligingslek om schadelijke code uit te voeren. Als een gebruiker op een koppeling in een e-mailbericht klikt, kan deze nog wel als gevolg van het beveiligingslek via een aanval vanaf het web worden getroffen.
• Standaard wordt Internet Explorer op Windows Server 2003, Windows Server 2008 en Windows Server 2008 R2 uitgevoerd in een beperkte modus genaamd Verbeterde beveiliging. Deze modus vermindert het probleem van dit beveiligingslek. Zie het gedeelte Veelgestelde vragen met betrekking tot dit beveiligingslek voor meer informatie over Verbeterde beveiliging van Internet Explorer.

Tijdelijke oplossingen zijn wijzigingen in een instelling of configuratie waardoor het beveiligingslek zelf niet wordt gedicht, maar waarmee aanvalsvectoren wel worden geblokkeerd voordat u de update uitvoert. Microsoft heeft de volgende methoden en statussen om het probleem te omzeilen getest om uit te zoeken of een tijdelijke oplossing functionaliteit vermindert:

• Stel het beveiligingsniveau van de zones Internet en Lokaal intranet in op Hoog om ActiveX-besturingselementen en Active Scripting te blokkeren

  U kunt het systeem beter tegen de gevaren van dit beveiligingslek beschermen door bepaalde instellingen voor de beveiligingszone Het Internet zodanig te wijzigen dat ActiveX-besturingselementen en het actief uitvoeren van scripts worden geblokkeerd. U kunt dit doen door de beveiliging van uw browser in te stellen op Hoog.

  Ga als volgt te werk als u het beveiligingsniveau van Internet Explorer wilt verhogen:

  1. Ga in Internet Explorer naar het menu Extra en klik op Internet-opties.
  2. Klik in het dialoogvenster Internet-opties op het tabblad Beveiliging en klik op het pictogram Internet.
  3. Verplaats de schuifregelaar bij Beveiligingsniveau voor deze zone naar Hoog. Hiermee wordt het beveiligingsniveau voor alle websites die u bezoekt, ingesteld op Hoog.

  Opmerking Klik als er geen schuifregelaar zichtbaar is, op Standaardniveau en verplaats de schuifregelaar vervolgens naar Hoog.

  Opmerking Als u het niveau instelt op Hoog worden bepaalde websites mogelijk onjuist weergegeven. Als u problemen ervaart met het bezoeken van websites nadat u deze instelling hebt gewijzigd, en u weet zeker dat het bezoek van de desbetreffende website veilig is, kunt u die website aan uw lijst met vertrouwde websites toevoegen. Hierdoor werkt de website weer goed, zelfs met de beveiligingsinstelling Hoog.

  Gevolgen van de tijdelijke oplossing. Er kleven enkele nadelen aan het uitschakelen van ActiveX-besturingselementen en Active Scripting. Veel websites op internet of een intranet bieden extra functionaliteit dankzij ActiveX of Active Scripting. Een website van een e-commerce-bedrijf of een bank kan met ActiveX-besturingselementen bijvoorbeeld menu's, bestelformulieren of zelfs bankafschriften ter beschikking stellen. Het blokkeren van ActiveX-besturingselementen of Active Scripting is een algemene instelling die voor alle websites (internet en intranet) geldt. Als u niet wilt dat ActiveX-besturingselementen en Active Scripting voor dergelijke websites worden geblokkeerd, kunt u de stappen uitvoeren die worden beschreven in de volgende paragraaf "Vertrouwde websites toevoegen aan de zone Vertrouwde websites in Internet Explorer".

  Vertrouwde websites toevoegen aan de zone Vertrouwde websites in Internet Explorer

  Nadat u Internet Explorer zodanig hebt ingesteld dat ActiveX-besturingselementen en het actief uitvoeren van scripts worden geblokkeerd in de zone Het Internet en de zone Lokaal intranet, kunt u al uw vertrouwde websites aan de zone Vertrouwde websites van Internet Explorer toevoegen. Op deze manier bent u beveiligd tegen aanvallen op dit beveiligingslek vanaf niet-vertrouwde websites en kunt u als altijd blijven gebruikmaken van vertrouwde websites. Het is raadzaam alleen websites die u vertrouwt aan de zone Vertrouwde websites toe te voegen.

  Voer hiertoe de volgende stappen uit:

  1. Klik op Internet-opties in het menu Extra van Internet Explorer. Klik op het tabblad Beveiliging.
  2. Klik in het vak Selecteer de zone waarvoor u beveiligingsinstellingen wilt opgeven op Vertrouwde websites en klik op Websites.
  3. Als u websites wilt toevoegen waarvoor geen gecodeerd kanaal is vereist, schakelt u het selectievakje Serververificatie (https:) voor alle websites in deze zone verplicht uit.
  4. In het vak Deze website aan de zone toevoegen typt u de URL van een website die u vertrouwt. Klik vervolgens op Toevoegen.
  5. Herhaal deze stappen voor elke website die u aan de zone wilt toevoegen.
  6. Klik tweemaal op OK om de wijzigingen te accepteren en terug te keren naar Internet Explorer.

  Opmerking Als er websites zijn waarvan u niet verwacht dat daarvandaan schadelijke acties op uw systeem worden ondernomen, voegt u deze aan de vertrouwde websites toe. U kunt bijvoorbeeld de websites *.windowsupdate.microsoft.com en *.update.microsoft.com toevoegen. Dit zijn de websites waar de update is te vinden. Er is een ActiveX-besturingselement nodig om de update te kunnen installeren.

   

• Stel Internet Explorer zodanig in dat u wordt gevraagd of u actieve scripts wilt uitvoeren, of schakel de optie Actief uitvoeren van scripts uit voor de beveiligingszones Het Internet en Lokaal intranet

  U kunt het systeem beter beschermen tegen misbruik van dit beveiligingslek door bepaalde instellingen te wijzigen zodat u wordt gevraagd om bevestiging voordat scripts actief worden uitgevoerd. U kunt ook de optie Actief uitvoeren van scripts uitschakelen in de beveiligingszones Het Internet en Lokaal intranet. Voer hiertoe de volgende stappen uit:

  1. Klik op Internet-opties in het menu Extra van Internet Explorer.
  2. Klik op het tabblad Beveiliging.
  3. Klik op Het Internet en klik op Aangepast niveau.
  4. Ga naar Instellingen, klik in de sectie Uitvoeren van scripts onder de optie Actief uitvoeren van scripts op Vragen  of Uitschakelen en klik op OK.
  5. Klik op Lokaal intranet en klik op Aangepast niveau.
  6. Ga naar Instellingen, klik in de sectie Uitvoeren van scripts onder de optie Actief uitvoeren van scripts op Vragen  of Uitschakelen en klik op OK.
  7. Klik tweemaal op OK om terug te gaan naar Internet Explorer.

  Opmerking Als u Actief uitvoeren van scripts uitschakelt in de beveiligingszones Het Internet en Lokaal intranet, is het mogelijk dat sommige websites niet correct werken. Als u problemen ervaart met het bezoeken van websites nadat u deze instelling hebt gewijzigd, en u weet zeker dat het bezoek van de desbetreffende website veilig is, kunt u die website aan uw lijst met vertrouwde websites toevoegen. Hierdoor werkt de website weer goed.

  Gevolgen van de tijdelijke oplossing. Wanneer u vraagt om bevestiging voordat u Active Scripting uitvoert, zijn de volgende punten van toepassing. Veel websites op internet of een intranet bieden extra functionaliteit dankzij de technologie voor actieve scripts. Een website van een e-commerce-bedrijf of een bank kan met de optie Actief uitvoeren van scripts menu's, bestelformulieren of zelfs bankafschriften ter beschikking stellen. Vragen om bevestiging voordat actieve scripts worden uitgevoerd, is een instelling die geldt voor alle websites (internet en intranet). Wanneer u voor deze oplossing hebt gekozen, zal het vraagvenster veelvuldig worden weergegeven. Telkens wanneer het vraagvenster verschijnt, dient u op Ja te klikken als u de website vertrouwt die u wilt bezoeken. Hierna worden de actieve scripts van die website uitgevoerd. Als u niet wilt dat het vraagvenster voor al deze websites wordt weergegeven, kunt u de stappen uitvoeren die worden beschreven in de volgende paragraaf "Vertrouwde websites toevoegen aan de zone Vertrouwde websites in Internet Explorer".

  Vertrouwde websites toevoegen aan de zone Vertrouwde websites in Internet Explorer

  Nadat u Internet Explorer zodanig hebt ingesteld dat u wordt gevraagd om bevestiging bij het uitvoeren van ActiveX-besturingselementen en het actief uitvoeren van scripts in de zone Het Internet en de zone Lokaal intranet, kunt u al uw vertrouwde websites aan de zone Vertrouwde websites van Internet Explorer toevoegen. Op deze manier bent u beveiligd tegen aanvallen op dit beveiligingslek vanaf niet-vertrouwde websites en kunt u als altijd blijven gebruikmaken van vertrouwde websites. Het is raadzaam alleen websites die u vertrouwt aan de zone Vertrouwde websites toe te voegen.

  Voer hiertoe de volgende stappen uit:

  1. Klik op Internet-opties in het menu Extra van Internet Explorer. Klik op het tabblad Beveiliging.
  2. Klik in het vak Selecteer de zone waarvoor u beveiligingsinstellingen wilt opgeven op Vertrouwde websites en klik op Websites.
  3. Als u websites wilt toevoegen waarvoor geen gecodeerd kanaal is vereist, schakelt u het selectievakje Serververificatie (https:) voor alle websites in deze zone verplicht uit.
  4. In het vak Deze website aan de zone toevoegen typt u de URL van een website die u vertrouwt. Klik vervolgens op Toevoegen.
  5. Herhaal deze stappen voor elke website die u aan de zone wilt toevoegen.
  6. Klik tweemaal op OK om de wijzigingen te accepteren en terug te keren naar Internet Explorer.

  Opmerking Als er websites zijn waarvan u niet verwacht dat daarvandaan schadelijke acties op uw systeem worden ondernomen, voegt u deze aan de vertrouwde websites toe. U kunt bijvoorbeeld de websites *.windowsupdate.microsoft.com en *.update.microsoft.com toevoegen. Dit zijn de websites waar de update is te vinden. Er is een ActiveX-besturingselement nodig om de update te kunnen installeren.

   

Wat is de omvang van het beveiligingslek? 
Dit beveiligingslek heeft betrekking op de uitvoering van externe code.

Waardoor wordt het beveiligingslek veroorzaakt? 
Wanneer Internet Explorer toegang probeert te krijgen tot een object dat is verwijderd, kan het geheugen dusdanig worden ontregeld dat een aanvaller willekeurige code kan uitvoeren in de context van de aangemelde gebruiker.

Met welk doel kan een aanvaller het beveiligingslek misbruiken? 
Een aanvaller die erin slaagt misbruik te maken van dit beveiligingslek, kan dezelfde rechten over het systeem krijgen als de lokale gebruiker. Als de lokale gebruiker met beheerdersrechten is aangemeld, kan een aanvaller die misbruik weet te maken van dit beveiligingslek, volledige controle krijgen over een systeem waarin dit probleem optreedt. De aanvaller kan vervolgens programma's installeren, gegevens bekijken, wijzigen of wissen, of nieuwe accounts met volledige gebruikersrechten maken.

Hoe kan een aanvaller dit beveiligingslek misbruiken? 
Een aanvaller kan over een website beschikken die speciaal is ontworpen om via Internet Explorer misbruik te maken van dit lek, en vervolgens de gebruiker ertoe overhalen deze website te bekijken. Een aanvaller kan ook een ActiveX-besturingselement dat is gemarkeerd als "veilig voor initialisering" invoegen in een toepassing of Microsoft Office-document met de IE-engine. De aanvaller zou ook misbruik kunnen maken van gemanipuleerde websites en websites die inhoud of advertenties van gebruikers accepteren of hosten. Deze websites kunnen speciaal vervaardigde inhoud bevatten, die misbruik van dit beveiligingslek kan maken. Een aanvaller kan een gebruiker er echter niet toe dwingen de inhoud van de aanvaller weer te geven. In plaats daarvan zou een aanvaller gebruikers ertoe moeten overhalen een handeling uit te voeren, doorgaans door op een koppeling in een e-mailbericht of een Instant Messenger-bericht te klikken, waardoor de gebruiker naar de website van de aanvaller gaat, of door een bijlage bij een e-mail te openen.

Voor welke systemen vormt dit beveiligingslek het grootste risico? 
Systemen waarop Internet Explorer regelmatig wordt gebruikt, zoals werkstations en terminalservers, lopen het meeste risico.

Ik gebruik Internet Explorer voor Windows Server 2003, Windows Server 2008 of Windows Server 2008 R2. Betekent dit dat het beveiligingslek minder problemen oplevert? 
Ja. Standaard wordt Internet Explorer op Windows Server 2003, Windows Server 2008 en Windows Server 2008 R2 uitgevoerd in een beperkte modus genaamd Verbeterde beveiliging. Verbeterde beveiliging van Internet Explorer betreft een groep vooraf geconfigureerde Internet Explorer-instellingen die de kans vrij klein maken dat een gebruiker of beheerder speciaal vervaardigde webinhoud op een server downloadt en uitvoert. Dit is een beperkende factor voor websites die u niet aan de zone Vertrouwde websites van Internet Explorer hebt toegevoegd.

Wat doet de update? 
De update lost het beveiligingslek op doordat de manier wordt gewijzigd waarop Internet Explorer objecten in het geheugen verwerkt.

Was dit beveiligingslek openbaar gemaakt op het moment dat dit beveiligingsbulletin werd uitgegeven? 
Nee. Microsoft heeft uit betrouwbare bronnen informatie over dit beveiligingslek ontvangen.

Was aan Microsoft gerapporteerd dat er misbruik was gemaakt van dit beveiligingslek op het moment dat dit beveiligingsbulletin werd uitgegeven? 
Nee. Microsoft heeft geen informatie ontvangen die erop wees dat dit beveiligingslek was gebruikt om aanvallen uit te voeren op klanten op het moment dat dit beveiligingsbulletin oorspronkelijk werd uitgegeven.

Met beperkende factoren wordt verwezen naar een instelling, de algehele configuratie of algemene tips voor een standaardstatus waarmee de ernst van misbruik via een beveiligingslek kan worden verminderd. De volgende beperkende factoren kunnen in uw situatie van pas komen:

• In het geval van een aanval vanaf het web kan de aanvaller beschikken over een website waarop zich een webpagina bevindt waarmee dit beveiligingslek wordt misbruikt. Daarnaast kunnen ook gemanipuleerde websites en websites waarop gegevens of advertenties staan of gegevens of advertenties kunnen worden ingevoerd, schadelijke inhoud bevatten die dit beveiligingslek kunnen misbruiken. Een aanvaller kan echter een gebruiker er niet toe dwingen om naar deze websites te gaan. De aanvaller moet een gebruiker er dus van overtuigen een bezoek te brengen aan de website. In de meeste gevallen doet de aanvaller dat door de gebruiker ertoe te bewegen op een koppeling in een e-mailbericht of een verzoek in een expresbericht te klikken waarmee de gebruiker naar de website van de aanvaller gaat.
• Een aanvaller die erin slaagt misbruik te maken van dit beveiligingslek, kan dezelfde rechten over het systeem krijgen als de lokale gebruiker. Gebruikers met accounts waarvoor minder gebruikersrechten op het systeem zijn ingesteld, lopen minder risico dan gebruikers die met beheerdersrechten werken.
• HTML-e-mailberichten worden door alle ondersteunde versies van Microsoft Outlook en Microsoft Outlook Express en Windows Mail standaard geopend in de zone Websites met beperkte toegang. De zone Websites met beperkte toegang, die script- en ActiveX-besturingselementen uitschakelt, vermindert het risico dat een aanvaller gebruik kan maken van dit beveiligingslek om schadelijke code uit te voeren. Als een gebruiker op een koppeling in een e-mailbericht klikt, kan deze nog wel als gevolg van het beveiligingslek via een aanval vanaf het web worden getroffen.
• Standaard wordt Internet Explorer op Windows Server 2003, Windows Server 2008 en Windows Server 2008 R2 uitgevoerd in een beperkte modus genaamd Verbeterde beveiliging. Deze modus vermindert het probleem van dit beveiligingslek. Zie het gedeelte Veelgestelde vragen met betrekking tot dit beveiligingslek voor meer informatie over Verbeterde beveiliging van Internet Explorer.

Tijdelijke oplossingen zijn wijzigingen in een instelling of configuratie waardoor het beveiligingslek zelf niet wordt gedicht, maar waarmee aanvalsvectoren wel worden geblokkeerd voordat u de update uitvoert. Microsoft heeft de volgende methoden en statussen om het probleem te omzeilen getest om uit te zoeken of een tijdelijke oplossing functionaliteit vermindert:

• Stel het beveiligingsniveau van de zones Internet en Lokaal intranet in op Hoog om ActiveX-besturingselementen en Active Scripting te blokkeren

  U kunt het systeem beter tegen de gevaren van dit beveiligingslek beschermen door bepaalde instellingen voor de beveiligingszone Het Internet zodanig te wijzigen dat ActiveX-besturingselementen en het actief uitvoeren van scripts worden geblokkeerd. U kunt dit doen door de beveiliging van uw browser in te stellen op Hoog.

  Ga als volgt te werk als u het beveiligingsniveau van Internet Explorer wilt verhogen:

  1. Ga in Internet Explorer naar het menu Extra en klik op Internet-opties.
  2. Klik in het dialoogvenster Internet-opties op het tabblad Beveiliging en klik op het pictogram Internet.
  3. Verplaats de schuifregelaar bij Beveiligingsniveau voor deze zone naar Hoog. Hiermee wordt het beveiligingsniveau voor alle websites die u bezoekt, ingesteld op Hoog.

  Opmerking Klik als er geen schuifregelaar zichtbaar is, op Standaardniveau en verplaats de schuifregelaar vervolgens naar Hoog.

  Opmerking Als u het niveau instelt op Hoog worden bepaalde websites mogelijk onjuist weergegeven. Als u problemen ervaart met het bezoeken van websites nadat u deze instelling hebt gewijzigd, en u weet zeker dat het bezoek van de desbetreffende website veilig is, kunt u die website aan uw lijst met vertrouwde websites toevoegen. Hierdoor werkt de website weer goed, zelfs met de beveiligingsinstelling Hoog.

  Gevolgen van de tijdelijke oplossing. Er kleven enkele nadelen aan het uitschakelen van ActiveX-besturingselementen en Active Scripting. Veel websites op internet of een intranet bieden extra functionaliteit dankzij ActiveX of Active Scripting. Een website van een e-commerce-bedrijf of een bank kan met ActiveX-besturingselementen bijvoorbeeld menu's, bestelformulieren of zelfs bankafschriften ter beschikking stellen. Het blokkeren van ActiveX-besturingselementen of Active Scripting is een algemene instelling die voor alle websites (internet en intranet) geldt. Als u niet wilt dat ActiveX-besturingselementen en Active Scripting voor dergelijke websites worden geblokkeerd, kunt u de stappen uitvoeren die worden beschreven in de volgende paragraaf "Vertrouwde websites toevoegen aan de zone Vertrouwde websites in Internet Explorer".

  Vertrouwde websites toevoegen aan de zone Vertrouwde websites in Internet Explorer

  Nadat u Internet Explorer zodanig hebt ingesteld dat ActiveX-besturingselementen en het actief uitvoeren van scripts worden geblokkeerd in de zone Het Internet en de zone Lokaal intranet, kunt u al uw vertrouwde websites aan de zone Vertrouwde websites van Internet Explorer toevoegen. Op deze manier bent u beveiligd tegen aanvallen op dit beveiligingslek vanaf niet-vertrouwde websites en kunt u als altijd blijven gebruikmaken van vertrouwde websites. Het is raadzaam alleen websites die u vertrouwt aan de zone Vertrouwde websites toe te voegen.

  Voer hiertoe de volgende stappen uit:

  1. Klik op Internet-opties in het menu Extra van Internet Explorer. Klik op het tabblad Beveiliging.
  2. Klik in het vak Selecteer de zone waarvoor u beveiligingsinstellingen wilt opgeven op Vertrouwde websites en klik op Websites.
  3. Als u websites wilt toevoegen waarvoor geen gecodeerd kanaal is vereist, schakelt u het selectievakje Serververificatie (https:) voor alle websites in deze zone verplicht uit.
  4. In het vak Deze website aan de zone toevoegen typt u de URL van een website die u vertrouwt. Klik vervolgens op Toevoegen.
  5. Herhaal deze stappen voor elke website die u aan de zone wilt toevoegen.
  6. Klik tweemaal op OK om de wijzigingen te accepteren en terug te keren naar Internet Explorer.

  Opmerking Als er websites zijn waarvan u niet verwacht dat daarvandaan schadelijke acties op uw systeem worden ondernomen, voegt u deze aan de vertrouwde websites toe. U kunt bijvoorbeeld de websites *.windowsupdate.microsoft.com en *.update.microsoft.com toevoegen. Dit zijn de websites waar de update is te vinden. Er is een ActiveX-besturingselement nodig om de update te kunnen installeren.

   

• Stel Internet Explorer zodanig in dat u wordt gevraagd of u actieve scripts wilt uitvoeren, of schakel de optie Actief uitvoeren van scripts uit voor de beveiligingszones Het Internet en Lokaal intranet

  U kunt het systeem beter beschermen tegen misbruik van dit beveiligingslek door bepaalde instellingen te wijzigen zodat u wordt gevraagd om bevestiging voordat scripts actief worden uitgevoerd. U kunt ook de optie Actief uitvoeren van scripts uitschakelen in de beveiligingszones Het Internet en Lokaal intranet. Voer hiertoe de volgende stappen uit:

  1. Klik op Internet-opties in het menu Extra van Internet Explorer.
  2. Klik op het tabblad Beveiliging.
  3. Klik op Het Internet en klik op Aangepast niveau.
  4. Ga naar Instellingen, klik in de sectie Uitvoeren van scripts onder de optie Actief uitvoeren van scripts op Vragen  of Uitschakelen en klik op OK.
  5. Klik op Lokaal intranet en klik op Aangepast niveau.
  6. Ga naar Instellingen, klik in de sectie Uitvoeren van scripts onder de optie Actief uitvoeren van scripts op Vragen  of Uitschakelen en klik op OK.
  7. Klik tweemaal op OK om terug te gaan naar Internet Explorer.

  Opmerking Als u Actief uitvoeren van scripts uitschakelt in de beveiligingszones Het Internet en Lokaal intranet, is het mogelijk dat sommige websites niet correct werken. Als u problemen ervaart met het bezoeken van websites nadat u deze instelling hebt gewijzigd, en u weet zeker dat het bezoek van de desbetreffende website veilig is, kunt u die website aan uw lijst met vertrouwde websites toevoegen. Hierdoor werkt de website weer goed.

  Gevolgen van de tijdelijke oplossing. Wanneer u vraagt om bevestiging voordat u Active Scripting uitvoert, zijn de volgende punten van toepassing. Veel websites op internet of een intranet bieden extra functionaliteit dankzij de technologie voor actieve scripts. Een website van een e-commerce-bedrijf of een bank kan met de optie Actief uitvoeren van scripts menu's, bestelformulieren of zelfs bankafschriften ter beschikking stellen. Vragen om bevestiging voordat actieve scripts worden uitgevoerd, is een instelling die geldt voor alle websites (internet en intranet). Wanneer u voor deze oplossing hebt gekozen, zal het vraagvenster veelvuldig worden weergegeven. Telkens wanneer het vraagvenster verschijnt, dient u op Ja te klikken als u de website vertrouwt die u wilt bezoeken. Hierna worden de actieve scripts van die website uitgevoerd. Als u niet wilt dat het vraagvenster voor al deze websites wordt weergegeven, kunt u de stappen uitvoeren die worden beschreven in de volgende paragraaf "Vertrouwde websites toevoegen aan de zone Vertrouwde websites in Internet Explorer".

  Vertrouwde websites toevoegen aan de zone Vertrouwde websites in Internet Explorer

  Nadat u Internet Explorer zodanig hebt ingesteld dat u wordt gevraagd om bevestiging bij het uitvoeren van ActiveX-besturingselementen en het actief uitvoeren van scripts in de zone Het Internet en de zone Lokaal intranet, kunt u al uw vertrouwde websites aan de zone Vertrouwde websites van Internet Explorer toevoegen. Op deze manier bent u beveiligd tegen aanvallen op dit beveiligingslek vanaf niet-vertrouwde websites en kunt u als altijd blijven gebruikmaken van vertrouwde websites. Het is raadzaam alleen websites die u vertrouwt aan de zone Vertrouwde websites toe te voegen.

  Voer hiertoe de volgende stappen uit:

  1. Klik op Internet-opties in het menu Extra van Internet Explorer. Klik op het tabblad Beveiliging.
  2. Klik in het vak Selecteer de zone waarvoor u beveiligingsinstellingen wilt opgeven op Vertrouwde websites en klik op Websites.
  3. Als u websites wilt toevoegen waarvoor geen gecodeerd kanaal is vereist, schakelt u het selectievakje Serververificatie (https:) voor alle websites in deze zone verplicht uit.
  4. In het vak Deze website aan de zone toevoegen typt u de URL van een website die u vertrouwt. Klik vervolgens op Toevoegen.
  5. Herhaal deze stappen voor elke website die u aan de zone wilt toevoegen.
  6. Klik tweemaal op OK om de wijzigingen te accepteren en terug te keren naar Internet Explorer.

  Opmerking Als er websites zijn waarvan u niet verwacht dat daarvandaan schadelijke acties op uw systeem worden ondernomen, voegt u deze aan de vertrouwde websites toe. U kunt bijvoorbeeld de websites *.windowsupdate.microsoft.com en *.update.microsoft.com toevoegen. Dit zijn de websites waar de update is te vinden. Er is een ActiveX-besturingselement nodig om de update te kunnen installeren.

   

Wat is de omvang van het beveiligingslek? 
Dit beveiligingslek heeft betrekking op de uitvoering van externe code.

Waardoor wordt het beveiligingslek veroorzaakt? 
Wanneer Internet Explorer toegang probeert te krijgen tot een object dat is verwijderd, kan het geheugen dusdanig worden ontregeld dat een aanvaller willekeurige code kan uitvoeren in de context van de aangemelde gebruiker.

Met welk doel kan een aanvaller het beveiligingslek misbruiken? 
Een aanvaller die erin slaagt misbruik te maken van dit beveiligingslek, kan dezelfde rechten over het systeem krijgen als de lokale gebruiker. Als de lokale gebruiker met beheerdersrechten is aangemeld, kan een aanvaller die misbruik weet te maken van dit beveiligingslek, volledige controle krijgen over een systeem waarin dit probleem optreedt. De aanvaller kan vervolgens programma's installeren, gegevens bekijken, wijzigen of wissen, of nieuwe accounts met volledige gebruikersrechten maken.

Hoe kan een aanvaller dit beveiligingslek misbruiken? 
Een aanvaller kan over een website beschikken die speciaal is ontworpen om via Internet Explorer misbruik te maken van dit lek, en vervolgens de gebruiker ertoe overhalen deze website te bekijken. Een aanvaller kan ook een ActiveX-besturingselement dat is gemarkeerd als "veilig voor initialisering" invoegen in een toepassing of Microsoft Office-document met de IE-engine. De aanvaller zou ook misbruik kunnen maken van gemanipuleerde websites en websites die inhoud of advertenties van gebruikers accepteren of hosten. Deze websites kunnen speciaal vervaardigde inhoud bevatten, die misbruik van dit beveiligingslek kan maken. Een aanvaller kan een gebruiker er echter niet toe dwingen de inhoud van de aanvaller weer te geven. In plaats daarvan zou een aanvaller gebruikers ertoe moeten overhalen een handeling uit te voeren, doorgaans door op een koppeling in een e-mailbericht of een Instant Messenger-bericht te klikken, waardoor de gebruiker naar de website van de aanvaller gaat, of door een bijlage bij een e-mail te openen.

Voor welke systemen vormt dit beveiligingslek het grootste risico? 
Systemen waarop Internet Explorer regelmatig wordt gebruikt, zoals werkstations en terminalservers, lopen het meeste risico.

Ik gebruik Internet Explorer voor Windows Server 2003, Windows Server 2008 of Windows Server 2008 R2. Betekent dit dat het beveiligingslek minder problemen oplevert? 
Ja. Standaard wordt Internet Explorer op Windows Server 2003, Windows Server 2008 en Windows Server 2008 R2 uitgevoerd in een beperkte modus genaamd Verbeterde beveiliging. Verbeterde beveiliging van Internet Explorer betreft een groep vooraf geconfigureerde Internet Explorer-instellingen die de kans vrij klein maken dat een gebruiker of beheerder speciaal vervaardigde webinhoud op een server downloadt en uitvoert. Dit is een beperkende factor voor websites die u niet aan de zone Vertrouwde websites van Internet Explorer hebt toegevoegd.

Wat doet de update? 
De update lost het beveiligingslek op doordat de manier wordt gewijzigd waarop Internet Explorer objecten in het geheugen verwerkt.

Was dit beveiligingslek openbaar gemaakt op het moment dat dit beveiligingsbulletin werd uitgegeven? 
Nee. Microsoft heeft uit betrouwbare bronnen informatie over dit beveiligingslek ontvangen.

Was aan Microsoft gerapporteerd dat er misbruik was gemaakt van dit beveiligingslek op het moment dat dit beveiligingsbulletin werd uitgegeven? 
Nee. Microsoft heeft geen informatie ontvangen die erop wees dat dit beveiligingslek was gebruikt om aanvallen uit te voeren op klanten op het moment dat dit beveiligingsbulletin oorspronkelijk werd uitgegeven.

Referentietabel

In de volgende tabel vindt u informatie over de beveiligingsupdate voor deze software. Aanvullende informatie vindt u in de subsectie Informatie over implementatie van deze sectie.

Opmerking De update voor ondersteunde versies van Windows XP Professional x64 Edition is ook van toepassing op ondersteunde versies van Windows Server 2003 x64 Edition.

Referentietabel

In de volgende tabel vindt u informatie over de beveiligingsupdate voor deze software. Aanvullende informatie vindt u in de subsectie Informatie over implementatie van deze sectie.

Opmerking De update voor ondersteunde versies van Windows Server 2003 x64 Edition is ook van toepassing op ondersteunde versies van Windows XP Professional x64 Edition.

Referentietabel

In de volgende tabel vindt u informatie over de beveiligingsupdate voor deze software. Aanvullende informatie vindt u in de subsectie Informatie over implementatie van deze sectie.

Referentietabel

In de volgende tabel vindt u informatie over de beveiligingsupdate voor deze software. Aanvullende informatie vindt u in de subsectie Informatie over implementatie van deze sectie.

Referentietabel

In de volgende tabel vindt u informatie over de beveiligingsupdate voor deze software. Aanvullende informatie vindt u in de subsectie Informatie over implementatie van deze sectie.

Referentietabel

In de volgende tabel vindt u informatie over de beveiligingsupdate voor deze software. Aanvullende informatie vindt u in de subsectie Informatie over implementatie van deze sectie.