Microsofts sikkerhetsveiledning 955179

Et sikkerhetsproblem i ActiveX-kontrollen for Snapshot Viewer for Microsoft Access kan tillate ekstern kjøring av kode

Publisert: 7. juli 2008

Microsoft undersøker aktive, målrettede angrep som utnytter et potensielt sikkerhetsproblem i ActiveX-kontrollen for Snapshot Viewer for Microsoft Access. En angriper kan utnytte dette sikkerhetsproblemet ved å opprette en spesiallaget webside. Når en bruker viser websiden, kan sikkerhetsproblemet tillate ekstern kjøring av kode. En angriper som klarer å utnytte dette sikkerhetsproblemet, kan oppnå samme brukerrettigheter som den påloggede brukeren.

Med ActiveX-kontrollen for Snapshot Viewer for Microsoft Access kan du vise et øyeblikksbilde av en Access-rapport uten standard- eller kjøretidsversjoner av Microsoft Office Access. Sikkerhetsproblemet berører bare ActiveX-kontrollen for Snapshot Viewer for Microsoft Office Access 2000, Microsoft Office Access 2002 og Microsoft Office Access 2003.

ActiveX-kontrollen leveres med alle støttede versjoner av Microsoft Office Access, med unntak av Microsoft Office Access 2007. ActiveX-kontrollen leveres også med en frittstående Snapshot Viewer.

Begrensende faktorer

  • I et webbasert angrepsscenario kan angriperen være vert for et webområde som inneholder en webside som brukes til å utnytte dette sikkerhetsproblemet. I tillegg kan utsatte webområder og webområder som godtar eller er vert for innhold eller reklame fra brukere, inneholde spesiallaget innhold som kan utnytte dette sikkerhetsproblemet. Angriperen må overbevise brukere til å gå til webområdet, for eksempel ved å få dem til å klikke en kobling i en e-post eller direktemelding som fører dem til angriperens webområde.
  • En angriper som klarer å utnytte dette sikkerhetsproblemet, kan oppnå samme brukerrettigheter som den lokale brukeren. Brukere med kontoer som er konfigurert med få brukerrettigheter på systemet, er mindre utsatt enn brukere som har administrative rettigheter.
  • Som standard kjører Internet Explorer på Windows Server 2003, og Windows Server 2008 kjører i en begrenset modus, kjent som Utvidet sikkerhetskonfigurasjon. Denne modusen setter sikkerhetsnivået for Internett-sonen til Høy. Dette er en begrensende faktor for webområder som du ikke har lagt til i sonen Klarerte områder i Internet Explorer.

Generell informasjon

Oversikt

Målet med veiledningen: Varsel om aktive, målrettede angrep som berører ActiveX-kontrollen for Snapshot Viewer for Microsoft Office Access 2000, Microsoft Office Access 2002 og Microsoft Office Access 2003.

Status for veiledningen: Veiledning publisert

Anbefaling: Les gjennom de foreslåtte handlingene og konfigurer etter behov.

Referanser Identifisering
CERT-referanse VU#837785
CVE-referanse CVE-2008-2463

Denne veiledningen gjelder følgende programvare.

Berørt programvare
Snapshot Viewer for Microsoft Access
Microsoft Office Access 2000
Microsoft Office Access 2002
Microsoft Office Access 2003

Vanlige spørsmål

Hva behandles i veiledningen?
Microsoft er oppmerksom på en ny rapport om et sikkerhetsproblem som berører ActiveX-kontrollen for Snapshot Viewer for Microsoft Access. Det berører programvaren som vises på listen i delen Oversikt.

Er dette et sikkerhetsproblem som krever at Microsoft gir ut en sikkerhetsoppdatering?
Microsoft iverksetter nødvendige handlinger for å beskytte kundene våre. Det kan være å tilby en sikkerhetsoppdatering gjennom den månedlige utgivelsesprosessen, en sikkerhetsoppdatering utenom syklusen eller ytterligere hjelp, slik at kundene kan beskytte seg selv.

Hva forårsaker denne truselen?
Denne trusselen er forårsaket av et sikkerhetsproblem i ActiveX-kontrollen for Snapshot Viewer. Et spesiallaget webområde som er utformet for å utnytte ActiveX-kontrollen via Internet Explorer, kan tillate ekstern kjøring av kode. Dette kan også omfatte webområder som er rammet, og webområder som godtar eller er vert for innhold eller reklamer som er gitt av brukere. Disse webområdene kan inneholde spesiallaget innhold som kan utnytte dette sikkerhetsproblemet. Men en angriper kan ikke i noen tilfeller tvinge brukere til å gå til disse webområdene. I stedet må angriperen overbevise brukere om å gå til webområdet, for eksempel ved å få dem til å klikke en kobling i en e-post eller direktemelding som fører dem til angriperens webområde. Det kan også være mulig å vise spesiallaget webinnhold ved å bruke bannerannonser, eller ved å bruke andre metoder for å levere webinnhold på berørte systemer.

Hva er Snapshot Viewer for Microsoft Access?
Med Snapshot Viewer kan du vise et øyeblikksbilde av en Access-rapport uten standard- eller kjøretidsversjoner av Microsoft Office Access.

Hva er en kill bit?
Dette er en sikkerhetsfunksjon i Microsoft Internet Explorer som gjør at en ActiveX-kontroll aldri blir lastet inn av motoren for HTML-gjengivelse i Internet Explorer. Funksjonen aktiveres ved å angi en innstilling i registeret, og dette omtales gjerne som å angi kill bit. Når kill bit er angitt, vil kontrollen aldri bli lastet – selv om den er fullstendig installert. Ved å angi kill bit er du sikker på at selv om en sårbar komponent innføres eller gjeninnføres i et system, er den inaktiv og kan ikke utrette noen skade.

Du finner mer informasjon om kill bit i Microsoft Knowledge Base-artikkel 240797: Slik hindrer du en ActiveX-kontroll i å kjøres i Internet Explorer.

Skal jeg angi kill bit hvis jeg ikke har installert kontrollen?
Ja. Ved å angi kill bit hindrer du den sårbare kontrollen i å kjøre i Internet Explorer.

Hvordan vet jeg om kontrollen er installert?
Én eller flere av følgende registernøkler vil bli angitt:

HKEY_CLASSES_ROOT\CLSID\{F0E42D50-368C-11D0-AD81-00A0C90DC8D9}

HKEY_CLASSES_ROOT\CLSID\{F0E42D60-368C-11D0-AD81-00A0C90DC8D9}

HKEY_CLASSES_ROOT\CLSID\{F2175210-368C-11D0-AD81-00A0C90DC8D9}

Forslag til tiltak

Løsninger

Microsoft har testet de midlertidige løsningene nedenfor. Disse midlertidige løsningene blokkerer kjente angrepsvektorer, men de løser ikke det underliggende sikkerhetsproblemet. Hvis en løsning reduserer funksjonaliteten, er dette angitt i oppføringen.

  • Hindre kjøring av COM-objekter i Internet Explorer

    Du kan deaktivere forsøk på å bruke et COM-objekt i Internet Explorer ved å angi kill bit for kontrollen i registeret.

    Advarsel! Hvis du bruker Registerredigering feil, kan det forårsake alvorlige problemer som gjør at du må installere operativsystemet på nytt. Microsoft kan ikke garantere at du kan løse problemer som følge av feil bruk av Registerredigering. Bruk Registerredigering på egen risiko.

    Hvis du vil ha informasjon om hvordan du hindrer en kontroll i å kjøre i Internet Explorer, kan du se Microsoft Knowledge Base-artikkel 240797. Denne artikkelen beskriver også hvordan du oppretter en kompatibilitetsflaggverdi i registret for å hindre et COM-objekt i å starte Internet Explorer.

    Lim inn teksten nedenfor i et tekstredigeringsprogram, for eksempel Notisblokk. Lagre deretter filen med filtypen REG.

    Windows Registry Editor Version 5.00
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{F0E42D50-368C-11D0-AD81-00A0C90DC8D9}]
    "Compatibility Flags"=dword:00000400

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{F0E42D60-368C-11D0-AD81-00A0C90DC8D9}]
    "Compatibility Flags"=dword:00000400

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{F2175210-368C-11D0-AD81-00A0C90DC8D9}]
    "Compatibility Flags"=dword:00000400

    Du kan bruke denne REG-filen på enkeltsystemer ved å dobbeltklikke på den. Du kan også bruke den på tvers av domener ved å bruke gruppepolicy. Hvis du vil ha mer informasjon om gruppepolicy, kan du gå til følgende Microsoft-webområder:

    Obs! Du må starte Internet Explorer for at endringene skal tre i kraft.

    Hva løsningen kan føre til: ActiveX-kontrollen starter ikke lenger Internet Explorer. Kunder som bruker denne kontrollen til å vise et øyeblikksbilde av en rapport uten å ha standard- eller kjøretidsversjonene av Microsoft Office Access 97 installert via Microsoft Office Access 2007, får kanskje ikke vist rapporten hvis ActiveX-kontrollen for Snapshot Viewer brukes via Internet Explorer.

  • Konfigurer Internet Explorer slik at du får spørsmål om du vil kjøre Aktiv skripting, eller slik at Aktiv skripting deaktiveres i sikkerhetssonene Internett og Lokalt intranett

    Du kan beskytte deg mot at dette sikkerhetsproblemet utnyttes ved å endre innstillingene slik at du kan bekrefte om du vil at Aktiv skripting skal kjøres, eller du kan deaktivere Aktiv skripting i sikkerhetssonene Internett og Lokalt intranett. Det gjør du ved å følge denne fremgangsmåten:

    1. I Internet Explorer klikker du Alternativer for InternettVerktøy-menyen.
    2. Klikk kategorien Sikkerhet.
    3. Klikk Internett og deretter Egendefinert nivå.
    4. Under Innstillinger blar du til delen Aktiv skripting under Skript og klikker Spør eller Deaktiver, og deretter klikker du OK.
    5. Klikk Lokalt intranett og deretter Egendefinert nivå.
    6. Under Innstillinger blar du til delen Aktiv skripting under Skript og klikker Spør eller Deaktiver, og deretter klikker du OK.
    7. Klikk OK to ganger for å gå tilbake til Internet Explorer.

    Obs! Deaktivering av Aktiv skripting i sikkerhetssonene Internett og Lokalt intranett kan føre til at noen webområder ikke fungerer som de skal. Hvis du har problemer med å bruke et webområde etter at du har endret denne innstillingen, og du er sikker på at webområdet er trygt å bruke, kan du legge til webområdet på listen over klarerte områder. Det gjør at webområdet fungerer slik det skal.

    Legg til webområder som du stoler på, i sonen Klarerte områder i Internet Explorer

    Når du har angitt i Internet Explorer at det skal spørres før ActiveX-kontroller og aktiv skripting kjøres i sonene Internett og Lokalt intranett, kan du legge til områder du stoler på, i sonen Klarerte områder i Internet Explorer. På den måten kan du fortsette å bruke klarerte webområder nøyaktig slik du gjør nå, samtidig som du beskytter deg mot angrep på uklarerte områder. Vi anbefaler at du bare legger til områder du stoler på, i sonen Klarerte områder.

    Det gjør du ved å følge denne fremgangsmåten:

    1. I Internet Explorer klikker du Verktøy-menyen, Alternativer for Internett og deretter kategorien Sikkerhet.
    2. I boksen Velg en sone for Web-innhold for å angi sikkerhetsinnstillingene klikker du Klarerte områder og deretter Områder.
    3. Hvis du vil legge til områder som ikke krever en kryptert kanal, fjerner du merket for Krev servergodkjenning (https:) for alle områder i denne sonen.
    4. Skriv inn URL-adressen til et område du stoler på, i boksen Legg til dette Web-området i sonen, og klikk deretter Legg til.
    5. Gjenta disse trinnene for hvert område du vil legge til i sonen.
    6. Klikk OK to ganger for å godta endringene og gå tilbake til Internet Explorer.

    Obs! Legg til områdene du vet ikke vil utføre skadelige handlinger på datamaskinen. To bestemte områder du kanskje vil legge til, er *.windowsupdate.microsoft.com og *.update.microsoft.com. Dette er områder som er verter for oppdateringen, og det kreves en ActiveX-kontroll for å installere oppdateringen.

    Hva løsningen kan føre til: Det finnes bivirkninger ved å spørre før Aktiv skripting kjøres. Mange webområder på Internett eller et intranett bruker aktiv skripting for å tilby ekstra funksjonalitet. Et webområde for e-handel eller banktjenester kan for eksempel bruke Aktiv skripting til å tilby menyer, bestillingsskjemaer eller kontoutskrifter. Det å spørre før Aktiv skripting kjøres, er en global innstilling som berører alle Internett- og intranettområder. Du vil ofte få spørsmål når du aktiverer denne midlertidige løsningen. Klikk Ja for å kjøre aktiv skripting hver gang du blir spurt og mener du stoler på området du besøker. Hvis du ikke vil bli spurt for alle disse webområdene, følger du fremgangsmåten under "Legg til områder som du stoler på, i sonen Klarerte områder i Internet Explorer".

  • Angi Høy som sikkerhetsinnstilling for sonene Internett og Lokalt intranett hvis du vil bekrefte før det utføres kjøring av ActiveX-kontroller og Aktiv skripting i disse sonene

    Du kan beskytte deg mot at dette sikkerhetsproblemet utnyttes ved å endre innstillingene for sikkerhetssonen Internett, slik at du kan bekrefte om du vil at ActiveX-kontroller og aktiv skripting skal kjøres. Du kan gjøre det ved å angi Høy for sikkerhetsinnstillingen i nettleseren.

    Du hever sikkerhetsnivået i Internet Explorer ved å følge disse trinnene:

    1. Klikk Verktøy i Internett Explorer, og velg Alternativer for Internett.
    2. I dialogboksen Alternativer for Internett klikker du kategorien Sikkerhet og deretter Internett-ikonet.
    3. Under Sikkerhetsnivå for denne sonen flytter du glidebryteren til Høy. Dette setter sikkerhetsnivået for alle webområder du besøker, til Høy.

    Obs! Hvis du ikke ser noen glidebryter, klikker du Standardnivå og flytter deretter glidebryteren til Høy.

    Obs! Når du angir Høy, er det ikke sikkert at alle webområder fungerer slik de skal. Hvis du har problemer med å bruke et webområde etter at du har endret denne innstillingen, og du er sikker på at webområdet er trygt å bruke, kan du legge til webområdet på listen over klarerte områder. Det gjør at webområdet fungerer slik det skal, selv om du har Høy som sikkerhetsinnstilling.

    Legg til webområder som du stoler på, i sonen Klarerte områder i Internet Explorer

    Når du har angitt i Internet Explorer at det skal spørres før ActiveX-kontroller og aktiv skripting kjøres i sonene Internett og Lokalt intranett, kan du legge til områder du stoler på, i sonen Klarerte områder i Internet Explorer. På den måten kan du fortsette å bruke klarerte webområder nøyaktig slik du gjør nå, samtidig som du beskytter deg mot angrep på uklarerte områder. Vi anbefaler at du bare legger til områder du stoler på, i sonen Klarerte områder.

    Det gjør du ved å følge denne fremgangsmåten:

    1. I Internet Explorer klikker du Verktøy-menyen, Alternativer for Internett og deretter kategorien Sikkerhet.
    2. I boksen Velg en sone for webinnhold for å angi sikkerhetsinnstillingene klikker du Klarerte områder og deretter Områder
    3. Hvis du vil legge til områder som ikke krever en kryptert kanal, fjerner du merket for Krev servergodkjenning (https:) for alle områder i denne sonen.
    4. Skriv inn URL-adressen til et område du stoler på, i boksen Legg til dette Web-området i sonen, og klikk deretter Legg til.
    5. Gjenta disse trinnene for hvert område du vil legge til i sonen.
    6. Klikk OK to ganger for å godta endringene og gå tilbake til Internet Explorer.

    Obs! Legg til områdene du vet ikke vil utføre skadelige handlinger på datamaskinen. To bestemte områder du kanskje vil legge til, er *.windowsupdate.microsoft.com og *.update.microsoft.com. Dette er områder som er verter for oppdateringen, og det kreves en ActiveX-kontroll for å installere oppdateringen.

    Hva løsningen kan føre til: Det finnes bivirkninger ved å spørre før kjøring av ActiveX-kontroller og Aktiv skripting. Mange webområder på Internett eller et intranett bruker ActiveX eller aktiv skripting for å tilby ekstra funksjonalitet. Et webområde for e-handel eller banktjenester kan for eksempel bruke ActiveX-kontroller til å tilby menyer, bestillingsskjemaer eller kontoutskrifter. Det å spørre før kjøring av ActiveX-kontroller eller Aktiv skripting er en global innstilling som berører alle Internett- og intranettområder. Du vil ofte få spørsmål når du aktiverer denne midlertidige løsningen. Klikk Ja til å kjøre ActiveX-kontroller eller Aktiv skripting hver gang du blir spurt og mener du stoler på området du besøker. Hvis du ikke vil bli spurt for alle disse webområdene, følger du fremgangsmåten under "Legg til områder som du stoler på, i sonen Klarerte områder i Internet Explorer".

Annen informasjon

Ressurser:

Ansvarsfraskrivelse:

Informasjonen i denne veiledningen tilbys som den er, uten noen form for garanti. Microsoft fraskriver seg ethvert ansvar, enten direkte eller indirekte, herunder garantier om salgbarhet og anvendelighet for særskilte formål. Microsoft Corporation eller dets leverandører skal ikke under noen omstendigheter holdes ansvarlig for noen skader eller tap herunder direkte, indirekte eller tilfeldige skader eller tap, konsekvenstap, tap av inntekter eller spesielle skader, også i tilfeller der Microsoft Corporation eller dets leverandører er underrettet om muligheten for slike skader eller tap. Ettersom enkelte land ikke tillater fraskrivelse eller begrensning av ansvar for følgeskade eller tilfeldig skade, kan det hende at ovennevnte begrensning ikke gjelder.

Revisjoner:

  • 7. juli 2008: Veiledning publisert

Built at 2014-04-18T01:50:00Z-07:00