Microsoft-beveiligingsbulletin MS12-027 - Kritiek

Door een beveiligingslek in algemene besturingselementen van Windows kan externe code worden uitgevoerd (2664258)

Gepubliceerd: | Bijgewerkt:

Versie: 2.0

Algemene informatie

Samenvatting

Deze beveiligingsupdate lost een privé gemeld beveiligingslek in algemene besturingselementen van Windows op. Door het beveiligingslek kan externe code worden uitgevoerd als een gebruiker een website bezoekt die inhoud bevat die speciaal is ontworpen om misbruik te maken van het beveiligingslek. Een aanvaller kan een gebruiker echter niet dwingen om naar een dergelijke website te gaan. De aanvaller moet een gebruiker er dus van overtuigen een bezoek te brengen aan de website. In de meeste gevallen doet de aanvaller dat door de gebruiker ertoe te bewegen op een koppeling in een e-mailbericht of een verzoek in een expresbericht te klikken waarmee de gebruiker naar de website van de aanvaller wordt omgeleid. Het schadelijke bestand kan als een e-mailbijlage worden verzonden, maar om het beveiligingslek te kunnen misbruiken, moet de aanvaller de gebruiker ertoe overhalen de bijlage te openen.

Het prioriteitsniveau van deze beveiligingsupdate is Kritiek voor alle ondersteunde Microsoft-software die de algemene besturingselementen van Windows in hun standaardinstallaties bevat. Hieronder vallen alle ondersteunde edities van Microsoft Office 2003, Microsoft Office 2007; Microsoft Office 2010 (behalve x64-edities); Microsoft SQL Server 2000 Analysis Services, Microsoft SQL Server 2000 (behalve Itanium-edities), Microsoft SQL Server 2005 (behalve Microsoft SQL Server 2005 Express Edition, maar inclusief Microsoft SQL Server 2005 Express Edition met Advanced Services), Microsoft SQL Server 2008, Microsoft SQL Server 2008 R2, Microsoft BizTalk Server 2002, Microsoft Commerce Server 2002, Microsoft Commerce Server 2007, Microsoft Commerce Server 2009, Microsoft Commerce Server 2009 R2, Microsoft Visual FoxPro 8.0, Microsoft Visual FoxPro 9.0 en Visual Basic 6.0 Runtime. Zie de subsectie Software waarin dit probleem optreedt en software waarin dit probleem niet optreedt in deze sectie voor meer informatie.

De beveiligingsupdate lost op het beveiligingslek op door de kwetsbare versie van de algemene besturingselementen van Windows uit te schakelen en deze te vervangen door een nieuwe versie die het beveiligingslek niet bevat. Zie de subsectie Veelgestelde vragen over het specifieke beveiligingslek in de volgende sectie, Informatie over het beveiligingslek, voor meer informatie over het beveiligingslek.

Aanbeveling. Klanten kunnen Automatische updates zo configureren dat online op updates wordt gecontroleerd bij Microsoft Update met de service Microsoft Update. Klanten die Automatische updates hebben ingeschakeld en hebben geconfigureerd om online op updates te controleren bij Microsoft Update, hoeven doorgaans geen actie te ondernemen omdat deze beveiligingsupdate automatisch zal worden gedownload en geïnstalleerd. Klanten die Automatische updates niet hebben ingeschakeld, moeten bij Microsoft Update op updates controleren en deze update handmatig installeren. Voor informatie over specifieke configuratieopties voor Automatische updates in ondersteunde edities van Windows XP en Windows Server 2003 raadpleegt u Microsoft Knowledge Base-artikel 294871. Voor informatie over Automatische updates in ondersteunde edities van Windows Vista, Windows Server 2008, Windows 7 en Windows Server 2008 R2 raadpleegt u Meer informatie over Automatische updates van Windows.

Als het gaat om beheerders en bedrijfinstallaties of eindgebruikers die deze beveiligingsupdate handmatig willen installeren, adviseert Microsoft klanten de update onmiddellijk toe te passen met behulp van de software voor updatebeheer of door op updates te controleren met de service Microsoft Update.

Zie ook de sectie Hulpmiddelen en richtlijnen voor detecteren en implementeren, verderop in dit bulletin.

Bekende problemen. In Microsoft Knowledge Base-artikel 2664258 worden bekende problemen beschreven die klanten mogelijk ondervinden bij de installatie van deze beveiligingsupdate. In het artikel worden ook de aanbevolen oplossingen voor deze problemen toegelicht.

Software waarin dit probleem optreedt en software waarin dit probleem niet optreedt

De volgende software is getest om te bepalen in welke versies of edities dit probleem optreedt. Andere versies of edities hebben het einde van hun ondersteuningscyclus bereikt of hebben geen last van dit beveiligingslek. Ga naar Microsoft Support Lifecycle om de ondersteuningscyclus voor uw product en versie te bepalen.

Software waarin dit probleem optreedt

Microsoft Office-suites en -software

Office-softwareMaximale omvang van het beveiligingslekPrioriteitsniveauVervangen updates
Microsoft Office-pakketten en -onderdelen
Microsoft Office 2003 Service Pack 3
(algemene besturingselementen van Windows)
(KB2597112)
Uitvoering van externe code mogelijkKritiekGeen
Microsoft Office 2003 Web Components Service Pack 3
(algemene besturingselementen van Windows)
(KB2597112)
Uitvoering van externe code mogelijkKritiekGeen
Microsoft Office 2007 Service Pack 2
(algemene besturingselementen van Windows)
(KB2598041)
Uitvoering van externe code mogelijkKritiekGeen
Microsoft Office 2007 Service Pack 3
(algemene besturingselementen van Windows)
(KB2598041)
Uitvoering van externe code mogelijkKritiekGeen
Microsoft Office 2010 (32-bits versies)
(algemene besturingselementen van Windows)
(KB2598039)
Uitvoering van externe code mogelijkKritiekGeen
Microsoft Office 2010 Service Pack 1 (32-bits versies)
(algemene besturingselementen van Windows)
(KB2598039)
Uitvoering van externe code mogelijkKritiekGeen

Microsoft SQL Server-software

Updates voor de GDR-softwareUpdates voor de QFE-softwareMaximale omvang van het beveiligingslekPrioriteitsniveauVervangen updates
Microsoft SQL Server 2000
Microsoft SQL Server 2000 Service Pack 4
(KB983808)
Microsoft SQL Server 2000 Service Pack 4
(KB983809)
Uitvoering van externe code mogelijkKritiekKB960082 in MS09-004 vervangen door KB983808.

 

KB960083 in MS09-004 vervangen door KB983809

Microsoft SQL Server Components

Microsoft SQL ServerOnderdeelMaximale omvang van het beveiligingslekPrioriteitsniveauVervangen updates
Microsoft SQL Server 2000
Microsoft SQL Server 2000 Service Pack 4Microsoft SQL Server 2000 Analysis Services Service Pack 4
(KB983807)
Uitvoering van externe code mogelijkKritiekGeen
Microsoft SQL Server 2005
Microsoft SQL Server 2005 Express Edition met Advanced Services Service Pack 4[1]
(algemene besturingselementen van Windows)
(KB2597112)
Niet van toepassingUitvoering van externe code mogelijkKritiekGeen
Microsoft SQL Server 2005 voor 32-bits systemen Service Pack 4[1]
(algemene besturingselementen van Windows)
(KB2597112)
Niet van toepassingUitvoering van externe code mogelijkKritiekGeen
Microsoft SQL Server 2005 voor Itanium-systemen Service Pack 4[1]
(algemene besturingselementen van Windows)
(KB2597112)
Niet van toepassingUitvoering van externe code mogelijkKritiekGeen
Microsoft SQL Server 2005 voor x64-systemen Service Pack 4[1]
(algemene besturingselementen van Windows)
(KB2597112)
Niet van toepassingUitvoering van externe code mogelijkKritiekGeen
Microsoft SQL Server 2008
Microsoft SQL Server 2008 voor 32-bits systemen Service Pack 2[2]
(algemene besturingselementen van Windows)
(KB2598041)
Niet van toepassingUitvoering van externe code mogelijkKritiekGeen
Microsoft SQL Server 2008 voor 32-bits systemen Service Pack 3[2]
(algemene besturingselementen van Windows)
(KB2598041)
Niet van toepassingUitvoering van externe code mogelijkKritiekGeen
Microsoft SQL Server 2008 voor x64-systemen Service Pack 2[2]
(algemene besturingselementen van Windows)
(KB2598041)
Niet van toepassingUitvoering van externe code mogelijkKritiekGeen
Microsoft SQL Server 2008 voor x64-systemen Service Pack 3[2]
(algemene besturingselementen van Windows)
(KB2598041)
Niet van toepassingUitvoering van externe code mogelijkKritiekGeen
Microsoft SQL Server 2008 voor Itanium-systemen Service Pack 2[2]
(algemene besturingselementen van Windows)
(KB2598041)
Niet van toepassingUitvoering van externe code mogelijkKritiekGeen
Microsoft SQL Server 2008 voor Itanium-systemen Service Pack 3[2]
(algemene besturingselementen van Windows)
(KB2598041)
Niet van toepassingUitvoering van externe code mogelijkKritiekGeen
Microsoft SQL Server 2008 R2
Microsoft SQL Server 2008 R2 voor 32-bits systemen[2]
(algemene besturingselementen van Windows)
(KB2598041)
Niet van toepassingUitvoering van externe code mogelijkKritiekGeen
Microsoft SQL Server 2008 R2 voor 32-bits systemen Service Pack 1[2]
(algemene besturingselementen van Windows)
(KB2598041)
Niet van toepassingUitvoering van externe code mogelijkKritiekGeen
Microsoft SQL Server 2008 R2 voor x64-systemen[2]
(algemene besturingselementen van Windows)
(KB2598041)
Niet van toepassingUitvoering van externe code mogelijkKritiekGeen
Microsoft SQL Server 2008 R2 voor x64-systemen Service Pack 1[2]
(algemene besturingselementen van Windows)
(KB2598041)
Niet van toepassingUitvoering van externe code mogelijkKritiekGeen
Microsoft SQL Server 2008 R2 voor Itanium-systemen[2]
(algemene besturingselementen van Windows)
(KB2598041)
Niet van toepassingUitvoering van externe code mogelijkKritiekGeen
Microsoft SQL Server 2008 R2 voor Itanium-systemen Service Pack 1[2]
(algemene besturingselementen van Windows)
(KB2598041)
Niet van toepassingUitvoering van externe code mogelijkKritiekGeen
[1]Deze update is dezelfde als die voor Microsoft Office 2003
[2]Deze update is dezelfde als die voor Microsoft Office 2007

Andere Microsoft Server-software
Server-softwareMaximale omvang van het beveiligingslekPrioriteitsniveauVervangen updates
Microsoft BizTalk Server
Microsoft BizTalk Server 2002 Service Pack 1
(KB2645025)
Uitvoering van externe code mogelijkKritiekGeen
Microsoft Commerce Server
Microsoft Commerce Server 2002 Service Pack 4
(KB2658674)
Uitvoering van externe code mogelijkKritiekGeen
Microsoft Commerce Server 2007 Service Pack 2
(KB2658677)
Uitvoering van externe code mogelijkKritiekGeen
Microsoft Commerce Server 2009
(KB2655547)
Uitvoering van externe code mogelijkKritiekGeen
Microsoft Commerce Server 2009 R2
(KB2658676)
Uitvoering van externe code mogelijkKritiekGeen

Microsoft -programma's en software voor ontwikkelaars

SoftwareMaximale omvang van het beveiligingslekPrioriteitsniveauVervangen updates
Microsoft Visual FoxPro
Microsoft Visual FoxPro 8.0 Service Pack 1
(KB2647488)
Uitvoering van externe code mogelijkKritiekGeen
Microsoft Visual FoxPro 9.0 Service Pack 2
(KB2647490)
Uitvoering van externe code mogelijkKritiekGeen
Visual Basic
Visual Basic 6.0 Runtime
(KB2641426)
Uitvoering van externe code mogelijkKritiekGeen

Software waarin dit probleem niet optreedt 

Office en overige software
Microsoft Office 2010 (64-bits versies)
Microsoft Office 2010 Service Pack 1 (64-bits versies)
Microsoft Office Web Apps
Microsoft SQL Server 2000 Itanium Edition Service Pack 4
Microsoft SQL Server 2000 Reporting Services Service Pack 2
Microsoft SQL Server 2000 Desktop Engine (MSDE) op Microsoft Windows Server 2003 Service Pack 2
Microsoft SQL Server 2000 Desktop Engine (MSDE 2000) Service Pack 4
Microsoft SQL Server 2005 Express Edition Service Pack 4
SQL Server Management Studio Express (SSMSE) 2005
Microsoft SQL Server 2008 Management Studio
Microsoft BizTalk Server 2004
Microsoft BizTalk Server 2006
Microsoft BizTalk Server 2009
Microsoft Data Engine (MSDE) 1.0
Microsoft Data Engine (MSDE) 1.0 Service Pack 4

Veelgestelde vragen met betrekking tot deze beveiligingsupdate

Informatie over het beveiligingslek

Prioriteitsniveau en identificatie van het beveiligingslek

RCE-beveiligingslek met betrekking tot MSCOMCTL.OCX - CVE-2012-0158

Informatie over de update

Hulpmiddelen en richtlijnen voor detecteren en implementeren

Implementatie van de beveiligingsupdate

Overige informatie

Microsoft Active Protections Program (MAPP)

Om de beveiliging voor klanten te verbeteren, verstrekt Microsoft bij elke maandelijkse uitgifte van beveiligingsupdates informatie over beveiligingslekken aan de grote producenten van beveiligingsprogramma's. Deze producenten kunnen dan die informatie over beveiligingslekken gebruiken om hun klanten een betere beveiliging te bieden door hun software of apparatuur aan te passen, zoals antivirusprogramma's, inbraakdetectiesystemen voor netwerken of inbraakpreventiesystemen voor hosts. Op de websites van de programmapartners (zie Microsoft Active Protections Program (MAPP)-partners) kunt u nagaan of de leveranciers van beveiligingsprogramma's hun producten steeds aanpassen.

Ondersteuning

Hulp en ondersteuning voor deze beveiligingsupdate

Uitsluiting van aansprakelijkheid

De informatie die wordt geboden in de Microsoft Knowledge Base, wordt geleverd 'in de huidige staat' zonder enige garantie. Microsoft wijst hierbij alle expliciete of impliciete garanties van de hand, met inbegrip van alle garanties betreffende de verhandelbaarheid en geschiktheid voor een bepaald doel. Voorzover maximaal is toegestaan op grond van toepasselijk recht zijn Microsoft Corporation en/of haar leveranciers in geen geval aansprakelijk voor enige directe, indirecte of incidentele schade, bijzondere schade, gevolgschade of schade ten gevolge van het verlies van winsten, zelfs als Microsoft Corporation of haar leveranciers van de mogelijkheid van dergelijke schade op de hoogte is gesteld. Aangezien sommige staten/rechtssystemen uitsluiting of beperking van aansprakelijkheid voor gevolgschade of incidentele schade niet toestaan, is de voorgaande beperking wellicht niet op u van toepassing.

Revisies

  • V1.0 (10 april 2012): Bulletin gepubliceerd.
  • V2.0 (26 april 2012): Service Pack 1-versies van SQL Server 2008 R2 zijn toegevoegd aan Software waarin dit probleem optreedt en er is een vermelding aan de veelgestelde vragen over de update toegevoegd om uit te leggen welke SQL Server 2000-update moet worden gebruikt op basis van versiebereiken. Het gaan alleen om wijzigingen in de informatie. De detectielogica en bestanden van de beveiligingsupdate zijn niet gewijzigd. Voor een volledige lijst van wijzigingen raadpleegt u de vermelding naar het onderdeel Veelgestelde vragen met betrekking tot deze beveiligingsupdate.