Beveiligingsadvies
Microsoft-beveiligingsadvies 953818
Blended Threat from Combined Attack Using Apple's Safari on the Windows Platform
Gepubliceerd: 30 mei 2008 | Bijgewerkt: 14 april 2009
Versie: 2.0
Microsoft heeft openbare rapporten onderzocht van een gemengde bedreiging waarmee externe code kan worden uitgevoerd op alle ondersteunde versies van Windows XP en Windows Vista wanneer Apple Safari voor Windows is geïnstalleerd. Safari is niet standaard geïnstalleerd met Windows XP of Windows Vista; het moet onafhankelijk of via de Apple Software Update-toepassing worden geïnstalleerd. Klanten die Safari in Windows uitvoeren, moeten dit advies bekijken.
We hebben Microsoft Security Bulletin MS09-014, cumulatieve beveiligingsupdate voor Internet Explorer (963027) en MS09-015, Blended Threat Vulnerability in SearchPath, mogelijk uitbreiding van bevoegdheden (959426) uitgegeven om dit probleem op te lossen. Raadpleeg MS09-014 en MS09-015 voor meer informatie over dit probleem, inclusief downloadkoppelingen voor beveiligingsupdates.
Apple Support heeft een beveiligingsadvies uitgebracht dat betrekking heeft op het beveiligingsprobleem in Safari 3.1.2 voor Windows van Apple. Raadpleeg het Apple-beveiligingsadvies over de beveiligingsinhoud van Safari 3.1.2 voor Windows voor meer informatie.
Beperkende factoren:
- Klanten die de standaardlocatie hebben gewijzigd waar Safari inhoud downloadt naar het lokale station, worden niet beïnvloed door deze gemengde bedreiging.
Algemene gegevens
Overzicht
Doel van advies: om klanten de eerste melding te geven en aanvullende informatie te verstrekken over de impact op de betreffende Windows-platforms.
Adviesstatus: Advies gepubliceerd.
Aanbeveling: Bekijk de voorgestelde acties en configureer indien van toepassing.
| Verwijzingen | Kenmerk |
|---|---|
| Microsoft Knowledge Base-artikel | 953818 |
| Microsoft-beveiligingsbulletin | MS09-014 |
| Microsoft-beveiligingsbulletin | MS09-015 |
| CVE-verwijzing | CVE-2008-2540 |
In dit advies worden de volgende software besproken.
| Verwante software |
|---|
| Windows XP Service Pack 2 |
| Windows XP Service Pack 3 |
| Windows XP Professional x64 Edition |
| Windows XP Professional x64 Edition Service Pack 2 |
| Windows Vista |
| Windows Vista Service Pack 1 |
| Windows Vista x64 Edition |
| Windows Vista x64 Edition Service Pack 1 |
| Internet Explorer 6 voor Windows XP Service Pack 2, Windows XP Service Pack 3, Windows XP Professional x64 Edition en Windows XP Professional x64 Edition Service Pack 2 |
| Internet Explorer 7 voor Windows XP Service Pack 2, Windows XP Service Pack 3, Windows XP Professional x64 Edition en Windows XP Professional x64 Edition Service Pack 2 |
| Internet Explorer 7 voor Windows Vista, Windows Vista Service Pack 1, Windows Vista x64 Edition en Windows Vista x64 Edition Service Pack 1 |
Veelgestelde vragen
Wat is het bereik van het advies?
Dit advies verduidelijkt openbare rapporten van een gemengde bedreiging die het uitvoeren van externe code mogelijk maakt, wat van invloed is op alle ondersteunde edities van Windows XP en Windows Vista. Bekijk de software die wordt vermeld in de sectie Overzicht voor een volledige lijst met betrokken software.
Is dit een beveiligingsprobleem waarvoor Microsoft een beveiligingsupdate moet uitgeven?
We hebben Microsoft Security Bulletin MS09-014, cumulatieve beveiligingsupdate voor Internet Explorer (963027) en MS09-015, Blended Threat Vulnerability in SearchPath, mogelijk uitbreiding van bevoegdheden (959426) uitgegeven om dit probleem op te lossen.
Wat veroorzaakt deze bedreiging?
Een combinatie van de standaard downloadlocatie in Safari en hoe het Windows-bureaublad uitvoerbare bestanden verwerkt, vormt een gemengde bedreiging waarin bestanden kunnen worden gedownload naar de computer van een gebruiker zonder te vragen, zodat ze kunnen worden uitgevoerd. Safari is beschikbaar als een zelfstandige installatie of via de Apple Software Update-toepassing.
Wat kan een aanvaller doen met deze functie?
Een aanvaller kan gebruikers misleiden om een speciaal gemaakte website te bezoeken die inhoud naar de computer van een gebruiker kan downloaden en de inhoud lokaal kan uitvoeren met dezelfde machtigingen als de aangemelde gebruiker.
Voorgestelde acties
- Pas de updates toe in Microsoft Security Bulletin MS09-014, cumulatieve beveiligingsupdate voor Internet Explorer (963027) en MS09-015, Blended Threat Vulnerability in SearchPath Could Allow Elevation of Privilege (959426), die van toepassing zijn op uw omgeving.
- Als u Apple Safari in Windows gebruikt, controleert u of dit versie 3.1.2 of hoger is. De nieuwste Apple Safari-update is beschikbaar op Apple Safari Download.
- Raadpleeg het Microsoft Knowledge Base-artikel dat is gekoppeld aan dit advies.
Tijdelijke oplossingen
Microsoft heeft de volgende tijdelijke oplossingen getest. Hoewel deze tijdelijke oplossingen het onderliggende beveiligingsprobleem niet corrigeren, helpen ze bekende aanvalsvectoren te blokkeren. Wanneer een tijdelijke oplossing de functionaliteit vermindert, wordt deze geïdentificeerd in de volgende sectie.
- De downloadlocatie van inhoud in Safari wijzigen in een zojuist gemaakte map
- Maak een nieuwe map, zoals c:\SafariDownload.
- Klik in Safari op Bewerken en wijs voorkeuren aan.
- Selecteer bij de optie Gedownloade bestanden opslaan naar:, selecteer de zojuist gemaakte map.
Overige informatie
Dankbetuigingen:
- Aviv Raff voor het werken met ons en het rapporteren van de gemengde bedreiging van Safari en Microsoft Internet Explorer
Bronnen:
- U kunt feedback geven door het formulier in te vullen door naar Microsoft Help en ondersteuning te gaan: Neem contact met ons op.
- Klanten in de Verenigde Staten en Canada kunnen technische ondersteuning ontvangen van Microsoft Product Support Services. Zie Microsoft Help en ondersteuning voor meer informatie over beschikbare ondersteuningsopties.
- Internationale klanten kunnen ondersteuning krijgen van hun lokale Microsoft-dochterondernemingen. Ga naar Internationale ondersteuning voor meer informatie over hoe u contact kunt opnemen met Microsoft voor internationale ondersteuningsproblemen.
- Microsoft TechNet Security biedt aanvullende informatie over beveiliging in Microsoft-producten.
Disclaimer:
De informatie die in dit advies wordt verstrekt, wordt "zoals zodanig" verstrekt zonder enige garantie. Microsoft wijst alle garanties af, hetzij uitdrukkelijk of impliciet, met inbegrip van de garanties van verkoopbaarheid en geschiktheid voor een bepaald doel. In geen geval is Microsoft Corporation of haar leveranciers aansprakelijk voor enige schade, waaronder directe, indirecte, incidentele, gevolgschade, verlies van bedrijfswinst of speciale schade, zelfs als Microsoft Corporation of haar leveranciers op de hoogte zijn gesteld van de mogelijkheid van dergelijke schade. Sommige staten staan de uitsluiting of beperking van aansprakelijkheid voor gevolgschade of incidentele schade niet toe, zodat de voorgaande beperking mogelijk niet van toepassing is.
Revisies:
- V1.0 (30 mei 2008): Advies gepubliceerd.
- V1.1 (6 juni 2008): De stappen in de tijdelijke oplossing gewijzigd en bevestiging toegevoegd.
- V1.2 (20 juni 2008): Advies bijgewerkt om een koppeling te bieden naar gerelateerde Apple-beveiligingsadvies.
- V1.3 (2 juli 2008): De voorgestelde acties zijn bijgewerkt.
- V2.0 (14 april 2009): Verwijzingen en koppelingen toegevoegd naar MS09-014 en MS09-015, waarmee het probleem in dit advies wordt opgelost.
Gebouwd op 2014-04-18T13:49:36Z-07:00