Beveiligingsadvies
Microsoft Security Advisory 2562937
Updatepakket voor ActiveX Kill Bits
Gepubliceerd: 09 augustus 2011
Versie: 1.0
Algemene gegevens
Samenvatting
Microsoft brengt een nieuwe set ActiveX kill-bits uit met dit advies.
Met deze update worden de kill-bits ingesteld voor de volgende software van derden:
- CheckPoint SSL VPN On-Demand-toepassingen. Controlepunt heeft een advies en een update uitgegeven waarmee beveiligingsproblemen worden opgelost. Raadpleeg het advies van CheckPoint voor meer informatie. Deze kill-bit wordt ingesteld op verzoek van de eigenaar van het ActiveX-besturingselement. Klanten die ondersteuning nodig hebben, moeten contact opnemen met CheckPoint. De klasse-id's (CLSID's) voor dit ActiveX-besturingselement worden vermeld in de sectie Kill Bits van derden van dit advies.
- ActBar. IBM heeft een advies en een update uitgegeven die betrekking heeft op beveiligingsproblemen. Raadpleeg het advies van IBM voor meer informatie. Deze kill-bit wordt ingesteld op verzoek van de eigenaar van het ActiveX-besturingselement. Klanten die ondersteuning nodig hebben, moeten contact opnemen met IBM. De klasse-id's (CLSID's) voor dit ActiveX-besturingselement worden vermeld in de sectie Kill Bits van derden van dit advies.
- EBI R Web Toolkit. Honeywell heeft een advies uitgegeven dat betrekking heeft op beveiligingsproblemen. Raadpleeg het advies van Honeywell voor meer informatie. Deze kill-bit wordt ingesteld op verzoek van de eigenaar van het ActiveX-besturingselement. Klanten die ondersteuning nodig hebben, moeten contact opnemen met Honeywell. De klasse-id's (CLSID's) voor dit ActiveX-besturingselement worden vermeld in de sectie Kill Bits van derden van dit advies.
Adviesdetails
Probleemverwijzingen
Zie de volgende verwijzingen voor meer informatie over dit probleem:
| Verwijzingen | Kenmerk |
|---|---|
| Microsoft Knowledge Base-artikel | 2562937 |
Verwante software
In dit advies worden de volgende software besproken.
| Verwante software |
|---|
| Windows XP Service Pack 3 |
| Windows XP Professional x64 Edition Service Pack 2 |
| Windows Server 2003 Service Pack 2 |
| Windows Server 2003 x64 Edition Service Pack 2 |
| Windows Server 2003 met SP2 voor op Itanium gebaseerde systemen |
| Windows Vista Service Pack 2 |
| Windows Vista x64 Edition Service Pack 2 |
| Windows Server 2008 voor 32-bits systemen Service Pack 2** |
| Windows Server 2008 voor x64-systemen Service Pack 2** |
| Windows Server 2008 voor Op Itanium gebaseerde systemen Service Pack 2 |
| Windows 7 voor 32-bits systemen en Windows 7 voor 32-bits systemen Service Pack 1 |
| Windows 7 voor x64-systemen en Windows 7 voor x64-systemen Service Pack 1 |
| Windows Server 2008 R2 voor x64-systemen en Windows Server 2008 R2 voor x64-systemen Service Pack 1** |
| Windows Server 2008 R2 voor Op Itanium gebaseerde systemen en Windows Server 2008 R2 voor Op Itanium gebaseerde systemen Service Pack 1 |
**De installatie van Server Core is niet beïnvloed. Deze update is niet van toepassing op ondersteunde edities van Windows Server 2008 of Windows Server 2008 R2 zoals aangegeven, wanneer deze is geïnstalleerd met behulp van de Server Core-installatieoptie. Zie de TechNet-artikelen over het beheren van een Server Core-installatie en onderhoud van een Server Core-installatie voor meer informatie over deze installatieoptie. Houd er rekening mee dat de Server Core-installatieoptie niet van toepassing is op bepaalde edities van Windows Server 2008 en Windows Server 2008 R2; zie Server Core-installatieopties vergelijken.
Veelgestelde vragen
Welke kill bits bevat deze cumulatieve beveiligingsupdate van ActiveX Kill Bits?
Deze cumulatieve beveiligingsupdate van ActiveX Kill Bits bevat nieuwe kill-bits en alle kill-bits die eerder zijn uitgebracht in MS08-023, beveiligingsupdate van ActiveX Kill Bits; MS08-032, cumulatieve beveiligingsupdate van ActiveX Kill Bits; MS09-032, cumulatieve beveiligingsupdate van ActiveX Kill Bits; MS09-055, cumulatieve beveiligingsupdate van ActiveX Kill Bits; MS10-008, cumulatieve beveiligingsupdate van ActiveX Kill Bits; MS10-034, cumulatieve beveiligingsupdate van ActiveX Kill Bits; MS11-027, cumulatieve beveiligingsupdate van ActiveX Kill Bits; en adviezen met de titel Updatepakket voor ActiveX Kill Bits, Microsoft Security Advisory 953839, Microsoft Security Advisory 956391, Microsoft Security Advisory 960715 en Microsoft Security Advisory 969898.
Wat is een kill bit?
Een beveiligingsfunctie in Microsoft Internet Explorer maakt het mogelijk om te voorkomen dat een ActiveX-besturingselement ooit wordt geladen door de HTML-renderingengine van Internet Explorer. Dit wordt gedaan door een registerinstelling te maken en wordt aangeduid als het instellen van de kill-bit. Nadat de kill-bit is ingesteld, kan het besturingselement nooit worden geladen, zelfs wanneer het volledig is geïnstalleerd. Het instellen van de kill-bit zorgt ervoor dat zelfs als een kwetsbaar onderdeel wordt geïntroduceerd of opnieuw wordt geïntroduceerd in een systeem, het inert en ongevaarlijk blijft.
Zie het Microsoft Knowledge Base-artikel 240797 voor meer informatie over kill-bits: Een ActiveX-besturingselement niet meer uitvoeren in Internet Explorer.
Wat is een beveiligingsupdate van ActiveX kill bits?
Een beveiligingsupdate van ActiveX kill-bits bevat de klasse-id's (CLSID) van bepaalde ActiveX-besturingselementen die de basis vormen van de beveiligingsupdate.
Waarom bevat deze update geen binaire bestanden?
Deze update brengt alleen wijzigingen aan in het register om de besturingselementen uit te schakelen van instantiëren in Internet Explorer.
Moet ik deze update installeren als ik het betreffende onderdeel niet heb geïnstalleerd of het betreffende platform gebruik?
Ja. Als u deze update installeert, wordt het kwetsbare besturingselement niet uitgevoerd in Internet Explorer.
Moet ik deze update opnieuw toepassen als ik op een later tijdstip een ActiveX-besturingselement installeer dat in deze beveiligingsupdate wordt besproken?
Nee, het opnieuw toewijzen van deze update is niet vereist. De kill-bit blokkeert Internet Explorer het uitvoeren van het besturingselement, zelfs als het besturingselement op een latere datum is geïnstalleerd.
Bevat deze update kill bits die niet specifiek zijn voor Microsoft?
Ja. Microsoft is door organisaties gevraagd de kill-bit in te stellen voor besturingselementen die de organisatie bezit en kwetsbaar zijn. Zie de subsectie 'Kill Bits van derden' in de sectie Informatie over beveiligingsproblemen .
Bevat deze update kill-bits die eerder zijn uitgebracht in een beveiligingsupdate van Internet Explorer?
Nee, deze update bevat geen kill-bits die eerder zijn uitgebracht in een beveiligingsupdate van Internet Explorer. U wordt aangeraden de meest recente cumulatieve beveiligingsupdate voor Internet Explorer te installeren.
Waarom brengt Microsoft dit updatepakket uit voor ActiveX Kill Bits met een beveiligingsadvies wanneer eerdere kill bit-updates zijn uitgebracht met een beveiligingsbulletin?
Microsoft brengt dit updatepakket voor ActiveX Kill Bits uit met een advies omdat de nieuwe kill-bits geen invloed hebben op Microsoft-software.
Waarom heeft dit advies geen beveiligingsclassificatie?
Deze update bevat nieuwe kill-bits voor besturingselementen van derden. Microsoft biedt geen beveiligingsclassificatie voor kwetsbare controles van derden.
Voorgestelde acties en tijdelijke oplossingen
Voorgestelde acties
Raadpleeg het Microsoft Knowledge Base-artikel dat is gekoppeld aan dit advies.
Microsoft moedigt klanten aan deze update te installeren. Klanten die meer willen weten over deze update, moeten het Microsoft Knowledge Base-artikel 2562937 bekijken.
Tijdelijke oplossingen
Tijdelijke oplossing verwijst naar een instelling of configuratiewijziging die het onderliggende probleem niet corrigeert, maar zou helpen bekende aanvalsvectoren te blokkeren voordat een beveiligingsupdate beschikbaar is.
Voorkomen dat COM-objecten worden uitgevoerd in Internet Explorer
U kunt pogingen uitschakelen om een COM-object in Internet Explorer te instantiëren door de kill-bit voor het besturingselement in het register in te stellen.
Waarschuwing Als u de Register-editor onjuist gebruikt, kan dit ernstige problemen veroorzaken waarvoor u het besturingssysteem mogelijk opnieuw moet installeren. Microsoft kan niet garanderen dat u problemen kunt oplossen die het gevolg zijn van een onjuist gebruik van de Register-editor. Gebruik Register-editor op eigen risico.
Zie het Microsoft Knowledge Base-artikel 240797 voor gedetailleerde stappen die u kunt gebruiken om te voorkomen dat een besturingselement wordt uitgevoerd in Internet Explorer. Volg de stappen in dit artikel om een waarde voor compatibiliteitsvlaggen in het register te maken om te voorkomen dat een COM-object wordt geïnstantieerd in Internet Explorer.
De kill-bit voor een CLSID instellen met de waarde {B4CB50E4-0309-4906-86EA-10B6641C8392}, {E4F874A0-56ED-11D0-9C43-00A0C90F29FC} en {FB7FE605-A832-11D1-88A8-0000E8D220A6}, plakt u de volgende tekst in een teksteditor zoals Kladblok. Sla het bestand vervolgens op met behulp van de bestandsextensie .reg.
Windows Registry Editor versie 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{B4CB50E4-0309-4906-86EA-10B6641C8392}] "Compatibility Flags"=dword:00000400
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\ActiveX Compatibility\{B4CB50E4-0309-4906-86EA-10B6641C8392}] "Compatibiliteitsvlagmen"=dword:00000400
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{E4F874A0-56ED-11D0-9C43-00A0C90F29FC}] "Compatibiliteitsvlagmen"=dword:00000400
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\ActiveX Compatibility\{E4F874A0-56ED-11D0-9C43-00A0C90F29FC}] "Compatibiliteitsvlagmen"=dword:00000400
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{FB7FE605-A832-11D1-88A8-0000E8D220A6}] "Compatibiliteitsvlagmen"=dword:00000400
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\ActiveX Compatibility\{FB7FE605-A832-11D1-88A8-0000E8D220A6}] "Compatibiliteitsvlagmen"=dword:00000400
U kunt dit .reg bestand toepassen op afzonderlijke systemen door erop te dubbelklikken. U kunt deze ook toepassen op meerdere domeinen met behulp van Groepsbeleid. Zie het TechNet-artikel, de verzameling Groepsbeleid, voor meer informatie over Groepsbeleid.
Opmerking U moet Internet Explorer opnieuw starten om uw wijzigingen van kracht te laten worden.
Gevolgen van tijdelijke oplossing. Er is geen impact zolang het object niet bedoeld is om te worden gebruikt in Internet Explorer.
De tijdelijke oplossing ongedaan maken. Verwijder de registersleutels die u eerder hebt toegevoegd bij het implementeren van deze tijdelijke oplossing.
Kill bits van derden
Deze update bevat kill-bits om te voorkomen dat de volgende ActiveX-besturingselementen worden uitgevoerd in Internet Explorer:
- CheckPoint SSL VPN On-Demand-toepassingen. De volgende klasse-id heeft betrekking op een aanvraag van CheckPoint om de kill-bit in te stellen voor een ActiveX-besturingselement dat kwetsbaar is. Meer informatie vindt u in het advies dat door CheckPoint is uitgegeven. De klasse-id (CLSID) voor dit ActiveX-besturingselement is:
- {B4CB50E4-0309-4906-86EA-10B6641C8392}
- ActBar. De volgende klasse-id heeft betrekking op een aanvraag van IBM om de kill-bit in te stellen voor dit ActiveX-besturingselement dat kwetsbaar is. Meer informatie vindt u in het advies van IBM. De klasse-id (CLSID) voor dit ActiveX-besturingselement is:
- {E4F874A0-56ED-11D0-9C43-00A0C90F29FC}
- EBI R Web Toolkit. De volgende klasse-id heeft betrekking op een verzoek van Honeywell om de kill-bit in te stellen voor dit ActiveX-besturingselement dat kwetsbaar is. Meer informatie vindt u in het advies van Honeywell. De klasse-id (CLSID) voor dit ActiveX-besturingselement is:
- {FB7FE605-A832-11D1-88A8-0000E8D220A6}
Overige informatie
Microsoft Active Protections Program (MAPP)
Om de beveiliging voor klanten te verbeteren, biedt Microsoft informatie over beveiligingsproblemen aan belangrijke beveiligingssoftwareproviders voorafgaand aan elke maandelijkse beveiligingsupdaterelease. Beveiligingssoftwareproviders kunnen deze beveiligingsinformatie vervolgens gebruiken om bijgewerkte beveiligingen te bieden aan klanten via hun beveiligingssoftware of -apparaten, zoals antivirussoftware, netwerkgebaseerde inbraakdetectiesystemen of systemen voor inbraakpreventie op basis van een host. Als u wilt bepalen of actieve beveiligingen beschikbaar zijn bij beveiligingssoftwareproviders, gaat u naar de actieve beveiligingswebsites die worden geleverd door programmapartners, vermeld in MAPP-partners (Microsoft Active Protections Program).
Feedback
- U kunt feedback geven door het Microsoft Help- en ondersteuningsformulier, de klantenservice contact met ons op te geven.
Ondersteuning
- Klanten in de Verenigde Staten en Canada kunnen technische ondersteuning van Security Support ontvangen. Zie Microsoft Help en ondersteuning voor meer informatie over beschikbare ondersteuningsopties.
- Internationale klanten kunnen ondersteuning krijgen van hun lokale Microsoft-dochterondernemingen. Ga naar Internationale ondersteuning voor meer informatie over hoe u contact kunt opnemen met Microsoft voor internationale ondersteuningsproblemen.
- Microsoft TechNet Security biedt aanvullende informatie over beveiliging in Microsoft-producten.
Vrijwaring
De informatie die in dit advies wordt verstrekt, wordt "zoals zodanig" verstrekt zonder enige garantie. Microsoft wijst alle garanties af, hetzij uitdrukkelijk of impliciet, met inbegrip van de garanties van verkoopbaarheid en geschiktheid voor een bepaald doel. In geen geval is Microsoft Corporation of haar leveranciers aansprakelijk voor enige schade, waaronder directe, indirecte, incidentele, gevolgschade, verlies van bedrijfswinst of speciale schade, zelfs als Microsoft Corporation of haar leveranciers op de hoogte zijn gesteld van de mogelijkheid van dergelijke schade. Sommige staten staan de uitsluiting of beperking van aansprakelijkheid voor gevolgschade of incidentele schade niet toe, zodat de voorgaande beperking mogelijk niet van toepassing is.
Revisies
- V1.0 (9 augustus 2011): Advies gepubliceerd.
Gebouwd op 2014-04-18T13:49:36Z-07:00