Microsoft-beveiligingsbulletin MS07-051 - Kritiek
Door een beveiligingslek in Microsoft Agent kan externe code worden uitgevoerd (938827)
Gepubliceerd: | Bijgewerkt:
Versie: 1.1
Algemene informatie
Samenvatting
Met deze kritieke beveiligingsupdate wordt een privé gemeld beveiligingslek opgelost. Door de wijze waarop met sommige speciaal gemaakte URL's wordt omgegaan, bestaat in Microsoft Agent een beveiligingslek waardoor code vanaf een externe locatie kan worden uitgevoerd. Als gevolg van het beveiligingslek kan een aanvaller externe code uitvoeren op het systeem waarop dit probleem optreedt. Gebruikers met accounts waarvoor minder gebruikersrechten op het systeem zijn ingesteld, lopen minder risico dan gebruikers die met beheerdersrechten werken.
Dit is een kritieke beveiligingsupdate voor Microsoft Windows 2000 Service Pack 4. Ga voor meer informatie naar de subsectie Software waarin dit probleem optreedt en software waarin dit probleem niet optreedt van deze sectie.
De beveiligingsupdate lost het beveiligingslek op door de manier te wijzigen waarop Microsoft Agent sommige speciaal gemaakte URL's verwerkt. Zie de subsectie Veelgestelde vragen over het specifieke beveiligingslek in de volgende sectie, Informatie over het beveiligingslek, voor meer informatie over het beveiligingslek.
Aanbeveling. Microsoft raadt klanten aan de update onmiddellijk toe te passen.
Bekende problemen. Geen
Software waarin dit probleem optreedt en software waarin dit probleem niet optreedt
De hier vermelde software is getest om te bepalen in welke versies of edities dit probleem optreedt. Andere versies of edities hebben het einde van hun ondersteuningscyclus bereikt of hebben geen last van dit beveiligingslek. Ga naar Microsoft Support Lifecycle om de ondersteuningscyclus voor uw product en versie te bepalen.
Software waarin dit probleem optreedt
| Besturingssysteem | Maximale omvang van het beveiligingslek | Prioriteitsniveau | Bulletins die door deze update worden vervangen |
|---|---|---|---|
| Microsoft Windows 2000 Service Pack 4 | Uitvoering van externe code mogelijk | Kritiek | MS07-020 |
Software waarin dit probleem niet optreedt
| Besturingssysteem |
|---|
| Windows XP Service Pack 2 |
| Windows XP Professional x64 Edition en Windows XP Professional x64 Edition Service Pack 2 |
| Windows Server 2003 Service Pack 1 en Windows Server 2003 Service Pack 2 |
| Windows Server 2003 x64 Edition en Windows Server 2003 x64 Edition Service Pack 2 |
| Windows Server 2003 met SP1 voor Itanium-systemen en Windows Server 2003 met SP2 voor Itanium-systemen |
| Windows Vista |
| Windows Vista x64 Edition |
Veelgestelde vragen met betrekking tot deze beveiligingsupdate
Ik heb dezelfde binaire versie die door deze release wordt bijgewerkt, maar ik heb software die voorkomt in de lijst met software waarin het probleem niet optreedt. Waarom is de software in de lijst met software waarin het probleem niet optreedt niet kwetsbaar voor hetzelfde onderliggende probleem?
Hoewel agentdpv.dll versie 2.0.0.3426 ook is gedistribueerd met de software-edities in het gedeelte van dit bulletin met software waarin het probleem niet optreedt, treedt het probleem in deze software-edities niet op. Dit is te danken aan beveiligingsverbeteringen aan deze platforms. Standaarddetectieresources en standaardimplementatieresources van Microsoft die voorkomen in de sectie Beveiligingsupdate vinden en distribueren deze update alleen voor Windows 2000.
Ik gebruik een oudere versie van de software die staat beschreven in dit beveiligingsbulletin. Wat moet ik doen?
De software waarin het probleem optreedt en die in dit beveiligingsbulletin wordt vermeld, is getest om te controleren of het probleem bij deze versies optreedt. Andere versies hebben het einde van hun ondersteuningscyclus bereikt. Ga naar Microsoft Support Lifecycle om de ondersteuningscyclus voor uw softwareversie te bepalen.
Klanten die met deze besturingssysteemversies werken, kunnen er het beste voor kiezen om binnenkort te migreren naar versies waarvoor wel ondersteuning wordt aangeboden om te voorkomen dat potentiële beveiligingslekken een probleem vormen. Ga naar Microsoft Support Lifecycle voor meer informatie over de levenscyclus van Windows-producten. Ga naar de website Microsoft Product Support Services voor meer informatie over de ondersteuningsperiode voor beveiligingsupdates voor deze softwareversies.
Klanten die aangepaste ondersteuning voor deze producten nodig hebben, dienen voor aangepaste ondersteuningsopties contact op te nemen met hun Microsoft-accountteamvertegenwoordiger, hun technische accountmanager of de aangewezen vertegenwoordiger van hun Microsoft-partner. Klanten zonder Alliance-, Premier- of Authorized-contract kunnen contact opnemen met het Microsoft-verkoopkantoor in hun land. Ga voor informatie over hoe u contact met hen kunt opnemen naar de website Microsoft Worldwide Information, selecteer het land en klik vervolgens op Go om een lijst met telefoonnummers weer te geven. Wanneer u belt, vraag dan naar de Premier Support-verkoopmanager. Raadpleeg de Windows Operating System Product Support Lifecycle FAQ voor meer informatie.
Informatie over het beveiligingslek
Prioriteitsniveau en identificatie van het beveiligingslek
| Software waarin het probleem optreedt | Beveiligingslek in Agent met betrekking tot het uitvoeren van externe code – CVE-2007-3040 | Prioriteitsniveau |
|---|---|---|
| Microsoft Windows 2000 Service Pack 4 | Kritiek Uitvoering van externe code mogelijk | Kritiek |
Beveiligingslek in Agent met betrekking tot het uitvoeren van externe code – CVE-2007-3040
Door de wijze waarop met sommige speciaal gemaakte URL's wordt omgegaan, bestaat in Microsoft Agent een beveiligingslek waardoor code vanaf een externe locatie kan worden uitgevoerd. Als gevolg van het beveiligingslek kan een aanvaller externe code uitvoeren op het systeem waarop dit probleem optreedt. Gebruikers met accounts waarvoor minder gebruikersrechten op het systeem zijn ingesteld, lopen minder risico dan gebruikers die met beheerdersrechten werken.
Zie CVE-2007-3040 als u dit beveiligingslek wilt weergeven als standaardvermelding in de lijst met veelvoorkomende beveiligingslekken en blootstellingen.
Beperkende factoren voor Beveiligingslek in Agent met betrekking tot het uitvoeren van externe code – CVE-2007-3040
Met beperkende factoren wordt verwezen naar een instelling, de algehele configuratie of algemene tips voor een standaardstatus waarmee de ernst van misbruik via een beveiligingslek kan worden verminderd. De volgende beperkende factoren kunnen in uw situatie van pas komen:
- In het geval van een aanval vanaf het web moet de aanvaller beschikken over een website waarop zich een webpagina bevindt waarmee dit beveiligingslek wordt misbruikt. Daarnaast kunnen ook gemanipuleerde websites en websites waarop gegevens of advertenties staan of gegevens of advertenties kunnen worden ingevoerd, schadelijke inhoud bevatten die dit beveiligingslek kunnen misbruiken. Een aanvaller kan echter een gebruiker er niet toe dwingen om naar een schadelijke website te gaan. De aanvaller moet een gebruiker er dus van overtuigen een bezoek te brengen aan de website. In de meeste gevallen doet de aanvaller dat door de gebruiker ertoe te bewegen op een koppeling te klikken waarmee de gebruiker naar de website van de aanvaller gaat.
- Een aanvaller die erin slaagt misbruik te maken van dit beveiligingslek, kan dezelfde rechten over het systeem krijgen als de lokale gebruiker. Gebruikers met accounts waarvoor minder gebruikersrechten op het systeem zijn ingesteld, lopen minder risico dan gebruikers die met beheerdersrechten werken.
- De zone Websites met beperkte toegang vermindert het aantal aanvallen die misbruik van dit beveiligingslek maken, doordat er bij het lezen van e-mail in HTML-indeling geen ActiveX-besturingselementen meer worden gebruikt. Als een gebruiker echter op een koppeling binnen een e-mail klikt, kan deze nog wel via het scenario voor een aanval vanaf het web worden getroffen door dit probleem.
- HTML-e-mailberichten worden door alle ondersteunde versies van Microsoft Outlook en Microsoft Outlook Express standaard geopend in de zone Websites met beperkte toegang. De zone Websites met beperkte toegang vermindert het aantal aanvallen die misbruik van dit beveiligingslek maken, doordat er bij het lezen van e-mailberichten in HTML-indeling geen scripts actief worden uitgevoerd en geen ActiveX-besturingselementen meer worden gebruikt. Als een gebruiker echter op een koppeling in een e-mail klikt, kan deze nog altijd kwetsbaar zijn voor dit probleem, omdat een aanval ook via het web kan worden uitgevoerd.
Oplossingen voor Beveiligingslek in Agent met betrekking tot het uitvoeren van externe code – CVE-2007-3040
Tijdelijke oplossingen zijn wijzigingen in een instelling of configuratie waardoor het beveiligingslek zelf niet wordt gedicht, maar waarmee aanvalsvectoren wel worden geblokkeerd. Microsoft heeft de volgende methoden en statussen om het probleem te omzeilen getest om uit te zoeken of een tijdelijke oplossing functionaliteit vermindert:
- De uitvoering van het ActiveX-besturingselement van Agent in Internet Explorer tijdelijk voorkomen
U kunt helpen voorkomen dat dit ActiveX-besturingselement in Internet Explorer wordt gestart door de kill-bit voor het besturingselement in het register in te stellen.
Waarschuwing Als u de Register-editor onjuist gebruikt, kan dit tot zeer ernstige problemen leiden waardoor u het besturingssysteem mogelijk opnieuw dient te installeren. Microsoft kan niet garanderen dat problemen die ontstaan als gevolg van een onjuist gebruik van de Register-editor, kunnen worden opgelost. Het gebruik van de Register-editor is voor eigen risico.
Voor uitvoerige stappen over het uitschakelen van een besturingselement in Internet Explorer verwijzen wij u naar Microsoft Knowledge Base-artikel 240797. Volg deze stappen en breng een compatibiliteitsvlagwaarde aan in het register om te voorkomen dat een COM-object in Internet Explorer wordt gestart.
Om de kill-bit voor een CLSID met de waarde {D45FD31B-5C6E-11D1-9EC1-00C04FD7081F} in te stellen plakt u de volgende tekst in een teksteditor, bijvoorbeeld het Kladblok. Sla het bestand vervolgens op met de extensie .reg.
Windows Registry-editor versie 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{D45FD31B-5C6E-11D1-9EC1-00C04FD7081F}]"Compatibility Flags"=dword:00000400
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{F5BE8BD2-7DE6-11D0-91FE-00C04FD701A5}]
"Compatibility Flags"=dword:00000400
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{4BAC124B-78C8-11D1-B9A8-00C04FD97575}]
"Compatibility Flags"=dword:00000400
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{D45FD31D-5C6E-11D1-9EC1-00C04FD7081F}]
"Compatibility Flags"=dword:00000400
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{D45FD31E-5C6E-11D1-9EC1-00C04FD7081F}]
"Compatibility Flags"=dword:00000400
U kunt dit REG-bestand op afzonderlijke systemen toepassen door erop te dubbelklikken. U kunt het bestand ook met behulp van Groepsbeleid in domeinen toepassen. Ga naar de volgende websites van Microsoft voor meer informatie over Groepsbeleid:
- Verzameling groepsbeleidsregels
- Wat is de Groepsbeleidsobjecteditor?
- Essentiële hulpprogramma's en instellingen voor groepsbeleid
Opmerking U moet Internet Explorer opnieuw starten om de wijzigingen te laten ingaan.
Gevolgen van de tijdelijke oplossing: Websites die gebruikmaken van het ActiveX-besturingselement van Microsoft Agent, worden mogelijk niet correct meer weergegeven in Internet Explorer.
- De registratie van Agentsvr.exe ongedaan maken
Typ de volgende opdracht op een opdrachtregel of in een aanmeldings- of computeropstartscript:
%windir%\msagent\agentsvr.exe /unregserverGevolgen van de tijdelijke oplossing: Microsoft Agent werkt niet meer.
- Stel Internet Explorer zodanig in dat u wordt gevraagd of u ActiveX-besturingselementen wilt uitvoeren, of schakel deze besturingselementen uit voor de beveiligingszones Het Internet en Lokaal intranet.
U kunt het systeem beter beschermen tegen de gevaren van dit beveiligingslek door de instellingen van Internet Explorer te wijzigen zodat de gebruiker wordt gevraagd om bevestiging voordat ActiveX-besturingselementen worden uitgevoerd. Voer hiertoe de volgende stappen uit:
- Klik op Internet-opties in het menu Extra van Internet Explorer.
- Klik op het tabblad Beveiliging.
- Klik op Het Internet en klik op Aangepast niveau.
- Ga naar Instellingen in het gedeelte ActiveX-besturingselementen en -invoegtoepassingen en klik bij de optie ActiveX-besturingselementen en -invoegtoepassingen uitvoeren op Vragen of Uitschakelen en klik op OK.
- Klik op Lokaal intranet en klik op Aangepast niveau.
- Ga naar Instellingen in het gedeelte ActiveX-besturingselementen en -invoegtoepassingen en klik bij de optie ActiveX-besturingselementen en -invoegtoepassingen uitvoeren op Vragen of Uitschakelen en klik op OK.
- Klik tweemaal op OK om terug te gaan naar Internet Explorer.
Gevolgen van de tijdelijke oplossing: Wanneer u vraagt om bevestiging voordat u ActiveX-besturingselementen uitvoert, zijn de volgende punten van toepassing. Veel websites op internet of een intranet bieden extra functionaliteit dankzij de ActiveX-technologie. Een website van een e-commerce-bedrijf of een bank kan met ActiveX-besturingselementen menu's, bestelformulieren of zelfs bankafschriften ter beschikking stellen. Vragen om bevestiging voordat ActiveX-besturingselementen worden uitgevoerd, is een instelling die geldt voor alle websites (internet en intranet). Wanneer u voor deze oplossing hebt gekozen, zal het vraagvenster veelvuldig worden weergegeven. Telkens wanneer het vraagvenster wordt weergegeven, dient u op Ja te klikken als u de website vertrouwt die u wilt bezoeken. Hierna worden de ActiveX-besturingselementen van die website uitgevoerd. Als u niet wilt dat het vraagvenster voor al deze websites wordt weergegeven, kunt u de stappen uitvoeren die worden beschreven in de volgende paragraaf "Vertrouwde websites toevoegen aan de zone Vertrouwde websites in Internet Explorer".
Vertrouwde websites toevoegen aan de zone Vertrouwde websites in Internet Explorer
Nadat u Internet Explorer zodanig hebt ingesteld dat u wordt gevraagd om bevestiging bij het uitvoeren van ActiveX-besturingselementen en het actief uitvoeren van scripts in de zone Het Internet en de zone Lokaal intranet, kunt u al uw vertrouwde websites aan de zone Vertrouwde websites van Internet Explorer toevoegen. Op deze manier bent u beveiligd tegen aanvallen op dit beveiligingslek vanaf niet-vertrouwde websites en kunt u als altijd blijven gebruikmaken van vertrouwde websites. Het is raadzaam alleen websites die u vertrouwt aan de zone Vertrouwde websites toe te voegen.
Voer hiertoe de volgende stappen uit:
- Klik op Internet-opties in het menu Extra van Internet Explorer en klik vervolgens op het tabblad Beveiliging.
- Klik in het vak Selecteer de zone waarvoor u beveiligingsinstellingen wilt opgeven op Vertrouwde websites en klik op Websites.
- Als u websites wilt toevoegen waarvoor geen gecodeerd kanaal is vereist, schakelt u het selectievakje Serververificatie (https:) voor alle websites in deze zone verplicht uit.
- In het vak Deze website aan de zone toevoegen typt u de URL van een website die u vertrouwt. Klik vervolgens op Toevoegen.
- Herhaal deze stappen voor elke website die u aan de zone wilt toevoegen.
- Klik tweemaal op OK om de wijzigingen te accepteren en terug te keren naar Internet Explorer.
Opmerking Als er websites zijn waarvan u niet verwacht dat daarvandaan schadelijke acties op uw computer worden ondernomen, voegt u deze aan de vertrouwde websites toe. Als u steeds de beveiligingsupdates van Microsoft wilt ontvangen, kunt u de websites *.windowsupdate.microsoft.com en *.update.microsoft.com toevoegen. Dit zijn de websites waar de update is te vinden. Er is een ActiveX-besturingselement nodig om de update te kunnen installeren.
- Stel het beveiligingsniveau van de zones Het Internet en Lokaal intranet in op 'Hoog' als u wilt worden gevraagd of u ActiveX-besturingselementen en actieve scripts in deze zones wilt uitvoeren.
U kunt het systeem beter beschermen tegen de gevaren van dit beveiligingslek door bepaalde instellingen voor de zone Het Internet te wijzigen zodat de gebruiker wordt gevraagd om bevestiging voordat ActiveX-besturingselementen worden uitgevoerd. U kunt dit doen door de beveiliging van uw browser in te stellen op Hoog.
Ga als volgt te werk als u het beveiligingsniveau van Microsoft Internet Explorer wilt verhogen:
- Ga in Internet Explorer naar het menu Extra en klik op Internet-opties.
- Klik in het dialoogvenster Internet-opties op het tabblad Beveiliging en klik op het pictogram Internet.
- Verplaats de schuifregelaar bij Beveiligingsniveau voor deze zone naar Hoog. Hiermee wordt het beveiligingsniveau voor alle websites die u bezoekt, ingesteld op Hoog.
Opmerking Klik als er geen schuifregelaar zichtbaar is, op Standaardniveau en verplaats de schuifregelaar vervolgens naar Hoog.
Opmerking Door het niveau in te stellen op Hoog worden bepaalde websites mogelijk onjuist weergegeven. Als u problemen ervaart met het bezoeken van websites nadat u deze instelling hebt gewijzigd, en u weet zeker dat het bezoek van de desbetreffende website veilig is, kunt u die website aan uw lijst met vertrouwde websites toevoegen. Hierdoor werkt de website weer goed, zelfs met de beveiligingsinstelling Hoog.
Gevolgen van de tijdelijke oplossing: Wanneer u vraagt om bevestiging voordat u ActiveX-besturingselementen uitvoert, zijn de volgende punten van toepassing. Veel websites op internet of een intranet bieden extra functionaliteit dankzij de ActiveX-technologie. Een website van een e-commerce-bedrijf of een bank kan met ActiveX-besturingselementen menu's, bestelformulieren of zelfs bankafschriften ter beschikking stellen. Vragen om bevestiging voordat ActiveX-besturingselementen worden uitgevoerd, is een instelling die geldt voor alle websites (internet en intranet). Wanneer u voor deze oplossing hebt gekozen, zal het vraagvenster veelvuldig worden weergegeven. Telkens wanneer het vraagvenster wordt weergegeven, dient u op Ja te klikken als u de website vertrouwt die u wilt bezoeken. Hierna worden de ActiveX-besturingselementen van die website uitgevoerd. Als u niet wilt dat het vraagvenster voor al deze websites wordt weergegeven, kunt u de stappen uitvoeren die worden beschreven in de volgende paragraaf "Vertrouwde websites toevoegen aan de zone Vertrouwde websites in Internet Explorer".
Vertrouwde websites toevoegen aan de zone Vertrouwde websites in Internet Explorer
Nadat u Internet Explorer zodanig hebt ingesteld dat u wordt gevraagd om bevestiging bij het uitvoeren van ActiveX-besturingselementen en het actief uitvoeren van scripts in de zone Het Internet en de zone Lokaal intranet, kunt u al uw vertrouwde websites aan de zone Vertrouwde websites van Internet Explorer toevoegen. Op deze manier bent u beveiligd tegen aanvallen op dit beveiligingslek vanaf niet-vertrouwde websites en kunt u als altijd blijven gebruikmaken van vertrouwde websites. Het is raadzaam alleen websites die u vertrouwt aan de zone Vertrouwde websites toe te voegen.
Voer hiertoe de volgende stappen uit:
- Klik op Internet-opties in het menu Extra van Internet Explorer en klik vervolgens op het tabblad Beveiliging.
- Klik in het vak Selecteer de zone waarvoor u beveiligingsinstellingen wilt opgeven op Vertrouwde websites en klik op Websites.
- Als u websites wilt toevoegen waarvoor geen gecodeerd kanaal is vereist, schakelt u het selectievakje Serververificatie (https:) voor alle websites in deze zone verplicht uit.
- In het vak Deze website aan de zone toevoegen typt u de URL van een website die u vertrouwt. Klik vervolgens op Toevoegen.
- Herhaal deze stappen voor elke website die u aan de zone wilt toevoegen.
- Klik tweemaal op OK om de wijzigingen te accepteren en terug te keren naar Internet Explorer.
Opmerking Als er websites zijn waarvan u niet verwacht dat daarvandaan schadelijke acties op uw computer worden ondernomen, voegt u deze aan de vertrouwde websites toe. Als u steeds de beveiligingsupdates van Microsoft wilt ontvangen, kunt u de websites *.windowsupdate.microsoft.com en *.update.microsoft.com toevoegen. Dit zijn de websites waar de update is te vinden. Er is een ActiveX-besturingselement nodig om de update te kunnen installeren.
Veelgestelde vragen over Beveiligingslek in Agent met betrekking tot het uitvoeren van externe code – CVE-2007-3040
Wat is de omvang van het beveiligingslek?
Door de wijze waarop met sommige speciaal gemaakte URL's wordt omgegaan, bestaat in Microsoft Agent een beveiligingslek waardoor code vanaf een externe locatie kan worden uitgevoerd. Een aanvaller die misbruik weet te maken van dit beveiligingslek, kan volledige controle krijgen over een systeem waarin dit probleem optreedt. De aanvaller kan vervolgens programma's installeren, gegevens bekijken, wijzigen of wissen, of nieuwe accounts met volledige gebruikersrechten maken.
Waardoor wordt het beveiligingslek veroorzaakt?
Door een speciaal vervaardigde URL voor het Microsoft Agent ActiveX-besturingselement kan het systeemgeheugen zodanig beschadigd raken, dat een aanvaller willekeurige code kan uitvoeren.
Wat is Microsoft Agent?
Microsoft Agent is een onderdeel van het besturingssysteem Microsoft Windows dat interactieve bewegende tekens gebruikt om gebruikers te begeleiden, waardoor zij sneller en gemakkelijker de computer leren gebruiken. Ga naar de Microsoft Agent-website voor meer informatie.
Met welk doel kan een aanvaller het beveiligingslek misbruiken?
Een aanvaller die misbruik weet te maken van dit beveiligingslek, kan volledige controle krijgen over het systeem waarop dit probleem voorkomt. De aanvaller kan vervolgens programma's installeren, gegevens bekijken, wijzigen of wissen, of nieuwe accounts met volledige gebruikersrechten maken. Gebruikers met accounts waarvoor minder gebruikersrechten op het systeem zijn ingesteld, lopen minder risico dan gebruikers die met beheerdersrechten werken.
Wie kan dit beveiligingslek misbruiken?
In het geval van een aanval vanaf het web moet de aanvaller beschikken over een website waarop zich een webpagina bevindt waarmee wordt geprobeerd dit beveiligingslek te misbruiken. Een aanvaller kan een gebruiker er niet toe dwingen om naar de speciaal vervaardigde website te gaan. De aanvaller moet een gebruiker er dus van overtuigen een bezoek te brengen aan de website. In de meeste gevallen doet de aanvaller dat door de gebruiker ertoe te bewegen op een koppeling te klikken waarmee de gebruiker naar de website van de aanvaller gaat.
Voor welke systemen vormt dit beveiligingslek het grootste risico?
Voor dit beveiligingslek is het noodzakelijk dat een gebruiker websites bezoekt en daarop is aangemeld voordat er een schadelijke actie kan plaatsvinden. Computers waarop Internet Explorer regelmatig wordt gebruikt, zoals werkstations en terminalservers, lopen het meeste risico.
Wat doet de update?
De update verwijdert het beveiligingslek doordat de manier wordt veranderd waarop Microsoft Agent speciaal vervaardigde URL's verwerkt.
Was dit beveiligingslek openbaar gemaakt op het moment dat dit beveiligingsbulletin werd uitgegeven?
Nee. Microsoft heeft uit discrete bronnen informatie over dit beveiligingslek ontvangen.
Was aan Microsoft gerapporteerd dat er misbruik was gemaakt van dit beveiligingslek op het moment dat dit beveiligingsbulletin werd uitgegeven?
Nee. Microsoft beschikte niet over informatie dat dit beveiligingslek was gebruikt voor aanvallen op klanten en had geen voorbeelden van gepubliceerde conceptcode gezien als bewijs toen dat dit beveiligingsbulletin oorspronkelijk werd uitgegeven.
Informatie over de update
Hulpmiddelen en richtlijnen voor detecteren en implementeren
De software- en beveiligingsupdate beheren waarmee u de servers, desktops en draagbare computers binnen uw organisatie kunt implementeren. Zie het TechNet Update Management Center voor meer informatie. De website Microsoft TechNet Security biedt extra informatie over beveiliging in Microsoft-producten.
Beveiligingsupdates zijn verkrijgbaar via Microsoft Update, Windows Update en Office Update. Beveiligingsupdates zijn ook verkrijgbaar via het Microsoft Downloadcentrum. U vindt deze updates het snelst door een zoekactie uit te voeren met als trefwoord "security_patch''. Ten slotte kunt u beveiligingsupdates downloaden uit de Windows Update-catalogus. Zie Microsoft Knowledge Base-artikel 323166 voor meer informatie over de Windows Update-catalogus.
Richtlijnen voor detecteren en implementeren
Microsoft heeft richtlijnen voor detecteren en implementeren uitgebracht voor de beveiligingsupdates van deze maand. Aan de hand van deze richtlijnen kunnen IT-professionals zien hoe zij met de diverse hulpprogramma's de beveiligingsupdate moeten implementeren, zoals Windows Update, Microsoft Update, Office Update, de Microsoft Baseline Security Analyzer (MBSA), de Office Detection Tool, Microsoft Systems Management Server (SMS), de Extended Security Update Inventory Tool en de Enterprise Update Scan Tool (EST). Zie Microsoft Knowledge Base-artikel 910723 voor meer informatie.
Microsoft Baseline Security Analyzer
Met Microsoft Baseline Security Analyzer (MBSA) kunnen beheerders lokale en externe systemen scannen op ontbrekende beveiligingsupdates en algemene, onjuiste beveiligingsconfiguraties. Ga naar de website Microsoft Baseline Security Analyzer voor meer informatie over MBSA. In de volgende tabel vindt u een overzicht van de MBSA-detectie voor deze beveiligingsupdate.
| Software | MBSA 1.2.1 | MBSA 2.0.1 |
|---|---|---|
| Microsoft Windows 2000 Service Pack 4 | Ja | Ja |
Ga naar de MBSA-website voor meer informatie over MBSA. Raadpleeg Microsoft Knowledge Base-artikel 895660 voor meer informatie over de software die niet door Microsoft Update en MBSA 2.0 wordt gedetecteerd.
Windows Server Update Services:
Als Windows Server Update Services (WSUS) wordt gebruikt, kunnen beheerders de nieuwste essentiële updates en beveiligingsupdates implementeren voor Microsoft Windows-besturingssysteem Windows 2000 en later, Office XP en later, Exchange Server 2003 en SQL Server 2000 voor Microsoft Windows-besturingssysteem Windows 2000 en later. Ga naar de website Windows Server Update Services voor meer informatie over hoe u deze beveiligingsupdate kunt implementeren met behulp van Windows Server Update Services.
Systems Management Server
In de volgende tabel vindt u een overzicht van de SMS-detectie en -implementatie voor deze beveiligingsupdate.
| Software | SMS 2.0 | SMS 2003 |
|---|---|---|
| Microsoft Windows 2000 Service Pack 4 | Ja | Ja |
SMS 2.0 en SMS 2003 Software Update Services (SUS) Feature Pack kunnen MBSA 1.2.1 gebruiken voor detectie en moeten daarom ten aanzien van programma's die niet door MBSA 1.2.1 worden gedetecteerd, dezelfde beperking hebben die eerder in dit bulletin aan de orde is gekomen.
Het functiepakket SMS SUS, dat de Security Update Inventory Tool (SUIT) bevat, kan door SMS worden gebruikt voor het detecteren van beveiligingsupdates voor SMS 2.0. SMS SUIT gebruikt de MBSA 1.2.1-engine voor detectie. Ga voor meer informatie over SUIT naar de volgende Microsoft-website. Zie Microsoft Knowledge Base-artikel 306460 voor meer informatie over de beperkingen van SUIT. Het SMS SUS Feature Pack bevat ook de Microsoft Office Inventory Tool die de vereiste updates voor Microsoft Office-toepassingen detecteert.
Met de SMS 2003 Inventory Tool voor Microsoft Updates (ITMU) kan SMS beveiligingsupdates voor SMS 2003 vinden die worden aangeboden via Microsoft Update en die worden ondersteund door Windows Server Update Services. Ga voor meer informatie over SMS 2003 ITMU naar de volgende Microsoft-website. SMS 2003 kan ook gebruikmaken van de Microsoft Office Inventory Tool om vereiste updates voor Microsoft Office-toepassingen te detecteren.
Ga naar de SMS-website voor extra informatie over SMS.
Implementatie van de beveiligingsupdate
Software waarin dit probleem optreedt
Klik voor informatie over de specifieke beveiligingsupdate voor uw software waarin dit probleem optreedt op de desbetreffende koppeling:
Microsoft Windows 2000 (alle edities)
Referentietabel
In de volgende tabel vindt u informatie over de beveiligingsupdate voor deze software. Aanvullende informatie vindt u in de subsectie Informatie over implementatie van deze sectie.
| Opgenomen in toekomstige service packs | De update voor dit probleem wordt waarschijnlijk opgenomen in een toekomstig updatepakket |
| Implementatie | |
| Installeren zonder tussenkomst van de gebruiker | Microsoft Windows 2000 Service Pack 4: Windows2000-kb938827-x86-enu /quiet |
| Installeren zonder opnieuw op te starten | Microsoft Windows 2000 Service Pack 4: Windows2000-kb938827-Windows2000sp4-x86-enu /norestart |
| Logboekbestand bijwerken | Microsoft Windows 2000 Service Pack 4: KB938827.log |
| Meer informatie | Zie de subsectie Hulpmiddelen en richtlijnen voor detecteren en implementeren |
| Opnieuw opstarten vereist | |
| Opnieuw opstarten vereist | Nadat u deze beveiligingsupdate hebt uitgevoerd, moet u het systeem opnieuw opstarten |
| HotPatching | Niet van toepassing |
| Informatie over verwijderen | Gebruik het onderdeel Software in het Configuratiescherm of het hulpprogramma Spuninst.exe in de map %Windir%\$NTUninstallKB938827$\Spuninst |
| Bestandsgegevens | Zie de volgende subsectie Bestandsgegevens voor de volledige bestandslijst |
| Verificatie van registersleutel | Voor Microsoft Windows 2000 Service Pack 4 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000\SP5\KB938827\Filelist |
Bestandsgegevens
De Engelstalige versie van deze beveiligingsupdate moet de bestandskenmerken hebben die worden weergegeven in de volgende tabel. De datums en tijden voor deze bestanden worden weergegeven in UTC-notatie (Coordinated Universal Time). Wanneer u de bestandsinformatie weergeeft, wordt deze naar lokale tijd geconverteerd. Als u het verschil tussen UTC en lokale tijd wilt bepalen, gebruikt u het tabblad Tijdzone van de optie Datum en tijd in het Configuratiescherm.
Voor alle ondersteunde edities van Microsoft Windows 2000:
| Bestandsnaam | Versie | Datum | Tijd | Grootte |
|---|---|---|---|---|
| agentdpv.dll | 2.0.0.3426 | 24-jun-2007 | 17:55 | 53.008 |
| sp3res.dll | 5.0.2195.7136 | 27-mei-2007 | 19:26 | 6.258.688 |
Opmerking Zie de Support Lifecycle Index voor een volledige lijst met ondersteunde versies. Zie Lifecycle Supported Service Packs voor een volledige lijst met service packs. Zie Microsoft Support Lifecycle voor meer informatie over het beleid met betrekking tot de ondersteuningscyclus.
Informatie over implementatie
De update installeren
Wanneer u deze beveiligingspatch installeert, wordt door het installatieprogramma gecontroleerd of een of meerdere bestanden die op de computer worden bijgewerkt, al eerder door een Microsoft-hotfix zijn bijgewerkt.
Als er al eerder een hotfix is geïnstalleerd om een van deze bestanden bij te werken, worden de RTMQFE-bestanden, SP1QFE-bestanden of SP2QFE-bestanden naar uw systeem gekopieerd. In andere gevallen worden RTMGDR-, SP1GDR-, en SP2GDR-bestanden naar het systeem gekopieerd. Het kan zijn dat de beveiligingsupdates niet al deze bestanden bevatten. Zie artikel 824994 in de Microsoft Knowledge Base voor meer informatie hierover.
Ga naar de website Microsoft Technet voor meer informatie over het installatieprogramma.
Raadpleeg Microsoft Knowledge Base-artikel 824684 voor meer informatie over de terminologie die wordt gebruikt in dit bulletin, zoals hotfix.
Bij de installatie van deze beveiligingsupdate kunnen de volgende schakelopties worden gebruikt.
| Schakeloptie | Beschrijving |
|---|---|
| /help | Hiermee worden de schakelopties weergegeven |
| Installatiemodi | |
| /passive | Installatiemodus zonder toezicht Gebruikers hoeven niets te doen, maar de status van de installatie wordt wel weergegeven. Als de computer na de installatie opnieuw moet worden opgestart, wordt er een dialoogvenster weergegeven met de waarschuwing dat de computer over 30 seconden opnieuw zal worden opgestart. |
| /quiet | Stille modus. Deze modus is gelijk aan de modus zonder toezicht, maar status- en foutberichten worden niet weergegeven. |
| Opties voor opnieuw starten | |
| /norestart | Computer niet opnieuw opstarten als installatie is voltooid |
| /forcerestart | De computer na de installatie opnieuw opstarten en ervoor zorgen dat andere toepassingen worden gesloten wanneer de computer wordt afgesloten, zonder geopende bestanden eerst op te slaan. |
| /warnrestart[:x] | Een dialoogvenster weergeven met de waarschuwing dat de computer over x seconden opnieuw zal worden opgestart. (De standaardinstelling is 30 seconden.) Bedoeld voor gebruik met de schakeloptie /quiet of /passive. |
| /promptrestart | Geeft een dialoogvenster weer dat de lokale gebruiker vraagt of de computer opnieuw mag worden opgestart |
| Speciale opties | |
| /overwriteoem | OEM-bestanden overschrijven zonder te vragen |
| /nobackup | Geen back-up maken van bestanden die nodig zijn voor het verwijderen van de installatie |
| /forceappsclose | Andere programma's gedwongen sluiten wanneer de computer wordt afgesloten |
| /log:path | Omleiding van installatielogbestanden toestaan |
| /extract[:path] | Bestanden worden uitgepakt zonder Setup te starten |
| /ER | Uitgebreide foutrapportage inschakelen |
| /verbose | Uitvoerige logboekregistratie inschakelen. Tijdens de installatie wordt het bestand %Windir%\CabBuild.log gemaakt. In dit logbestand staan de bestanden die zijn gekopieerd. Door deze schakeloptie te gebruiken is het mogelijk dat de installatie langzamer verloopt. |
Opmerking U kunt deze schakelopties combineren in één opdrachtregel. Met het oog op compatibiliteit met eerdere versies biedt deze beveiligingsupdate ook ondersteuning voor de installatieschakelopties die worden gebruikt door de eerdere versie van het installatieprogramma. Zie Microsoft Knowledge Base-artikel 262841 voor meer informatie over de ondersteunde schakelopties voor de installatie.
De update verwijderen
Bij de installatie van deze beveiligingsupdate kunnen de volgende schakelopties worden gebruikt.
| Schakeloptie | Beschrijving |
|---|---|
| /help | Hiermee worden de schakelopties weergegeven |
| Installatiemodi | |
| /passive | Installatiemodus zonder toezicht Gebruikers hoeven niets te doen, maar de status van de installatie wordt wel weergegeven. Als de computer na de installatie opnieuw moet worden opgestart, wordt er een dialoogvenster weergegeven met de waarschuwing dat de computer over 30 seconden opnieuw zal worden opgestart. |
| /quiet | Stille modus. Deze modus is gelijk aan de modus zonder toezicht, maar status- en foutberichten worden niet weergegeven. |
| Opties voor opnieuw starten | |
| /norestart | Computer niet opnieuw opstarten als installatie is voltooid |
| /forcerestart | De computer na de installatie opnieuw opstarten en ervoor zorgen dat andere toepassingen worden gesloten wanneer de computer wordt afgesloten, zonder geopende bestanden eerst op te slaan. |
| /warnrestart[:x] | Een dialoogvenster weergeven met de waarschuwing dat de computer over x seconden opnieuw zal worden opgestart. (De standaardinstelling is 30 seconden.) Bedoeld voor gebruik met de schakeloptie /quiet of /passive. |
| /promptrestart | Geeft een dialoogvenster weer dat de lokale gebruiker vraagt of de computer opnieuw mag worden opgestart |
| Speciale opties | |
| /forceappsclose | Andere programma's gedwongen sluiten wanneer de computer wordt afgesloten |
| /log:path | Omleiding van installatielogbestanden toestaan |
Controleren of de update is toegepast
- Microsoft Baseline Security Analyzer
Gebruik het hulpprogramma Microsoft Baseline Security Analyzer (MBSA) om te controleren of de beveiligingsupdate is toegepast op het systeem waarvoor het probleem geldt. Zie de sectie Hulpmiddelen en richtlijnen voor detecteren en implementeren eerder in dit bulletin voor meer informatie.
- Verificatie van bestandsversie
Omdat er verschillende versies zijn van Microsoft Windows, kunnen de volgende stappen voor uw computer enigszins afwijken. Als dit het geval is, raadpleeg dan de productdocumentatie om deze stappen uit te voeren.
- Klik op Start en klik vervolgens op Zoeken.
- Klik in het venster Zoekresultaten op Alle bestanden en mappen onder Zoekassistent.
- Typ in het vak De volledige of gedeeltelijke bestandsnaam een bestandsnaam uit de betreffende bestandsinformatietabel en klik vervolgens op Zoeken.
- Klik in de lijst met bestanden met de rechtermuisknop op een bestandsnaam uit de betreffende bestandsinformatietabel en klik vervolgens op Eigenschappen.
Opmerking Bepaalde bestanden die in de bestandsinformatietabel staan vermeld, worden mogelijk niet geïnstalleerd. Dit is afhankelijk van de editie van het besturingssysteem en de programma's die op uw systeem zijn geïnstalleerd. - Bepaal op het tabblad Versie de versie van het bestand dat op uw systeem is geïnstalleerd door de versie te vergelijken met de versie in de betreffende bestandsinformatietabel.
Opmerking Andere kenmerken dan de bestandsversie kunnen tijdens de installatie worden veranderd. Vergelijking van andere bestandskenmerken met de gegevens in de bestandsinformatietabel vormt geen ondersteunde methode om te controleren of de update is toegepast. Bovendien kunnen in bepaalde gevallen de namen van bestanden tijdens installatie worden gewijzigd. Als de bestands- of versiegegevens niet aanwezig zijn, gebruikt u een van de andere beschikbare methoden om te controleren of de update is geïnstalleerd.
- Verificatie van registersleutel
Aan de hand van de registersleutels in de Referentietabel in deze sectie kunt u ook controleren welke bestanden met deze beveiligingsupdate zijn geïnstalleerd.
Deze registersleutels bevatten mogelijk geen volledige lijst met geïnstalleerde bestanden. Bovendien zijn deze registersleutels mogelijk niet correct als een beheerder of een OEM de beveiligingsupdate integreert in de bronbestanden van de Windows-installatie.
Overige informatie
Dankbetuiging
Microsoft bedankt de volgende partijen voor de samenwerking bij het verbeteren van de beveiliging voor klanten:
- Het Vulnerability Research-team van Assurent Secure Technologies voor het melden van het beveiligingslek in Agent met betrekking tot het uitvoeren van externe code – CVE-2007-3040
- Yamata Li van Palo Alto Networks voor het melden van het beveiligingslek in Agent met betrekking tot het uitvoeren van externe code – CVE-2007-3040
- Een anonieme onderzoeker die bij VeriSign iDefense VCP werkt voor het melden van het Beveiligingslek in Agent met betrekking tot het uitvoeren van externe code – CVE-2007-3040
Ondersteuning
- Technische ondersteuning van Microsoft Product Support Services is beschikbaar via 020-500 1005. Voor ondersteuningsverzoeken in verband met beveiligingsupdates worden geen kosten in rekening gebracht.
- Voor internationale klanten is ondersteuning verkrijgbaar bij de Microsoft-vestiging in hun land. Voor ondersteuning in verband met beveiligingsupdates worden geen kosten in rekening gebracht. Ga naar de website voor internationale ondersteuning voor meer informatie over hoe u contact kunt opnemen met Microsoft voor ondersteuning.
Uitsluiting van aansprakelijkheid
De informatie die wordt geboden in de Microsoft Knowledge Base, wordt geleverd 'in de huidige staat' zonder enige garantie. Microsoft wijst hierbij alle expliciete of impliciete garanties van de hand, met inbegrip van alle garanties betreffende de verhandelbaarheid en geschiktheid voor een bepaald doel. Voorzover maximaal is toegestaan op grond van toepasselijk recht zijn Microsoft Corporation en/of haar leveranciers in geen geval aansprakelijk voor enige directe, indirecte of incidentele schade, bijzondere schade, gevolgschade of schade ten gevolge van het verlies van winsten, zelfs als Microsoft Corporation of haar leveranciers van de mogelijkheid van dergelijke schade op de hoogte is gesteld. Aangezien sommige staten/rechtssystemen uitsluiting of beperking van aansprakelijkheid voor gevolgschade of incidentele schade niet toestaan, is de voorgaande beperking wellicht niet op u van toepassing.
Revisies
- V1.0 (11 september 2007): Bulletin gepubliceerd.
V1.1 (12 september 2007): Het bulletin is bijgewerkt met veelgestelde vragen over waarom up-levelplatforms niet worden getroffen door het beveiligingslek in dit bulletin.