Microsoft biztonsági tanácsadó 973882

A Microsoft Active Template Library (ATL) biztonsági rései távolról történő programkódfuttatást tehetnek lehetővé

Közzétéve: 2009. július 28. | Frissítve: 2009. október 13.

Verzió: 4.0

A Microsoft e biztonsági tanácsadó kiadásával tájékoztatja az ügyfeleket a Microsoft ATL nyilvános és belső verzióban található biztonsági résekre vonatkozó folyamatban lévő vizsgálatról. A tanácsadó továbbá útmutatóként is szolgál és segítséget nyújt a fejlesztőknek annak biztosításában, hogy a tervezett vezérlőket és összetevőket ne érintse az ATL sebezhetősége. Továbbá segítséget nyújt az informatikai szakembereknek és ügyfeleknek a biztonsági rést kihasználó támadások kockázatának csökkentéséhez. Illetve útmutatást tartalmaz a tanácsadóban leírt problémával kapcsolatos Microsoft-vizsgálatról. A biztonsági tanácsadó tartalmazza az ATL biztonsági résével kapcsolatos Microsoft biztonsági közlemények és biztonsági frissítések átfogó listáját. A Microsoftnak az ATL nyilvános és belső verzióival kapcsolatos vizsgálata folyamatban van, és a vállalat a vizsgálat részeként további biztonsági frissítéseket és útmutatókat adhat ki, ha az eredmények azt megkívánják.

A Microsoft értesült az ATL nyilvános és belső verzióival kapcsolatos biztonsági résekről. A Microsoft ATL-t szoftverfejlesztők alkalmazzák vezérlők vagy összetevők létrehozásához a Windows platformra. A biztonsági tanácsadóban és az MS09-035 Microsoft biztonsági közleményben leírt biztonsági rések adatokhoz való illetéktelen hozzáférést vagy távoli programkódfuttatást tehetnek lehetővé az ATL érintett verzióival létrehozott vezérlők és összetevők esetében. Az ATL érintett verzióival létrehozott vezérlők és összetevők biztonsági réseket tartalmazhatnak az ATL használatának vagy az ATL-kódban található hibáknak köszönhetően.

Fejlesztői útmutató: A Microsoft kijavította az ATL nyilvános fejléceinek hibáit és frissítéseket tett közzé a könyvtárakhoz az MS09-035 „A Visual Studio Active Template Library biztonsági rései távolról történő programkódfuttatást tehetnek lehetővé” című közleményben. A Microsoft kifejezetten javasolja, hogy az ATL eszközzel vezérlőket vagy összetevőket létrehozó fejlesztők haladéktalanul ellenőrizzék a létrehozott vezérlők érintettségét, és kövessék az útmutatót olyan vezérlők és összetevők fejlesztésében, amelyek nem tartalmaznak biztonsági réseket. További tudnivalók az ATL biztonsági réseivel és a hibák orvoslásával kapcsolatban az MS09-035 „A Visual Studio Active Template Library biztonsági rései távolról történő programkódfuttatást tehetnek lehetővé” című közleményben olvashatók.

Informatikai szakembereknek és ügyfelek útmutatója: Amíg a fejlesztők módosítják összetevőiket és vezérlőiket, az ügyfelek fokozott védelme érdekében a Microsoft kifejlesztett egy új biztonsági technológiát. Az Internet Explorer böngészőbe épített új biztonsági technológia segítséget nyújt az ügyfeleknek az MS09-035 Microsoft biztonsági közleményben és a tanácsadóban leírt Microsoft Active Template Library eszközzel kapcsolatos biztonsági réseket kihasználó jövőbeli támadásokkal szemben. Az új biztonsági technológia alkalmazása érdekében javasoljuk, hogy az informatikai szakemberek és ügyfelek haladéktalanul telepítsék az MS09-034 „Összesítő biztonsági frissítés az Internet Explorer programhoz” című Microsoft biztonsági frissítésben szereplő Internet Explorer biztonsági frissítést.

Egyéb biztonsági résekkel kapcsolatos megoldások mellett a biztonsági frissítés olyan védelmi technológiát tartalmaz, amely megakadályozza az érintett ATL verzióival létrehozott összetevők és vezérlők kihasználását az Internet Explorer alkalmazásban. Az MS09-034-ben található új biztonsági technológia az Internet Explorer 5.01, Internet Explorer 6 és Internet Explorer 6 SP 1, Internet Explorer 7 és Internet Explorer 8 programokhoz tartalmaz frissítéseket. A biztonsági mechanizmusok figyelik és megakadályozzák a nyilvános és belső használatú ATL eszközök összes ismert biztonsági résének kihasználását, többek között az ActiveX-vezérlők tiltóbit-szolgáltatásának elkerülésére használható biztonsági rések kihasználását. Ezek a felhasználónak a webalapú támadásokkal szembeni védelmét szolgálják.

Otthoni felhasználók útmutatója: Amíg a fejlesztők módosítják összetevőiket és vezérlőiket, az ügyfelek fokozott védelme érdekében a Microsoft kifejlesztett egy új biztonsági technológiát. Ez az Internet Explorerbe beépített, lényeges biztonsági intézkedésként az új frissítéssel segít megvédeni az ügyfeleket a jövőbeni támadásoktól, amelyek Microsoft Active Template Library ezen tanácsadóban és a Microsoft MS09-035. számú biztonsági közleményében leírt biztonsági rését használják ki. Az automatikus frissítésekre feliratkozott otthoni felhasználók automatikusan megkapják az új Internet Explorert, és nem kell további intézkedéseket hozniuk. Az otthoni felhasználók automatikusan fokozott védelmet élvezhetnek a biztonsági tanácsadóban és az MS09-035 Microsoft biztonsági közleményben leírt biztonsági réseket kihasználó jövőbeli támadások ellen.

A Microsoft Active Template Library (ATL) érintett verzióival készült vezérlőket és összetevőket érintő enyhítő körülmények:

  • Alapbeállítás szerint az ActiveX-vezérlők nagy része nem szerepel az engedélyezett ActiveX-vezérlők alapértelmezett listáján a Windows Vista vagy újabb rendszereken futó Internet Explorer 7 vagy Internet Explorer 8 programokban. Csak azon ügyfelek vannak kitéve a biztonsági rést kihasználó támadásoknak, akik közvetlenül engedélyezték az érintett vezérlők használatát az ActiveX-vezérlő engedélyezési szolgáltatással. Azonban, ha az ügyfél érintett ActiveX-vezérlőket használt az Internet Explorer korábbi verziójában, majd az Internet Explorer 7 vagy Internet Explorer 8 programra frissített, az érintett ActiveX-vezérlők engedélyezve maradnak az Internet Explorer 7 és Internet Explorer 8 programokban, abban az esetben is, ha a felhasználó nem engedélyezte a vezérlők használatát közvetlenül az ActiveX engedélyezési szolgáltatással.
  • Alapbeállítás szerint az Internet Explorer 8 program fokozott védelmet biztosít a DEP/NX memóriavédelem engedélyezésével a Windows XP SP 3, Windows Vista SP 1, Windows Vista SP 2 és Windows 7 rendszereken.
  • Az Internet Explorer böngésző Windows Server 2003 és Windows Server 2008 rendszeren alapértelmezés szerint korlátozott üzemmódban fokozott biztonsági beállításokkal működik. Az Internet Explorer fokozott biztonsági beállításai olyan beépített Internet Explorer beállításokat takarnak, amelyek csökkentik annak lehetőségét, hogy egy felhasználó vagy rendszergazda különlegesen kialakított webes tartalmat töltsön le és futtasson a kiszolgálón. Ez enyhíti az olyan webhelyek hibáit, melyeket nem adtak hozzá az Internet Explorer Megbízható helyek zónájához. Lásd még: Az Internet Explorer fokozott biztonsági beállításainak kezelése.
  • A Microsoft Outlook és a Microsoft Outlook Express alkalmazás összes használható verziója alapértelmezés szerint a Tiltott helyek zónában nyitja meg a HTML formátumú e-mail üzeneteket. A Tiltott helyek zóna megszüntetheti a biztonsági rés kihasználását megkísérlő támadásokat azáltal, hogy megakadályozza az Active Scripting és az Active X-vezérlők használatát HTML e-mail üzenetek olvasásakor. Ha azonban a felhasználó egy e-mail üzenetben küldött hivatkozásra kattint, a biztonsági rés még mindig fennáll egy webalapú támadáson keresztül.
  • Webalapú támadás esetén a támadónak olyan webhelyet kell üzemeltetnie, amely egy, a biztonsági rés kihasználását lehetővé tevő weblapot tartalmaz. Az érintett weboldalak és a felhasználó által biztosított tartalomnak, esetleg hirdetéseknek helyet adó weboldalak is tartalmazhatnak a biztonsági rést kihasználni képes különlegesen kialakított tartalmat. A támadóknak azonban nem áll módjukban a felhasználókat ezeknek a weboldalaknak a látogatására kényszerítenie. Ehelyett a támadóknak az adott webhelyre kell csábítaniuk a felhasználókat. Ezt rendszerint úgy érik el, hogy ráveszik őket arra, hogy kattintsanak rá egy e-mailben lévő hivatkozásra vagy azonnali üzenetkezelőben megjelenő kérésre.
  • A biztonsági rést kihasználó támadó a helyi felhasználóval egyező hozzáférést nyer a rendszerhez. A kevesebb jogosultsággal bíró fiókkal rendelkező felhasználók esetében kisebb a veszélyeztetettség, mint a rendszergazdai jogosultságokkal rendelkezők esetén

Az ATL eszközzel kapcsolatos frissítések:

A közlemény kiadási dátuma 2009. október 13.

  • A Microsoft MS09-060 számú, „A Microsoft Active Template Library (ATL) biztonsági rései távolról történő programkódfuttatást tehetnek lehetővé” című biztonsági közleménye támogatást biztosít a jelen tanácsadó közleményben leírt ATL biztonsági rés által érintett Microsoft Office összetevőkhöz.

2009. augusztus 25-én kiadott frissítések

  • Készül a Windows Live Messenger 14.0.8089 kiadása a Windows Live Messenger kliensben lévő biztonsági rések kezelésére, amelyek a tanácsadóban leírt ATL biztonsági résekhez kapcsolódnak.
  • A tanácsadóba bekerült egy Windows Live összetevőkkel kapcsolatban gyakran feltett kérdések rész, amely a Windows Live Hotmail "Fénykép csatolása" funkciójának eltávolítását írja le, és bemutatja a Windows Live Messenger 14.0.8089 kiadásának részleteit.

2009. augusztus 11-én kiadott frissítések

  • A Microsoft MS09-037 számú, „A Microsoft Active Template Library (ATL) biztonsági rései távolról történő programkódfuttatást tehetnek lehetővé” című biztonsági közleménye támogatást biztosít a jelen tanécsadó közleményben leírt ATL biztonsági rés által érintett Windows összetevőkhöz.
  • A Microsoft MS09-035 számú, „A Visual Studio Active Template Library biztonsági rései távolról történő programkódfuttatást tehetnek lehetővé” című biztonsági közleménye újra kiadásra került, és új frissítéseket tartalmaz a Visual Studiot használó fejlesztők számára, akik mobil alkalmazásokhoz készítenek összetevőket és vezérlőket az ATL for Smart Devices felhasználásával.

Frissítések kiadási dátuma: 2009. július 28.

  • Az MS09-035 „A Visual Studio Active Template Library biztonsági rései távolról történő programkódfuttatást tehetnek lehetővé” című Microsoft biztonsági közlemény további részleteket tartalmaz az ATL eszközzel kapcsolatos konkrét biztonsági résekről, illetve tartalmazza a frissített nyilvános ATL-fejléceket a módosított összetevők és vezérlők fejlesztéséhez. A vizsgálat fényt derített arra, hogy a hibák kiterjednek a Windows 2000 SP 4, Windows XP, Windows Server 2003, Windows Vista és Windows Server 2008 rendszerek összes támogatott kiadásán megtalálható Microsoft és külső vállalatok által fejlesztett összetevőkre és vezérlőkre. Javasoljuk, hogy a vezérlők és összetevők készítésekor az ATL eszköz érintett verzióját használó fejlesztők olvassák el a közleményt és amennyiben vezérlőik és összetevőik érintettek, haladéktalanul tegyenek lépéseket.
  • Az MS09-034 „Összesítő biztonsági frissítés az Internet Explorer programhoz” című biztonsági frissítés olyan védelmi technológiát tartalmaz, amely megakadályozza az érintett ATL verzióival létrehozott összetevők és vezérlők kihasználását az Internet Explorer alkalmazásban. Az MS09-034-ben található új biztonsági technológia az Internet Explorer 5.01, Internet Explorer 6 és Internet Explorer 6 SP 1, Internet Explorer 7 és Internet Explorer 8 programokhoz tartalmaz frissítéseket. A biztonsági mechanizmusok figyelik és megakadályozzák a nyilvános és belső használatú ATL eszközök összes ismert biztonsági résének kihasználását, többek között az ActiveX-vezérlők tiltóbit-szolgáltatásának elkerülésére használható biztonsági rések kihasználását. Ezek a felhasználónak a webalapú támadásokkal szembeni védelmét szolgálják.
  • A Windows 7 rendszerben nem ismert olyan módszer vagy vezérlő, amely sikeres támadást tenne lehetővé az Internet Explorer programon keresztül.

Frissítés kiadási dátuma: 2009. július 14.

  • Az MS09-032 „Összesítő biztonsági frissítés az ActiveX-tiltóbitekhez” című Microsoft biztonsági közlemény tartalmazza az ActiveX biztonsági eljárást (tiltóbitet), amely megakadályozta az msvidctl vezérlő futását az Internet Explorer programban. A hamis msvidcntl az ATL belső verziójának biztonsági rését használta ki. Ebben az esetben a biztonsági rés memóriahiba előidézésére adott lehetőséget a támadónak, ami távoli kódfuttatást tehet lehetővé. Az msvidctl vezérlőhöz júniusban kiadott tiltóbitek (MS09-032) az alább leírt módon blokkolják a nyilvános biztonsági rés kihasználását.

Általános tudnivalók

A tanácsadó közlemény célja: A tanácsadó célja az ügyfelek értesítése a nyilvánosságra került biztonsági résről. További információ a biztonsági tanácsadó javasolt műveletekkel, lehetséges megoldásokkal és enyhítő tényezőkkel foglalkozó részében olvasható.

A tanácsadó közlemény állapota: Tanácsadó közzététele.

Javaslat: Olvassa el a javasolt műveleteket, és végezze el a megfelelő beállításokat.

HivatkozásokAzonosítás
CVE-hivatkozás CVE-2009-0901
CVE-2009-2493
CVE-2009-2495
CVE-2008-0015
Biztonsági közlemény MS09-035, „A Visual Studio Active Template Library biztonsági rései távolról történő programkódfuttatást tehetnek lehetővé”

MS09-034, „Összesítő biztonsági frissítés az Internet Explorer programhoz”

MS09-032, „Összesítő biztonsági frissítés az ActiveX-tiltóbitekhez”
Microsoft Tudásbázis cikke MS09-035:
Microsoft Tudásbázis 969706. számú cikke

MS09-034:
Microsoft Tudásbázis 972260. számú cikke

MS09-032:
Microsoft Tudásbázis 973346. számú cikke

A tanácsadó a következő szoftvereket tárgyalja.

Érintett szoftverek
Microsoft Windows
Az Active Template Library (ATL) érintett verzióival készült vezérlők és összetevők
Microsoft Live Services
Windows Live Messenger (14.0.8089-nél korábbi verziók)
Windows Live Hotmail "Kép csatolása" funkció

Mire terjed ki a tanácsadó hatása?
A Microsoft értesült az Active Template Library (ATL) érintett verzióival készült vezérlőket és összetevőket érintő biztonsági résekről. A tanácsadó célja a felhasználók tájékoztatása a frissítésekről, amelyek csökkenthetik az érintett összetevők és vezérlők kockázatát. Célja továbbá az útmutatás biztosítása a vezérlők és összetevők készítéséhez az érintett ATL eszközt alkalmazó fejlesztőknek, valamint útmutatás az informatikai szakembereknek a környezetük megvédéséhez és a kockázatot enyhítő megoldások telepítéséhez.

Fog a Microsoft a biztonsági tanácsadóhoz kapcsolódó további biztonsági frissítéseket kiadni?
A Microsoftnak az ATL nyilvános és belső fejléceivel kapcsolatos vizsgálata folyamatban van, és a vállalat a vizsgálat részeként további biztonsági frissítéseket és útmutatókat adhat ki, ha az eredmények azt megkívánják.

Az msvidctl biztonsági rése (MS09-032) kapcsolatban áll az ATL-frissítéssel?
Igen, a hamis msvidcntl az ATL belső verziójának biztonsági rését használta ki. Ebben az esetben a biztonsági rés memóriahiba előidézésére adott lehetőséget a támadónak, ami távoli kódfuttatást tehet lehetővé. A július 14-i kiadásban szereplő MS09-032 blokkolja az msvidctl vezérlőt kihasználó ismert támadásokat. További információk az msvidctl biztonsági résével kapcsolatban: http://blogs.technet.com/srd/archive/2009/07/06/new-vulnerability-in-mpeg2tunerequest-activex-control-object-in-msvidctl-dll.aspx.

Az Internet Explorer frissítése (ms09-034) is védelmet nyújt az msvidctl támadásai ellen?
Igen, az Internet Explorer frissítése védelmet nyújt az ATL nyilvános és belső verzióiban található ismert biztonsági rések kihasználása ellen, többek között az msvidctl támadásai ellen is.

Mi az ATL?
Az Active Template Library (ATL) sablonalapú C++ osztályok gyűjteménye, amely kicsi és gyors Component Object Model (COM) objektumok létrehozását teszi lehetővé. Az ATL a kulcs COM-funkciókat kiemelten támogatja, többek között raktáralkalmazásokat, kettős felületeket, szabvány COM-enumerátorfelületeket, kapcsolódási pontokat, leválasztási felületeket és ActiveX-vezérlőket. További információért olvassa el a ATL című MSDN-cikket.

Mi okozza az ATL-ben a fenyegetést?
A hibát bizonyos esetekben az ATL használata, más esetekben az ATL-kód maga okozza. Egyes esetekben hibás az adatfolyamok kezelése, amely memóriahibákhoz, illetéktelen adathozzáféréshez és a objektumok létrehozásához vezethet a biztonsági házirend figyelmen kívül hagyásával. További tudnivalók az ATL biztonsági réseivel kapcsolatban az MS09-035 „A Visual Studio Active Template Library biztonsági rései távolról történő programkódfuttatást tehetnek lehetővé” című közleményben olvashatók.

Mi a különbség az ATL nyilvános és belső verzió között?
Az ATL belső változatát a Microsoft fejlesztői használják vezérlők és összetevők készítésére. A Microsoft frissítette a fejlesztői által használt összes ATL-verziót.

Az ATL nyilvános változatát az ügyfelek használják az olyan fejlesztői eszközök részeként, mint a Microsoft Visual Studio. A Microsoft a nyilvános ATL frissítését az MS09-035 Microsoft biztonsági közleményben teszi közzé.

Az ATL biztonsági rései miatt szükséges a Microsoftnak és a külső fejlesztőknek biztonsági frissítéseket kiadni?
Igen. A tanácsadóban szereplő közleményfrissítéseken kívül a Microsoft a vállalat vezérlőinek és összetevőinek átfogó vizsgálatát végzi. A vizsgálat befejezése után a Microsoft megteszi a szükséges lépéseket a felhasználók védelme érdekében. A felhasználói igényektől függően egy biztonsági frissítés kiadására is sor kerülhet a havonta megjelenő biztonsági frissítéseken keresztül, vagy egy rendkívüli biztonsági frissítés formájában.

A Microsoft továbbá útmutatást biztosít és segítséget nyújt a nagyobb külső fejlesztőcégeknek az érintett vezérlők és összetevők azonosításában. Ezért tehát a külső fejlesztők is közzétehetnek frissítéseket a vezérlőkhöz és összetevőkhöz.

Hogyan történik majd a Windows Live Messenger frissítésének terjesztése?
A Windows Live Messenger szolgáltatásba való bejelentkezést követően a Windows Live Messenger 8.1, Windows Live Messenger 8.5, és Windows Live Messenger 14.0 felhasználók a támogatott Windows kiadásokon figyelmeztetést kapnak az ügyféltelepítés módszertől a Windows Live Messenger szolgáltatásban, hogy fogadják el a Windows Live Messenger 14.0.8089. frissítését. Ezen kívül a Windows Live Messenger 14.0.8089 verzióját most letölteni kívánó felhasználók azonnal megtehetik ezt a Windows Live letöltőközpont használatával. Ha ez nem történik meg, lehetséges, hogy a Windows Live Messenger sérülékeny verzió nem tudnak majd csatlakozni a Windows Live Messenger szolgáltatáshoz.

A Microsoft miért a Windows Live Messenger szolgáltatáson és letöltéseken keresztül terjeszti a frissítést?
A Windows Live Messenger alkalmazások frissítéseit azért saját hálózatukon keresztül terjesztjük, mert ezek az online szolgáltatások saját maguk telepíthetik a frissítéseket az ügyfélszámítógépekre. A Microsoft letöltőközpont hivatkozások meghatározott Windows Live Messenger kliensek számára is elérhetők. A frissítéseket letölteni kívánó felhasználók azonnal megtehetik ezt a Windows Live letöltőközpontban.

Ha ez egy frissítés, hogyan deríthetem ki, hogy nekem a Windows Live Messenger érintett verziója van meg?  
A Windows Live Messenger alkalmazásokba való bejelentkezéskor az ügyféltelepítési eljárás automatikusan ellenőrzi a telepített verziót, és figyelmeztetnek, ha frissítés szükséges. Windows Live Messenger ügyfélverzióját a Súgó, majd Névjegy elemre kattintva is ellenőrizheti.

Mi történik, ha nem frissítek a Windows Live Messenger legfrissebb verziójára?
Ha nem frissíti rendszerét a Windows Live Messenger nem érintett ügyfélverziójára, a rendszertől függően a frissítésre minden bejelentkezési kísérletkor üzenet hívja fel figyelmét. Frissítés hiányában lehetséges, hogy a Windows Live Messenger szolgáltatásokhoz hozzáférése le lesz tiltva.

A Microsoft hasonló alkalmazásait, például a Windows Messengert vagy az Office Communicatort is érinti ez a probléma?
Nem. Más üzenetküldő alkalmazások nem érintettek, mert a sérülékeny összetevőt nem tartalmazzák.

Mikor szüntette meg a Microsoft a Windows Live Hotmail „Kép csatolása” funkcióját? Egybeesett ez egy másik új funkció bevezetésével?
A Microsoft nemrég hozott döntést arról, hogy rövid távon eltávolítja ezt a funkciót a probléma elhárítására. A funkció ideiglenes eltávolítása nem esett egybe más funkció bevezetésével.

Mi a „Fénykép csatolása” funkció teljes helyreállításának legkésőbbi időpontja az összes Windows Live Hotmail felhasználóra vonatkozóan?
A Microsoft aktívan dolgozik a probléma kijavításán. Ezzel párhuzamosan továbbra is hozzáadhat képeket mellékletként Hotmail üzeneteihez, ha rákattint az Attach (csatolás) lehetőségre, majd kiválasztja a kívánt képet.

Mi okozza az ATL-ben a fenyegetést?
A hibát bizonyos esetekben az ATL használata, más esetekben az ATL-kód maga okozza. Egyes esetekben hibás az adatfolyamok kezelése, amely memóriahibákhoz, illetéktelen adathozzáféréshez és a objektumok létrehozásához vezethet a biztonsági házirend figyelmen kívül hagyásával. További tudnivalók az ATL biztonsági réseivel kapcsolatban az MS09-035 „A Visual Studio Active Template Library biztonsági rései távolról történő programkódfuttatást tehetnek lehetővé” című közleményben olvashatók.

Mire használhatja ezt a biztonsági rést a támadó?
Az ATL felhasználásával létrehozott vezérlők és összetevők esetében az egyes makrók nem biztonságos használata tetszőleges objektumok létrejöttét eredményezheti, amelyek elkerülhetik az ActiveX biztonsági házirendet az Internet Explorer programban. Továbbá az ATL érintett verzióival készített vezérlők és összetevők biztonsági rései távoli kódfuttatást és illetéktelen adathozzáférést tehetnek lehetővé. Ha valamely felhasználó felügyeleti jogosultságokkal bejelentkezett a rendszerbe, és érintett vezérlőt tartalmaz a rendszere, a támadó teljes mértékben átveheti az irányítást a számítógép felett. Ezt követően a támadó programokat telepíthet, illetve adatokat tekinthet meg, módosíthat és törölhet, de korlátozás nélküli jogosultságokkal rendelkező új fiókokat is létrehozhat. A kevesebb jogosultsággal bíró fiókkal rendelkező felhasználók esetében kisebb a veszélyeztetettség, mint a rendszergazdai jogosultságokkal rendelkezők esetén

Külső alkalmazásfejlesztő vagyok, és vezérlőmben vagy összetevőmben használom az ATL eszközt. Érintett a vezérlőm vagy összetevőm, és hogyan frissíthetem?  
Ha a vezérlő vagy összetevő létrehozásakor bizonyos feltételek teljesültek, akkor érintett lehet az összetevő vagy vezérlő. Az MS09-035 további információkat, példákat és útmutatást tartalmaz, amely alapján a külső fejlesztők felderíthetik és kijavíthatják az érintett összetevőket és vezérlőket.

Mi a funkciója a Visual Studio biztonsági frissítésének?
A frissítések a Microsoft Active Template Library (ATL) eszköz biztonsági réseit szüntetik meg, amelyek tetszőleges kód futtatását teszik lehetővé az érintett rendszeren hitelesítés nélküli felhasználó számára. A biztonsági réseket bizonyos esetekben az ATL használata, más esetekben az ATL-kód maga okozza. Mivel a biztonsági rések az ATL eszközt érintik, az eszközzel fejlesztett összetevők és vezérlők távoli kódfuttatás lehetőségének tehetik ki az érintett összetevőket és vezérlőket használó ügyfeleket.

A Visual Studio frissíti a Visual Studio programban használt ATL érintett verzióját. A frissítés lehetővé teszi a Visual Studio felhasználói számára a vezérlők és összetevők módosítását és ismételt létrehozását az ATL frissített verziójával.

A vizsgálat fényt derített arra, hogy a hibák kiterjednek a Microsoft és külső vállalatok által fejlesztett összetevőkre és vezérlőkre. Tehát minden érintett fejlesztőnek módosítania kell vagy újra létre kell hoznia az összetevőket és vezérlőket az MS09-035 Microsoft biztonsági frissítésben található javított ATL-verzióval..

Az MS09-034 IE-frissítés megvéd az ATL érintett verziójával készített összes összetevőtől és vezérlőtől?
Amíg a fejlesztők módosítják összetevőiket és vezérlőiket, az ügyfelek fokozott védelme érdekében a Microsoft kifejlesztett egy új biztonsági technológiát. Az Internet Explorer böngészőbe épített új biztonsági technológia segítséget nyújt az ügyfeleknek az MS09-035 Microsoft biztonsági közleményben és a tanácsadóban leírt Microsoft Active Template Library eszközzel kapcsolatos biztonsági réseket kihasználó jövőbeli támadásokkal szemben. Az MS09-034 „Összesítő biztonsági frissítés az Internet Explorer programhoz” című Microsoft biztonsági frissítés olyan védelmi technológiát tartalmaz, amely megakadályozza az érintett ATL verzióival létrehozott összetevők és vezérlők kihasználását az Internet Explorer alkalmazásban.

A Microsoft folytatja a Microsoft vezérlők és összetevők vizsgálatát, és segítséget nyújt a külső fejlesztőcégeknek az érintett vezérlők és összetevők azonosításában.

Mit tehet egy informatikai szakember a kitettség csökkentése érdekében?
A Microsoft azt javasolja, hogy az informatikai szakemberek haladéktalanul telepítsék az MS09-034 „Összesítő biztonsági frissítés az Internet Explorer programhoz” című Microsoft biztonsági frissítésben szereplő Internet Explorer biztonsági frissítést.

Mit tehetnek az ügyfelek a kitettség csökkentése érdekében?
Amíg a fejlesztők módosítják összetevőiket és vezérlőiket, az ügyfelek fokozott védelme érdekében a Microsoft kifejlesztett egy új biztonsági technológiát. Az Internet Explorer böngészőbe épített új biztonsági technológia segítséget nyújt az ügyfeleknek az MS09-035 Microsoft biztonsági közleményben és a tanácsadóban leírt Microsoft Active Template Library eszközzel kapcsolatos biztonsági réseket kihasználó jövőbeli támadásokkal szemben. A Microsoft azt javasolja, hogy a felhasználók haladéktalanul engedélyezzék az Automatikus frissítés szolgáltatást és késedelem nélkül telepítsék az MS09-034 „Összesítő biztonsági frissítés az Internet Explorer programhoz” című Microsoft biztonsági frissítésben szereplő Internet Explorer biztonsági frissítést. A frissítéseket automatikusan fogadó otthoni felhasználók számára a javítás az összesített IE-frissítés és a hibával kapcsolatos további biztonsági frissítések által elérhető, és nincs további teendőjük.

A Microsoft javasolja, hogy az otthoni felhasználók a fokozott biztonság és védelem érdekében telepítsék az Internet Explorer 8 programot.

Mi okozza az ActiveX biztonsági házirend kikerülését lehetővé tevő biztonsági rést?
Az érintett ATL eszközökkel készített ActiveX-vezérlők hibásan érvényesíthetik az adatokat. Ez olyan ActiveX-vezérlő futtatását eredményezheti, amely memóriahibát okozhat, vagy lehetővé teheti a támadó számára az Internet Explorer programban korábban blokkolt nem megbízható ActiveX-vezérlő betöltését egy megbízható ActiveX-vezérlőn keresztül.

Az MS09-034-ben található új biztonsági technológia az Internet Explorer 5.01, Internet Explorer 6 és Internet Explorer 6 SP 1, Internet Explorer 7 és Internet Explorer 8 programokhoz tartalmaz frissítéseket, melyek figyelik és megakadályozzák a nyilvános és belső használatú ATL eszközök összes ismert biztonsági résének kihasználását, többek között az IE tiltóbit-szolgáltatásának elkerülésére használható biztonsági rések kihasználását. A biztonsági eszközök a webes támadások ellen nyújtanak védelmet az ügyfelek számára.

Mire használhatja ezt a funkciót a támadó?
A Windows Vista vagy Windows 2008 rendszeren a biztonsági rést sikeresen kihasználó támadó az Internet Explorer védett módjának köszönhetően csak korlátozott hozzáférést kap. Más Windows rendszereken a támadó a helyi felhasználóval egyező hozzáférést nyerhet. A kevesebb jogosultsággal bíró fiókkal rendelkező felhasználók esetében kisebb a veszélyeztetettség, mint a rendszergazdai jogosultságokkal rendelkezők esetén

Hogyan használhatja ki a támadó ezt a funkciót?
A támadó különlegesen kialakított ActiveX-vezérlőt tartalmazó webhelyet hozhat létre, majd meggyőzheti a felhasználót arról, hogy ellátogasson a weboldalra. Ez jelenthet feltört webhelyeket valamint olyan webhelyeket, amelyek felhasználó által megadott tartalmat vagy hirdetéseket fogadnak illetve kezelnek. A támadóknak azonban nem áll módjukban a felhasználókat ezeknek a weboldalaknak a látogatására kényszerítenie. Csupán megkísérelhetik rávenni a felhasználókat arra, hogy kattintsanak rá az e-mailben vagy azonnali üzenetben megjelenő hivatkozásra, amelyen keresztül a weboldalra jutnak.

Mi a tiltóbit?
A Microsoft Internet Explorer biztonsági tényezője, mely megakadályozhatja egy ActiveX-vezérlő betöltését az Internet Explorer HTML-megjelenítő motorjába. Ez a művelet a tiltóbit beállítása, mely a rendszerleíró adatbázis módosításával történik. Tiltóbit beállítását követően az adott vezérlő soha nem tölthető be; akkor sem, ha teljesen telepítve van. A tiltóbit beállítása garantálja, hogy érintett összetevő a rendszerben történő megjelenése sem okozhat gondot.

A tiltóbitekről további tudnivalók a Microsoft Tudásbázis 240797. számú cikkében olvashatók: Az ActiveX vezérlők futtatásának megakadályozása az Internet Explorer programban. A tiltóbitekkel és az Internet Explorer programban való működésükkel kapcsolatos további tudnivalók a biztonsági kutatással és védelemmel foglalkozó blogban olvashatók.

Mi a frissítés feladata?
A frissítés megerősíti az ActiveX biztonsági mechanizmusát érvényesítés használatával olyan ActiveX-vezérlők használata esetén, amelyek bizonyos konfigurációkban érintett ATL-fejléceket alkalmaznak.

Hatással van a működésre a frissítés?
Igen. A frissítés blokkolja az egyes ATL-eszközkészletek futását az Internet Explorer programban. A frissítés csökkenti az aktív biztonsági elemek kikerülésének kockázatát a megbízható ActiveX-vezérlők nem megbízható vezérlőbetöltéseinek megakadályozásával.

Tartalmaz a frissítés egyéb szoftvermódosításokat is?
Igen. A frissítés további biztonsági javításokat és más frissítéseket tartalmaz az Internet Explorer programra vonatkozóan az összesített Internet Explorer frissítés részeként.

A frissítés minden nem biztonságos ActiveX-vezérlő problémáját megoldja?
Nem. A frissítés célja a felhasználók védelme az internet böngészése közben, és kimondottan olyan nem biztonságos / nem megbízható ActiveX-vezérlőkre vonatkozik, amelyek a tanácsadóban szereplő ATL-hibák miatt biztonsági réseket tartalmazhatnak.

A Microsoft még vizsgálja a problémát. A vizsgálat befejezése után a Microsoft megteszi a szükséges lépéseket a felhasználók védelme érdekében. A felhasználói igényektől függően egy biztonsági frissítés kiadására is sor kerülhet a havonta megjelenő biztonsági frissítéseken keresztül, vagy egy rendkívüli biztonsági frissítés formájában.

Milyen védelmet biztosít a Védett mód az Internet Explorer 7 és az Internet Explorer 8 program a Windows Vista és újabb rendszereken a biztonsági rés ellen?
Az Internet Explorer 7 és az Internet Explorer 8 alkalmazás a Windows Vista rendszerben és későbbi operaációs tendszerekben az Internet biztonsági zónán belül alapértelmezés szerint Védett módban működik. A Védett mód jelentősen csökkenti annak lehetőségét, hogy a támadó adatokat írjon, módosítson vagy semmisítsen meg a felhasználó számítógépén, illetve kártevő kódot telepítsen. Ennek végrehajtása a Windows Vista sértetlenséget biztosító eszközeivel történik, amelyek korlátozzák a magasabb integritású szintű folyamatokhoz, fájlokhoz és rendszerleíró kulcsokhoz való hozzáférést.

Mi az Adatvégrehajtás megakadályozása (DEP) szolgáltatás?
Az Adatvégrehajtás megakadályozása (DEP) az Internet Explorer 8 programban alapértelmezés szerint engedélyezett. A DEP célja, hogy a kódok nem futtathatóként megjelölt memóriában történő futtatásának megakadályozásával meghiúsítsa a támadásokat. Az Internet Explorer alkalmazásban használt DEP szolgáltatásról a további tudnivalókat lásd: http://blogs.msdn.com/ie/archive/2008/04/08/ie8-security-part-I_3A00_-dep-nx-memory-protection.aspx.

  • Nézze át a Microsoft Tudásbázis jelen tanácsadót érintő cikkét.

    Azon ügyfelek, akiket bővebben érdekelnek az ATL.hibák, nézzék át a Microsoft Tudásbázis 973882 sz. cikkét.
  • Alkalmazza az MS09-034 és MS09-035 biztonsági közleményekhez kapcsolódó frissítéseket

    Az érintett rendszerrel rendelkező ügyfelek letölthetik a frissítéseket a Microsoft Tudásbázis 969706. számú és Microsoft Tudásbázis 972260. számú cikkeiből. Az Internet Explorer frissítése új javításokat tartalmaz, amelyek megakadályozzák az érintett ActiveX-vezérlők létrejöttét az Internet Explorer 7 és 8 programokban. A Visual Studio frissítés segítségével a fejlesztők olyan ActiveX-vezérlőket hozhatnak létre, amelyeket nem érinti a biztonsági rés.
  • A számítógép védelme

    Arra ösztönözzük ügyfeleinket, hogy kövessék A számítógép védelme útmutatásait a tűzfal használatával kapcsolatban, töltsék le a szoftverfrissítéseket és telepítsenek víruskereső szoftvereket. Ügyfeleink többet is megtudhatnak ezekről a lépésekről, ha meglátogatják az A számítógép védelme webhelyet.
  • A biztonságos internetezésről a Microsoft biztonsági honlapján található további információ.
  • Tartsa naprakészen Windows rendszerét

    A lehetséges legnagyobb biztonság érdekében a Windows minden felhasználójának a Microsoft legújabb biztonsági frissítéseit kell használnia. Ha nem biztos abban, hogy szoftvere naprakész-e, látogasson el a Windows Update webhelyre, ellenőrizze számítógépén az elérhető frissítéseket, és telepítse a felkínált magas prioritású frissítéseket. Ha engedélyezte az Automatikus frissítés funkciót, már a nyilvánosságra hozatal időpontjában hozzájuthat a frissítésekhez, csak telepítenie kell őket.

Lehetséges megoldások

A Microsoft az alábbi megoldásokat tesztelte. Jóllehet ezek a megoldások magát a biztonsági rést nem szüntetik meg, segítenek kivédeni az ismert támadási módszereket. Ha egy megoldási javaslat csökkenti a funkcionalitást, azt a következő fejezetben jelezzük.

Állítsa az internet és helyi intranet biztonsági zóna beállítását „Magas” szintre, ha figyelmeztetést kíván megjeleníteni az ActiveX-vezérlők és az aktív parancsfájlok futtatása előtt ezekben a zónákban

E biztonsági rés elleni védekezésként módosítsa az Internet biztonsági zóna beállításait úgy, hogy a program az ActiveX vezérlők és az aktív parancsfájlok futtatása előtt kérdést jelenítsen meg. Ezt megteheti a böngésző biztonsági beállításának Magas szintre állításával.

A böngészés biztonsági szintjének emelése a Microsoft Internet Explorer esetében:

  1. Az Internet Explorer Eszközök menüjében kattintson az Internetbeállítások pontra.
  2. Az Internet-beállítások párbeszédpanelen kattintson a Biztonság lapra, majd kattintson az Internet ikonra.
  3. A zóna biztonsági szintje részben mozgassa a csúszkát a Magas állásba. Ezzel minden meglátogatandó honlap esetében magas biztonsági szinttel böngészhet.

Megjegyzés: Ha nem látható a csúszka, kattintson az Alapértelmezett szint gombra, majd tolja a csúszkát Magas állásba.

Megjegyzés: Magas biztonsági szint mellett bizonyos honlapok nem működnek megfelelően. Ha problémákat tapasztal egy honlap használatában a beállítás megváltoztatását követően, és biztos abban, hogy az adott honlap biztonságos, felveheti azt a megbízható helyek listájára. Ezt követően a honlap Magas biztonsági szint beállítás mellett is megfelelően fog működni.

A megoldás hatása: Az ActiveX-vezérlők és az Active Scripting futtatását megelőző kérdésnek járulékos hatásai is vannak, hiszen az interneten vagy az intraneten működő számos webhely ActiveX-vagy Active Scripting eljárással nyújt további szolgáltatásokat. Az on-line elektronikus kereskedelmet bonyolító vagy elektronikus banki szolgáltatásokat nyújtó webhelyek például ActiveX vezérlőkkel jeleníthetik meg a menüket, a rendelési űrlapokat, de akár még a számlakivonatokat is. Az ActiveX-vezérlők vagy Active Scripting futtatását megelőző kérdés beállítása az összes internetes és intranetes webhely működésére kiható, globális érvényű beállítás. Amelynek engedélyezése esetén a program gyakran meg fogja jeleníteni a vonatkozó kérdést. Ha úgy véli, hogy a szóban forgó webhely megbízható, a megjelenő párbeszédpanel Igen gombjára kattintva engedélyezheti az ActiveX vezérlők vagy az Active Scripting futtatását. Ha nem szeretne minden ilyen helyről figyelmeztetést, kövesse a „Adja hozzá a megbízható webhelyeket az Internet Explorer Megbízható helyek zónájához” részben leírt pontokat.

Adja hozzá a megbízható webhelyeket az Internet Explorer Megbízható helyek zónájához

Miután beállította az Internet Explorer programot, és az kérdést tesz fel az ActiveX-vezérlők és az aktív parancsfájlok Internet és Helyi intranet zónában történő futtatása előtt, a megbízhatónak ítélt webhelyeket felveheti a böngésző Megbízható helyek nevű listájára. Ezzel a megoldással az eddigiekkel megegyező módon használhatja a megbízható webhelyeket, és a nem megbízható webhelyek általi támadások is elkerülhetők. A Microsoft kizárólag a megbízható helyek felvételét ajánlja a listára.

Ehhez hajtsa végre a következő műveletsort:

  1. Kattintson az Internet Explorer Eszközök menüjének Internetbeállítások parancsára, majd a Biztonság fülre.
  2. A Jelöljön ki egy tartalomzónát, majd állítsa be a biztonsági szintjét mezőben jelölje ki a Megbízható helyek ikont, majd kattintson a Helyek gombra.
  3. Ha titkosított csatornát nem igénylő webhelyeket kíván felvenni, törölje a jelölést a Kiszolgáló-ellenőrzés (https:) megkövetelése az egész zónában jelölőnégyzetből.
  4. Írja be a megbízható webhely URL-címét a Webhely hozzáadása a zónához mezőbe, majd kattintson a Hozzáadás gombra.
  5. Ismételje meg ezeket a lépéseket valamennyi, hozzáadni kívánt webhely esetén.
  6. A változtatások jóváhagyásához és a böngészőbe való visszatéréshez kattintson kétszer az OK gombra.

Megjegyzés Vegyen fel a listára minden olyan webhelyet, amelyről biztosan tudja, hogy nem jelent veszélyforrást. Két oldal hozzáadását fokozottan javasoljuk, ezek:*.windowsupdate.microsoft.com és *.update.microsoft.com. Ezeken az oldalakon található ugyanis a frissítés, amelynek telepítéséhez szükség van az ActiveX-vezérlőre.

Állítsa be az Internet Explorer programot, hogy jelezzen az aktív parancsfájlok futtatása előtt, vagy tiltsa le azt az internet és a helyi intranet biztonsági zónában.

A biztonsági rés elleni védekezésként módosítsa az Internet Explorer program internet és helyi intranet biztonsági zóna beállításait úgy, hogy a program az Active Scripting futtatása előtt kérdést jelenítsen meg, vagy tiltsa le az Active Scripting funkciót. Ehhez hajtsa végre a következő műveletsort.

  1. Az Internet Explorer programban kattintson az Eszközök menü Internetbeállítások parancsára.
  2. Kattintson a Biztonság fülre.
  3. Jelölje ki az Internet ikont, majd kattintson az Egyéni szint gombra.
  4. A Beállítások Parancsfájlkezelés csoport Aktív parancsfájlok futtatása alcsoportjában jelölje be a Kérdés vagy Letiltás választógombot, majd kattintson az OK gombra.
  5. Jelölje ki a Helyi intranet ikont, majd kattintson az Egyéni szint gombra.
  6. A Beállítások Parancsfájlkezelés csoport Aktív parancsfájlok futtatása alcsoportjában jelölje be a Kérdés vagy Letiltás választógombot, majd kattintson az OK gombra.
  7. Kétszer az OK gombra kattintva térjen vissza az Internet Explorer programba.

Megjegyzés: Az Active Scripting letiltása az internet és helyi intranet biztonsági zónában azt okozhatja, hogy egyes weboldalak nem működnek megfelelően. Ha problémákat tapasztal egy honlap használatában a beállítás megváltoztatását követően, és biztos abban, hogy az adott honlap biztonságos, felveheti azt a megbízható helyek listájára. Ezáltal a weboldal ismét megfelelően működik.

A megoldás hatása: Az Active scripting futtatását megelőző kérdésnek járulékos hatásai is vannak. hiszen az interneten vagy az intraneten működő számos webhely parancsfájlkezeléssel nyújt további szolgáltatásokat. Az on-line elektronikus kereskedelmet bonyolító vagy elektronikus banki szolgáltatásokat nyújtó webhelyek például Active Scripting funkcióval jeleníthetik meg a menüket, a rendelési űrlapokat, de akár még a számlakivonatokat is. Az Active Scripting megelőző kérdés beállítása az összes internetes és intranetes webhely működésére kiható, globális érvényű beállítás. Amelynek engedélyezése esetén a program gyakran meg fogja jeleníteni a vonatkozó kérdést. Ha úgy véli, hogy a szóban forgó webhely megbízható, a megjelenő párbeszédpanel Igen gombjára kattintva engedélyezheti az Parancsfájlkezelés futtatását. Ha nem szeretne minden ilyen helyről figyelmeztetést, kövesse az „Adja hozzá a megbízható webhelyeket az Internet Explorer Megbízható helyek zónájához” részben leírt pontokat.

Adja hozzá a megbízható webhelyeket az Internet Explorer Megbízható helyek zónájához

Miután beállította az Internet Explorer programot, és az kérdést tesz fel az ActiveX-vezérlők és az aktív parancsfájlok Internet és Helyi intranet zónában történő futtatása előtt, a megbízhatónak ítélt webhelyeket felveheti a böngésző Megbízható helyek nevű listájára. Ezzel a megoldással az eddigiekkel megegyező módon használhatja a megbízható webhelyeket, és a nem megbízható webhelyek általi támadások is elkerülhetők. A Microsoft kizárólag a megbízható helyek felvételét ajánlja a listára.

Ehhez hajtsa végre a következő műveletsort:

  1. Kattintson az Internet Explorer Eszközök menüjének Internetbeállítások parancsára, majd a Biztonság fülre.
  2. A Jelöljön ki egy tartalomzónát, majd állítsa be a biztonsági szintjét mezőben jelölje ki a Megbízható helyek ikont, majd kattintson a Helyek gombra.
  3. Ha titkosított csatornát nem igénylő webhelyeket kíván felvenni, törölje a jelölést a Kiszolgáló-ellenőrzés (https:) megkövetelése az egész zónában jelölőnégyzetből.
  4. Írja be a megbízható webhely URL-címét a Webhely hozzáadása a zónához mezőbe, majd kattintson a Hozzáadás gombra.
  5. Ismételje meg ezeket a lépéseket valamennyi, hozzáadni kívánt webhely esetén.
  6. A változtatások jóváhagyásához és a böngészőbe való visszatéréshez kattintson kétszer az OK gombra.

Megjegyzés Vegyen fel a listára minden olyan webhelyet, amelyről biztosan tudja, hogy nem jelent veszélyforrást. Két oldal hozzáadását fokozottan javasoljuk, ezek:*.windowsupdate.microsoft.com és *.update.microsoft.com. Ezeken az oldalakon található ugyanis a frissítés, amelynek telepítéséhez szükség van az ActiveX-vezérlőre.

Egyéb információ

További tudnivalók:

Felelősséget kizáró nyilatkozat:

A jelen tanácsadó tartalmáért a Microsoft nem vállal garanciát. A Microsoft egyben elhárít minden kifejezett és értelemszerű garanciát, beleértve az eladhatóságra és az adott célra való alkalmasságra vonatkozó garanciát is. A Microsoft Corporation vagy annak szállítói semmilyen körülmények között nem tehetők felelőssé közvetlen, közvetett, eseti, ok-okozati vagy különleges kárért (beleértve az elmaradt hasznot is), még akkor sem, ha a Microsoft Corporation vagy szállítói tudatában voltak a kár lehetséges voltának. Egyes államok törvényi szabályozása nem teszi lehetővé a véletlen vagy ok-okozati károkért vállalt felelősség korlátozását vagy kizárását, így ezekben az államokban az ez a felelősségkizárás nincs érvényben.

Verziók:

  • 1.0 verzió (2009. július 28.): Tanácsadó közzététele.
  • 2.0 verzió (2009. augusztus 11.): Kiegészített tanácsadó közlemény az ATL-hez kapcsolódó Frissítések kiegészítésére, amely tájékoztat a Microsoft MS09-037 számú, „A Microsoft Active Template Library (ATL) biztonsági rései távolról történő programkódfuttatást tehetnek lehetővé” című biztonsági közleményének kiadásáról és a Microsoft MS09-035 számú, „A Visual Studio Active Template Library biztonsági rései távolról történő programkódfuttatást tehetnek lehetővé” című biztonsági közleményének újrakiadásáról.
  • 3.0 verzió (2009. augusztus 25.): Tanácsadó módosítás a Windows Live Messenger 14.0.8089 kiadására vonatkozó részletek bemutatására és Windows Live Hotmail "Fénykép csatolása" funkció eltávolításának leírására.
  • 4.0 verzió (2009. október 13.): Kiegészített tanácsadó közlemény az ATL-hez kapcsolódó Frissítések kiegészítésére, amely tájékoztat a Microsoft MS09-060 számú, „A Microsoft Active Template Library (ATL) biztonsági rései távolról történő programkódfuttatást tehetnek lehetővé” című biztonsági közleményének kiadásáról.

Built at 2014-04-18T01:50:00Z-07:00

Megjelenítés: