Exporteren (0) Afdrukken
Alles uitvouwen

Microsoft-beveiligingsadvies 2562937

Updatepakket voor ActiveX kill-bits

Gepubliceerd: dinsdag 9 augustus 2011

Versie: 1.0

Algemene informatie

Samenvatting

Microsoft geeft bij dit advies een nieuwe set ActiveX-kill-bits vrij.

Met deze update worden kill-bits voor de volgende software van derden ingesteld:

  • CheckPoint SSL VPN On-Demand-toepassingen. CheckPoint heeft een advies uitgegeven en een update uitgebracht waarmee beveiligingslekken worden opgelost. Zie het advies van CheckPoint voor meer informatie. Deze kill-bit wordt ingesteld op verzoek van de eigenaar van het ActiveX-besturingselement. Klanten die hiervoor ondersteuning nodig hebben, moeten contact opnemen met CheckPoint. De klasse-identificaties (CLSID's) voor dit ActiveX-besturingselement staan in de sectie Kill-bits voor derden van dit advies.
  • ActBar. IBM heeft een advies uitgegeven en een update uitgebracht waarmee beveiligingslekken worden opgelost. Zie het advies van IBM voor meer informatie. Deze kill-bit wordt ingesteld op verzoek van de eigenaar van het ActiveX-besturingselement. Klanten die hiervoor ondersteuning nodig hebben, moeten contact opnemen met IBM. De klasse-identificaties (CLSID's) voor dit ActiveX-besturingselement staan in de sectie Kill-bits voor derden van dit advies.
  • EBI R Web Toolkit. Honeywell heeft een advies uitgebracht waarmee beveiligingslekken worden opgelost. Zie het advies van Honeywell voor meer informatie. Deze kill-bit wordt ingesteld op verzoek van de eigenaar van het ActiveX-besturingselement. Klanten die hiervoor ondersteuning nodig hebben, moeten contact opnemen met Honeywell. De klasse-identificaties (CLSID's) voor dit ActiveX-besturingselement staan in de sectie Kill-bits voor derden van dit advies.

Details van het advies

Referenties met betrekking tot het probleem

Zie de volgende referenties voor meer informatie over dit probleem:

Meer informatieIdentificatie
Microsoft Knowledge Base-artikel 2562937

Verwante software

Dit advies betreft de volgende software:

Verwante software
Windows XP Service Pack 3
Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition Service Pack 2
Windows Server 2003 met SP2 voor Itanium-systemen
Windows Vista Service Pack 2
Windows Vista x64 Edition Service Pack 2
Windows Server 2008 voor 32-bits systemen Service Pack 2**
Windows Server 2008 voor x64-systemen Service Pack 2**
Windows Server 2008 voor Itanium-systemen Service Pack 2
Windows 7 voor 32-bits systemen en Windows 7 voor 32-bits systemen met Service Pack 1
Windows 7 voor x64-systemen en Windows 7 voor x64-systemen met Service Pack 1
Windows Server 2008 R2 voor x64-systemen en Windows Server 2008 R2 voor x64-systemen met Service Pack 1**
Windows Server 2008 R2 voor Itanium-systemen en Windows Server 2008 R2 voor Itanium-systemen met Service Pack 1

**De Server Core-installatie wordt niet getroffen door dit beveiligingslek. Deze update is niet van toepassing op de ondersteunde edities van Windows Server 2008 of Windows Server 2008 R2, zoals is aangegeven, als deze zijn geïnstalleerd met behulp van de Server Core-installatieoptie. Zie de TechNet-artikelen Managing a Server Core Installation en Servicing a Server Core Installation voor meer informatie over deze installatieoptie. De Server Core-installatieoptie kan niet worden toegepast op bepaalde edities van Windows Server 2008 en Windows Server 2008 R2. Zie hiervoor Server Core-installatieopties vergelijken.

Welke kill-bits bevat deze cumulatieve beveiligingsupdate van ActiveX kill-bits?  
Deze cumulatieve beveiligingsupdate van ActiveX kill-bits bevat nieuwe kill-bits en alle kill-bits die eerder zijn gepubliceerd in MS08-023, beveiligingsupdate van ActiveX kill-bits; MS08-032, cumulatieve beveiligingsupdate van ActiveX kill-bits; MS09-032, cumulatieve beveiligingsupdate van ActiveX kill-bits; MS09-055, cumulatieve beveiligingsupdate van ActiveX kill-bits; MS10-008, cumulatieve beveiligingsupdate van ActiveX kill-bits; MS10-034, cumulatieve beveiligingsupdate van ActiveX kill-bits; MS11-027, cumulatieve beveiligingsupdate van ActiveX kill-bits; en de adviezen genaamd Updatepakket voor ActiveX kill-bits, Microsoft-beveiligingsadvies 953839, Microsoft-beveiligingsadvies 956391, Microsoft-beveiligingsadvies 960715, en Microsoft-beveiligingsadvies 969898.

Wat is een kill-bit?
Er is een beveiligingsfunctie in Microsoft Internet Explorer waarmee wordt voorkomen dat een ActiveX-besturingselement ooit opnieuw wordt geladen door de HTML-rendering-engine van Internet Explorer. Dit gebeurt door het wijzigen van een registerinstelling. Deze actie wordt aangeduid als het instellen van de kill-bit. Als de kill-bit eenmaal is ingesteld, kan het besturingselement niet meer worden geladen (zelfs niet als het volledig is geïnstalleerd). Door deze maatregel bent u ervan verzekerd dat zelfs bij het installeren of opnieuw installeren van een kwetsbaar onderdeel op een systeem, het onderdeel passief en ongevaarlijk blijft.

Zie Microsoft Knowledge Base-artikel 240797 voor meer informatie over kill-bits: Uitvoering van een ActiveX-besturingselement in Internet Explorer voorkomen.

Wat is een beveiligingsupdate van ActiveX kill-bits?  
Een beveiligingsupdate voor ActiveX kill-bits bevat de klasse-identificaties (CLSID) van bepaalde ActiveX-besturingselementen die de basis van de beveiligingsupdate vormen.

Waarom bevat deze update geen binaire bestanden?  
Deze update brengt alleen veranderingen in het register aan om te voorkomen dat Internet Explorer de besturingselementen kan starten.

Moet ik deze update installeren als ik het onderdeel waarin dit probleem optreedt niet heb geïnstalleerd of als ik het platform waarop dit probleem optreedt, niet gebruik?  
Ja. Als u deze update installeert, wordt voorkomen dat het kwetsbare besturingselement in Internet Explorer wordt gestart.

Moet ik deze update opnieuw toepassen als ik op een later tijdstip een ActiveX-besturingselement installeer dat in deze beveiligingsupdate wordt genoemd?  
Nee, u hoeft de update niet opnieuw toe te passen. De kill-bit voorkomt dat Internet Explorer het besturingselement start, zelfs als het besturingselement op een latere datum wordt geïnstalleerd.

Bevat deze update kill-bits die niet Microsoft-specifiek zijn?  
Ja. Microsoft is door organisaties verzocht de kill-bit in te stellen voor besturingselementen die de organisatie in bezit heeft en die volgens de organisaties kwetsbaar zijn. Zie de subsectie "Kill-bits voor derden" in het onderdeel Informatie over het beveiligingslek.

Bevat deze update kill-bits die eerder zijn uitgebracht in een beveiligingsupdate voor Internet Explorer?  
Nee, deze update bevat geen kill-bits die al eerder in een beveiligingsupdate voor Internet Explorer zijn uitgebracht. Wij raden aan de laatste cumulatieve beveiligingsupdate voor Internet Explorer te installeren.

Waarom geeft Microsoft dit updatepakket voor ActiveX-kill-bits met een beveiligingsadvies uit als er al eerder kill-bitupdates bij een beveiligingsbulletin zijn uitgegeven?  
Microsoft geeft dit updatepakket voor ActiveX-kill-bits met een advies uit omdat de nieuwe kill-bits geen gevolgen hebben voor Microsoft-software.

Waarom heeft dit advies geen prioriteitsniveau?  
Deze update bevat nieuwe kill-bits voor besturingselementen van derden. Microsoft wijst geen prioriteiten toe aan kwetsbare besturingselementen van derden.

Voorgestelde acties

  • Lees het Microsoft Knowledge Base-artikel dat bij dit advies hoort.

    Microsoft raadt klanten aan om deze update te installeren. Klanten die meer willen weten over deze update, wordt aangeraden Microsoft Knowledge Base-artikel 2562937 te lezen.

Tijdelijke oplossingen

Tijdelijke oplossingen zijn wijzigingen in een instelling of configuratie waardoor het probleem zelf niet wordt opgelost, maar waarmee aanvalsvectoren wel worden geblokkeerd voordat er een beveiligingsupdate beschikbaar is.

  • Verhinderen dat COM-objecten in Internet Explorer worden gestart

    U kunt pogingen om een COM-object in Internet Explorer te starten, verhinderen door de kill-bit voor het besturingselement in het register in te stellen.

    Waarschuwing Als u de Register-editor onjuist gebruikt, kan dit tot zeer ernstige problemen leiden waardoor u het besturingssysteem mogelijk opnieuw dient te installeren. Microsoft kan niet garanderen dat problemen die ontstaan als gevolg van een onjuist gebruik van de Register-editor, kunnen worden opgelost. Het gebruik van de Register-editor is voor eigen risico.

    Voor uitvoerige stappen over het uitschakelen van een besturingselement in Internet Explorer verwijzen wij u naar Microsoft Knowledge Base-artikel 240797. Volg de stappen en breng een compatibiliteitsvlagwaarde aan in het register om te voorkomen dat een COM-object in Internet Explorer wordt gestart.

    Om de kill-bit voor een CLSIDs met de waarde B4CB50E4-0309-4906-86EA-10B6641C8392}, {E4F874A0-56ED-11D0-9C43-00A0C90F29FC} en {FB7FE605-A832-11D1-88A8-0000E8D220A6} in te stellen, dient u de volgende tekst in een teksteditor te plakken, bijvoorbeeld in Kladblok. Sla het bestand vervolgens op met de extensie .reg.

    Windows Registry-editor versie 5.00
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{B4CB50E4-0309-4906-86EA-10B6641C8392}]
    "Compatibility Flags"=dword:00000400

    [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\ActiveX Compatibility\{B4CB50E4-0309-4906-86EA-10B6641C8392}]
    "Compatibility Flags"=dword:00000400

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{E4F874A0-56ED-11D0-9C43-00A0C90F29FC}]
    "Compatibility Flags"=dword:00000400

    [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\ActiveX Compatibility\{E4F874A0-56ED-11D0-9C43-00A0C90F29FC}]
    "Compatibility Flags"=dword:00000400

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{FB7FE605-A832-11D1-88A8-0000E8D220A6}]
    "Compatibility Flags"=dword:00000400

    [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\ActiveX Compatibility\{FB7FE605-A832-11D1-88A8-0000E8D220A6}]
    "Compatibility Flags"=dword:00000400

    U kunt dit REG-bestand op afzonderlijke systemen toepassen door erop te dubbelklikken. U kunt het bestand ook met behulp van Groepsbeleid in domeinen toepassen. Zie het TechNet-artikel Verzameling groepsbeleidsregels voor meer informatie over Groepsbeleid.

    Opmerking U moet Internet Explorer opnieuw starten om de wijzigingen te laten ingaan.

    Gevolgen van de tijdelijke oplossing. Geen, zolang het object niet in Internet Explorer wordt gebruikt.

    De tijdelijke oplossing ongedaan maken. Verwijder de registersleutels die eerder zijn toegevoegd bij het toepassen van deze tijdelijke oplossing.

Deze update omvat kill-bits die voorkomen dat de volgende ActiveX-besturingselementen in Internet Explorer worden uitgevoerd:

  • CheckPoint SSL VPN On-Demand-toepassingen . De volgende klasse-identificatie heeft betrekking op een aanvraag door CheckPoint om de kill-bit in te stellen voor een kwetsbaar ActiveX-besturingselement. Verdere details kunt u vinden in het advies dat door CheckPoint is uitgegeven. De klasse-identificatie (CLSID) voor dit ActiveX-besturingselement is:
    • {B4CB50E4-0309-4906-86EA-10B6641C8392}
  • ActBar. De volgende klasse-identificatie heeft betrekking op een aanvraag door IBM om de kill-bit in te stellen voor een kwetsbaar ActiveX-besturingselement. Verdere details kunt u vinden in het advies dat door IBM is uitgegeven. De klasse-identificatie (CLSID) voor dit ActiveX-besturingselement is:
    • {E4F874A0-56ED-11D0-9C43-00A0C90F29FC}
  • EBI R Web Toolkit. De volgende klasse-identificatie heeft betrekking op een aanvraag door Honeywell om de kill-bit in te stellen voor een kwetsbaar ActiveX-besturingselement. Verdere details kunt u vinden in het advies dat door Honeywell is uitgegeven. De klasse-identificatie (CLSID) voor dit ActiveX-besturingselement is:
    • {FB7FE605-A832-11D1-88A8-0000E8D220A6}

Overige informatie

Microsoft Active Protections Program (MAPP)

Om de beveiliging voor klanten te verbeteren, verstrekt Microsoft bij elke maandelijkse uitgifte van beveiligingsupdates informatie over beveiligingslekken aan de grote producenten van beveiligingsprogramma's. Deze producenten kunnen dan die informatie over beveiligingslekken gebruiken om hun klanten een betere beveiliging te bieden door hun software of apparatuur aan te passen, zoals antivirusprogramma's, inbraakdetectiesystemen voor netwerken of inbraakpreventiesystemen voor hosts. Op de websites van de programmapartners (zie Microsoft Active Protections Program (MAPP)-partners) kunt u nagaan of de leveranciers van beveiligingsprogramma's hun producten steeds aanpassen.

Feedback

Ondersteuning

Uitsluiting van aansprakelijkheid

De informatie in dit advies wordt geleverd 'in de huidige staat' zonder enige garantie. Microsoft wijst hierbij alle expliciete of impliciete garanties van de hand, met inbegrip van alle garanties betreffende de verhandelbaarheid en geschiktheid voor een bepaald doel. Voorzover maximaal is toegestaan op grond van toepasselijk recht zijn Microsoft Corporation en/of haar leveranciers in geen geval aansprakelijk voor enige directe, indirecte of incidentele schade, bijzondere schade, gevolgschade of schade ten gevolge van het verlies van winsten, zelfs als Microsoft Corporation of haar leveranciers van de mogelijkheid van dergelijke schade op de hoogte is gesteld. Aangezien sommige staten/rechtssystemen uitsluiting of beperking van aansprakelijkheid voor gevolgschade of incidentele schade niet toestaan, is de voorgaande beperking wellicht niet op u van toepassing.

Revisies

  • V1.0 (9 augustus 2011): Advies gepubliceerd.

Built at 2014-04-18T01:50:00Z-07:00

Vindt u dit nuttig?
(1500 tekens resterend)
Bedankt voor uw feedback
Weergeven:
© 2015 Microsoft