Microsofts sikkerhetsveiledning 969898
Samleoppdatering for kill bits for ActiveX
Publisert: 9. juni 2009 | Oppdatert: 17. juni 2009
Versjon: 1.1
Microsoft har utgitt et nytt sett med kill bits for ActiveX med denne veiledningen.
Oppdateringen inkluderer en kill bit fra en tidligere utgitt kumulativ oppdatering fra Microsoft:
Oppdateringen inkluderer også kill bits for følgende tredjepartsprogrammer:
- Microgaming. Denne sikkerhetsoppdateringen angir en kill bit for en ActiveX-kontroll som er utviklet av Microgaming. Microgaming har utgitt en sikkerhetsoppdatering som løser et sikkerhetsproblem i den berørte komponenten. Hvis du vil ha mer informasjon og finne nedlastingssteder, kan du se sikkerhetsoppdateringen fra Microgaming. Denne kill bit angis med tillatelse fra eieren av ActiveX-kontrollene. Klasseidentifikatorene for denne ActiveX-kontrollen står oppført i Vanlige spørsmål-delen av denne veiledningen.
- eBay-komponent for avansert bildeopplasting. Denne sikkerhetsoppdateringen angir en kill bit for en ActiveX-kontroll som er utviklet av eBay. eBay har utgitt en sikkerhetsoppdatering som løser et sikkerhetsproblem i den berørte komponenten. Hvis du vil ha mer informasjon og finne nedlastingssteder, kan du se sikkerhetsoppdateringen fra eBay. Denne kill bit angis med tillatelse fra eieren av ActiveX-kontrollene. Klasseidentifikatorene for denne ActiveX-kontrollen står oppført i Vanlige spørsmål-delen av denne veiledningen.
- HP Virtual Room v7.0. Denne sikkerhetsoppdateringen angir en kill bit for en ActiveX-kontroll som er utviklet av Research In Motion (RIM). RIM har utgitt en sikkerhetsoppdatering som løser et sikkerhetsproblem i den berørte komponenten. Hvis du vil ha mer informasjon og finne nedlastingssteder, kan du se sikkerhetsoppdateringen fra HP. Denne kill bit angis med tillatelse fra eieren av ActiveX-kontrollene. Klasseidentifikatorene for denne ActiveX-kontrollen står oppført i Vanlige spørsmål-delen av denne veiledningen.
Du finner mer informasjon om installasjon av denne oppdateringen i Microsoft Knowledge Base-artikkel 969898.
Generell informasjon
Oversikt
Målet med veiledningen: Forhåndsvarsel om at en oppdatering av kill bits for ActiveX er tilgjengelig.
Status for veiledningen: Microsoft Knowledge Base-artikkel og tilhørende oppdatering er utgitt.
Anbefaling: Les Knowledge Base-artikkelen det henvises til, og bruk den riktige oppdateringen.
| Referanser | Identifisering |
|---|---|
| CVE-referanse | CVE-2008-0024 |
| Microsoft Knowledge Base-artikkel | 969898 |
Denne veiledningen gjelder følgende programvare.
| Berørt programvare |
| Microsoft Windows 2000 Service Pack 4 |
| Windows XP Service Pack 2 og Windows XP Service Pack 3 |
| Windows XP Professional x64 Edition Service Pack 2 |
| Windows Server 2003 Service Pack 2 |
| Windows Server 2003 x64 Edition Service Pack 2 |
| Windows Server 2003 SP2 for Itanium-based Systems |
| Windows Vista, Windows Vista Service Pack 1 og Windows Vista Service Pack 2 |
| Windows Vista x64 Edition, Windows Vista x64 Edition Service Pack 1 og Windows Vista x64 Edition Service Pack 2 |
| Windows Server 2008 for 32-biters systemer og Windows Server 2008 for 32-biters systemer med Service Pack 2 |
| Windows Server 2008 for x64-baserte systemer og Windows Server 2008 for x64-baserte systemer med Service Pack 2 |
| Windows Server 2008 for Itanium-based Systems og Windows Server 2008 for Itanium-based Systems med Service Pack 2 |
Vanlige spørsmål
Trenger brukere med en Server Core-installasjon av Windows Server 2008 å installere denne oppdateringen?
Brukere med en Server Core-installasjon av Windows Server 2008 trenger ikke å installere denne oppdateringen Hvis du vil ha mer informasjon om Server Core-installasjonsalternativet, kan du gå til Server Core. Legg merke til at installasjonsalternativet for Server Core ikke gjelder for visse versjoner av Windows Server 2008. Du finner mer informasjon under sammenligningen av installasjonsalternativer for Server Core.
Hvorfor har ikke denne veiledningen en alvorlighetsgrad for sikkerhet?
Denne oppdateringen inneholder en kill bit for en oppdatering som er utgitt tidligere i en Service Pack-oppdatering, i tillegg til kill bits for tredjepartskontroller som ikke eies av Microsoft. Microsoft angir ikke alvorlighetsgraden for Service Pack-oppdateringer eller sikkerhetsproblemer i tredjepartskontroller.
Erstatter denne oppdateringen den kumulative sikkerhetsoppdateringen av kill bits for ActiveX (950760)?
Nei, når det gjelder automatiske oppdateringer erstatter ikke denne oppdateringen den kumulative sikkerhetsoppdateringen av kill bits for ActiveX (950760) som beskrives i Microsofts sikkerhetsbulletin MS08-032. Automatiske oppdateringer tilbyr fortsatt MS08-032-oppdateringen til kundene uavhengig av om de har installert denne oppdateringen eller ikke (969898). Kunder som installerer denne oppdateringen (969898), trenger imidlertid ikke å installere MS08-032-oppdateringen for å være beskyttet med alle kill bits-settene i MS08-032.
Hvorfor utgir Microsoft denne samleoppdateringen av kill bits for ActiveX i en sikkerhetsveiledning når tidligere kill bit-oppdateringer ble utgitt i en sikkerhetsbulletin?
Microsoft utgir denne samleoppdateringen for kill bits for ActiveX i en sikkerhetsveiledning fordi de nye kill bits enten ikke berører Microsoft-programvare eller tidligere har blitt angitt i en programvareoppdatering fra Microsoft.
Inneholder denne oppdateringen kill bits som er utgitt tidligere i en samleoppdatering av kill bits for ActiveX?
Ja, denne oppdateringen inkluderer også kill bits som angitt tidligere i Microsofts sikkerhetsveiledning 960715.
Inneholder denne oppdateringen kill bits som er utgitt i en tidligere sikkerhetsoppdatering for Internet Explorer?
Nei, denne oppdateringen inneholder ikke kill bits som er utgitt i en tidligere sikkerhetsoppdatering for Internet Explorer. Vi anbefaler at du installerer den siste kumulative sikkerhetsoppdateringen for Internet Explorer.
Hva er en kill bit?
Dette er en sikkerhetsfunksjon i Microsoft Internet Explorer som gjør at en ActiveX-kontroll aldri blir lastet inn av motoren for HTML-gjengivelse i Internet Explorer. Funksjonen aktiveres ved å angi en innstilling i registeret, og dette omtales gjerne som å angi kill bit. Når kill bit er angitt, vil kontrollen aldri bli lastet – selv om den er fullstendig installert. Ved å angi kill bit er du sikker på at selv om en sårbar komponent innføres eller gjeninnføres i et system, er den inaktiv og kan ikke utrette noen skade.
Du finner mer informasjon i Microsoft Knowledge Base-artikkel 240797. Slik hindrer du en ActiveX-kontroll i å kjøres i Internet Explorer.
Hva er en sikkerhetsoppdatering av kill bits for ActiveX?
Denne sikkerhetsoppdateringen inneholder bare klasseidentifikatorene (CLSID) til bestemte ActiveX-kontroller som denne sikkerhetsoppdateringen bygger på.
Hvorfor inneholder ikke denne oppdateringen binærfiler?
Denne oppdateringen foretar bare endringer i registeret for å deaktivere kontrollen slik at den ikke starter i Internet Explorer.
Bør jeg installere denne oppdateringen hvis jeg ikke har den berørte programvarekomponenten installert eller bruker den berørte plattformen?
Ja. Ved å installere denne oppdateringen hindrer du den sårbare kontrollen i å kjøre i Internet Explorer.
Må jeg oppdatere på nytt hvis jeg på et senere tidspunkt installerer en ActiveX-kontroll som omtales i denne sikkerhetsoppdateringen?
Nei. Du trenger ikke å utføre oppdateringen på nytt. Kill bit hindrer Internet Explorer i å kjøre kontrollen selv om kontrollen er installert på et senere tidspunkt.
Hva gjør oppdateringen?
Denne oppdateringen angir kill bit for en liste over klasseidentifikatorer (CLSIDer).
Følgende klasseidentifikatorer er relatert til MSCOMM32.OCX ATL Loader-kontrollen som omtales i den kumulative oppdateringen for Microsoft Visual Basic 6.0 Service Pack 6 (KB957924):
| Klasseidentifikator |
| {648A5600-2C6E-101B-82B6-000000000014} |
Følgende klasseidentifikator er relevant i forhold til en forespørsel fra Microgaming om å angi kill bit for en sårbar klasseidentifikator. Du finner ytterligere detaljer i sikkerhetsoppdateringen som er utgitt av Microgaming:
| Klasseidentifikator |
| {D8089245-3211-40F6-819B-9E5E92CD61A2} |
Følgende klasseidentifikator er relevant i forhold til en forespørsel fra eBay om å angi kill bit for en sårbar klasseidentifikator. Du finner ytterligere detaljer i sikkerhetsoppdateringen som er utgitt av eBay:
| Klasseidentifikator |
| {4C39376E-FA9D-4349-BACC-D305C1750EF3} |
| {C3EB1670-84E0-4EDA-B570-0B51AAE81679} |
Følgende klasseidentifikator er relevant i forhold til en forespørsel fra HP om å angi kill bit for en sårbar klasseidentifikator. Du finner ytterligere detaljer i sikkerhetsoppdateringen som er utgitt av HP:
| Klasseidentifikator |
| {00000032-9593-4264-8B29-930B3E4EDCCD} |
Forslag til tiltak
Les gjennom Microsoft Knowledge Base-artikkelen som er knyttet til denne veiledningen
Microsoft oppfordrer kundene til å installere denne oppdateringen. Kunder som vil vite mer om denne oppdateringen, bør lese gjennom Microsoft Knowledge Base-artikkel 969898.
Løsninger
Midlertidige løsninger viser til en innstilling eller konfigurasjonsendring som ikke løser det underliggende sikkerhetsproblemet, men hjelper til med å blokkere kjente angrepsvektorer før du installerer oppdateringen. Microsoft har testet følgende midlertidige løsninger og informerer i diskusjonen om en midlertidig løsning reduserer funksjonaliteten:
Hindre kjøring av COM-objekter i Internet Explorer
Du kan deaktivere forsøk på å bruke et COM-objekt i Internet Explorer ved å angi kill bit for kontrollen i registeret.
Advarsel! Hvis du bruker Registerredigering feil, kan det forårsake alvorlige problemer som gjør at du må installere operativsystemet på nytt. Microsoft kan ikke garantere at du kan løse problemer som følge av feil bruk av Registerredigering. Bruk Registerredigering på egen risiko.
Hvis du vil ha detaljert informasjon som du kan bruke til å hindre at en kontroll kjøres i Internet Explorer, kan du lese Microsoft Knowledge Base-artikkel 240797. Følg fremgangsmåten i denne artikkelen for å opprette en kompatibilitetsflaggverdi i registret for å hindre at et COM-objekt brukes i Internet Explorer.
Obs! Klasseidentifikatorene og de tilsvarende filene der ActiveX-objektene oppbevares, er dokumentert under Hva gjør oppdateringen? i delen Vanlige spørsmål over. Bytt ut {XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX} nedenfor med klasseidentifikatorene i denne delen.
Hvis du skal angi kill bit for en CLSID med verdien {XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}, limer du inn teksten nedenfor i et tekstredigeringsprogram, for eksempel Notisblokk. Lagre deretter filen med filtypen REG.
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{ XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX }]
"Compatibility Flags"=dword:00000400Du kan bruke denne REG-filen på enkeltsystemer ved å dobbeltklikke på den. Du kan også bruke den på tvers av domener ved å bruke gruppepolicy. Hvis du vil ha mer informasjon om gruppepolicy, kan du gå til følgende Microsoft-webområder:
- Gruppepolicy-samling
- Hva er et redigeringsprogram for gruppepolicy-objekt?
- Kjerneverktøy og -innstillinger for gruppepolicy
Obs! Du må starte Internet Explorer for at endringene skal tre i kraft.
Hva løsningen kan føre til: Den fører ikke til noe så lenge det ikke er meningen at objektet skal brukes i Internet Explorer.
Annen informasjon
Takk til
Microsoft takker følgende for samarbeidet med å beskytte kundene:
- Robert Freeman hos ISS X-Force for rapporten om sikkerhetsproblemet med ekstern kjøring av kode i MSCOMM32.OCX ATL Loader (CVE-2008-0024)
Ressurser:
- Du kan gi oss tilbakemelding ved å fylle ut skjemaet som du kan få fra Microsoft Hjelp og støtte: Kontakt oss.
- Kunder i USA og Canada kan få kundestøtte hos Security Support. Du finner mer informasjon om tilgjengelige alternativer for støtte ved å gå til Microsoft Hjelp og støtte.
- Internasjonale kunder kan få kundestøtte fra de lokale representasjonskontorene for Microsoft. Hvis du vil ha mer informasjon om hvordan du kontakter Microsoft angående internasjonale kundestøtteproblemer, går du til Internasjonal støtte.
- Microsoft TechNet Security gir ytterligere informasjon om sikkerhet for Microsoft-produkter.
Ansvarsfraskrivelse:
Informasjonen i denne veiledningen tilbys som den er, uten noen form for garanti. Microsoft fraskriver seg ethvert ansvar, enten direkte eller indirekte, herunder garantier om salgbarhet og anvendelighet for særskilte formål. Microsoft Corporation eller dets leverandører skal ikke under noen omstendigheter holdes ansvarlig for noen skader eller tap herunder direkte, indirekte eller tilfeldige skader eller tap, konsekvenstap, tap av inntekter eller spesielle skader, også i tilfeller der Microsoft Corporation eller dets leverandører er underrettet om muligheten for slike skader eller tap. Ettersom enkelte land ikke tillater fraskrivelse eller begrensning av ansvar for følgeskade eller tilfeldig skade, kan det hende at ovennevnte begrensning ikke gjelder.
Revisjoner:
- V1.0 (9. juni 2009): Veiledning publisert
- V1.1 (17. juni 2009): Det er lagt til en oppføring under Vanlige spørsmål for å informere om at for automatisk oppdatering erstatter ikke denne oppdateringen den kumulative sikkerhetsoppdateringen av kill bits for ActiveX (950760) som beskrives i Microsofts sikkerhetsbulletin MS08-032.
Built at 2014-04-18T01:50:00Z-07:00