Exporteren (0) Afdrukken
Alles uitvouwen

Microsoft-beveiligingsadvies 954157

Verbeterde beveiliging voor de Indeo-codec

Gepubliceerd: dinsdag 8 december 2009

Algemene informatie

Samenvatting

Microsoft kondigt de beschikbaarheid aan van een update die beveiliging biedt voor de Indeo-codec op ondersteunde edities van Microsoft Windows 2000, Windows XP en Windows Server 2003.

Door de Indeo-codec op systemen met Microsoft Windows 2000, Windows XP en Windows Server 2003 kan code worden uitgevoerd op gebruikerssystemen wanneer speciaal vervaardigde media-inhoud wordt geopend. De update zorgt dat de Indeo-codec niet wordt gestart in Internet Explorer of Windows Media Player. De update zorgt ook dat deze codec niet kan worden geladen wanneer de gebruiker op internet surft met andere toepassingen. De update staat alleen toe dat toepassingen de Indeo-codec gebruiken wanneer de media-inhoud afkomstig is van het lokale systeem en de zone Lokaal intranet en voorkomt dat Internet Explorer en Windows Media Player de codec kunnen starten. Daardoor verwijdert deze update de meestgebruikte aanvalsvectoren maar kunnen games en andere toepassingen die lokaal gebruikmaken van deze codec worden uitgevoerd.

De update is verkrijgbaar via de automatische updates en het Microsoft Downloadcentrum. Klanten die automatische updates hebben ingeschakeld, hoeven geen actie te ondernemen omdat deze beveiligingsupdate automatisch wordt gedownload en geïnstalleerd. Zie Microsoft Knowledge Base-artikel 954157 voor meer informatie over dit onderwerp, inclusief koppelingen voor het downloaden van deze update, die geen beveiligingsupdate is.

Er zijn meerdere manieren waarop de Indeo-codec kan worden gebruikt en de codec kan worden vereist door bepaalde toepassingen. De Indeo-codec is mogelijk nodig bij het bezoeken van betrouwbare websites en voor zakelijke toepassingen. Dit scenario is waarschijnlijker voor klanten met een ouder besturingssysteem. Daarom wordt deze update automatisch aangeboden aan klanten met een ouder besturingssysteem maar kan de codec nog worden gebruikt voor zakelijke toepassingen. Klanten die de codec niet gebruiken, kunnen een extra stap nemen en de codec volledig verwijderen. Als de codec is verwijderd, zijn alle aanvalsvectoren die gebruikmaken van de Indeo-codec uitgeschakeld. Zie Microsoft Knowledge Base-artikel 954157 voor aanwijzingen over het verwijderen van de codec of het gebruik van de Fix it-opties waarmee u de codec automatisch kunt verwijderen.

Klanten met ondersteunde edities van Microsoft Windows 2000, Windows XP en Windows 2003 wordt aangeraden deze update te installeren of de Indeo-codec te verwijderen. Voor klanten die deze update installeren en de codec verwijderen van deze oudere besturingssystemen, gelden dezelfde beperkingen die ook zijn opgenomen in Windows Vista en Windows 7.

Details van het advies

Referenties met betrekking tot het probleem

Zie de volgende referenties voor meer informatie over dit probleem:

Meer informatieIdentificatie
Microsoft Knowledge Base-artikel 954157

Software waarin dit probleem optreedt en software waarin dit probleem niet optreedt

Dit advies betreft de volgende software:

Software waarin het probleem optreedt
Microsoft Windows 2000 Service Pack 4
Windows XP Service Pack 2 en Windows XP Service Pack 3
Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition Service Pack 2
Windows Server 2003 met SP2 voor Itanium-systemen
Software waarin dit probleem niet optreedt
Windows Vista, Windows Vista Service Pack 1 en Windows Vista Service Pack 2
Windows Vista x64 Edition, Windows Vista x64 Edition Service Pack 1 en Windows Vista x64 Edition Service Pack 2
Windows Server 2008 voor 32-bits systemen en Windows Server 2008 voor 32-bits systemen Service Pack 2
Windows Server 2008 voor x64-systemen en Windows Server 2008 voor x64-systemen Service Pack 2
Windows Server 2008 voor Itanium-systemen en Windows Server 2008 voor Itanium-systemen Service Pack 2
Windows 7 voor 32-bits systemen
Windows 7 voor x64-systemen
Windows Server 2008 R2 voor x64-systemen
Windows Server 2008 R2 voor Itanium-systemen

Wat is de omvang van het advies?  
In dit advies wordt aangegeven dat een ingrijpende beveiligingsupdate die wordt beschreven in dit advies wordt toegepast via automatische updates en ook wordt aangeboden in Microsoft Knowledge Base-artikel 954157. Deze update heeft betrekking op de software die is opgenomen in de tabel met software waarin dit probleem optreedt.

Wat is de Indeo-codec?
De Indeo-codec is een codec die digitale mediabestanden decomprimeert voor gebruik in toepassingen zoals Windows Media Player. Zie Using codecs voor meer informatie over codecs.

Hoe kan een aanvaller dit beveiligingslek misbruiken?  
Een aanvaller kan over een website beschikken die speciaal is ontworpen om via Internet Explorer misbruik te maken van dit lek, en vervolgens de gebruiker ertoe overhalen deze website te bekijken. Dit kan ook betrekking hebben op gemanipuleerde websites en websites die inhoud of advertenties van gebruikers accepteren of hosten. Deze websites kunnen speciaal vervaardigde inhoud bevatten, die misbruik van dit beveiligingslek kan maken. Een aanvaller kan echter een gebruiker er niet toe dwingen om naar deze websites te gaan. De aanvaller moet een gebruiker er dus van overtuigen een bezoek te brengen aan de website. In de meeste gevallen doet de aanvaller dat door de gebruiker ertoe te bewegen op een koppeling in een e-mailbericht of een verzoek in een expresbericht te klikken waarmee de gebruiker naar de website van de aanvaller gaat.

Speciaal ontworpen webinhoud kan ook worden weergegeven via banneradvertenties of andere manieren waarop webinhoud bij de kwetsbare systemen wordt afgeleverd.

Een andere manier waarop misbruik kan worden gemaakt van dit beveiligingslek is als een aanvaller speciaal vervaardigde media-inhoud op het systeem van een gebruiker kan plaatsen die gebruikmaakt van de Indeo-codec.

Verandert er na installatie van deze update iets voor de gebruiker?  
Nadat de updates van dit artikel zijn geïnstalleerd, merken gebruikers mogelijk dat media-inhoud van websites niet meer wordt geladen in Internet Explorer of in Windows Media Player. Toepassingen of games die gebruikmaken van deze codec via inhoud op het lokale systeem, blijven gewoon werken.

Hoe kan ik de Indeo-codec uitschakelen?  
U kunt deze codec uitschakelen door de codec te verwijderen. Als u de codec verwijdert, kunnen toepassingen en media-inhoud deze codec niet meer gebruiken. Zie Microsoft Knowledge Base-artikel 954157 voor aanwijzingen voor het verwijderen van de codec of het gebruik van de automatische Microsoft Fix it-oplossing waarmee u de codec kunt uitschakelen.

Hoe kan ik het gebruik van deze codec weer inschakelen nadat ik de update heb geïnstalleerd? 
U kunt de functionaliteit van de Indeo-codec weer inschakelen nadat u deze update hebt geïnstalleerd. Als u de codec weer inschakelt, wordt u blootgesteld aan het risico op het uitvoeren van externe code. U dient de codec uitsluitend weer in te schakelen als de noodzaak van de functionaliteit van de codec zwaarder weegt dan het risico. Zie Microsoft Knowledge Base-artikel 954157 voor meer informatie over het weer inschakelen van de codec.

Waarom horen er twee delen van de update bij dit advies?  
Er zijn twee delen van deze update die helpen de risico's van de Indeo-codec te beperken. Er is een update voor Quartz.dll, het primaire binaire bestand dat wordt gebruikt door Windows Media Player. Er is ook een update die wordt aangeboden door de Application Compatibility Shim-technologie. De update voor Media Player voorkomt dat toepassingen media-inhoud openen die gebruikmaakt van de Indeo-codec en wordt afgespeeld in de zone Internet. De update voor Application Compatibility Shim-technologie zorgt dat Internet Explorer en Windows Media Player geen media-inhoud kunnen laden die gebruikmaken van de Indeo-codec.

Waarom is dit geen beveiligingsbulletin?  
Deze update is geen beveiligingsbulletin omdat de update geen specifieke beveiligingslekken oplost, maar ingrijpende beperkingen biedt om oudere besturingssystemen dichter bij beveiligingsniveau van Windows Vista en Windows 7 te brengen. Klanten dienen deze update toe te passen om het risico van veelvoorkomende scenario's te beperken en dienen te overwegen de Fix it-oplossing toe te passen om toegang tot de codec te blokkeren.

Waarom repareert Microsoft geen specifieke beveiligingslekken in deze update?  
De Indeo-codec is een oudere codec waarin enkele beveiligingslekken voorkomen. In plaats van specifieke beveiligingslekken te repareren, brengt Microsoft ingrijpende wijzigingen aan die de aanvalsmogelijkheden voor bekende beveiligingslekken en toekomstige, vergelijkbare beveiligingslekken verminderen.

Microsoft heeft nog geen beperkende factoren voor dit beveiligingslek.

Tijdelijke oplossingen zijn wijzigingen in een instelling of configuratie waardoor het probleem zelf niet wordt opgelost, maar waarmee aanvalsvectoren wel worden geblokkeerd. Microsoft heeft de volgende methoden en statussen om het probleem te omzeilen getest om uit te zoeken of een tijdelijke oplossing functionaliteit vermindert:

  • De Indeo-codec verwijderen

    U kunt deze codec uitschakelen door de codec te verwijderen. Zie Microsoft Knowledge Base-artikel 954157 voor aanwijzingen voor het verwijderen van de codec of het gebruik van de automatische Microsoft Fix it-oplossing waarmee u de codec kunt uitschakelen.

    Gevolgen van de tijdelijke oplossing. Als u de Indeo-codec verwijdert, kunnen toepassingen en media-inhoud deze codec niet meer gebruiken.

    De tijdelijke oplossing ongedaan maken. Zie Microsoft Knowledge Base-artikel 954157 voor informatie over het ongedaan maken van deze tijdelijke oplossing.

  • Lees het Microsoft Knowledge Base-artikel dat bij dit advies hoort

    Zie Microsoft Knowledge Base-artikel 954157 voor meer informatie over dit probleem.

  • Houd Windows up-to-date

    Alle gebruikers van Windows wordt aangeraden de nieuwste beveiligingsupdates van Microsoft te installeren om de beveiliging van hun computer te optimaliseren. Als u niet weet of uw software up-to-date is, gaat u naar de website Windows Update, scant u uw computer op beschikbare updates en installeert u alle updates met een hoge prioriteit. Als u Automatische updates hebt ingeschakeld, worden de updates naar u toegestuurd zodra ze zijn vrijgegeven, maar u moet ze wel nog installeren. Voor meer informatie over beveiligingsupdates verwijzen wij gebruikers naar de website van het beveiligingscentrum van Microsoft.

Overige informatie

Dankbetuiging

Microsoft bedankt de volgende partijen voor de samenwerking bij het verbeteren van de beveiliging voor klanten:

  • Paul Byrne van NGS Software voor het melden van de beveiligingslekken in de Indeo-codec
  • Een anonieme onderzoeker van TippingPoint en Zero Day Initiative voor het melden van diverse beveiligingslekken in de Indeo-codec
  • Bing Liu van FortiGuard Labs van Fortinet voor het melden van de beveiligingslekken in de Indeo-codec
  • VeriSign iDefense Labs voor het melden van de beveiligingslekken in de Indeo-codec
  • Dave Lenoe van Adobe voor het melden van de beveiligingslekken in de Indeo-codec

Feedback

Ondersteuning

Uitsluiting van aansprakelijkheid

De informatie in dit advies wordt geleverd 'in de huidige staat' zonder enige garantie. Microsoft wijst hierbij alle expliciete of impliciete garanties van de hand, met inbegrip van alle garanties betreffende de verhandelbaarheid en geschiktheid voor een bepaald doel. Voorzover maximaal is toegestaan op grond van toepasselijk recht zijn Microsoft Corporation en/of haar leveranciers in geen geval aansprakelijk voor enige directe, indirecte of incidentele schade, bijzondere schade, gevolgschade of schade ten gevolge van het verlies van winsten, zelfs als Microsoft Corporation of haar leveranciers van de mogelijkheid van dergelijke schade op de hoogte is gesteld. Aangezien sommige staten/rechtssystemen uitsluiting of beperking van aansprakelijkheid voor gevolgschade of incidentele schade niet toestaan, is de voorgaande beperking wellicht niet op u van toepassing.

Revisies

  • V1.0 (8 december 2009): Advies gepubliceerd.

Built at 2014-04-18T01:50:00Z-07:00

Vindt u dit nuttig?
(1500 tekens resterend)
Bedankt voor uw feedback
Weergeven:
© 2015 Microsoft