Exporteren (0) Afdrukken
Alles uitvouwen

Microsoft-beveiligingsadvies 960715

Updatepakket voor ActiveX kill-bits

Gepubliceerd: dinsdag 10 februari 2009 | Bijgewerkt: woensdag 17 juni 2009

Versie: 1.2

Microsoft geeft bij dit advies een nieuwe set ActiveX-kill-bits vrij.

De update omvat kill-bits voor eerder gepubliceerde Microsoft-beveiligingsbulletins:

  • MS08-070, door beveiligingslekken in de Visual Basic 6.0 Runtime uitgebreide bestanden (ActiveX-besturingselementen) kan externe code worden uitgevoerd (932349)

De update omvat tevens kill-bits voor de volgende software van derden:

  • Akamai Download Manager. Deze beveiligingsupdate stelt een kill-bit in voor een door Akamai Technologies ontwikkeld ActiveX-besturingselement. Akamai Technologies heeft een beveiligingsupdate vrijgegeven die een beveiligingslek in het getroffen onderdeel oplost. Zie het beveiligingsbulletin van Akamai Technologies voor meer informatie en de downloadlocaties. Deze kill-bit wordt ingesteld op verzoek van de eigenaar van de ActiveX-besturingselementen. De klasse-identificaties (CLSID's) voor dit ActiveX-besturingselement staan in de sectie Veelgestelde vragen van dit advies.
  • Research In Motion (RIM) Axloader. Deze beveiligingsupdate stelt een kill-bit in voor een ActiveX-besturingselement dat door Research In Motion (RIM) is ontwikkeld. RIM heeft een beveiligingsupdate vrijgegeven die een beveiligingslek in het getroffen onderdeel oplost. Zie het beveiligingsbulletin van Research In Motion voor meer informatie en downloadlocaties. Deze kill-bit wordt ingesteld op verzoek van de eigenaar van de ActiveX-besturingselementen. De klasse-identificaties (CLSID's) voor dit ActiveX-besturingselement staan in de sectie Veelgestelde vragen van dit advies.

Zie Microsoft Knowledge Base-artikel 960715 voor meer informatie over de installatie van deze update.

Algemene informatie

Doel van het advies: Aankondiging van de beschikbaarheid van een update voor ActiveX-kill-bits.

Status van het advies: Er werd een Microsoft Knowledge Base-artikel en een bijbehorende update uitgegeven.

Aanbeveling: Lees het bijbehorende Knowledge Base-artikel en pas de update naar behoren toe.

Meer informatieIdentificatie
In het Microsoft Knowledge Base-artikel 960715

Dit advies betreft de volgende software:

Verwante software
Microsoft Windows 2000 Service Pack 4
Windows XP Service Pack 2 en Service Pack 3
Windows XP Professional x64 Edition en Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 Service Pack 1 en Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition en Windows Server 2003 x64 Edition Service Pack 2
Windows Server 2003 met SP1 voor Itanium-systemen en Windows Server 2003 met SP2 voor Itanium-systemen
Windows Vista en Windows Vista Service Pack 1
Windows Vista x64 Edition en Windows Vista x64 Edition Service Pack 1
Windows Server 2008 voor 32-bits systemen
Windows Server 2008 voor x64-systemen
Windows Server 2008 voor Itanium-systemen

Moeten gebruikers met een Windows Server 2008 Server Core-installatie deze update installeren?
Gebruikers met een Windows Server 2008 Server Core-installatie hoeven deze update niet te installeren. Zie Server Core voor meer informatie over de optie Server Core-installatie. De Server Core-installatieoptie kan niet worden toegepast op bepaalde edities van Windows Server 2008. Zie hiervoor Server Core-installatieopties vergelijken.

Waarom heeft dit advies geen prioriteitsniveau?
Deze update bevat kill-bits voor besturingselementen van derden en niet voor besturingselementen van Microsoft. Microsoft wijst geen prioriteiten toe aan kwetsbare besturingselementen van derden.

Vervangt deze update de cumulatieve beveiligingsupdate van ActiveX-kill-bits (950760)?
Nee, terwille van het systeem van automatische updates vervangt deze update de cumulatieve Beveiligingsupdate van ActiveX-kill-bits (950760) niet die wordt beschreven in Microsoft-beveiligingsbulletin MS08-032. Via Automatische updates is nog steeds de update MS08-032 voor klanten beschikbaar, ongeacht of zij deze update (960715) hebben geïnstalleerd of niet. Klanten die deze update (960715) installeren hoeven echter niet de update MS08-032 te installeren om beschermd te zijn met alle kill-bits die in MS08-032 zijn ingesteld.

Waarom geeft Microsoft dit updatepakket voor ActiveX-kill-bits met een beveiligingsadvies uit als er al eerder kill-bitupdates bij een beveiligingsbulletin zijn uitgegeven?
Microsoft geeft dit updatepakket voor ActiveX-killbits uit omdat de nieuwe kill-bits geen schadelijke gevolgen voor Microsoft-software hebben of in een eerder Microsoft-beveiligingsbulletin reeds zijn ingesteld.

Bevat deze update kill-bits die eerder zijn uitgegeven in een updatepakket voor ActiveX kill-bits?
Ja, deze update omvat ook kill-bits die eerder in Microsoft-beveiligingsadvies 956391 zijn ingesteld.

Bevat deze update kill-bits die eerder zijn uitgebracht in een beveiligingsupdate voor Internet Explorer?
Nee, deze update bevat geen kill-bits die al eerder in een beveiligingsupdate voor Internet Explorer zijn uitgebracht. Wij raden aan de laatste cumulatieve beveiligingsupdate voor Internet Explorer te installeren.

Wat is een kill-bit?
Er is een beveiligingsfunctie in Microsoft Internet Explorer waarmee wordt voorkomen dat een ActiveX-besturingselement ooit opnieuw wordt geladen door de HTML-rendering-engine van Internet Explorer. Dit gebeurt door het wijzigen van een registerinstelling. Deze actie wordt aangeduid als het instellen van de kill-bit. Als de kill-bit eenmaal is ingesteld, kan het besturingselement niet meer worden geladen (zelfs niet als het volledig is geïnstalleerd). Door deze maatregel bent u ervan verzekerd dat zelfs bij het installeren of opnieuw installeren van een kwetsbaar onderdeel op een systeem, het onderdeel passief en ongevaarlijk blijft.

Zie Microsoft Knowledge Base-artikel 240797 voor meer informatie. Uitvoering van een ActiveX-besturingselement in Internet Explorer voorkomen.

Wat is een beveiligingsupdate van ActiveX kill-bits?  
Deze beveiligingsupdate bevat uitsluitend de klasse-identificaties (CLSID) van bepaalde ActiveX-besturingselementen die de basis vormen van deze beveiligingsupdate.

Waarom bevat deze update geen binaire bestanden?
Deze update maakt enkel veranderingen in het register om te voorkomen dat Internet Explorer het besturingselement kan starten.

Moet ik deze update installeren als ik het onderdeel waarin dit probleem optreedt niet heb geïnstalleerd of als ik het platform waarop dit probleem optreedt, niet gebruik?
Ja. Als u deze update installeert, wordt voorkomen dat het kwetsbare besturingselement in Internet Explorer wordt gestart.

Moet ik deze update opnieuw toepassen als ik op een later tijdstip een ActiveX-besturingselement installeer dat in deze beveiligingsupdate wordt genoemd?
Nee, u hoeft de update niet opnieuw toe te passen. De kill-bit voorkomt dat Internet Explorer het besturingselement start, zelfs als het besturingselement op een latere datum wordt geïnstalleerd.

Wat doet de update?
Deze update stelt de kill-bit in voor een lijst met klasse-identificaties (CLSID's).

De volgende klasse-identificatie heeft betrekking op een aanvraag door Akamai om de kill-bit in te stellen voor een kwetsbare klasse-identificatie. Verdere details vindt u in de veiligheidsupdate die Akamai heeft uitgebracht:

Klasse-identificatie
{FFBB3F3B-0A5A-4106-BE53-DFE1E2340CB1}

De volgende klasse-identificatie heeft betrekking op een aanvraag door Research In Motion (RIM) om de kill-bit in te stellen voor een kwetsbare klasse-identificatie. Verdere details vindt u in de veiligheidsupdate die RIM heeft uitgebracht:

Klasse-identificatie
{4788DE08-3552-49EA-AC8C-233DA52523B9}

De volgende klasse-identificaties hebben betrekking op het CAPICOM-besturingselement dat wordt omschreven in Microsoft-beveiligingsbulletin MS08-070, Door beveiligingslekken in de Visual Basic 6.0 Runtime uitgebreide bestanden (ActiveX-besturingselementen) kan externe code worden uitgevoerd (932349):

Klasse-identificatie
{1E216240-1B7D-11CF-9D53-00AA003C9CB6}
{3A2B370C-BA0A-11d1-B137-0000F8753F5D}
{B09DE715-87C1-11d1-8BE3-0000F8754DA1}
{cde57a43-8b86-11d0-b3c6-00a0c90aea82}
{6262d3a0-531b-11cf-91f6-c2863c385e30}
{0ECD9B64-23AA-11d0-B351-00A0C9055D8E}
{C932BA85-4374-101B-A56C-00AA003668DC}
{248dd896-bb45-11cf-9abc-0080c7e7b78d}

Lees het Microsoft Knowledge Base-artikel dat bij dit advies hoort

Microsoft raadt klanten aan om deze update te installeren. Klanten die meer willen weten over deze update, wordt aangeraden Microsoft Knowledge Base-artikel 960715 te lezen.

Tijdelijke oplossingen

Tijdelijke oplossingen zijn wijzigingen in een instelling of configuratie waardoor het beveiligingslek zelf niet wordt gedicht, maar waarmee aanvalsvectoren wel worden geblokkeerd voordat u de update uitvoert. Microsoft heeft de volgende methoden en statussen om het probleem te omzeilen getest om uit te zoeken of een tijdelijke oplossing functionaliteit vermindert:

  • Verhinderen dat COM-objecten in Internet Explorer worden gestart

    U kunt pogingen om een COM-object in Internet Explorer te starten, verhinderen door de kill-bit voor het besturingselement in het register in te stellen.

    Waarschuwing Als u de Register-editor onjuist gebruikt, kan dit tot zeer ernstige problemen leiden waardoor u het besturingssysteem mogelijk opnieuw dient te installeren. Microsoft kan niet garanderen dat problemen die ontstaan als gevolg van een onjuist gebruik van de Register-editor, kunnen worden opgelost. Het gebruik van de Register-editor is voor eigen risico.

    Voor uitvoerige stappen over het uitschakelen van een besturingselement in Internet Explorer verwijzen wij u naar Microsoft Knowledge Base-artikel 240797. Volg de stappen en breng een compatibiliteitsvlagwaarde aan in het register om te voorkomen dat een COM-object in Internet Explorer wordt gestart.

    Opmerking De klasse-identificaties en bijbehorende bestanden waarin de ActiveX-objecten voorkomen, worden beschreven bij "Wat doet de update?" in het gedeelte "Veelgestelde vragen" hierboven. Vervang {XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX} hieronder door de klasse-identificaties uit deze sectie.

    Om de kill-bit voor een CLSID met de waarde {XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX} in te stellen plakt u de volgende tekst in een teksteditor, bijvoorbeeld het Kladblok. Sla het bestand vervolgens op met de extensie .reg.

    Windows Registry-editor versie 5.00
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{ XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX }]
    "Compatibility Flags"=dword:00000400

    U kunt dit REG-bestand op afzonderlijke systemen toepassen door erop te dubbelklikken. U kunt het bestand ook met behulp van Groepsbeleid in domeinen toepassen. Ga naar de volgende websites van Microsoft voor meer informatie over Groepsbeleid:

    Opmerking U moet Internet Explorer opnieuw starten om de wijzigingen te laten ingaan.

    Gevolgen van de tijdelijke oplossing: Geen, zolang het object niet in Internet Explorer wordt gebruikt.

Overige informatie

Informatiebronnen:

Uitsluiting van aansprakelijkheid:

De informatie in dit advies wordt geleverd 'in de huidige staat' zonder enige garantie. Microsoft wijst hierbij alle expliciete of impliciete garanties van de hand, met inbegrip van alle garanties betreffende de verhandelbaarheid en geschiktheid voor een bepaald doel. Voorzover maximaal is toegestaan op grond van toepasselijk recht zijn Microsoft Corporation en/of haar leveranciers in geen geval aansprakelijk voor enige directe, indirecte of incidentele schade, bijzondere schade, gevolgschade of schade ten gevolge van het verlies van winsten, zelfs als Microsoft Corporation of haar leveranciers van de mogelijkheid van dergelijke schade op de hoogte is gesteld. Aangezien sommige staten/rechtssystemen uitsluiting of beperking van aansprakelijkheid voor gevolgschade of incidentele schade niet toestaan, is de voorgaande beperking wellicht niet op u van toepassing.

Revisies:

  • V1.0 (10 februari 2009): Advies gepubliceerd
  • V1.1 (29 april 2009): Een item toegevoegd aan Veelgestelde vragen om bekend te maken dat gebruikers van een Windows Server 2008 Server Core-installatie deze update niet hoeven te installeren.
  • V1.2 (17 juni 2009): Er is een item toegevoegd aan Veelgestelde vragen om terwille van het systeem van automatische updates te melden dat deze update geen vervanging is voor de cumulatieve beveiligingsupdate van ActiveX-kill-bits (950760) die wordt beschreven in Microsoft-beveiligingsbulletin MS08-032.

Built at 2014-04-18T01:50:00Z-07:00

Vindt u dit nuttig?
(1500 tekens resterend)
Bedankt voor uw feedback
Weergeven:
© 2015 Microsoft