Microsoft-beveiligingsbulletin MS12-037 - Kritiek

Cumulatieve beveiligingsupdate voor Internet Explorer (2699988)

Gepubliceerd:

Versie: 1.0

Algemene informatie

Samenvatting

Met deze beveiligingsupdate worden één openbaar gemaakt beveiligingslek en twaalf privé gemelde beveiligingslekken in Internet Explorer opgelost. Door de ernstigste beveiligingslekken kan externe code worden uitgevoerd als een gebruiker een speciaal ontworpen webpagina weergeeft in Internet Explorer. Een aanvaller die erin slaagt misbruik te maken van een van deze beveiligingslekken, kan dezelfde rechten over het systeem krijgen als de lokale gebruiker. Gebruikers met accounts waarvoor minder gebruikersrechten op het systeem zijn ingesteld, lopen minder risico dan gebruikers die met beheerdersrechten werken.

Het prioriteitsniveau van deze beveiligingsupdate is Kritiek voor Internet Explorer 6, Internet Explorer 7, Internet Explorer 8 en Internet Explorer 9 op Windows-clients en Gemiddeld voor Internet Explorer 6, Internet Explorer 7, Internet Explorer 8 en Internet Explorer 9 op Windows-servers. Zie de subsectie Software waarin dit probleem optreedt en software waarin dit probleem niet optreedt in deze sectie voor meer informatie.

De update lost de beveiligingslekken op doordat de manier wordt gewijzigd waarop Internet Explorer objecten in het geheugen en het opschonen van HTML met toStaticHTML verwerkt, de manier waarop Internet Explorer gegevens tijdens bepaalde processen weergeeft en de manier waarop Internet Explorer tekenreeksen maakt en initialiseert. Zie de subsectie Veelgestelde vragen over het specifieke beveiligingslek in de volgende sectie, Informatie over het beveiligingslek, voor meer informatie over de beveiligingslekken.

Aanbeveling. De meeste klanten hebben automatische updates ingeschakeld en hoeven geen actie te ondernemen omdat deze beveiligingsupdate automatisch wordt gedownload en geïnstalleerd. Klanten die automatische updates niet hebben ingeschakeld, moeten controleren op updates en deze update handmatig installeren. Zie Microsoft Knowledge Base-artikel 294871 voor informatie over specifieke configuratieopties voor het uitvoeren van automatische updates.

Als het gaat om beheerders en bedrijfinstallaties of eindgebruikers die deze beveiligingsupdate handmatig willen installeren, adviseert Microsoft klanten de update onmiddellijk toe te passen met behulp van de software voor updatebeheer of door op updates te controleren met de service Microsoft Update.

Zie ook de sectie Hulpmiddelen en richtlijnen voor detecteren en implementeren, verderop in dit bulletin.

Bekende problemen. Geen

Software waarin dit probleem optreedt en software waarin dit probleem niet optreedt

De volgende software is getest om te bepalen in welke versies of edities dit probleem optreedt. Andere versies of edities hebben het einde van hun ondersteuningscyclus bereikt of hebben geen last van dit beveiligingslek. Ga naar Microsoft Support Lifecycle om de ondersteuningscyclus voor uw product en versie te bepalen.

Software waarin dit probleem optreedt 

BesturingssysteemOnderdeelMaximale omvang van het beveiligingslekPrioriteitsniveauVervangen updates
Internet Explorer 6
Windows XP Service Pack 3Internet Explorer 6
(KB2699988)
Uitvoering van externe code mogelijkKritiekKB2675157 in MS12-023 is vervangen door KB2699988
Windows XP Professional x64 Edition Service Pack 2Internet Explorer 6
(KB2699988)
Uitvoering van externe code mogelijkKritiekKB2675157 in MS12-023 is vervangen door KB2699988
Windows Server 2003 Service Pack 2Internet Explorer 6
(KB2699988)
Uitvoering van externe code mogelijkGemiddeldKB2675157 in MS12-023 is vervangen door KB2699988
Windows Server 2003 x64 Edition Service Pack 2Internet Explorer 6
(KB2699988)
Uitvoering van externe code mogelijkGemiddeldKB2675157 in MS12-023 is vervangen door KB2699988
Windows Server 2003 met SP2 voor Itanium-systemenInternet Explorer 6
(KB2699988)
Uitvoering van externe code mogelijkGemiddeldKB2675157 in MS12-023 is vervangen door KB2699988
Internet Explorer 7
Windows XP Service Pack 3Internet Explorer 7
(KB2699988)
Uitvoering van externe code mogelijkKritiekKB2675157 in MS12-023 is vervangen door KB2699988
Windows XP Professional x64 Edition Service Pack 2Internet Explorer 7
(KB2699988)
Uitvoering van externe code mogelijkKritiekKB2675157 in MS12-023 is vervangen door KB2699988
Windows Server 2003 Service Pack 2Internet Explorer 7
(KB2699988)
Uitvoering van externe code mogelijkGemiddeldKB2675157 in MS12-023 is vervangen door KB2699988
Windows Server 2003 x64 Edition Service Pack 2Internet Explorer 7
(KB2699988)
Uitvoering van externe code mogelijkGemiddeldKB2675157 in MS12-023 is vervangen door KB2699988
Windows Server 2003 met SP2 voor Itanium-systemenInternet Explorer 7
(KB2699988)
Uitvoering van externe code mogelijkGemiddeldKB2675157 in MS12-023 is vervangen door KB2699988
Windows Vista Service Pack 2Internet Explorer 7
(KB2699988)
Uitvoering van externe code mogelijkKritiekKB2675157 in MS12-023 is vervangen door KB2699988
Windows Vista x64 Edition Service Pack 2Internet Explorer 7
(KB2699988)
Uitvoering van externe code mogelijkKritiekKB2675157 in MS12-023 is vervangen door KB2699988
Windows Server 2008 voor 32-bits systemen Service Pack 2Internet Explorer 7
(KB2699988)
Uitvoering van externe code mogelijkGemiddeldKB2675157 in MS12-023 is vervangen door KB2699988
Windows Server 2008 voor x64-systemen Service Pack 2Internet Explorer 7
(KB2699988)
Uitvoering van externe code mogelijkGemiddeldKB2675157 in MS12-023 is vervangen door KB2699988
Windows Server 2008 voor Itanium-systemen Service Pack 2Internet Explorer 7
(KB2699988)
Uitvoering van externe code mogelijkGemiddeldKB2675157 in MS12-023 is vervangen door KB2699988
Internet Explorer 8
Windows XP Service Pack 3Internet Explorer 8
(KB2699988)
Uitvoering van externe code mogelijkKritiekKB2675157 in MS12-023 is vervangen door KB2699988
Windows XP Professional x64 Edition Service Pack 2Internet Explorer 8
(KB2699988)
Uitvoering van externe code mogelijkKritiekKB2675157 in MS12-023 is vervangen door KB2699988
Windows Server 2003 Service Pack 2Internet Explorer 8
(KB2699988)
Uitvoering van externe code mogelijkGemiddeldKB2675157 in MS12-023 is vervangen door KB2699988
Windows Server 2003 x64 Edition Service Pack 2Internet Explorer 8
(KB2699988)
Uitvoering van externe code mogelijkGemiddeldKB2675157 in MS12-023 is vervangen door KB2699988
Windows Vista Service Pack 2Internet Explorer 8
(KB2699988)
Uitvoering van externe code mogelijkKritiekKB2675157 in MS12-023 is vervangen door KB2699988
Windows Vista x64 Edition Service Pack 2Internet Explorer 8
(KB2699988)
Uitvoering van externe code mogelijkKritiekKB2675157 in MS12-023 is vervangen door KB2699988
Windows Server 2008 voor 32-bits systemen Service Pack 2Internet Explorer 8
(KB2699988)
Uitvoering van externe code mogelijkGemiddeldKB2675157 in MS12-023 is vervangen door KB2699988
Windows Server 2008 voor x64-systemen Service Pack 2Internet Explorer 8
(KB2699988)
Uitvoering van externe code mogelijkGemiddeldKB2675157 in MS12-023 is vervangen door KB2699988
Windows 7 voor 32-bits systemen Internet Explorer 8
(KB2699988)
Uitvoering van externe code mogelijkKritiekKB2675157 in MS12-023 is vervangen door KB2699988
Windows 7 voor 32-bits systemen Service Pack 1Internet Explorer 8
(KB2699988)
Uitvoering van externe code mogelijkKritiekKB2675157 in MS12-023 is vervangen door KB2699988
Windows 7 voor x64-systemen Internet Explorer 8
(KB2699988)
Uitvoering van externe code mogelijkKritiekKB2675157 in MS12-023 is vervangen door KB2699988
Windows 7 voor x64-systemen Service Pack 1Internet Explorer 8
(KB2699988)
Uitvoering van externe code mogelijkKritiekKB2675157 in MS12-023 is vervangen door KB2699988
Windows Server 2008 R2 voor x64-systemen Internet Explorer 8
(KB2699988)
Uitvoering van externe code mogelijkGemiddeldKB2675157 in MS12-023 is vervangen door KB2699988
Windows Server 2008 R2 voor x64-systemen Service Pack 1Internet Explorer 8
(KB2699988)
Uitvoering van externe code mogelijkGemiddeldKB2675157 in MS12-023 is vervangen door KB2699988
Windows Server 2008 R2 voor Itanium-systemen Internet Explorer 8
(KB2699988)
Uitvoering van externe code mogelijkGemiddeldKB2675157 in MS12-023 is vervangen door KB2699988
Windows Server 2008 R2 voor Itanium-systemen Service Pack 1Internet Explorer 8
(KB2699988)
Uitvoering van externe code mogelijkGemiddeldKB2675157 in MS12-023 is vervangen door KB2699988
Internet Explorer 9
Windows Vista Service Pack 2Internet Explorer 9
(KB2699988)
Uitvoering van externe code mogelijkKritiekKB2675157 in MS12-023 is vervangen door KB2699988
Windows Vista x64 Edition Service Pack 2Internet Explorer 9
(KB2699988)
Uitvoering van externe code mogelijkKritiekKB2675157 in MS12-023 is vervangen door KB2699988
Windows Server 2008 voor 32-bits systemen Service Pack 2Internet Explorer 9
(KB2699988)
Uitvoering van externe code mogelijkGemiddeldKB2675157 in MS12-023 is vervangen door KB2699988
Windows Server 2008 voor x64-systemen Service Pack 2Internet Explorer 9
(KB2699988)
Uitvoering van externe code mogelijkGemiddeldKB2675157 in MS12-023 is vervangen door KB2699988
Windows 7 voor 32-bits systemen Internet Explorer 9
(KB2699988)
Uitvoering van externe code mogelijkKritiekKB2675157 in MS12-023 is vervangen door KB2699988
Windows 7 voor 32-bits systemen Service Pack 1Internet Explorer 9
(KB2699988)
Uitvoering van externe code mogelijkKritiekKB2675157 in MS12-023 is vervangen door KB2699988
Windows 7 voor x64-systemen Internet Explorer 9
(KB2699988)
Uitvoering van externe code mogelijkKritiekKB2675157 in MS12-023 is vervangen door KB2699988
Windows 7 voor x64-systemen Service Pack 1Internet Explorer 9
(KB2699988)
Uitvoering van externe code mogelijkKritiekKB2675157 in MS12-023 is vervangen door KB2699988
Windows Server 2008 R2 voor x64-systemen Internet Explorer 9
(KB2699988)
Uitvoering van externe code mogelijkGemiddeldKB2675157 in MS12-023 is vervangen door KB2699988
Windows Server 2008 R2 voor x64-systemen Service Pack 1Internet Explorer 9
(KB2699988)
Uitvoering van externe code mogelijkGemiddeldKB2675157 in MS12-023 is vervangen door KB2699988

Software waarin dit probleem niet optreedt

Besturingssysteem
Windows Server 2008 voor 32-bits systemen Service Pack 2 (Server Core-installatie)
Windows Server 2008 voor x64-systemen Service Pack 2 (Server Core-installatie)
Windows Server 2008 R2 voor x64-systemen (Server Core-installatie)
Windows Server 2008 R2 voor x64-systemen Service Pack 1 (Server Core-installatie)

Veelgestelde vragen met betrekking tot deze beveiligingsupdate

Informatie over het beveiligingslek

Prioriteitsniveau en identificatie van het beveiligingslek

Beveiligingslek met betrekking tot uitvoering van externe code in centrale elementen - CVE-2012-1523

Beveiligingslek met betrekking tot het opschonen van HTML - CVE-2012-1858

Beveiligingslek met betrekking tot tekencodering in EUC-JP - CVE-2012-1872

Beveiligingslek met betrekking tot het vrijgeven van informatie door null-bytes - CVE-2012-1873

Beveiligingslek met betrekking tot uitvoering van externe code in de werkbalk voor ontwikkelaars - CVE-2012-1874

Beveiligingslek met betrekking tot het uitvoeren van externe code in dezelfde ID - CVE-2012-1875

Beveiligingslek met betrekking tot uitvoering van externe code in COL-elementen - CVE-2012-1876

Beveiligingslek met betrekking tot uitvoering van externe code in titelelementen - CVE-2012-1877

Beveiligingslek in OnBeforeDeactivate met betrekking tot het uitvoeren van externe code - CVE-2012-1878

Beveiligingslek in insertAdjacentText met betrekking tot het uitvoeren van externe code - CVE-2012-1879

Beveiligingslek met betrekking tot uitvoering van externe code in insertRow - CVE-2012-1880

Beveiligingslek in OnRowsInserted met betrekking tot het uitvoeren van externe code - CVE-2012-1881

Beveiligingslek met betrekking tot het vrijgeven van informatie bij bladeren - CVE-2012-1882

Informatie over de update

Hulpmiddelen en richtlijnen voor detecteren en implementeren

Implementatie van de beveiligingsupdate

Overige informatie

Dankbetuiging

Microsoft bedankt de volgende partijen voor de samenwerking bij het verbeteren van de beveiliging voor klanten:

  • Een anonieme onderzoeker, in samenwerking met VeriSign iDefense Labs, voor het melden van het beveiligingslek met betrekking tot uitvoering van externe code in centrale elementen (CVE-2012-1523)
  • Adi Cohen van IBM Security Systems - Application Security voor het melden van het beveiligingslek met betrekking tot het opschonen van HTML - (CVE-2012-1858)
  • Masato Kinugawa voor het melden van het beveiligingslek met betrekking tot tekencodering in EUC-JP (CVE-2012-1872)
  • Roman Shafigullin van LinkedIn voor het melden van het beveiligingslek met betrekking tot het vrijgeven van informatie door null-bytes (CVE-2012-1873)
  • Code Audit Labs van VulnHunt voor het melden van het beveiligingslek met betrekking tot uitvoering van externe code in de werkbalk voor ontwikkelaars (CVE-2012-1874)
  • Dark Son van VulnHunt voor het melden van het beveiligingslek met betrekking tot het uitvoeren van externe code in dezelfde ID (CVE-2012-1875)
  • Qihoo 360 Security Center voor de samenwerking bij het oplossen van het beveiligingslek met betrekking tot het uitvoeren van externe code in dezelfde ID (CVE-2012-1875)
  • Yichong Lin van McAfee Labs voor de samenwerking bij het oplossen van het beveiligingslek met betrekking tot het uitvoeren van externe code in dezelfde ID (CVE-2012-1875)
  • Google Inc. voor de samenwerking bij het oplossen van het beveiligingslek met betrekking tot het uitvoeren van externe code in dezelfde ID (CVE-2012-1875)
  • VUPEN Security, in samenwerking met Zero Day Initiative van TippingPoint, voor het melden van het beveiligingslek met betrekking tot uitvoering van externe code in COL-elementen (CVE-2012-1876)
  • Een anonieme onderzoeker, in samenwerking met Zero Day Initiative van TippingPoint, voor het melden van het beveiligingslek met betrekking tot uitvoering van externe code in titelelementen (CVE-2012-1877)
  • Een anonieme onderzoeker, in samenwerking met Zero Day Initiative van TippingPoint, voor het melden van het beveiligingslek in OnBeforeDeactivate met betrekking tot het uitvoeren van externe code (CVE-2012-1878)
  • Een anonieme onderzoeker, in samenwerking met Zero Day Initiative van TippingPoint, voor het melden van het beveiligingslek in insertAdjacentText met betrekking tot het uitvoeren van externe code (CVE-2012-1879)
  • Een anonieme onderzoeker, in samenwerking met Zero Day Initiative van TippingPoint, voor het melden van het beveiligingslek met betrekking tot uitvoering van externe code in insertRow (CVE-2012-1880)
  • Een anonieme onderzoeker, in samenwerking met Zero Day Initiative van TippingPoint, voor het melden van het beveiligingslek in OnRowsInserted met betrekking tot het uitvoeren van externe code (CVE-2012-1881)

Microsoft Active Protections Program (MAPP)

Om de beveiliging voor klanten te verbeteren, verstrekt Microsoft bij elke maandelijkse uitgifte van beveiligingsupdates informatie over beveiligingslekken aan de grote producenten van beveiligingsprogramma's. Deze producenten kunnen dan die informatie over beveiligingslekken gebruiken om hun klanten een betere beveiliging te bieden door hun software of apparatuur aan te passen, zoals antivirusprogramma's, inbraakdetectiesystemen voor netwerken of inbraakpreventiesystemen voor hosts. Op de websites van de programmapartners (zie Microsoft Active Protections Program (MAPP)-partners) kunt u nagaan of de leveranciers van beveiligingsprogramma's hun producten steeds aanpassen.

Ondersteuning

Hulp en ondersteuning voor deze beveiligingsupdate

Uitsluiting van aansprakelijkheid

De informatie die wordt geboden in de Microsoft Knowledge Base, wordt geleverd 'in de huidige staat' zonder enige garantie. Microsoft wijst hierbij alle expliciete of impliciete garanties van de hand, met inbegrip van alle garanties betreffende de verhandelbaarheid en geschiktheid voor een bepaald doel. Voor zover maximaal is toegestaan op grond van toepasselijk recht zijn Microsoft Corporation en/of haar leveranciers in geen geval aansprakelijk voor enige directe, indirecte of incidentele schade, bijzondere schade, gevolgschade of schade ten gevolge van het verlies van winsten, zelfs als Microsoft Corporation of haar leveranciers van de mogelijkheid van dergelijke schade op de hoogte is gesteld. Aangezien sommige staten/rechtssystemen uitsluiting of beperking van aansprakelijkheid voor gevolgschade of incidentele schade niet toestaan, is de voorgaande beperking wellicht niet op u van toepassing.

Revisies

  • V1.0 (12 juni 2012): Bulletin gepubliceerd.