Microsofts sikkerhetsveiledning 2719615

Sikkerhetsproblem i Microsoft XML Core Services kan tillate ekstern kjøring av kode

Publisert: 12. juni 2012

Versjon: 1.0

Generell informasjon

Kortfattet sammendrag

Microsoft kjenner til aktive angrep som utnytter et sikkerhetsproblem i Microsoft XML Core Services 3.0, 4.0, 5.0, og 6.0. Sikkerhetsproblemet kan potensielt tillate ekstern kjøring av kode hvis en bruker åpner en spesiallaget webside via Internet Explorer. En angriper kan imidlertid ikke tvinge brukere til å besøke et slikt webområde. I stedet må angriperen lokke brukere til å besøke webområdet, for eksempel ved å få dem til å klikke en kobling i en e-postmelding eller direktemelding som fører dem til angriperens webområde. Sikkerhetsproblemet berører alle støttede versjoner av Microsoft Windows, samt alle støttede versjoner av Microsoft Office 2003 og Microsoft Office 2007.

Sikkerhetsproblemet oppstår når MSXML prøver å få tilgang til et objekt i minnet som ikke er initialisert, noe som kan føre til at minnet blir skadet på en slik måte at en angriper kan kjøre vilkårlig kode i omgivelsene til den påloggede brukeren.

Vi arbeider aktivt med partnere i Microsoft Active Protections Program (MAPP) for å gi informasjon som de kan bruke til å levere mer omfattende beskyttelse til kundene. Hvis du vil ha mer informasjon om beskyttelse fra MAPP-partnere, kan du se MAPP Partners with Updated Protections.

Når undersøkelsene er avsluttet, iverksetter Microsoft de nødvendige handlingene for å beskytte våre kunder. Det kan være å tilby en sikkerhetsoppdatering gjennom den månedlige utgivelsesprosessen eller en sikkerhetsoppdatering utenfor syklusen, avhengig av kundenes behov.

Begrensende faktorer:

• I et webbasert angrepsscenario må angriperen være vert for et webområde som inneholder en spesiallaget webside som brukes til å utnytte dette sikkerhetsproblemet. En angriper kan imidlertid ikke tvinge brukere til å besøke et slikt webområde. I stedet må angriperen lokke brukere til å besøke webområdet, for eksempel ved å få dem til å klikke en kobling i en e-postmelding eller direktemelding som fører dem til angriperens webområde.
• En angriper som klarer å utnytte dette sikkerhetsproblemet, kan oppnå samme brukerrettigheter som den påloggede brukeren. Brukere med kontoer som er konfigurert med få brukerrettigheter på systemet, er mindre utsatt enn brukere som har administrative rettigheter.
• Som standard kjører Internet Explorer på Windows Server 2003, Windows Server 2008 og Windows Server 2008 R2 i en begrenset modus, kjent som Utvidet sikkerhetskonfigurasjon. Denne modusen begrenser dette sikkerhetsproblemet. Les delen Vanlige spørsmål for dette sikkerhetsproblemet hvis du vil ha mer informasjon om Utvidet sikkerhetskonfigurasjon for Internet Explorer.

Anbefaling. En Microsoft Fix it-løsning som blokkerer angrepsvektoren for dette sikkerhetsproblemet, er tilgjengelig. Microsoft anbefaler at kunder som kjører en berørt konfigurasjon, tar i bruk Fix it-løsningen så snart som mulig. Du finner mer informasjon i delen Forslag til tiltak i denne sikkerhetsveiledningen.

Detaljer om veiledningen

Referanser til sikkerhetsproblemet

Hvis du vil ha mer informasjon om dette sikkerhetsproblemet, kan du se følgende referanser:

Berørt programvare

Denne veiledningen gjelder følgende programvare.

Berørt programvare

U b erørt programvare

Vanlige spørsmål

Hva behandles i veiledningen?
Microsoft undersøker rapporter om et sikkerhetsproblem i Microsoft XML Core Services 3.0, 4.0, 5.0, og 6.0. Sikkerhetsproblemet kan potensielt tillate ekstern kjøring av kode hvis en bruker åpner en spesiallaget webside via Internet Explorer. Dette sikkerhetsproblemet berører programvaren som er oppført i delen Berørt programvare.

Hva forårsake r sikkerhets problemet ?
Sikkerhetsproblemet oppstår når MSXML prøver å få tilgang til et objekt i minnet som ikke er initialisert.

Hvordan kan en angriper utnytte dette sikkerhetsproblemet?
En angriper kan være vert for et spesiallaget webområde som er utformet for å utnytte dette sikkerhetsproblemet via Internet Explorer, og kan deretter overbevise en bruker om å gå til webområdet. Dette kan også omfatte webområder som godtar innhold eller reklame fra brukere, webområder som er vert for innhold eller reklame fra brukere, og webområder som har vært utsatt for skadelig kode. Disse webområdene kan inneholde spesiallaget innhold som kan utnytte dette sikkerhetsproblemet. Men en angriper kan ikke i noen tilfeller tvinge brukere til å gå til disse webområdene. I stedet må angriperen lokke brukere til å besøke webområdet, for eksempel ved å få dem til å klikke en kobling i en e-postmelding eller direktemelding som fører dem til angriperens webområde. Det kan også være mulig å vise spesiallaget webinnhold ved å bruke bannerannonser, eller ved å bruke andre metoder for å levere webinnhold på berørte systemer.

Hvordan kan en angriper utnytte sikkerhetsproblemet?
En angriper kan utnytte sikkerhetsproblemet ved å ha et spesiallaget webområde som er konstruert for å sette i gang MSXML gjennom Internet Explorer. Dette kan også omfatte webområder som er rammet, og webområder som godtar eller er vert for innhold eller reklamer som er gitt av brukere. Disse webområdene kan inneholde spesiallaget innhold som kan utnytte dette sikkerhetsproblemet. Men en angriper kan ikke i noen tilfeller tvinge brukere til å gå til disse webområdene. I stedet må angriperen overbevise brukere om å gå til webområdet, for eksempel ved å få dem til å klikke en kobling i en e-post eller direktemelding som fører dem til angriperens webområde. Det kan også være mulig å vise spesiallaget webinnhold ved å bruke bannerannonser, eller ved å bruke andre metoder for å levere webinnhold på berørte systemer.

Hva er Microsoft XML Core Services (MSXML)?
Microsoft XML Core Services (MSXML) gjør det mulig for kunder som bruker JScript, Visual Basic Scripting Edition (VBScript) og Microsoft Visual Studio 6.0, å utvikle XML-baserte programmer som gir interoperabilitet med andre programmer som følger XML 1.0-standarden. Hvis du vil ha mer informasjon, kan du gå til MSXML på webområdet MSDN.

Hvilken versjon av Microsoft XML Core Services er installert på systemet?
Microsoft XML Core Services er inkludert i ekstra ikke-operativsystemprogramvare fra Microsoft og er også tilgjengelig som separate nedlastinger. Hvis du vil ha informasjon om de ulike versjonene av Microsoft XML Core Services som er tilgjengelige, og produktene som installerer dem, kan du se Microsoft Knowledge Base-artikkel 269238.

Hva er Enhanced Mitigation Experience Toolkit v. 3.0 (EMET)? **
**Enhanced Mitigation Experience Toolkit (EMET) er et verktøy som hindrer sikkerhetsproblemer i programvare fra å bli utnyttet. EMET klarer dette ved å bruke teknologier for sikkerhetsløsninger. Disse teknologiene fungerer som spesielle beskyttelsesmekanismer og hindringer som en skadelig forfatter må overvinne for å utnytte sikkerhetsproblemer i programvare. Disse teknologiene for sikkerhetsløsninger kan ikke garantere at sikkerhetsproblemer ikke kan utnyttes, men de kan bidra til at utnytting blir så vanskelig som mulig. I mange tilfeller kan en fungerende utnytting som omgår EMET, aldri bli utviklet. Hvis du vil ha mer informasjon, kan du se Microsoft Knowledge Base-artikkel 2458544.

Forslag til tiltak

Bruk midlertidige løsninger

Midlertidige løsninger viser til en innstilling eller konfigurasjonsendring som ikke løser det underliggende sikkerhetsproblemet, men som hjelper til med å blokkere kjente angrepsvektorer før en sikkerhetsoppdatering er tilgjengelig. Se den neste delen, Midlertidige løsninger, for mer informasjon.

Midlertidige løsninger

Ta i bruk Microsoft Fix it-løsningen som blokkerer angrepsvektoren for dette sikkerhetsproblemet.

Se Microsoft Knowledge Base-artikkel 2719615 for instruksjoner for å ta i bruk en automatisk Microsoft Fix it-løsning som blokkerer angrepsvektoren for sikkerhetsproblemet som behandles i denne veiledningen. Vi anbefaler at administratorer leser KB-artikkelen nøye før distribuering av denne Fix it-løsningen.

Distribuer Enhanced Mitigation Experience Toolkit

Enhanced Mitigation Experience Toolkit (EMET) er et verktøy som hindrer sikkerhetsproblemer i programvare fra å bli utnyttet. Hvis du vil ha mer informasjon, kan du se Microsoft Knowledge Base-artikkel 2458544.

Konfigurer EMET for Internet Explorer fra EMET-brukergrensesnittet

Bruk følgende fremgangsmåte for å legge til iexplore.exe i listen over programmer som bruker EMET:

1. Klikk Start, klikk Alle programmer, klikk Enhanced Mitigation Experience Toolkit, og klikk deretter EMET 3.0.

2. Klikk Ja på forespørselen fra brukerkontrollen, klikk på alternativet for å konfigurere programmer, og velg Legg til.

3. I vinduet som åpnes, navigerer du til programmet som skal konfigureres i EMET.

   For 32-biters installasjoner av Internet Explorer er plasseringen:
   C:\Program Files (x86)\Internet Explorer\iexplore.exe

   Obs! For 32-biters systemer er banen c:\program files\Internet Explorer\iexplore.exe

   For 64-biters installasjoner av Internet Explorer er plasseringen:
   C:\Program Files\Internet Explorer\iexplore.exe

4. Klikk OK og avslutt EMET.

Konfigurer EMET for Internet Explorer fra en kommandolinje

• Kjør følgende fra en hevet ledetekst for 32-biters installasjoner av Internet Explorer:

  C:\Windows\System32>"c:\Program Files\EMET\EMET_Conf.exe"--add "c:\Program Files (x86)\Internet Explorer\iexplore.exe"

  Obs! For 32-biters systemer er banen c:\program files\Internet Explorer\iexplore.exe

• Kjør følgende fra en hevet ledetekst for x64-installasjoner av IE:

  C:\Windows\System32>"c:\Program Files (x86)\EMET\EMET_Conf.exe"--add "c:\Program Files\Internet Explorer\iexplore.exe"

• Følgende melding vises hvis dette var vellykket:

  "The changes you have made may require restarting one or more applications"

• Følgende melding vises hvis programmet allerede er lagt til i EMET:

  Error: "c:\Program Files (x86)\Internet Explorer\iexplore.exe" conflicts with existing entry for "C:\Program Files (x86)\Internet Explorer\iexplore.exe"

Konfigurer Internet Explorer til å spørre deg før Aktiv skripting kjøres, eller deaktiver Aktiv skripting i sikkerhetssonene Internett og Lokalt intranett

Du kan beskytte deg mot dette sikkerhetsproblemet ved å endre innstillingene til å spørre deg før Aktiv skripting kjøres, eller du kan deaktivere Aktiv skripting i sikkerhetssonene Internett og Lokalt intranett. Det gjør du ved å følge denne fremgangsmåten:

1. I Internet Explorer klikker du Alternativer for Internett på Verktøy-menyen.
2. Klikk kategorien Sikkerhet.
3. Klikk Internett og deretter Egendefinert nivå.
4. Under Innstillinger blar du til delen Aktiv skripting under Skript og klikker Spør eller Deaktiver, og deretter klikker du OK.
5. Klikk Lokalt intranett og deretter Egendefinert nivå.
6. Under Innstillinger blar du til delen Aktiv skripting under Skript og klikker Spør eller Deaktiver, og deretter klikker du OK.
7. Klikk OK to ganger for å gå tilbake til Internet Explorer.

Obs! Deaktivering av Aktiv skripting i sikkerhetssonene Internett og Lokalt intranett kan føre til at noen webområder ikke fungerer som de skal. Hvis du har problemer med å bruke et webområde etter at du har endret denne innstillingen, og du er sikker på at webområdet er trygt å bruke, kan du legge til webområdet på listen over klarerte områder. Det gjør at webområdet fungerer slik det skal.

Obs! Når du har angitt i Internet Explorer at du skal spørres før ActiveX-kontroller og/eller Aktiv skripting kjøres i sonene Internett og Lokalt intranett, kan du legge til områder du stoler på, i sonen Klarerte områder i Internet Explorer. På den måten kan du fortsette å bruke klarerte webområder nøyaktig slik du gjør nå, samtidig som du beskytter deg mot angrep på uklarerte områder. Vi anbefaler at du bare legger til områder du stoler på, i sonen Klarerte områder.

Det gjør du ved å følge denne fremgangsmåten:

1. I Internet Explorer klikker du Verktøy-menyen, Alternativer for Internett og deretter kategorien Sikkerhet.
2. I boksen Velg en sone for Web-innhold for å angi sikkerhetsinnstillingene klikker du Klarerte områder og deretter Områder.
3. Hvis du vil legge til områder som ikke krever en kryptert kanal, fjerner du merket for Krev servergodkjenning (https:) for alle områder i denne sonen.
4. Skriv inn URL-adressen til et område du stoler på, i boksen Legg til dette Web-området i sonen, og klikk deretter Legg til.
5. Gjenta disse trinnene for hvert område du vil legge til i sonen.
6. Klikk OK to ganger for å godta endringene og gå tilbake til Internet Explorer.

Obs! Legg til områder du vet ikke vil utføre skadelige handlinger på datamaskinen. Det er to områder det kan være lurt å legge til: *.windowsupdate.microsoft.com og
*.update.microsoft.com. Det er på disse områdene du finner oppdateringen, og det krever bruk av en ActiveX-kontroll for å installere oppdateringen.

Hva løsningen kan føre til: Det finnes bivirkninger ved å spørre før Aktiv skripting kjøres. Mange webområder på Internett eller et intranett bruker aktiv skripting for å tilby ekstra funksjonalitet. Et webområde for e-handel eller banktjenester kan for eksempel bruke Aktiv skripting til å tilby menyer, bestillingsskjemaer eller kontoutskrifter. Det å spørre før Aktiv skripting kjøres, er en global innstilling som berører alle Internett- og intranettområder. Du vil ofte få spørsmål når du aktiverer denne midlertidige løsningen. Klikk Ja for å kjøre aktiv skripting hver gang du blir spurt og mener du stoler på området du besøker. Hvis du ikke vil bli spurt for alle disse webområdene, følger du fremgangsmåten under Legg til områder som du stoler på, i sonen Klarerte områder i Internet Explorer.

Flere forslag til tiltak

• Beskytt din PC

  Vi oppfordrer kunder til å følge våre råd om beskyttelse av datamaskinen og aktivere en brannmur, laste ned programvareoppdateringer og installere antivirusprogramvare. Kunder kan lese mer om dette på webområdet for beskyttelse av datamaskinen.

  Hvis du vil ha mer informasjon om sikkerhet på Internett, kan du se Microsofts sikkerhetssentral.

• Hold Microsoft-programvaren oppdatert

  Brukere med Microsoft-programvare bør bruke de nyeste Microsoft-sikkerhetsoppdateringene for å bidra til at datamaskinene har høyest mulig beskyttelse. Hvis du ikke er sikker på om programvaren er oppdatert, går du til webområdet Microsoft Update, søker etter tilgjengelige oppdateringer for datamaskinen og installerer alle høyt prioriterte oppdateringer som du får tilbud om. Hvis du har automatiske oppdateringer aktivert og konfigurert for å oppdatere Microsoft-produkter, leveres oppdateringene til deg når de utgis, men du bør kontrollere at de installeres.

Annen informasjon

Takk til

Microsoft takker følgende for samarbeidet med å beskytte kundene:

• Google Security Team for samarbeidet i forbindelse med sikkerhetsproblemet med MSXML med feil i ikke-initialisert minne (CVE-2012-1889)
• Qihoo 360 Security Center for rapporten om sikkerhetsproblemet med MSXML med feil i ikke-initialisert minne (CVE-2012-1889)

Microsoft Active Protections Program (MAPP)

For å forbedre sikkerheten for kundene gir Microsoft store leverandører av sikkerhetsprogramvare informasjon om sikkerhetsproblemer før hver månedlige utgivelse av sikkerhetsoppdateringer. Leverandører av sikkerhetsprogramvare kan deretter bruke denne informasjonen om sikkerhetsproblemer til å oppdatere beskyttelsen til kundene via sikkerhetsprogramvaren eller -enhetene deres, som antivirusprogrammer, nettverksbaserte systemer for oppdaging av inntrengere eller vertsbaserte systemer for forhindring av inntrengere. Hvis du vil finne ut om det finnes aktiv beskyttelse tilgjengelig fra leverandører av sikkerhetsprogramvare, kan du gå til webområdene for aktiv beskyttelse fra programpartnerne som er oppført i artikkelen om MAPP-programpartnere (Microsoft Active Protections Program).

Tilbakemelding

• Du kan gi tilbakemelding ved å fylle ut skjemaet for Microsoft Hjelp og støtte, Customer Service Contact Us.

Kundestøtte

• Kunder i USA og Canada kan få kundestøtte hos Security Support. Du finner mer informasjon om tilgjengelige alternativer for støtte ved å gå til Microsoft Hjelp og støtte.
• Internasjonale kunder kan få kundestøtte fra de lokale representasjonskontorene for Microsoft. Hvis du vil ha mer informasjon om hvordan du kontakter Microsoft angående internasjonale kundestøtteproblemer, går du til Internasjonal støtte.
• Microsoft TechNet Security gir ytterligere informasjon om sikkerhet for Microsoft-produkter.

Ansvarsfraskrivelse

Informasjonen i denne veiledningen tilbys som den er, uten noen form for garanti. Microsoft fraskriver seg ethvert ansvar, enten direkte eller indirekte, herunder garantier om salgbarhet og anvendelighet for særskilte formål. Microsoft Corporation eller dets leverandører skal ikke under noen omstendigheter holdes ansvarlig for noen skader eller tap herunder direkte, indirekte eller tilfeldige skader eller tap, konsekvenstap, tap av inntekter eller spesielle skader, også i tilfeller der Microsoft Corporation eller dets leverandører er underrettet om muligheten for slike skader eller tap. Ettersom enkelte land ikke tillater fraskrivelse eller begrensning av ansvar for følgeskade eller tilfeldig skade, kan det hende at ovennevnte begrensning ikke gjelder.

Revisjoner

• V1.0 (12. juni 2012): Veiledning publisert.

Built at 2014-04-18T01:50:00Z-07:00