Microsofts sikkerhetsveiledning 973882

Sikkerhetsproblemer i Microsoft Active Template Library (ATL) kan tillate ekstern kjøring av kode

Publisert: 28. juli 2009 | Oppdatert: 13. oktober 2009

Versjon: 4.0

Microsoft utgir denne sikkerhetsveiledningen for å informere om de pågående undersøkelsene av sikkerhetsproblemer i offentlige og private versjoner av Microsofts Active Template Library (ATL). Denne veiledningen gir også råd om hva utviklere kan gjøre for å sikre at kontrollene og komponentene de har bygd, ikke er sårbare for ATL-problemene, hva IT-eksperter og forbrukere kan gjøre for å begrense eventuelle angrep som utnytter sikkerhetsproblemene, og hva Microsoft gjør som en del av undersøkelsene av sikkerhetsproblemet som beskrives i denne veiledningen. Denne sikkerhetsveiledningen gir også en omfattende oversikt over alle Microsofts sikkerhetsbulletiner og sikkerhetsoppdateringer som er relatert til sikkerhetsproblemene i ATL. Microsofts undersøkelser av private og offentlige versjoner av ATL pågår, og vi utgir sikkerhetsoppdateringer og gir veiledning etter behov som en del av undersøkelsesprosessen.

Microsoft kjenner til sikkerhetsproblemer i de offentlige og private versjonene av ATL. Microsoft ATL brukes av programvareutviklere til å opprette kontroller eller komponenter for Windows-plattformen. Sikkerhetsproblemene som beskrives i denne sikkerhetsveiledningen og Microsofts sikkerhetsbulletin MS09-035, kan føre til tilgjengeliggjøring av informasjon eller angrep med ekstern kjøring av kode for kontroller og komponenter som er bygd med sårbare versjoner av ATL. Komponenter og kontroller som er opprettet med den sårbare versjonen av ATL, kan være i en sårbar tilstand på grunn av måten som ATL brukes på, eller på grunn av problemer med selve ATL-koden.

Veiledning for utviklere: Microsoft har rettet opp problemene i offentlige filhoder i ATL og utgitt oppdateringer til bibliotekene i bulletinen MS09-035, Sikkerhetsproblemer i Visual Studio Active Template Library kan tillate ekstern kjøring av kode. Microsoft anbefaler på det sterkeste at utviklere som har bygd kontroller eller komponenter med ATL, iverksetter handlinger umiddelbart for å vurdere om kontrollene deres er i en sårbar tilstand, og følger veiledningen for oppretting av kontroller og komponenter som ikke er sårbare. Hvis du vil ha mer informasjon om sikkerhetsproblemene og veiledning om hvordan du løser problemer i ATL, kan du se MS09-035, Sikkerhetsproblemer i Visual Studio Active Template Library kan tillate ekstern kjøring av kode.

Veiledning for IT-eksperter og forbrukere: Microsoft har utviklet en ny dybdeforsvarsteknologi for å kunne beskytte kunder på en bedre måte mens utviklerne oppdaterer komponentene og kontrollene. Denne nye dybdeforsvarsteknologien som er bygd inn i Internet Explorer, bidrar til å beskytte kunder mot fremtidige angrep som utnytter sikkerhetsproblemene i Microsoft Active Template Library som beskrives i denne veiledningen og Microsofts sikkerhetsbulletin MS09-035. For å kunne dra nytte av denne nye dybdeforsvarsteknologien bør IT-eksperter og forbrukere umiddelbart distribuere sikkerhetsoppdateringen for Internet Explorer som tilbys i Microsofts sikkerhetsbulletin MS09-034, Kumulativ sikkerhetsoppdatering for Internet Explorer.

Denne sikkerhetsoppdateringen inkluderer en begrensning som forhindrer at komponenter og kontroller som er bygd ved hjelp av den sårbare ATL-versjonen, utnyttes i Internet Explorer, i tillegg til at den løser flere ikke-relaterte sikkerhetsproblemer. Den nye dybdeforsvarsbeskyttelsen som tilbys i MS09-034, inkluderer oppdateringer til Internet Explorer 5.01, Internet Explorer 6 og Internet Explorer 6 Service Pack 1, Internet Explorer 7 og Internet Explorer 8. Denne dybdeforsvarsbeskyttelsen overvåker og bidrar til å forhindre utnyttelse av alle kjente sikkerhetsproblemer med offentlige og private ATL-versjoner, inkludert sikkerhetsproblemene som kan føre til at kill bit-sikkerhetsfunksjonen for ActiveX omgås. Denne beskyttelsen er utformet for å bidra til å beskytte kunder mot webbaserte angrep.

Veiledning for hjemmebrukere: Microsoft har utviklet en ny dybdeforsvarsteknologi for å kunne beskytte kunder på en bedre måte mens utviklerne oppdaterer komponentene og kontrollene. Denne nye dybdeforsvarsteknologien som er bygd inn i Internet Explorer med den nye oppdateringen, bidrar til å beskytte kunder mot fremtidige angrep som utnytter sikkerhetsproblemene i Microsoft Active Template Library som beskrives i denne veiledningen og Microsofts sikkerhetsbulletin MS09-035. Hjemmebrukere som har registrert seg for automatiske oppdateringer, får den nye Internet Explorer-oppdateringen automatisk og trenger ikke iverksette ytterligere handlinger. Hjemmebrukere blir automatisk bedre beskyttet mot fremtidige angrep mot sikkerhetsproblemene som løses i denne sikkerhetsveiledningen og i Microsofts sikkerhetsbulletin MS09-035.

Begrensende faktorer for kontroller og komponenter som er bygd med en sårbar versjon av Microsofts Active Template Library (ATL):

• De fleste ActiveX-kontrollene er som standard ikke inkludert i standardlisten over tillatte ActiveX-kontroller i Internet Explorer 7 eller Internet Explorer 8 som kjører på Windows Vista eller nyere operativsystemer. Bare kunder som utrykkelig har godkjent sårbare kontroller ved å bruke funksjonen for aktivering av ActiveX, er utsatt for utnyttelse av dette sikkerhetsproblemet. Hvis en kunde har brukt slike ActiveX-kontroller i en tidligere versjon av Internet Explorer og senere oppgradert til Internet Explorer 7 eller Internet Explorer 8, er imidlertid disse ActiveX-kontrollene aktivert til å fungere i Internet Explorer 7 og Internet Explorer 8, selv om kunden ikke uttrykkelig har godkjent dem ved hjelp av funksjonen for aktivering av ActiveX.
• Som standard tilbyr Internet Explorer 8 forbedret beskyttelse ved at DEP/NX-minnebeskyttelse er aktivert for brukere på Windows XP Service Pack 3, Windows Vista Service Pack 1, Windows Vista Service Pack 2 og Windows 7.
• Som standard kjører Internet Explorer på Windows Server 2003, og Windows Server 2008 kjører i en begrenset modus, kjent som Utvidet sikkerhetskonfigurasjon. Utvidet sikkerhetskonfigurasjon er en gruppe forhåndskonfigurerte innstillinger i Internet Explorer som reduserer sannsynligheten for at en bruker eller en administrator laster ned og kjører spesiallaget webinnhold på en server. Dette er en begrensende faktor for webområder som du ikke har lagt til i sonen Klarerte områder i Internet Explorer. Se også Managing Internet Explorer Enhanced Security Configuration.
• Alle støttede versjoner av Microsoft Outlook og Microsoft Outlook Express åpner som standard e-postmeldinger i HTML-format i sonen Begrensede områder. Sonen Begrensede områder bidrar til å begrense angrep som kan forsøke å utnytte dette sikkerhetsproblemet, ved å hindre at Aktiv skripting og ActiveX-kontroller brukes ved lesing av e-postmeldinger i HTML-format. Hvis brukeren imidlertid klikker en kobling i en e-postmelding, kan brukeren fremdeles være sårbar overfor dette sikkerhetsproblemet gjennom det webbaserte angrepsscenariet.
• I et webbasert angrepsscenario kan angriperen være vert for et webområde som inneholder en webside som brukes til å utnytte dette sikkerhetsproblemet. I tillegg kan utsatte webområder og webområder som godtar eller er vert for innhold eller reklame fra brukere, inneholde spesiallaget innhold som kan utnytte dette sikkerhetsproblemet. Men en angriper kan ikke i noen tilfeller tvinge brukere til å gå til disse webområdene. I stedet må angriperen lokke brukere til å gå til webområdet, for eksempel ved å få dem til å klikke en kobling i en e-postmelding eller direktemelding som fører dem til angriperens webområde.
• En angriper som klarer å utnytte dette sikkerhetsproblemet, kan oppnå samme brukerrettigheter som den lokale brukeren. Brukere med kontoer som er konfigurert med få brukerrettigheter på systemet, er mindre utsatt enn brukere som har administrative rettigheter.

Oppdateringer relatert til ATL:

Oppdatering utgitt den 3. oktober 2009

• Microsofts sikkerhetsbulletin MS09-060, Sikkerhetsproblemer i ActiveX-kontroller for Microsoft Active Template Library (ATL) for Microsoft Office kan tillate ekstern kjøring av kode, gir støtte for Microsoft Office-komponenter som berøres av ATL-sikkerhetsproblemene som beskrives i denne veiledningen.

Oppdateringer utgitt den 25. august 2009

• Windows Live Messenger 14.0.8089 gis ut for å løse sikkerhetsproblemer i Windows Live Messenger-klienten i forbindelse med ATL-sikkerhetsproblemene som beskrives i denne veiledningen.
• En del med vanlige spørsmål om Windows Live-komponenter er lagt til i denne veiledningen for å informere om fjerningen av Windows Live Hotmail-funksjonen for å legge ved bilder og for å gi detaljer om Windows Live Messenger 14.0.8089-utgivelsen.

Oppdateringer utgitt den 11. august 2009

• Microsofts sikkerhetsbulletin MS09-037, Sikkerhetsproblemer i Microsoft Active Template Library (ATL) kan tillate ekstern kjøring av kode, gir støtte for Windows-komponenter som er berørt av ATL-sikkerhetsproblemet som beskrives i denne veiledningen.
• Microsofts sikkerhetsbulletin MS09-035, Sikkerhetsproblemer i Visual Studio Active Template Library kan tillate ekstern kjøring av kode, utgis for å tilby nye oppdateringer for utviklere som bruker Visual Studio til å opprette komponenter og kontroller for mobile programmer ved hjelp av ATL for Smart Devices.

Oppdateringer som ble utgitt 28. juli 2009

• Microsofts sikkerhetsbulletin MS09-035, Sikkerhetsproblemer i Visual Studio Active Template Library kan tillate ekstern kjøring av kode, gir mer detaljert informasjon om de bestemte sikkerhetsproblemene i ATL og tilbyr de oppdaterte offentlige ATL-filhodene slik at leverandører kan utvikle oppdaterte komponenter og kontroller. Våre undersøkelser har vist at det finnes komponenter og kontroller fra Microsoft og tredjeparter som er berørt av dette sikkerhetsproblemet, og at disse komponentene og kontrollene finnes på alle støttede versjoner av Windows 2000 Service Pack 4, Windows XP, Windows Server 2003, Windows Vista og Windows Server 2008. Utviklere som brukte sårbare versjoner av ATL ved bygging av kontroller eller komponenter, bør se gjennom denne bulletinen og iverksette umiddelbare handlinger hvis kontrollene er sårbare.
• Microsofts sikkerhetsbulletin MS09-034, Kumulativ sikkerhetsoppdatering for Internet Explorer, inkluderer en begrensning som forhindrer at komponenter og kontroller som er bygd med den sårbare ATL-versjonen, utnyttes i Internet Explorer, i tillegg til at den løser flere ikke-relaterte sikkerhetsproblemer. Den nye dybdeforsvarsbeskyttelsen som tilbys i MS09-034, inkluderer oppdateringer til Internet Explorer 5.01, Internet Explorer 6 og Internet Explorer 6 Service Pack 1, Internet Explorer 7 og Internet Explorer 8. Denne dybdeforsvarsbeskyttelsen overvåker og bidrar til å forhindre utnyttelse av alle kjente sikkerhetsproblemer med offentlige og private ATL-versjoner, inkludert sikkerhetsproblemene som kan føre til at kill bit-sikkerhetsfunksjonen for ActiveX omgås. Denne beskyttelsen er utformet for å bidra til å beskytte kunder mot webbaserte angrep.
• Vi kjenner ikke til noen metoder eller kontroller som er inkludert med Windows 7, som kan føre til at angripere utnytter problemet via Internet Explorer.

Oppdatering som ble utgitt 14. juli 2009

• Microsofts sikkerhetsbulletin MS09-032, Kumulativ sikkerhetsoppdatering av kill bits for ActiveX, tilbød ActiveX-sikkerhetstiltak (en kill bit) som forhindret at msvidctl-kontrollen kjøres i Internet Explorer. Utnyttelsen av msvidcntl dro fordel av et sikkerhetsproblem i den private versjonen av ATL. I denne bestemte forekomsten tillater sikkerhetsproblemet at en angriper kan skade minnet, noe som kan føre til ekstern kjøring av kode. Kill bits som ble utgitt i juniutgivelsen av msvidctl (MS09-032), blokkerer muligheten til å utnytte den offentlige versjonen slik det beskrives her.

Generell informasjon

Oversikt

Målet med veiledningen: Denne veiledningen ble utgitt for å varsle kunder på et tidlig tidspunkt om det publiserte sikkerhetsproblemet. Du finner mer informasjon i delene om løsninger, begrensende faktorer og forslag til tiltak i denne sikkerhetsveiledningen.

Status for veiledningen: Veiledning publisert.

Anbefaling: Les gjennom de foreslåtte handlingene og konfigurer etter behov.

Denne veiledningen gjelder følgende programvare.

Vanlige spørsmål

Hva behandles i veiledningen?
Microsoft kjenner til sikkerhetsproblemer som berører komponenter og kontroller som er bygd med offentlige og private versjoner av Active Template Library (ATL). Målet med veiledningen er å informere brukerne om oppdateringer som bidrar til å begrense risikoen ved sårbare kontroller og komponenter, gi veiledning og råd til utviklere som har bygd kontroller og komponenter med den sårbare ATL-versjonen, og til IT-eksperter om hvordan de kan beskytte og installere begrensninger i deres miljø.

Kommer Microsoft til å tilby ytterligere sikkerhetsoppdateringer som er relatert til denne sikkerhetsveiledningen, i fremtiden?
Microsofts undersøkelser av private og offentlige filhoder i ATL pågår, og vi utgir sikkerhetsoppdateringer og gir veiledning etter behov som en del av undersøkelsesprosessen.

Var msvidctl-sikkerhetsproblemet (MS09-032) relatert til denne ATL-oppdateringen?
Ja, utnyttelsen av msvidctl dro fordel av et sikkerhetsproblem i den private versjonen av ATL. I denne bestemte forekomsten tillater sikkerhetsproblemet at en angriper kan skade minnet, noe som kan føre til ekstern kjøring av kode. MS09-032, tidligere utgitt i utgivelsen den 14. juli, blokkerer kjente angrep på msvidctl. Hvis du vil ha mer informasjon om utnyttelsen i msvidctl, kan du se http://blogs.technet.com/srd/archive/2009/07/06/new-vulnerability-in-mpeg2tunerequest-activex-control-object-in-msvidctl-dll.aspx.

Beskytter Internet Explorer-oppdateringen (ms09-034) også mot msvidctl-angrep?
Ja, Internet Explorer-begrensningene beskytter mot utnyttelse av de kjente sikkerhetsproblemene i offentlige og private versjoner av ATL, inkludert msvidctl-angrep.

Hva er ATL?
Active Template Library (ATL) er et sett med malbaserte C++-klasser som du kan bruke til å opprette små, raske COM-objekter (Component Object Model). ATL har spesialstøtte for viktige COM-funksjoner, inkludert lagerimplementeringer, doble grensesnitt, standard COM-enumeratorgrensesnitt, koblingspunkt, tear-off-grensesnitt og ActiveX-kontroller. Hvis du vil ha mer informasjon, kan du lese MSDN-artikkelen om ATL.

Hva forårsaker denne trusselen i ATL?
Problemet er i noen tilfeller forårsaket av måten som ATL brukes på, og i andre tilfeller av selve ATL-koden. I disse tilfellene kan det hende at dataflyter behandles på feil måte, noe som kan føre til minnefeil, tilgjengeliggjøring av informasjon og forekomstoppretting av objekter uten hensyn til sikkerhetspolicy. Hvis du vil ha mer informasjon om sikkerhetsproblemene som er løst for ATL, kan du se MS09-035, Sikkerhetsproblemer i Visual Studio Active Template Library kan tillate ekstern kjøring av kode.

Hva er forskjellen mellom offentlige og private versjoner av Active Template Library?
Den private versjonen av Active Template Library brukes av Microsofts utviklere til å bygge kontroller og komponenter. Microsoft har oppdatert alle versjoner av Active Template Library som brukes av våre utviklere.

Den offentlige versjonen av Active Template Library distribueres til kunder via utviklerverktøy, for eksempel Microsoft Visual Studio. Microsoft tilbyr en oppdatert versjon av den offentlige ATL-versjonen via Microsofts sikkerhetsbulletin MS09-035.

Krever disse sikkerhetsproblemene i ATL at Microsoft og tredjepartsutviklere må utgi sikkerhetsoppdateringer?
Ja. I tillegg til bulletinoppdateringene som beskrives i denne veiledningen, utfører Microsoft omfattende undersøkelser av Microsofts kontroller og komponenter. Når undersøkelsene er avsluttet, iverksetter Microsoft de nødvendige handlingene for å beskytte våre kunder. Det kan innebære å tilby en sikkerhetsoppdatering gjennom den månedlige utgivelsesprosessen eller en sikkerhetsoppdatering utenfor vanlig sendefrekvens, avhengig av kundenes behov.

Microsoft tilbyr også veiledning og er aktivt i kontakt med store tredjepartsleverandører for å hjelpe dem med å identifisere sårbare kontroller og komponenter. Dette kan føre til sikkerhetsoppdateringer for tredjepartskontroller og -komponenter.

Vanlige spørsmål om Windows Live-tjenester

Hvordan distribueres oppgraderingen av Windows Live Messenger?
Ved pålogging til Windows Live Messenger-tjenesten blir brukere av Windows Live Messenger 8.1, Windows Live Messenger 8.5 og Windows Live Messenger 14.0 på støttede versjoner av Windows bedt av klientdistribusjonsmekanismen i Windows Live Messenger-tjenesten om å godta oppgraderingen til Windows Live Messenger 14.0.8089. Brukere som ønsker å laste ned oppgraderingen til Windows Live Messenger 14.0.8089 med det samme, kan dessuten gjøre det ved hjelp av Windows Live Download Center. Ellers kan det hende at brukere av sårbare versjoner av Windows Live Messenger ikke får koblet til Windows Live Messenger-tjenesten.

Hvorfor gir Microsoft ut oppgraderingen av Windows Live Messenger via Windows Live Messenger-tjenesten i tillegg til å tilby nedlastinger?
Microsoft sender nå ut oppgraderinger for Windows Live Messenger-klienten som bruker Windows Live Messenger-tjenesten fordi disse elektroniske tjenestene har sin egen klientdistribusjonsmekanisme. Microsoft Download Center-koblinger er imidlertid også tilgjengelig for bestemte Windows Live Messenger-klienter. Brukere som ønsker å laste ned oppgraderinger med det samme, kan gjøre det via Windows Live Download Center.

Hvis dette er en oppgradering, hvordan kan jeg finne ut om jeg har en sårbar versjon av Windows Live Messenger?  
Når du prøver å logge deg på Windows Live Messenger-tjenesten, finner klientdistribusjonsmekanismen automatisk klientversjonen og -plattformen som brukes, og hvis det er nødvendig, anbefaler den oppgraderingen som er egnet. Du kan også kontrollere klientversjonen av Windows Live Messenger ved å klikke Hjelp og deretter Om.

Hva skjer hvis jeg ikke oppgraderer til den nyeste versjonen av Windows Live Messenger?
Hvis du ikke oppgraderer til en uberørt versjon av Windows Live Messenger-klienten, avhengig av hvilken plattform du har, vil du få en påminnelse om å oppgradere hver gang du logger deg på. Hvis du ikke godtar oppgraderingen, kan du bli nektet tilgang til Windows Live Messenger-tjenesten.

Er andre Microsoft Real-Time Collaboration-programmer, for eksempel Windows Messenger eller Office Communicator, berørt av dette sikkerhetsproblemet?
Nei. Andre meldingsprogrammer berøres ikke siden de ikke inneholder den sårbare komponenten.

Hvorfor har Microsoft fjernet Windows Live Hotmail-funksjonen for å legge ved bilder? Skjedde det samtidig med lanseringen av en annen funksjon?
Microsoft besluttet nylig å fjerne funksjonen på kort sikt for å løse et problem. Den midlertidige fjerningen av denne funksjonen skjedde ikke samtidig med lanseringen av en annen funksjon.

Når skal funksjonen for å legge ved bilder etter planen være tilbake igjen for alle Windows Live Hotmail-brukere?
Microsoft arbeider for å løse problemet. I mellomtiden kan du fortsatt legge ved bilder som vedlegg til Hotmail-meldinger ved å klikke Legg ved og deretter velge bildet du vil legge ved.

Vanlige spørsmål fra utviklere om Visual Studio-oppdateringen

Hva forårsaker denne trusselen i ATL?
Problemet er i noen tilfeller forårsaket av måten som ATL brukes på, og i andre tilfeller av selve ATL-koden. I disse tilfellene kan det hende at dataflyter behandles på feil måte, noe som kan føre til minnefeil, tilgjengeliggjøring av informasjon og forekomstoppretting av objekter uten hensyn til sikkerhetspolicy. Hvis du vil ha mer informasjon om sikkerhetsproblemene som er løst for ATL, kan du se MS09-035, Sikkerhetsproblemer i Visual Studio Active Template Library kan tillate ekstern kjøring av kode.

Hva kan en angriper bruke sikkerhetsproblemet til?
For kontroller og komponenter som er bygd med ATL, kan usikker bruk av visse makroer tillate forekomstoppretting av vilkårlige objekter som kan omgå den relaterte ActiveX-sikkerhetspolicyen (for eksempel kill bits) i Internet Explorer. I tillegg kan komponenter og kontroller som er bygd med den sårbare versjonen av ATL, være utsatt for trusler som ekstern kjøring av kode eller tilgjengeliggjøring av informasjon. Hvis en bruker er pålogget med administrative brukerrettigheter og har en sårbar kontroll på systemet, kan en angriper få fullstendig kontroll over det berørte systemet. En angriper kan deretter installere programmer, vise, endre eller slette data, eller opprette nye kontoer med fullstendige brukerrettigheter. Brukere med kontoer som er konfigurert med få brukerrettigheter på systemet, er mindre utsatt enn brukere som har administrative rettigheter.

Jeg er utvikler av et tredjepartsprogram, og jeg bruker ATL i komponenten eller kontrollen min. Er komponenten eller kontrollen min sårbar, og hvordan oppdaterer jeg den i så fall?  
Komponenter og kontroller kan være berørt av dette sikkerhetsproblemet hvis visse betingelser ikke er oppfylt under byggingen av komponenten eller kontrollen. MS09-035 inneholder ytterligere informasjon, eksempler og veiledning som tredjepartsleverandører kan bruke til å oppdage og rette opp i sårbare komponenter og kontroller.

Hva gjør sikkerhetsoppdateringen for Visual Studio?
Disse oppdateringene løser sikkerhetsproblemer i Microsoft Active Template Library (ATL) som kan tillate at en ekstern, ikke-godkjent bruker kan kjøre vilkårlig kode på et berørt system. Disse sikkerhetsproblemene er i noen tilfeller forårsaket av måten som ATL brukes på, og i andre tilfeller av selve ATL-koden. Siden disse sikkerhetsproblemene berører ATL, kan komponenter eller kontroller som ble utviklet ved hjelp av ATL, utsette kunder som bruker de berørte kontrollene og komponentene, for scenarioer der ekstern kjøring av kode er mulig.

Sikkerhetsoppdateringen for Visual Studio oppdaterer den sårbare versjonen av ATL som brukes av Visual Studio. Dette gjør at Visual Studio-brukere kan endre og bygge kontrollene og komponentene sine på nytt ved hjelp av en oppdatert versjon av ATL.

Undersøkelsene våre har vist at komponenter og kontroller fra både Microsoft og tredjeparter kan være berørt av dette sikkerhetsproblemet. Derfor må alle berørte leverandører endre og bygge komponentene og kontrollene på nytt ved hjelp av den rettede ATL-versjonen som tilbys i Microsofts sikkerhetsbulletin MS09-035.

Vanlige spørsmål fra IT-eksperter om hva de kan gjøre for å beskytte seg

Beskytter IE-oppdateringen MS09-034 meg mot alle komponenter og kontroller som ble bygd på sårbare versjoner av ATL?
Microsoft har utviklet en ny dybdeforsvarsteknologi for å kunne beskytte kunder på en bedre måte mens utviklerne oppdaterer komponentene og kontrollene. Denne nye dybdeforsvarsteknologien som er bygd inn i Internet Explorer, bidrar til å beskytte kunder mot fremtidige angrep som utnytter sikkerhetsproblemene i Microsoft Active Template Library som beskrives i denne veiledningen og i Microsofts sikkerhetsbulletin MS09-035. Microsofts sikkerhetsbulletin MS09-034, Kumulativ sikkerhetsoppdatering for Internet Explorer, inkluderer en begrensning som forhindrer at komponenter og kontroller som er bygd med den sårbare ATL-versjonen, kan utnyttes i Internet Explorer, i tillegg til at den løser flere ikke-relaterte sikkerhetsproblemer.

Microsoft fortsetter å undersøke alle kontroller og komponenter fra Microsoft og hjelper tredjepartsutviklere med å vurdere kontrollene og komponentene sine.

Hva kan en IT-ekspert gjøre for å begrense eksponeringen overfor dette sikkerhetsproblemet?
Microsoft anbefaler på det sterkeste at IT-eksperter umiddelbart distribuerer Internet Explorer-sikkerhetsoppdateringen som tilbys i Microsofts sikkerhetsbulletin MS09-034, Kumulativ sikkerhetsoppdatering for Internet Explorer.

Vanlige spørsmål om hva forbrukere kan gjøre for å beskytte seg

Hva kan forbrukere gjøre for å begrense eksponeringen overfor dette sikkerhetsproblemet?
Microsoft har utviklet en ny dybdeforsvarsteknologi for å kunne beskytte kunder på en bedre måte mens utviklerne oppdaterer komponentene og kontrollene. Denne nye dybdeforsvarsteknologien som er bygd inn i Internet Explorer, bidrar til å beskytte kunder mot fremtidige angrep som utnytter sikkerhetsproblemene i Microsoft Active Template Library, som beskrives i denne veiledningen og i Microsofts sikkerhetsbulletin MS09-035. Microsoft anbefaler på det sterkeste at forbrukerne aktiverer Automatiske oppdateringer og umiddelbart distribuerer Internet Explorer-sikkerhetsoppdateringen som tilbys i Microsofts sikkerhetsbulletin MS09-034, Kumulativ sikkerhetsoppdatering for Internet Explorer. Hjemmebrukere som mottar oppdateringer automatisk, får begrensningene som tilbys i den kumulative IE-oppdateringen og andre sikkerhetsoppdateringer som er relatert til dette sikkerhetsproblemet, og trenger ikke å iverksette ytterligere handlinger.

Microsoft oppfordrer også hjemmebrukere til å oppgradere til Internet Explorer 8 for å dra fordel av forbedret sikkerhet og beskyttelse.

Vanlige spørsmål om begrensninger i Internet Explorer-oppdateringen

Hva forårsaker denne trusselen som gjør det mulig å omgå ActiveX-sikkerheten?
ActiveX-kontroller som er bygd med sårbare ATL-metoder, validerer kanskje ikke informasjon på riktig måte. Dette kan føre til at en ActiveX-kontroll tillater minnefeil, eller at en angriper kan utnytte en klarert ActiveX-kontroll, slik at den laster en uklarert ActiveX-kontroll som tidligere er blokkert for kjøring i Internet Explorer.

Den nye dybdeforsvarsbeskyttelsen som tilbys i MS09-034, inkluderer oppdateringer til Internet Explorer 5.01, Internet Explorer 6 og Internet Explorer 6 Service Pack 1, Internet Explorer 7 og Internet Explorer 8 som overvåker og forhindrer utnyttelse av alle kjente sikkerhetsproblemer med offentlige og private ATL-versjoner, inkludert sikkerhetsproblemene som kan føre til at kill bit-sikkerhetsfunksjonen for IE omgås. Denne beskyttelsen er utformet for å beskytte kunder mot webbaserte angrep.

Hvordan kan en angriper utnytte denne funksjonen?
En angriper som utnyttet dette sikkerhetsproblemet på Windows Vista eller Windows 2008, kan bare få rettigheter som en begrenset bruker på grunn av beskyttelsesmodusen i Internet Explorer. På andre Windows-systemer kan angriperen få samme brukerrettigheter som den lokale brukeren. Brukere med kontoer som er konfigurert med få brukerrettigheter på systemet, er mindre utsatt enn brukere som har administrative rettigheter.

Hvordan kan en angriper bruke denne funksjonen?
En angriper kan være vert for et webområde som er utformet for å være vert for en spesiallaget ActiveX-kontroll, og deretter overbevise en bruker om å vise webområdet. Dette kan også omfatte webområder som er rammet, og webområder som godtar eller er vert for innhold eller reklamer som er gitt av brukere. Men en angriper kan ikke i noen tilfeller tvinge brukere til å gå til disse webområdene. I stedet må angriperen overbevise brukere om å gå til webområdet, for eksempel ved å få dem til å klikke en kobling i en e-post eller direktemelding som fører dem til angriperens webområde.

Hva er en kill bit?
Dette er en sikkerhetsfunksjon i Microsoft Internet Explorer som gjør det mulig å hindre at en ActiveX-kontroll lastes inn av motoren for HTML-gjengivelse i Internet Explorer. Funksjonen aktiveres ved å angi en innstilling i registeret, og dette omtales gjerne som å "angi kill bit". Når kill bit er angitt, vil kontrollen aldri bli lastet – selv om den er fullstendig installert. Ved å angi kill bit er du sikker på at selv om en sårbar komponent innføres eller gjeninnføres i et system, er den inaktiv og kan ikke utrette noen skade.

Du finner mer informasjon om kill bit i Microsoft Knowledge Base-artikkel 240797: Slik hindrer du en ActiveX-kontroll i å kjøres i Internet Explorer. Hvis du vil ha mer detaljert informasjon om kill bits og hvordan de fungerer i Internet Explorer, kan du se følgende bloggpublisering om sikkerhetsforskning og forsvar.

Hva gjør oppdateringen?
Oppdateringen styrker ActiveX-sikkerhetsmekanismen ved å tilby validering når usikre metoder brukes av ActiveX-kontroller som bruker utsatte ATL-filhoder i bestemte konfigurasjoner.

Endrer denne oppdateringen funksjonalitet?
Ja. Denne oppdateringen tillater ikke lenger at bestemte sett med ATL-metoder kan kjøres i Internet Explorer. Oppdateringen begrenser risikoen for at aktiv sikkerhet kan omgås ved å hindre at klarerte ActiveX-kontroller laster uklarerte kontroller.

Inneholder denne oppdateringen ytterligere programvareendringer?
Ja. Denne oppdateringen inneholder også ytterligere sikkerhetsoppdateringer og andre oppdateringer til Internet Explorer som en del av den kumulative oppdateringen for Internet Explorer.

Løser denne oppdateringen alle usikre scenarioer med ActiveX-kontroller?
Nei. Denne oppdateringen løser spesifikt usikre/uklarerte ActiveX-kontroller som kan være sårbare for ATL-problemene som beskrives i denne veiledningen, for å beskytte kunder mot angrep når de surfer på Internett.

Microsoft fortsetter å undersøke dette problemet. Når undersøkelsene er avsluttet, iverksetter Microsoft de nødvendige handlingene for å beskytte våre kunder. Det kan innebære å tilby en sikkerhetsoppdatering gjennom den månedlige utgivelsesprosessen eller en sikkerhetsoppdatering utenfor vanlig sendefrekvens, avhengig av kundenes behov.

Hvordan blir jeg beskyttet mot dette sikkerhetsproblemet av Beskyttet modus i Internet Explorer 7 og Internet Explorer 8 på Windows Vista og nyere?
Internet Explorer 7 og Internet Explorer 8 på Windows Vista og nyere operativsystemer kjører som standard i Beskyttet modus i Internett-sikkerhetssonen. Beskyttet modus reduserer betydelig muligheten for at en angriper kan skrive, endre eller ødelegge data på brukerens maskin, eller installere skadelig kode. Dette oppnås ved å bruke integritetsmekanismene til Windows Vista og nyere som begrenser tilgangen til prosesser, filer og registernøkler med høyere integritetsnivåer.

Hva er Data Execution Prevention (DEP)?
Data Execution Prevention (DEP) er aktivert som standard i Internet Explorer 8. DEP er utformet for å hindre angrep ved å forhindre at kode kjøres i minne som er merket som ikke-kjørbart. Hvis du vil ha mer informasjon om DEP i Internet Explorer, kan du lese følgende melding: http://blogs.msdn.com/ie/archive/2008/04/08/ie8-security-part-I_3A00_-dep-nx-memory-protection.aspx.

Forslag til tiltak

• Les gjennom Microsoft Knowledge Base-artikkelen som er knyttet til denne veiledningen

  Kunder som gjerne vil vite mer om ATL-problemer, bør lese gjennom Microsoft Knowledge Base-artikkel 973882.

• Installer oppdateringene som er tilknyttet sikkerhetsbulletinene MS09-034 og MS09-035

  Kunder med berørte systemer kan laste ned oppdateringene fra Microsoft Knowledge Base-artikkel 969706 og fra Microsoft Knowledge Base-artikkel 972260. Internet Explorer-oppdateringen gir nye begrensninger som forhindrer forekomster av sårbare ActiveX-kontroller med Internet Explorer 7 og 8. Med Visual Studio-oppdateringen kan utviklere opprette ActiveX-kontroller som ikke berøres av disse sikkerhetsproblemene.

• Beskytt din PC

  Vi oppfordrer kunder til å følge våre råd om beskyttelse av datamaskinen og aktivere en brannmur, laste ned programvareoppdateringer og installere antivirusprogramvare. Kunder kan lese mer om dette på webområdet for beskyttelse av datamaskinen.

• Kunder kan finne mer informasjon om sikkerhet på Internett på Microsofts sikkerhetssentral.

• Hold Windows oppdatert

  Alle Windows-brukere bør bruke de nyeste Microsoft-sikkerhetsoppdateringene for å bidra til at datamaskinene har høyest mulig beskyttelse. Hvis du ikke er sikker på om programvaren er oppdatert, går du til webområdet Windows Update, søker etter tilgjengelige oppdateringer for datamaskinen og installerer alle høyt prioriterte oppdateringer som du får tilbud om. Hvis du har aktivert Automatiske oppdateringer, leveres oppdateringene til deg når de utgis, men du må påse at du installerer dem.

Løsninger

Microsoft har testet de midlertidige løsningene nedenfor. Disse midlertidige løsningene blokkerer kjente angrepsvektorer, men de løser ikke det underliggende sikkerhetsproblemet. Hvis en midlertidig løsning reduserer funksjonaliteten, angis dette i den følgende delen.

Angi Høy som sikkerhetsinnstilling for sonene Internett og Lokalt intranett hvis du vil bekrefte før det utføres kjøring av ActiveX-kontroller og Aktiv skripting i disse sonene

Du kan beskytte deg mot dette sikkerhetsproblemet ved å endre innstillingene for sikkerhetssonen Internett slik at du blir spurt før ActiveX-kontroller og aktiv skripting kjøres. Du kan gjøre det ved å angi Høy for sikkerhetsinnstillingen i webleseren.

Du hever sikkerhetsnivået i Microsoft Internet Explorer ved å følge disse trinnene:

1. Klikk Verktøy i Internett Explorer, og velg Alternativer for Internett.
2. I dialogboksen Alternativer for Internett klikker du kategorien Sikkerhet og deretter Internett-ikonet.
3. Under Sikkerhetsnivå for denne sonen flytter du glidebryteren til Høy. Dette setter sikkerhetsnivået for alle webområder du besøker, til Høy.

Obs!  Hvis du ikke ser noen glidebryter, klikker du Standardnivå og flytter deretter glidebryteren til Høy.

Obs! Når du angir Høy, er det ikke sikkert at alle webområder fungerer slik de skal. Hvis du har problemer med å bruke et webområde etter at du har endret denne innstillingen, og du er sikker på at webområdet er trygt å bruke, kan du legge til webområdet på listen over klarerte områder. Det gjør at webområdet fungerer slik det skal, selv om du har Høy som sikkerhetsinnstilling.

Hva løsningen kan føre til: Det finnes bivirkninger ved å spørre før kjøring av ActiveX-kontroller og aktiv skripting. Mange webområder på Internett eller et intranett bruker ActiveX eller aktiv skripting for å tilby ekstra funksjonalitet. Et webområde for e-handel eller banktjenester, for eksempel, kan bruke ActiveX-kontroller til å tilby menyer, bestillingsskjemaer eller kontoutskrifter. Det å spørre før kjøring av ActiveX-kontroller eller aktiv skripting er en global innstilling som berører alle Internett- og intranettområder. Du vil ofte få spørsmål når du aktiverer denne midlertidige løsningen. Klikk Ja til å kjøre ActiveX-kontroller eller aktiv skripting hver gang du blir spurt og mener du stoler på området du besøker. Hvis du ikke vil bli spurt for alle disse webområdene, følger du fremgangsmåten under "Legg til områder som du stoler på, i sonen Klarerte områder i Internet Explorer".

Legg til webområder som du stoler på, i sonen Klarerte områder i Internet Explorer

Når du har angitt i Internet Explorer at det skal spørres før ActiveX-kontroller og aktiv skripting kjøres i sonene Internett og Lokalt intranett, kan du legge til områder du stoler på, i sonen Klarerte områder i Internet Explorer. På den måten kan du fortsette å bruke klarerte webområder nøyaktig slik du gjør nå, samtidig som du beskytter deg mot angrep på uklarerte områder. Vi anbefaler at du bare legger til områder du stoler på, i sonen Klarerte områder.

Det gjør du ved å følge denne fremgangsmåten:

1. I Internet Explorer klikker du Verktøy-menyen, Alternativer for Internett og deretter kategorien Sikkerhet.
2. I boksen Velg en sone for Web-innhold for å angi sikkerhetsinnstillingene klikker du Klarerte områder og deretter Områder.
3. Hvis du vil legge til områder som ikke krever en kryptert kanal, fjerner du merket for Krev servergodkjenning (https:) for alle områder i denne sonen.
4. Skriv inn URL-adressen til et område du stoler på, i boksen Legg til dette Web-området i sonen, og klikk deretter Legg til.
5. Gjenta disse trinnene for hvert område du vil legge til i sonen.
6. Klikk OK to ganger for å godta endringene og gå tilbake til Internet Explorer.

Obs! Legg til områdene du vet ikke vil utføre ondsinnede handlinger på datamaskinen. To bestemte områder du kanskje vil legge til, er *.windowsupdate.microsoft.com og *.update.microsoft.com. Dette er områder som er verter for oppdateringen, og det kreves en ActiveX-kontroll for å installere oppdateringen.

Konfigurer Internet Explorer til å spørre før kjøring av Aktiv skripting, eller deaktiver Aktiv skripting i sikkerhetssonene Internett og Lokalt intranett.

Du kan beskytte deg mot dette sikkerhetsproblemet ved å endre innstillingene for Internet Explorer slik at du blir spurt før Aktiv skripting kjøres, eller slik at Aktiv skripting deaktiveres i sikkerhetssonene Internett og Lokalt intranett. Det gjør du ved å følge denne fremgangsmåten:

1. I Internet Explorer klikker du Alternativer for Internett på Verktøy-menyen.
2. Klikk kategorien Sikkerhet.
3. Klikk Internett og deretter Egendefinert nivå.
4. Under Innstillinger blar du til delen Aktiv skripting under Skript og klikker Spør eller Deaktiver, og deretter klikker du OK.
5. Klikk Lokalt intranett og deretter Egendefinert nivå.
6. Under Innstillinger blar du til delen Aktiv skripting under Skript og klikker Spør eller Deaktiver, og deretter klikker du OK.
7. Klikk OK to ganger for å gå tilbake til Internet Explorer.

Obs! Deaktivering av Aktiv skripting i sikkerhetssonene Internett og Lokalt intranett kan føre til at noen webområder ikke fungerer som de skal. Hvis du har problemer med å bruke et webområde etter at du har endret denne innstillingen, og du er sikker på at webområdet er trygt å bruke, kan du legge til webområdet på listen over klarerte områder. Det gjør at webområdet fungerer slik det skal.

Hva løsningen kan føre til: Det finnes bivirkninger ved å spørre før Aktiv skripting kjøres. Mange webområder på Internett eller et intranett bruker aktiv skripting for å tilby ekstra funksjonalitet. Et webområde for e-handel eller banktjenester kan for eksempel bruke Aktiv skripting til å tilby menyer, bestillingsskjemaer eller kontoutskrifter. Det å spørre før Aktiv skripting kjøres, er en global innstilling som berører alle Internett-områder og intranettområder. Du vil ofte få spørsmål når du aktiverer denne midlertidige løsningen. Klikk Ja for å kjøre aktiv skripting hver gang du blir spurt og mener du stoler på området du besøker. Hvis du ikke vil bli spurt for alle disse webområdene, følger du fremgangsmåten under Legg til områder som du stoler på, i sonen Klarerte områder i Internet Explorer.

Legg til webområder som du stoler på, i sonen Klarerte områder i Internet Explorer

Når du har angitt i Internet Explorer at det skal spørres før ActiveX-kontroller og aktiv skripting kjøres i sonene Internett og Lokalt intranett, kan du legge til områder du stoler på, i sonen Klarerte områder i Internet Explorer. På den måten kan du fortsette å bruke klarerte webområder nøyaktig slik du gjør nå, samtidig som du beskytter deg mot angrep på uklarerte områder. Vi anbefaler at du bare legger til områder du stoler på, i sonen Klarerte områder.

Det gjør du ved å følge denne fremgangsmåten:

1. I Internet Explorer klikker du Verktøy-menyen, Alternativer for Internett og deretter kategorien Sikkerhet.
2. I boksen Velg en sone for Web-innhold for å angi sikkerhetsinnstillingene klikker du Klarerte områder og deretter Områder.
3. Hvis du vil legge til områder som ikke krever en kryptert kanal, fjerner du merket for Krev servergodkjenning (https:) for alle områder i denne sonen.
4. Skriv inn URL-adressen til et område du stoler på, i boksen Legg til dette Web-området i sonen, og klikk deretter Legg til.
5. Gjenta disse trinnene for hvert område du vil legge til i sonen.
6. Klikk OK to ganger for å godta endringene og gå tilbake til Internet Explorer.

Obs! Legg til områdene du vet ikke vil utføre ondsinnede handlinger på datamaskinen. To bestemte områder du kanskje vil legge til, er *.windowsupdate.microsoft.com og *.update.microsoft.com. Dette er områder som er verter for oppdateringen, og det kreves en ActiveX-kontroll for å installere oppdateringen.

Annen informasjon

Ressurser:

• Du kan gi oss tilbakemelding ved å fylle ut skjemaet som du kan få fra Microsoft Hjelp og støtte: Kontakt oss.
• Kunder i USA og Canada kan få kundestøtte hos Security Support. Du finner mer informasjon om tilgjengelige alternativer for støtte ved å gå til Microsoft Hjelp og støtte.
• Internasjonale kunder kan få kundestøtte fra de lokale representasjonskontorene for Microsoft. Hvis du vil ha mer informasjon om hvordan du kontakter Microsoft angående internasjonale kundestøtteproblemer, går du til Internasjonal støtte.
• Microsoft TechNet Security gir ytterligere informasjon om sikkerhet for Microsoft-produkter.

Ansvarsfraskrivelse:

Informasjonen i denne veiledningen tilbys som den er, uten noen form for garanti. Microsoft fraskriver seg ethvert ansvar, enten direkte eller indirekte, herunder garantier om salgbarhet og anvendelighet for særskilte formål. Microsoft Corporation eller dets leverandører skal ikke under noen omstendigheter holdes ansvarlig for noen skader eller tap herunder direkte, indirekte eller tilfeldige skader eller tap, konsekvenstap, tap av inntekter eller spesielle skader, også i tilfeller der Microsoft Corporation eller dets leverandører er underrettet om muligheten for slike skader eller tap. Ettersom enkelte land ikke tillater fraskrivelse eller begrensning av ansvar for følgeskade eller tilfeldig skade, kan det hende at ovennevnte begrensning ikke gjelder.

Revisjoner:

• V1.0 (28. juli 2009): Veiledning publisert.
• V2.0 (11. august 2009): Veiledningen er revidert for å legge til oppføringer i oppdateringene som er relatert til ATL-delen for å informere om utgivelsen av Microsofts sikkerhetsbulletin MS09-037, Sikkerhetsproblemer i Microsoft Active Template Library (ATL) kan tillate ekstern kjøring av kode, og utgivelsen av Microsofts sikkerhetsbulletin MS09-035, Sikkerhetsproblemer i Visual Studio Active Template Library kan tillate ekstern kjøring av kode, for å tilby ytterligere oppdateringer.
• V3.0 (25. august 2009): Veiledningen er revidert for å gi detaljer om Windows Live Messenger 14.0.8089-utgivelsen og for å informere om fjerningen av Windows Live Hotmail-funksjonen for å legge ved bilder.
• V4.0 (13. oktober 2009): Veiledning revidert for å legge til en oppføring i delen Oppdateringer relatert til ATL for å informere om utgivelsen av Microsofts sikkerhetsbulletin MS09-060, Sikkerhetsproblemer i ActiveX-kontroller for Microsoft Active Template Library (ATL) for Microsoft Office kan tillate ekstern kjøring av kode.

Built at 2014-04-18T01:50:00Z-07:00