Beveiligingsadvies
Microsoft Security Advisory 954157
Beveiligingsverbeteringen voor de Indeo-codec
Gepubliceerd: 08 december 2009
Versie: 1.0
Algemene gegevens
Samenvatting
Microsoft kondigt de beschikbaarheid aan van een update die beveiligingsbeperking biedt voor de Indeo-codec op ondersteunde edities van Microsoft Windows 2000, Windows XP en Windows Server 2003.
De Indeo-codec op systemen met Microsoft Windows 2000, Windows XP en Windows Server 2003 kan externe code-uitvoering toestaan bij het openen van speciaal gemaakte media-inhoud. De update blokkeert dat de Indeo-codec wordt gestart in Internet Explorer of Windows Media Player. De update verwijdert ook de mogelijkheid voor deze codec die moet worden geladen bij het surfen op internet met andere toepassingen. Door alleen toepassingen toe te staan de Indeo-codec te gebruiken wanneer de media-inhoud afkomstig is van het lokale systeem of van de intranetzone, en door te voorkomen dat Internet Explorer en Windows Mediaspeler de codec helemaal niet kunnen starten, worden met deze update de meest voorkomende vectoren voor externe aanvallen verwijderd, maar kunnen games of andere toepassingen die gebruikmaken van de codec lokaal blijven functioneren.
De update is beschikbaar via automatisch bijwerken en via het Microsoft Downloadcentrum. Klanten die automatisch bijwerken hebben ingeschakeld, hoeven geen actie te ondernemen omdat deze beveiligingsupdate automatisch wordt gedownload en geïnstalleerd. Zie het Microsoft Knowledge Base-artikel 954157 voor meer informatie over dit probleem, inclusief downloadkoppelingen voor deze niet-beveiligingsupdate.
De Indeo-codec kan worden gebruikt en kan op meerdere manieren vereist zijn voor bepaalde toepassingen. De Indeo-codec kan vereist zijn bij het bezoeken van legitieme websites en in line-of-business-toepassingen in de bedrijfsomgeving. Dit is waarschijnlijk een veelvoorkomender scenario voor klanten die oudere besturingssystemen uitvoeren. Daarom wordt deze update automatisch aangeboden aan klanten op oudere besturingssystemen, maar kan de codec nog steeds functioneren in line-of-business-toepassingsscenario's. Aan de andere kant kunnen klanten die geen gebruik voor de codec hebben, ervoor kiezen om een extra stap te nemen en de codec volledig te registreren. Als u de registratie van de codec ongedaan maakt, worden alle aanvalsvectoren verwijderd die gebruikmaken van de Indeo-codec. Zie het Microsoft Knowledge Base-artikel 954157 voor instructies over het ongedaan maken van de registratie van de codec.
We raden klanten aan om ondersteunde edities van Microsoft Windows 2000, Windows XP en Windows 2003 uit te voeren om deze update te controleren en te installeren of de registratie van de Indeo-codec ongedaan te maken. Door deze update te installeren en de registratie van de codec op deze oudere besturingssystemen ongedaan te maken, hebben klanten dezelfde oplossingen opgenomen in Windows Vista en Windows 7.
Adviesdetails
Probleemverwijzingen
Zie de volgende verwijzingen voor meer informatie over dit probleem:
| Verwijzingen | Kenmerk |
|---|---|
| Microsoft Knowledge Base-artikel | 954157 |
Betrokken en niet-beïnvloede software
In dit advies worden de volgende software besproken.
| Betrokken software |
|---|
| Microsoft Windows 2000 Service Pack 4 |
| Windows XP Service Pack 2 en Windows XP Service Pack 3 |
| Windows XP Professional x64 Edition Service Pack 2 |
| Windows Server 2003 Service Pack 2 |
| Windows Server 2003 x64 Edition Service Pack 2 |
| Windows Server 2003 met SP2 voor op Itanium gebaseerde systemen |
| Niet-beïnvloede software |
|---|
| Windows Vista, Windows Vista Service Pack 1 en Windows Vista Service Pack 2 |
| Windows Vista x64 Edition, Windows Vista x64 Edition Service Pack 1 en Windows Vista x64 Edition Service Pack 2 |
| Windows Server 2008 voor 32-bits systemen en Windows Server 2008 voor 32-bits systemen Service Pack 2 |
| Windows Server 2008 voor x64-systemen en Windows Server 2008 voor x64-systemen Service Pack 2 |
| Windows Server 2008 voor Op Itanium gebaseerde systemen en Windows Server 2008 voor Op Itanium gebaseerde Systemen Service Pack 2 |
| Windows 7 voor 32-bits systemen |
| Windows 7 voor x64-systemen |
| Windows Server 2008 R2 voor x64-systemen |
| Windows Server 2008 R2 voor Itanium-systemen |
Veelgestelde vragen
Wat is het bereik van het advies?
Dit advies geeft aan dat een diepgaande update die in dit advies wordt beschreven, beschikbaar is via automatisch bijwerken en ook wordt beschreven in het Microsoft Knowledge Base-artikel 954157. Deze update is van invloed op de software die wordt vermeld in de tabel Betrokken software .
Wat is de Indeo Codec?
De Indeo Codec is een codec die digitale mediabestanden decomprimeert voor gebruik in toepassingen zoals Windows Mediaspeler. Zie Codecs gebruiken voor meer informatie over codecs.
Hoe kan een aanvaller misbruik maken van het beveiligingsprobleem?
Een aanvaller kan een speciaal gemaakte website hosten die is ontworpen om dit beveiligingsprobleem te misbruiken via Internet Explorer en vervolgens een gebruiker overtuigen om de website te bekijken. Dit kan ook gecompromitteerde websites en websites zijn die door de gebruiker geleverde inhoud of advertenties accepteren of hosten. Deze websites kunnen speciaal gemaakte inhoud bevatten die misbruik kan maken van dit beveiligingsprobleem. In alle gevallen zou een aanvaller echter geen enkele manier hebben om gebruikers te dwingen deze websites te bezoeken. In plaats daarvan moet een aanvaller gebruikers overtuigen om de website te bezoeken, meestal door ze te laten klikken op een koppeling in een e-mailbericht of in een Instant Messenger-aanvraag die gebruikers naar de website van de aanvaller brengt.
Het kan ook mogelijk zijn om speciaal gemaakte webinhoud weer te geven door banneradvertenties te gebruiken of door andere methoden te gebruiken om webinhoud aan betrokken systemen te leveren.
Een andere manier waarop een aanvaller dit beveiligingsprobleem kan misbruiken, is door speciaal gemaakte media-inhoud te krijgen op het systeem van een gebruiker dat gebruikmaakt van de Indeo-codec.
Is er een wijziging in de gebruikerservaring nadat deze update is geïnstalleerd?
Nadat de updates in dit artikel zijn geïnstalleerd, merken gebruikers mogelijk dat media-inhoud van websites niet meer in Internet Explorer of in Windows Mediaspeler wordt geladen. Toepassingen of games die gebruikmaken van deze codec van inhoud die zich op het lokale systeem bevinden, blijven werken.
Hoe kan ik de Indeo-codec uitschakelen?
Het is mogelijk om deze codec uit te schakelen door de registratie van de codec ongedaan te maken. Als u de registratie van de codec ongedaan maakt, voorkomt u dat toepassings- of media-inhoud deze codec gebruikt. Zie het Microsoft Knowledge Base-artikel 954157 voor instructies over het ongedaan maken van de registratie van de codec.
Hoe kan ik het gebruik van deze codec opnieuw inschakelen nadat deze update is geïnstalleerd?
Het is mogelijk om de functionaliteit van de Indeo-codec opnieuw in te schakelen nadat deze update is geïnstalleerd. Het opnieuw inschakelen van de codec zal gebruikers blootstellen aan het risico van een aanval op het uitvoeren van externe code en mag alleen worden overwogen als de noodzaak van de functionaliteit van de codec opweegt tegen het risico van blootstelling. Zie het Microsoft Knowledge Base-artikel 954157 voor meer informatie over het opnieuw inschakelen van de codecfunctionaliteit.
Waarom zijn er twee onderdelen aan de update gekoppeld aan dit advies?
Er zijn twee onderdelen voor deze update waarmee u de risico's van de Indeo-codec kunt beperken. Een is de update naar Quartz.dll, het primaire binaire bestand dat wordt gebruikt door Windows Mediaspeler. De tweede is de update die wordt geleverd door de Shim-technologie voor toepassingscompatibiliteit. De mediaspeler-update voorkomt dat toepassingen media-inhoud openen die gebruikmaakt van de Indeo-codec die wordt afgespeeld in de internetzone, terwijl de technologie-update voor toepassingscompatibiliteit Internet Explorer stopt en Windows Mediaspeler media-inhoud laadt die gebruikmaakt van de Indeo-codec.
Waarom is deze update niet gekoppeld aan een beveiligingsbulletin?
Deze update is niet gekoppeld aan een beveiligingsbulletin omdat deze geen specifieke beveiligingsproblemen herstelt, maar in plaats daarvan aanvullende diepgaande oplossingen biedt om oudere besturingssystemen dichter bij hetzelfde beveiligingsniveau te brengen als Windows Vista en Windows 7. Klanten moeten deze update toepassen om de bedreiging in veelvoorkomende scenario's te beperken en de registratie van de Indeo-codec te evalueren om de toegang tot de codec in elk scenario te verwijderen.
Waarom is Microsoft geen specifieke beveiligingsproblemen in deze update aan het oplossen?
De Indeo-codec is een oudere codec die bekend is dat er verschillende beveiligingsproblemen zijn. In plaats van specifieke beveiligingsproblemen op te lossen, maakt Microsoft diepgaande wijzigingen die het kwetsbaarheid voor aanvallen samen verminderen voor bekende beveiligingsproblemen en toekomstige vergelijkbare beveiligingsproblemen.
Factoren beperken
Microsoft heeft geen beperkende factoren voor dit beveiligingsprobleem geïdentificeerd.
Tijdelijke oplossingen
Tijdelijke oplossing verwijst naar een instelling of configuratiewijziging die de onderliggende beveiligingsproblemen niet corrigeert, maar zou helpen bekende aanvalsvectoren te blokkeren. Microsoft heeft de volgende tijdelijke oplossingen en statussen in de discussie getest of een tijdelijke oplossing de functionaliteit vermindert:
De registratie van de Indeo-codec ongedaan maken
Het is mogelijk om deze codec uit te schakelen door de registratie van de codec ongedaan te maken. Zie het Microsoft Knowledge Base-artikel 954157 voor instructies over het ongedaan maken van de registratie van de codec.
Gevolgen van tijdelijke oplossing. Door de registratie van de Indeo-codec wordt voorkomen dat toepassings- of media-inhoud deze codec gebruikt.
De tijdelijke oplossing ongedaan maken. Zie het Microsoft Knowledge Base-artikel 954157 voor informatie over het ongedaan maken van deze tijdelijke oplossing.
Aanvullende voorgestelde acties
Bekijk het Microsoft Knowledge Base-artikel dat is gekoppeld aan dit advies
Zie het Microsoft Knowledge Base-artikel 954157 voor meer informatie over dit probleem.Windows bijgewerkt houden
Alle Windows-gebruikers moeten de nieuwste beveiligingsupdates van Microsoft toepassen om ervoor te zorgen dat hun computers zo goed mogelijk zijn beveiligd. Als u niet zeker weet of uw software up-to-date is, gaat u naar Windows Update, scant u uw computer op beschikbare updates en installeert u eventuele updates met hoge prioriteit die aan u worden aangeboden. Als automatische updates zijn ingeschakeld, worden de updates aan u geleverd wanneer ze worden uitgebracht, maar moet u ervoor zorgen dat u ze installeert. Ga naar Microsoft Security Central voor meer informatie over beveiligingsupdates.
Overige informatie
Erkenningen
Microsoft bedankt voor het werken met ons om klanten te beschermen:
- Paul Byrne van NGS Software voor het melden van de beveiligingsproblemen in de Indeo-codec
- Een anonieme onderzoeker, die werkt met TippingPoint en het Zero Day Initiative, voor het melden van verschillende beveiligingsproblemen in de Indeo-codec
- Bing Liu van Fortinet's FortiGuard Labs voor het melden van de beveiligingsproblemen in de Indeo-codec
- VeriSign iDefense Labs voor het rapporteren van de beveiligingsproblemen in de Indeo-codec
- Dave Lenoe van Adobe voor het melden van de beveiligingsproblemen in de Indeo-codec
- Will Dormann van Cert/CC voor het melden van de beveiligingsproblemen in de Indeo-codec
Feedback
- U kunt feedback geven door het Microsoft Help- en ondersteuningsformulier, de klantenservice contact met ons op te geven.
Ondersteuning
- Klanten in de Verenigde Staten en Canada kunnen technische ondersteuning van Security Support ontvangen. Zie Microsoft Help en ondersteuning voor meer informatie over beschikbare ondersteuningsopties.
- Internationale klanten kunnen ondersteuning krijgen van hun lokale Microsoft-dochterondernemingen. Ga naar Internationale ondersteuning voor meer informatie over hoe u contact kunt opnemen met Microsoft voor internationale ondersteuningsproblemen.
- Microsoft TechNet Security biedt aanvullende informatie over beveiliging in Microsoft-producten.
Vrijwaring
De informatie die in dit advies wordt verstrekt, wordt "zoals zodanig" verstrekt zonder enige garantie. Microsoft wijst alle garanties af, hetzij uitdrukkelijk of impliciet, met inbegrip van de garanties van verkoopbaarheid en geschiktheid voor een bepaald doel. In geen geval is Microsoft Corporation of haar leveranciers aansprakelijk voor enige schade, waaronder directe, indirecte, incidentele, gevolgschade, verlies van bedrijfswinst of speciale schade, zelfs als Microsoft Corporation of haar leveranciers op de hoogte zijn gesteld van de mogelijkheid van dergelijke schade. Sommige staten staan de uitsluiting of beperking van aansprakelijkheid voor gevolgschade of incidentele schade niet toe, zodat de voorgaande beperking mogelijk niet van toepassing is.
Revisies
- V1.0 (8 december 2009): Advies gepubliceerd.
Gebouwd op 2014-04-18T13:49:36Z-07:00