Exporteren (0) Afdrukken
Alles uitvouwen

Microsoft-beveiligingsadvies 953818

Bedreiging door gecombineerde aanval met Apple Safari op het Windows-platform

Gepubliceerd: vrijdag 30 mei 2008 | Bijgewerkt: dinsdag 14 april 2009

Versie: 2.0

Microsoft heeft een nieuwe melding onderzocht van een bedreiging waardoor externe code kan worden uitgevoerd op alle ondersteunde versies van Windows XP en Windows Vista als Apple Safari voor Windows is geïnstalleerd. Safari wordt niet standaard op Windows XP of Windows Vista geïnstalleerd; het programma moet afzonderlijk of middels de toepassing Apple Software Update worden geïnstalleerd. Klanten die Safari gebruiken in Windows wordt aangeraden dit advies grondig te lezen.

Wij hebben Microsoft-beveiligingsbulletin MS09-014, Cumulatieve beveiligingsupdate voor Internet Explorer (963027), en MS09-015, Dreiging van beveiligingslek in SearchPath kan leiden tot misbruik van bevoegdheden (959426), uitgebracht om dit probleem op te lossen. Raadpleeg MS09-014 en MS09-015 voor meer informatie over dit probleem, waaronder downloadkoppelingen naar beveiligingsupdates.

Apple Support heeft een beveiligingsadvies uitgegeven waarin het beveiligingslek in Safari 3.1.2 van Apple voor Windows wordt opgelost. Zie voor meer informatie het Apple-beveiligingsbulletin About the security content of Safari 3.1.2 for Windows.

Beperkende factoren:

  • Deze bedreiging is niet van toepassing op klanten die de standaardlocatie hebben gewijzigd waar Safari content downloadt naar het lokale station.

Algemene informatie

Doel van het advies: Klanten vroegtijdig informeren en aanvullende informatie bieden over de gevolgen voor de Windows-platforms waarin het probleem optreedt.

Status van het advies: Advies gepubliceerd.

Aanbeveling: De voorgestelde acties beoordelen en waar van toepassing configureren.

Meer informatieIdentificatie
In het Microsoft Knowledge Base-artikel 953818
Microsoft-beveiligingsbulletin MS04-013 MS09-014
Microsoft-beveiligingsbulletin MS04-013 MS09-015
CVE-verwijzing CVE-2008-2540

Dit advies betreft de volgende software:

Verwante software
Windows XP Service Pack 2
Windows XP Service Pack 3
Windows XP Professional x64 Edition
Windows XP Professional x64 Edition Service Pack 2
Windows Vista
Windows Vista Service Pack 1
Windows Vista x64 Edition
Windows Vista x64 Edition Service Pack 1
Internet Explorer 6 voor Windows XP Service Pack 2, Windows XP Service Pack 3, Windows XP Professional x64 Edition en Windows XP Professional x64 Edition Service Pack 2
Internet Explorer 7 voor Windows XP Service Pack 2, Windows XP Service Pack 3, Windows XP Professional x64 Edition en Windows XP Professional x64 Edition Service Pack 2
Internet Explorer 7 voor Windows Vista, Windows Vista Service Pack 1, Windows Vista x64 Edition en Windows Vista x64 Edition Service Pack 1

Wat is de omvang van het advies?
In dit advies wordt uitleg gegeven over meldingen van een bedreiging waardoor externe code kan worden uitgevoerd, wat gevolgen heeft voor alle ondersteunde edities van Windows XP en Windows Vista. Voor een volledige lijst van software waarin dit probleem optreedt, bekijkt u de software in het gedeelte "Overzicht".

Is dit beveiligingslek dermate ernstig dat Microsoft er een beveiligingsupdate voor moet uitbrengen?
Wij hebben Microsoft-beveiligingsbulletin MS09-014, Cumulatieve beveiligingsupdate voor Internet Explorer (963027), en MS09-015, Dreiging van beveiligingslek in SearchPath kan leiden tot misbruik van bevoegdheden (959426), uitgebracht om dit probleem op te lossen.

Wat kunnen de gevolgen van deze bedreiging zijn?
Er ontstaat een bedreiging door de combinatie van de standaarddownloadlocatie in Safari en hoe het Windows-bureaublad omgaat met uitvoerbare bestanden. Hierbij kunnen bestanden ongevraagd worden gedownload naar de computer van een gebruiker en worden uitgevoerd. Safari is afzonderlijk of via de toepassing Apple Software Update te installeren.

Met welk doel kan een kwaadwillende deze functie misbruiken?
Een aanvaller kan gebruikers ertoe overhalen om naar een speciaal vervaardigde website te gaan die content kan downloaden naar de computer van een gebruiker en die de content lokaal kan uitvoeren met dezelfde machtigingen als de aangemelde gebruiker.

  • Pas de updates in Microsoft-beveiligingsbulletin MS09-014, Cumulatieve beveiligingsupdate voor Internet Explorer (963027), en MS09-015, Dreiging van beveiligingslek in SearchPath kan leiden tot misbruik van bevoegdheden (959426), toe op uw omgeving.
  • Indien u Apple Safari op Windows gebruikt, controleer dan of het versie 3.1.2 of hoger betreft. De nieuwste Apple Safari-update is verkrijgbaar via Apple Safari Download.
  • Lees het Microsoft Knowledge Base-artikel dat bij dit advies hoort.

Tijdelijke oplossingen

Microsoft heeft een aantal methoden getest om het probleem te omzeilen. Het probleem wordt er niet door verholpen, maar bekende aanvalsvectoren kunnen ermee worden geblokkeerd. Wanneer de functionaliteit wordt beperkt door een oplossing, wordt dat aangegeven in het volgende gedeelte.

  • De downloadlocatie van de inhoud in Safari wijzigen in een nieuwe map
    1. Maak een nieuwe map, bijvoorbeeld c:\Safaridownload.
    2. Klik in Safari op Edit en wijs vervolgens Preferences aan.
    3. Selecteer bij de optie Save Downloaded Files to: de nieuwe map.

Overige informatie

Dankbetuiging:

  • Aviv Raff voor de samenwerking en het melden van de bedreiging voor Safari en Microsoft Internet Explorer

Informatiebronnen:

Uitsluiting van aansprakelijkheid:

De informatie in dit advies wordt geleverd 'in de huidige staat' zonder enige garantie. Microsoft wijst hierbij alle expliciete of impliciete garanties van de hand, met inbegrip van alle garanties betreffende de verhandelbaarheid en geschiktheid voor een bepaald doel. Voorzover maximaal is toegestaan op grond van toepasselijk recht zijn Microsoft Corporation en/of haar leveranciers in geen geval aansprakelijk voor enige directe, indirecte of incidentele schade, bijzondere schade, gevolgschade of schade ten gevolge van het verlies van winsten, zelfs als Microsoft Corporation of haar leveranciers van de mogelijkheid van dergelijke schade op de hoogte is gesteld. Aangezien sommige staten/rechtssystemen uitsluiting of beperking van aansprakelijkheid voor gevolgschade of incidentele schade niet toestaan, is de voorgaande beperking wellicht niet op u van toepassing.

Revisies:

  • V1.0 (30 mei 2008): Advies gepubliceerd.
  • V1.1 (6 juni 2008): Stappen in de tijdelijke oplossing zijn aangepast en de dankbetuiging is bijgewerkt.
  • V1.2 (20 juni 2008): Advies bijgewerkt met koppeling naar verwant Apple-beveiligingsadvies.
  • V1.3 (2 juli 2008): Voorgestelde acties bijgewerkt.
  • V2.0 (14 april 2009): Verwijzingen en koppelingen naar MS09-014 en MS09-015 toegevoegd, waarin het in dit advies beschreven probleem wordt opgelost.

Built at 2014-04-18T01:50:00Z-07:00

Vindt u dit nuttig?
(1500 tekens resterend)
Bedankt voor uw feedback
Weergeven:
© 2015 Microsoft