Microsoft-beveiligingsbulletin MS07-041 - Belangrijk

Door een beveiligingslek in Microsoft Internet Information Services kan externe code worden uitgevoerd (939373)

Gepubliceerd: dinsdag 10 juli 2007 | Bijgewerkt: donderdag 12 juli 2007

Versie: 1.1

Algemene informatie

Samenvatting

Door deze update met hoge prioriteit wordt een privé gemeld beveiligingslek opgelost. Door dit beveiligingslek kan externe code worden uitgevoerd indien een aanvaller speciaal geformuleerde URL-aanvragen naar een webpagina verzendt waarvoor Internet Information Services (IIS) 5.1 als host fungeert op Windows XP Professional Service Pack 2. IIS 5.1 is geen onderdeel van de standaardinstallatie van Windows XP Professional Service Pack 2. Een aanvaller die misbruik weet te maken van dit beveiligingslek, kan volledige controle krijgen over het systeem waarop dit probleem voorkomt.

Dit is een belangrijke beveiligingsupdate voor alle ondersteunde 32-bits edities van Windows XP Service Pack 2. Zie de subsectie Software waarin dit probleem optreedt en software waarin dit probleem niet optreedt in deze sectie.

De beveiligingsupdate dicht het beveiligingslek door een controle voor geheugenaanvragen toe te voegen aan Internet Information Services. Zie de subsectie Veelgestelde vragen over het specifieke beveiligingslek in de volgende sectie, Informatie over het beveiligingslek, voor meer informatie over het beveiligingslek.

Aanbeveling: Microsoft raadt klanten aan de update onmiddellijk toe te passen.

Bekende problemen: In Microsoft Knowledge Base-artikel 939373 worden de bekende problemen beschreven die klanten kunnen ondervinden bij installatie van deze beveiligingsupdate. In het artikel worden ook de aanbevolen oplossingen voor deze problemen toegelicht.

Software waarin dit probleem optreedt en software waarin dit probleem niet optreedt

De softwareversies die niet zijn opgenomen in de volgende tabellen met software waarin dit probleem optreedt en software waarin dit probleem niet optreedt, hebben het einde van hun ondersteuningscyclus bereikt. Ga naar Microsoft Support Lifecycle om de ondersteuningscyclus voor uw product en versie te bepalen.

Software waarin dit probleem optreedt

Software	Onderdeel	Maximale omvang van het beveiligingslek	Prioriteitsniveau	Bulletins die door deze update worden vervangen
Windows XP Professional Service Pack 2	Microsoft Internet Information Services (IIS) 5.1	Uitvoering van externe code mogelijk	Belangrijk	Geen

Software waarin dit probleem niet optreedt

Besturingssysteem
Windows 2000 Service Pack 4
Windows XP Home Service Pack 2
Windows XP Professional x64 Edition en Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 Service Pack 1 en Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition en Windows Server 2003 x64 Edition Service Pack 2
Windows Server 2003 met SP1 voor Itanium-systemen en Windows Server 2003 met SP2 voor Itanium-systemen
Windows Vista
Windows Vista x64 Edition

Veelgestelde vragen met betrekking tot deze beveiligingsupdate

Informatie over het beveiligingslek

Prioriteitsniveau en identificatie van het beveiligingslek

Prioriteitsniveau van het beveiligingslek en maximale omvang van het beveiligingslek voor de software waarin dit probleem optreedt
Software waarin het probleem optreedt	Beveiligingslek met betrekking tot IIS-geheugenaanvragen -CVE-2005-4360	Prioriteitsniveau
Windows XP Professional Service Pack 2	Belangrijk Uitvoering van externe code mogelijk	Belangrijk

Beveiligingslek met betrekking tot IIS-geheugenaanvragen -CVE-2005-4360

Er bevindt zich een beveiligingslek met betrekking tot het uitvoeren van externe code in Internet Information Services (IIS) 5.1 op Windows XP Professional Service Pack 2 waardoor een aanvaller die misbruik maakt van dit beveiligingslek, volledige controle kan krijgen over het systeem waarin dit probleem optreedt. Een aanvaller kan dit beveiligingslek misbruiken door speciaal geformuleerde URL-aanvragen naar een webpagina te sturen waarvoor Internet Information Services als host fungeert.

Zie CVE-2005-4360 als u dit beveiligingslek wilt weergeven als standaardvermelding in de lijst met veelvoorkomende beveiligingslekken en blootstellingen.

Beperkende factoren voor het beveiligingslek met betrekking tot IIS-geheugenaanvragen - CVE-2005-4360

Tijdelijke oplossingen voor het beveiligingslek met betrekking tot IIS-geheugenaanvragen - CVE-2005-4360

Veelgestelde vragen over het beveiligingslek met betrekking tot IIS-geheugenaanvragen - CVE-2005-4360:

Wat is de omvang van het beveiligingslek?
Een aanvaller die misbruik weet te maken van dit beveiligingslek met betrekking tot de uitvoering van externe code, kan willekeurige programmacode uitvoeren binnen de context van de lokale systeemaccount.

Waardoor wordt het beveiligingslek veroorzaakt?
Een ongecontroleerde buffer in een object dat de Internet Information Services 5.1-url-parser gebruikt om statistieken bij te houden over gehoste toepassingen.

Met welk doel kan een aanvaller het beveiligingslek misbruiken?
Een aanvaller die misbruik weet te maken van dit beveiligingslek, kan volledige controle krijgen over het systeem waarop dit probleem voorkomt. De aanvaller kan vervolgens programma's installeren, gegevens bekijken, wijzigen of wissen, of nieuwe accounts met volledige gebruikersrechten maken.

Hoe kan een aanvaller dit beveiligingslek misbruiken?
Een aanvaller kan speciaal geformuleerde URL-aanvragen naar een webpagina verzenden waarvoor Internet Information Services (IIS) 5.1 als host fungeert op Windows XP Professional Service Pack 2.

Voor welke systemen vormt dit beveiligingslek het grootste risico?
Systemen met Windows XP Professional waarop IIS 5.1 wordt uitgevoerd, worden alleen door dit lek bedreigd wanneer IIS is geïnstalleerd en wordt gestart.

Wat doet de update?
Met de update verwijdert u het beveiligingslek door de geheugenaanvraag binnen IIS te valideren.

Was dit beveiligingslek openbaar gemaakt op het moment dat dit beveiligingsbulletin werd uitgegeven?
Dit beveiligingslek is oorspronkelijk openbaar gemaakt als een denial of service, maar onlangs is er aanvullende informatie bij Microsoft binnengekomen dat dit beveiligingslek een beveiligingslek is waardoor externe code kan worden uitgevoerd. Wat werd gezien als een denial of service in een niet-standaardinstallatie van Windows XP Professional Service Pack 2, bleek bij nader inzien een servicingmethode in een service pack te zijn. Omdat het in feite toch een beveiligingslek is waarvan misbruik kan worden gemaakt, is dit probleem in een beveiligingsbulletin opgenomen.

Was aan Microsoft gerapporteerd dat er misbruik was gemaakt van dit beveiligingslek op het moment dat dit beveiligingsbulletin werd uitgegeven?
Nee. Microsoft beschikte niet over informatie dat dit beveiligingslek was gebruikt voor aanvallen op klanten en had geen voorbeelden van gepubliceerde conceptcode gezien als bewijs toen dat dit beveiligingsbulletin oorspronkelijk werd uitgegeven.

Informatie over de update

Hulpmiddelen en richtlijnen voor detecteren en implementeren

De software- en beveiligingsupdate beheren waarmee u de servers, desktops en draagbare computers binnen uw organisatie kunt implementeren. Zie het TechNet Update Management Center voor meer informatie. De website Microsoft TechNet Security biedt extra informatie over beveiliging in Microsoft-producten.

Beveiligingsupdates zijn verkrijgbaar via Microsoft Update, Windows Update en Office Update. Beveiligingsupdates zijn ook verkrijgbaar via het Microsoft Downloadcentrum. U vindt deze updates het snelst door een zoekactie uit te voeren met als trefwoord "security_patch''. Ten slotte kunt u beveiligingsupdates downloaden uit de Windows Update-catalogus. Zie Microsoft Knowledge Base-artikel 323166 voor meer informatie over de Windows Update-catalogus.

Richtlijnen voor detecteren en implementeren

Microsoft heeft richtlijnen voor detecteren en implementeren uitgebracht voor de beveiligingsupdates van deze maand. Aan de hand van deze richtlijnen kunnen IT-professionals zien hoe zij met de diverse hulpprogramma's de beveiligingsupdate moeten implementeren, zoals Windows Update, Microsoft Update, Office Update, de Microsoft Baseline Security Analyzer (MBSA), de Office Detection Tool, Microsoft Systems Management Server (SMS), de Extended Security Update Inventory Tool en de Enterprise Update Scan Tool (EST). Zie Microsoft Knowledge Base-artikel 910723 voor meer informatie.

Microsoft Baseline Security Analyzer en Enterprise Update Scan Tool (EST)

Met Microsoft Baseline Security Analyzer (MBSA) kunnen beheerders lokale en externe systemen scannen op ontbrekende beveiligingsupdates en algemene, onjuiste beveiligingsconfiguraties. Ga naar de website Microsoft Baseline Security Analyzer voor meer informatie over MBSA.

In de volgende tabel vindt u een overzicht van de MBSA-detectie voor deze beveiligingsupdate.

Software	MBSA 1.2.1	MBSA 2.0.1
Windows XP Professional Service Pack 2	Ja	Ja

Ga naar de MBSA-website voor meer informatie over MBSA. Raadpleeg Microsoft Knowledge Base-artikel 895660 voor meer informatie over de software die niet door Microsoft Update en MBSA 2.0 wordt gedetecteerd.

Windows Server Update Services:

Als Windows Server Update Services (WSUS) wordt gebruikt, kunnen beheerders de nieuwste essentiële updates en beveiligingsupdates implementeren voor Windows-besturingssysteem Windows 2000 en later, Office XP en later, Exchange Server 2003 en SQL Server 2000 en later. Ga naar de website Windows Server Update Services voor meer informatie over hoe u deze beveiligingsupdate kunt implementeren met behulp van Windows Server Update Services.

Systems Management Server

In de volgende tabel vindt u een overzicht van de SMS-detectie en -implementatie voor deze beveiligingsupdate.

Software	SMS 2.0	SMS 2003
Windows XP Professional Service Pack 2	Ja	Ja

Het functiepakket SMS SUS, dat de Security Update Inventory Tool (SUIT) bevat, kan door SMS worden gebruikt voor het detecteren van beveiligingsupdates voor SMS 2.0. SMS SUIT gebruikt de MBSA 1.2.1-engine voor detectie. Ga voor meer informatie over SUIT naar de volgende Microsoft-website. Zie Microsoft Knowledge Base-artikel 306460 voor meer informatie over de beperkingen van SUIT. Het SMS SUS Feature Pack bevat ook de Microsoft Office Inventory Tool die de vereiste updates voor Microsoft Office-toepassingen detecteert.

Met de SMS 2003 Inventory Tool voor Microsoft Updates (ITMU) kan SMS beveiligingsupdates voor SMS 2003 vinden die worden aangeboden via Microsoft Update en die worden ondersteund door Windows Server Update Services. Ga voor meer informatie over SMS 2003 ITMU naar de volgende Microsoft-website. SMS 2003 kan ook gebruikmaken van de Microsoft Office Inventory Tool om vereiste updates voor Microsoft Office-toepassingen te detecteren.

Ga naar de SMS-website voor extra informatie over SMS.

Implementatie van de beveiligingsupdate


Opgenomen in toekomstige service packs	De update voor dit probleem wordt opgenomen in een toekomstig Service Pack of updatepakket
Implementatie
Installeren zonder tussenkomst van de gebruiker	Windows XP Professional Service Pack 2: WindowsXP-KB939373-x86-enu /quiet
Installeren zonder opnieuw op te starten	Windows XP Professional Service Pack 2: WindowsXP-KB939373-x86-enu /norestart
Logboekbestand bijwerken	Windows XP Professional Service Pack 2: KB939373.log
Meer informatie	Zie de subsectie Hulpmiddelen en richtlijnen voor detecteren en implementeren
Opnieuw opstarten vereist
Opnieuw opstarten vereist	Nadat u deze beveiligingsupdate hebt uitgevoerd, moet u het systeem opnieuw opstarten
HotPatching	Niet van toepassing
Informatie over verwijderen	Gebruik het onderdeel Software in het Configuratiescherm of het hulpprogramma Spuninst.exe in de map %Windir%\$NTUninstallKB939373$\Spuninst
Bestandsgegevens	Zie de subsectie Bestandsgegevens in dit onderdeel voor de volledige bestandenlijst
Verificatie van registersleutel	Voor alle ondersteunde 32-bits edities van Windows XP Professional waarin dit probleem optreedt: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP3\KB939373\Filelist

Bestandsnaam	Versie	Datum	Tijd	Grootte	Map
w3svc.dll	5.1.2600.3163	26-jun-2007	08:27	363.520	SP2GDR
w3svc.dll	5.1.2600.3163	26-jun-2007	08:38	363.520	SP2QFE

Schakelopties voor installatie van ondersteunde beveiligingsupdate
Schakeloptie	Beschrijving
/help	Hiermee worden de schakelopties weergegeven
Installatiemodi
/passive	Installatiemodus zonder toezicht Gebruikers hoeven niets te doen, maar de status van de installatie wordt wel weergegeven. Als de computer na de installatie opnieuw moet worden opgestart, wordt er een dialoogvenster weergegeven met de waarschuwing dat de computer over 30 seconden opnieuw zal worden opgestart.
/quiet	Stille modus. Deze modus is gelijk aan de modus zonder toezicht, maar status- en foutberichten worden niet weergegeven.
Opties voor opnieuw starten
/norestart	Computer niet opnieuw opstarten als installatie is voltooid
/forcerestart	De computer na de installatie opnieuw opstarten en ervoor zorgen dat andere toepassingen worden gesloten wanneer de computer wordt afgesloten, zonder geopende bestanden eerst op te slaan.
/warnrestart[:x]	Een dialoogvenster weergeven met de waarschuwing dat de computer over x seconden opnieuw zal worden opgestart. (De standaardinstelling is 30 seconden.) Bedoeld voor gebruik met de schakeloptie /quiet of /passive.
/promptrestart	Geeft een dialoogvenster weer dat de lokale gebruiker vraagt of de computer opnieuw mag worden opgestart
Speciale opties
/overwriteoem	OEM-bestanden overschrijven zonder te vragen
/nobackup	Geen back-up maken van bestanden die nodig zijn voor het verwijderen van de installatie
/forceappsclose	Andere programma's gedwongen sluiten wanneer de computer wordt afgesloten
/log:path	Omleiding van installatielogbestanden toestaan
/integrate:path	De update in de Windows-bronbestanden integreren. Deze bestanden bevinden zich op het pad dat is opgegeven in de schakeloptie.
/extract[:path]	Bestanden worden uitgepakt zonder Setup te starten
/ER	Uitgebreide foutrapportage inschakelen
/verbose	Uitvoerige logboekregistratie inschakelen. Tijdens de installatie wordt het bestand %Windir%\CabBuild.log gemaakt. In dit logbestand staan de bestanden die zijn gekopieerd. Door deze schakeloptie te gebruiken is het mogelijk dat de installatie langzamer verloopt.

Ondersteunde schakelopties van Spuninst.exe
Schakeloptie	Beschrijving
/help	Hiermee worden de schakelopties weergegeven
Installatiemodi
/passive	Installatiemodus zonder toezicht Gebruikers hoeven niets te doen, maar de status van de installatie wordt wel weergegeven. Als de computer na de installatie opnieuw moet worden opgestart, wordt er een dialoogvenster weergegeven met de waarschuwing dat de computer over 30 seconden opnieuw zal worden opgestart.
/quiet	Stille modus. Deze modus is gelijk aan de modus zonder toezicht, maar status- en foutberichten worden niet weergegeven.
Opties voor opnieuw starten
/norestart	Computer niet opnieuw opstarten als installatie is voltooid
/forcerestart	De computer na de installatie opnieuw opstarten en ervoor zorgen dat andere toepassingen worden gesloten wanneer de computer wordt afgesloten, zonder geopende bestanden eerst op te slaan.
/warnrestart[:x]	Een dialoogvenster weergeven met de waarschuwing dat de computer over x seconden opnieuw zal worden opgestart. (De standaardinstelling is 30 seconden.) Bedoeld voor gebruik met de schakeloptie /quiet of /passive.
/promptrestart	Geeft een dialoogvenster weer dat de lokale gebruiker vraagt of de computer opnieuw mag worden opgestart
Speciale opties
/forceappsclose	Andere programma's gedwongen sluiten wanneer de computer wordt afgesloten
/log:path	Omleiding van installatielogbestanden toestaan

Overige informatie

Dankbetuiging

Microsoft bedankt de volgende partijen voor de samenwerking bij het verbeteren van de beveiliging voor klanten:

Jonathan Afek en Adi Sharabani van Watchfire voor het samenwerken met Microsoft en het aanleveren van aanvullende informatie over het beveiligingslek met betrekking tot IIS-geheugenaanvragen (CVE-2005-4360).
Peter Winter-Smith van NGSSoftware voor de samenwerking met Microsoft en het leveren van aanvullende informatie over het beveiligingslek met betrekking tot IIS-geheugenaanvragen (CVE-2005-4360).

Ondersteuning

Technische ondersteuning van Microsoft Product Support Services is beschikbaar via 020-500 1005. Voor ondersteuningsverzoeken in verband met beveiligingsupdates worden geen kosten in rekening gebracht.
Voor internationale klanten is ondersteuning verkrijgbaar bij de Microsoft-vestiging in hun land. Voor ondersteuning in verband met beveiligingsupdates worden geen kosten in rekening gebracht. Ga naar de website voor internationale ondersteuning voor meer informatie over hoe u contact kunt opnemen met Microsoft voor ondersteuning.

Uitsluiting van aansprakelijkheid

De informatie die wordt geboden in de Microsoft Knowledge Base, wordt geleverd 'in de huidige staat' zonder enige garantie. Microsoft wijst hierbij alle expliciete of impliciete garanties van de hand, met inbegrip van alle garanties betreffende de verhandelbaarheid en geschiktheid voor een bepaald doel. Voorzover maximaal is toegestaan op grond van toepasselijk recht zijn Microsoft Corporation en/of haar leveranciers in geen geval aansprakelijk voor enige directe, indirecte of incidentele schade, bijzondere schade, gevolgschade of schade ten gevolge van het verlies van winsten, zelfs als Microsoft Corporation of haar leveranciers van de mogelijkheid van dergelijke schade op de hoogte is gesteld. Aangezien sommige staten/rechtssystemen uitsluiting of beperking van aansprakelijkheid voor gevolgschade of incidentele schade niet toestaan, is de voorgaande beperking wellicht niet op u van toepassing.

Revisies

V1.0 (10 juli 2007): Bulletin gepubliceerd.
V1.1 (12 juli 2007): Bulletin bijgewerkt: er is informatie toegevoegd om te verduidelijken dat het beveiligingslek zich bevindt in een object dat IIS 5.1 gebruikt om statistieken bij te houden over gehoste toepassingen.