Launch Printer Friendly Page Security TechCenter > Security Bulletins > Microsoft-beveiligingsbulletin MS11-072

Microsoft-beveiligingsbulletin MS11-072 - Belangrijk

Beveiligingslekken in Microsoft Excel kunnen leiden tot uitvoering van externe code (2587505)

Gepubliceerd: | Bijgewerkt:

Versie: 1.1

Algemene informatie

Samenvatting

Met deze beveiligingsupdate worden vijf privé gemelde beveiligingslekken in Microsoft Office opgelost. Door deze beveiligingslekken kan externe code worden uitgevoerd als een gebruiker een speciaal vervaardigd Excel-bestand opent. Een aanvaller die erin slaagt misbruik te maken van een van deze beveiligingslekken, kan dezelfde rechten over het systeem krijgen als de aangemelde gebruiker. Gebruikers met accounts waarvoor minder gebruikersrechten op het systeem zijn ingesteld, lopen minder risico dan gebruikers die met beheerdersrechten werken. Het installeren en configureren van Office-bestandsvalidatie ter voorkoming van het openen van verdachte bestanden, blokkeert de aanvalsvectoren voor het misbruiken van de beveiligingslekken die worden beschreven in CVE-2011-1986 en CVE-2011-1987. Zie de sectie Veelgestelde vragen over deze beveiligingsupdate voor meer informatie over hoe de functie voor Office-bestandsvalidatie zodanig kan worden geconfigureerd dat de aanvalsvectoren worden geblokkeerd.

Het prioriteitsniveau van deze beveiligingsupdate is Belangrijk voor alle ondersteunde edities van Microsoft Excel 2003, Microsoft Excel 2007, Microsoft Office 2007, Microsoft Excel 2010, Microsoft Office 2010, Microsoft Office 2004 voor Mac, Microsoft Office 2008 voor Mac en Microsoft Office voor Mac 2011; conversieprogramma voor Open XML-bestandsindelingen voor Mac; en alle ondersteunde versies van Microsoft Excel Viewer, Microsoft Office Compatibility Pack, Microsoft Excel Services op SharePoint Server 2007, Microsoft Excel Services op SharePoint Server 2010 en Microsoft Excel Web App 2010. Zie de subsectie, Software waarin dit probleem optreedt en software waarin dit probleem niet optreedt in deze sectie voor meer informatie.

De update lost de beveiligingslekken op doordat de manier wordt verbeterd waarop in Microsoft Excel objecten in het geheugen worden verwerkt, reeksen geheugenlocaties worden geïndexeerd, bepaalde gegevens in Excel-bestanden worden geparseerd, een bepaald soort voorwaardelijke expressie wordt verwerkt en grenscontroles van waarden van indexmatrices worden uitgevoerd. Zie de subsectie Veelgestelde vragen over het specifieke beveiligingslek in de volgende sectie, Informatie over het beveiligingslek, voor meer informatie over het beveiligingslek.

Aanbeveling. Klanten kunnen Automatische updates zo configureren dat online op updates wordt gecontroleerd bij Microsoft Update met de service Microsoft Update. Klanten die Automatische updates hebben ingeschakeld en hebben geconfigureerd om online op updates te controleren bij Microsoft Update, hoeven doorgaans geen actie te ondernemen omdat deze beveiligingsupdate automatisch zal worden gedownload en geïnstalleerd. Klanten die Automatische updates niet hebben ingeschakeld, moeten bij Microsoft Update op updates controleren en deze update handmatig installeren. Voor informatie over specifieke configuratieopties voor Automatische updates in ondersteunde edities van Windows XP en Windows Server 2003 raadpleegt u Microsoft Knowledge Base-artikel 294871. Voor informatie over Automatische updates in ondersteunde edities van Windows Vista, Windows Server 2008, Windows 7 en Windows Server 2008 R2 raadpleegt u Meer informatie over Automatische updates van Windows.

Als het gaat om beheerders en bedrijfinstallaties of eindgebruikers die deze beveiligingsupdate handmatig willen installeren, adviseert Microsoft klanten de update zo snel mogelijk toe te passen met behulp van de software voor updatebeheer of door op updates te controleren met de service Microsoft Update.

Zie ook de sectie Hulpmiddelen en richtlijnen voor detecteren en implementeren, verderop in dit bulletin.

Bekende problemen. In Microsoft Knowledge Base-artikel 2587505 worden bekende problemen beschreven die klanten mogelijk ondervinden bij de installatie van deze beveiligingsupdate. In het artikel worden ook de aanbevolen oplossingen voor deze problemen toegelicht. Wanneer bekende problemen en aanbevolen oplossingen alleen betrekking hebben op specifieke versies van deze software, vindt u in dit artikel koppelingen naar andere artikelen.

Software waarin dit probleem optreedt en software waarin dit probleem niet optreedt

De volgende software is getest om te bepalen in welke versies of edities dit probleem optreedt. Andere versies of edities hebben het einde van hun ondersteuningscyclus bereikt of hebben geen last van dit beveiligingslek. Ga naar Microsoft Support Lifecycle om de ondersteuningscyclus voor uw product en versie te bepalen.

Software waarin dit probleem optreedt

Microsoft Office-pakketen en -software

Microsoft Office Suite en andere softwareOnderdeelMaximale omvang van het beveiligingslekPrioriteitsniveauBulletins die door deze update worden vervangen
Microsoft Office-pakketten en -onderdelen
Microsoft Office 2003 Service Pack 3Microsoft Excel 2003 Service Pack 3
(KB2553072)
Uitvoering van externe code mogelijkBelangrijkMS11-045
Microsoft Office 2007 Service Pack 2Microsoft Excel 2007 Service Pack 2[1]
(KB2553073)
Uitvoering van externe code mogelijkBelangrijkMS11-045
Microsoft Office 2007 Service Pack 2[1]
(KB2553089)

Microsoft Office 2007 Service Pack 2[1]
(KB2553090)
Niet van toepassingUitvoering van externe code mogelijkBelangrijkGeen
Microsoft Office 2010 (32-bits versies)Microsoft Office Excel 2010 (32-bits versies)
(KB2553070)
Uitvoering van externe code mogelijkBelangrijkMS11-045
Microsoft Office 2010 Service Pack 1 (32-bits versies)Microsoft Excel 2010 Service Pack 1 (32-bits edities)
(KB2553070)
Uitvoering van externe code mogelijkBelangrijkGeen
Microsoft Office 2010 en Microsoft Office 2010 Service Pack 1 (32-bits versies)
(KB2553091)

Microsoft Office 2010 en Microsoft Office 2010 Service Pack 1 (32-bits versies)
(KB2553096)
Niet van toepassingUitvoering van externe code mogelijkBelangrijkGeen
Microsoft Office 2010 (64-bits versies)Microsoft Office Excel 2010 (64-bits versies)
(KB2553070)
Uitvoering van externe code mogelijkBelangrijkMS11-045
Microsoft Office 2010 Service Pack 1 (64-bits versies)Microsoft Excel 2010 Service Pack 1 (64-bits edities)
(KB2553070)
Uitvoering van externe code mogelijkBelangrijkGeen
Microsoft Office 2010 en Microsoft Office 2010 Service Pack 1 (64-bits versies)
(KB2553091)

Microsoft Office 2010 en Microsoft Office 2010 Service Pack 1 (64-bits versies)
(KB2553096)
Niet van toepassingUitvoering van externe code mogelijkBelangrijkGeen
Microsoft Office voor Mac
Microsoft Office 2004 voor Mac
(KB2598782)
Niet van toepassingUitvoering van externe code mogelijkBelangrijkMS11-045
Microsoft Office 2008 voor Mac
(KB2598781)
Niet van toepassingUitvoering van externe code mogelijkBelangrijkMS11-045
Microsoft Office voor Mac 2011
(KB2598783)
Niet van toepassingUitvoering van externe code mogelijkBelangrijkMS11-045
Conversieprogramma voor Open XML-bestandsindeling voor Mac
(KB2598785)
Niet van toepassingUitvoering van externe code mogelijkBelangrijkMS11-045
Overige Microsoft Office-software
Microsoft Excel Viewer Service Pack 2
(KB2553075)
Niet van toepassingUitvoering van externe code mogelijkBelangrijkGeen
Microsoft Office-compatibiliteitspakket voor de bestandsindelingen van Word, Excel en PowerPoint 2007 Service Pack 2
(KB2553074)
Niet van toepassingUitvoering van externe code mogelijkBelangrijkMS11-045

[1]Voor Microsoft Excel 2007 Service Pack 2 geldt dat klanten naast de beveiligingsupdates KB2553073, KB2553089 en KB2553090, ook de beveiligingsupdate voor het Microsoft Office-compatibiliteitspakket voor de bestandsindelingen van Word, Excel en PowerPoint 2007 Service Pack 2 (KB2553074) moeten installeren om beschermd te zijn tegen de beveiligingslekken die in dit bulletin worden beschreven.

Microsoft Server-software

Microsoft SharePoint Server en Microsoft Office Web AppsOnderdeelMaximale omvang van het beveiligingslekPrioriteitsniveauBulletins die door deze update worden vervangen
Microsoft Excel Services
Microsoft Office SharePoint Server 2007 Service Pack 2 (32-bits edities)Excel Services[2]
(KB2553093)
Uitvoering van externe code mogelijkBelangrijkMS10-017
Microsoft Office SharePoint Server 2007 Service Pack 2 (64-bits edities)Excel Services[2]
(KB2553093)
Uitvoering van externe code mogelijkBelangrijkMS10-017
Microsoft Office SharePoint Server 2010 en Microsoft Office SharePoint Server 2010 Service Pack 1Excel Services
(KB2553094)
Uitvoering van externe code mogelijkBelangrijkGeen
Microsoft Office Web Apps
Microsoft Office Web Apps 2010 en Microsoft Office Web Apps 2010 Service Pack 1Microsoft Excel Web App 2010 en Microsoft Excel Web App 2010 Service Pack 1
(KB2553095)
Uitvoering van externe code mogelijkBelangrijkGeen

[2]Deze update geldt voor servers waarop Excel Services is geïnstalleerd, zoals de standaardconfiguratie van Microsoft Office SharePoint Server 2007 Enterprise en Microsoft Office SharePoint Server 2007 voor internetsites. Microsoft Office SharePoint Server 2007 Standard wordt zonder Excel Services geleverd.

Software waarin dit probleem niet optreedt

Office en overige software
Microsoft Works 9

Veelgestelde vragen met betrekking tot deze beveiligingsupdate

Informatie over het beveiligingslek

Prioriteitsniveau en identificatie van het beveiligingslek

Beveiligingslek met betrekking tot het gebruik van Excel na vrije WriteAV - CVE-2011-1986

Beveiligingslek met betrekking tot indexering van een matrix buiten bereik in Excel - CVE-2011-1987

Beveiligingslek met betrekking tot heap-corruptie in Excel - CVE-2011-1988

Beveiligingslek met betrekking tot het parseren van voorwaardelijke expressies in Excel - CVE-2011-1989

Beveiligingslek met betrekking tot indexering van een matrix buiten bereik in Excel - CVE-2011-1990

Informatie over de update

Hulpmiddelen en richtlijnen voor detecteren en implementeren

Implementatie van de beveiligingsupdate

Overige informatie

Dankbetuiging

Microsoft bedankt de volgende partijen voor de samenwerking bij het verbeteren van de beveiliging voor klanten:

  • Een anonieme onderzoeker in samenwerking met VeriSign iDefense Labs voor het melden van het beveiligingslek met betrekking tot het gebruik van Excel na vrije WriteAV (CVE-2011-1986)
  • Sean Larsson van VeriSign iDefense Labs voor het melden van het beveiligingslek met betrekking tot indexering van een matrix buiten bereik in Excel (CVE-2011-1987)
  • Een anonieme onderzoeker in samenwerking met VeriSign iDefense Labs voor het melden van het beveiligingslek met betrekking tot heap-corruptie in Excel (CVE-2011-1988)
  • Een anonieme onderzoeker in samenwerking met Zero Day Initiative van TippingPoint voor het melden van het beveiligingslek met betrekking tot het parseren van voorwaardelijke expressies in Excel (CVE-2011-1989)
  • Omair in samenwerking met Zero Day Initiative van TippingPoint voor het melden van het beveiligingslek met betrekking tot indexering van een matrix buiten bereik in Excel (CVE-2011-1990)

Microsoft Active Protections Program (MAPP)

Om de beveiliging voor klanten te verbeteren, verstrekt Microsoft bij elke maandelijkse uitgifte van beveiligingsupdates informatie over beveiligingslekken aan de grote producenten van beveiligingsprogramma's. Deze producenten kunnen dan die informatie over beveiligingslekken gebruiken om hun klanten een betere beveiliging te bieden door hun software of apparatuur aan te passen, zoals antivirusprogramma's, inbraakdetectiesystemen voor netwerken of inbraakpreventiesystemen voor hosts. Op de websites van de programmapartners (zie Microsoft Active Protections Program (MAPP)-partners) kunt u nagaan of de leveranciers van beveiligingsprogramma's hun producten steeds aanpassen.

Ondersteuning

  • Technische ondersteuning van Security Support is beschikbaar via 020-500 1005. Voor ondersteuningsverzoeken in verband met beveiligingsupdates worden geen kosten in rekening gebracht. Zie Hulp en ondersteuning van Microsoft voor meer informatie over de beschikbare ondersteuningsopties.
  • Voor internationale klanten is ondersteuning verkrijgbaar bij de Microsoft-vestiging in hun land. Voor ondersteuning in verband met beveiligingsupdates worden geen kosten in rekening gebracht. Ga naar de website voor internationale ondersteuning voor meer informatie over hoe u contact kunt opnemen met Microsoft voor ondersteuning.

Uitsluiting van aansprakelijkheid

De informatie die wordt geboden in de Microsoft Knowledge Base, wordt geleverd 'in de huidige staat' zonder enige garantie. Microsoft wijst hierbij alle expliciete of impliciete garanties van de hand, met inbegrip van alle garanties betreffende de verhandelbaarheid en geschiktheid voor een bepaald doel. Voorzover maximaal is toegestaan op grond van toepasselijk recht zijn Microsoft Corporation en/of haar leveranciers in geen geval aansprakelijk voor enige directe, indirecte of incidentele schade, bijzondere schade, gevolgschade of schade ten gevolge van het verlies van winsten, zelfs als Microsoft Corporation of haar leveranciers van de mogelijkheid van dergelijke schade op de hoogte is gesteld. Aangezien sommige staten/rechtssystemen uitsluiting of beperking van aansprakelijkheid voor gevolgschade of incidentele schade niet toestaan, is de voorgaande beperking wellicht niet op u van toepassing.

Revisies

  • V1.0 (13 september 2011): Bulletin gepubliceerd.
  • V1.1 (11 oktober 2011): Er is een detectielogicaverandering aangekondigd voor update KB2553094. Er zijn geen veranderingen in de beveiligingsupdatebestanden. Zie de veelgestelde vragen in de update voor details.