Beveiligingsadvies
Microsoft Security Advisory 969898
Updatepakket voor ActiveX Kill Bits
Gepubliceerd: 09 juni 2009 | Bijgewerkt: 17 juni 2009
Versie: 1.1
Microsoft brengt een nieuwe set ActiveX kill-bits uit met dit advies.
De update bevat een kill-bit van een eerder gepubliceerde cumulatieve Update van Microsoft:
De update bevat ook kill-bits voor de volgende software van derden:
- Microgaming. Met deze beveiligingsupdate wordt een kill-bit ingesteld voor een ActiveX-besturingselement dat is ontwikkeld door Microgaming. Microgaming heeft een beveiligingsupdate uitgebracht waarmee een beveiligingsprobleem in het betreffende onderdeel wordt opgelost. Zie de beveiligingsrelease van Microgaming voor meer informatie en downloadlocaties. Deze kill-bit wordt ingesteld op verzoek van de eigenaar van de ActiveX-besturingselementen. De klasse-id's (CLSID's) voor dit ActiveX-besturingselement worden vermeld in de sectie Veelgestelde vragen van dit advies.
- EBay Advanced Image Upload Component. Met deze beveiligingsupdate wordt een kill-bit ingesteld voor een ActiveX-besturingselement dat is ontwikkeld door eBay. eBay heeft een beveiligingsupdate uitgebracht waarmee een beveiligingsprobleem in het betreffende onderdeel wordt opgelost. Zie de beveiligingsrelease van eBay voor meer informatie en downloadlocaties. Deze kill-bit wordt ingesteld op verzoek van de eigenaar van de ActiveX-besturingselementen. De klasse-id's (CLSID's) voor dit ActiveX-besturingselement worden vermeld in de sectie Veelgestelde vragen van dit advies.
- HP Virtual Room v7.0. Met deze beveiligingsupdate wordt een kill-bit ingesteld voor een ActiveX-besturingselement dat is ontwikkeld door Hewlett-Packard (HP). HP heeft een beveiligingsupdate uitgebracht waarmee een beveiligingsprobleem in het betreffende onderdeel wordt opgelost. Zie de beveiligingsrelease van HP voor meer informatie en downloadlocaties. Deze kill-bit wordt ingesteld op verzoek van de eigenaar van de ActiveX-besturingselementen. De klasse-id's (CLSID's) voor dit ActiveX-besturingselement worden vermeld in de sectie Veelgestelde vragen van dit advies.
Zie het Microsoft Knowledge Base-artikel 969898 voor meer informatie over het installeren van deze update.
Algemene gegevens
Overzicht
Doel van advies: melding van de beschikbaarheid van een update van ActiveX kill bits.
Adviesstatus: Microsoft Knowledge Base-artikel en bijbehorende update zijn uitgebracht.
Aanbeveling: Raadpleeg het Knowledge Base-artikel waarnaar wordt verwezen en pas de juiste update toe.
| Verwijzingen | Kenmerk |
|---|---|
| CVE-verwijzing | CVE-2008-0024 |
| Microsoft Knowledge Base-artikel | 969898 |
In dit advies worden de volgende software besproken.
| Verwante software |
|---|
| Microsoft Windows 2000 Service Pack 4 |
| Windows XP Service Pack 2 en Windows XP Service Pack 3 |
| Windows XP Professional x64 Edition Service Pack 2 |
| Windows Server 2003 Service Pack 2 |
| Windows Server 2003 x64 Edition Service Pack 2 |
| Windows Server 2003 met SP2 voor op Itanium gebaseerde systemen |
| Windows Vista, Windows Vista Service Pack 1 en Windows Vista Service Pack 2 |
| Windows Vista x64 Edition, Windows Vista x64 Edition Service Pack 1 en Windows Vista x64 Edition Service Pack 2 |
| Windows Server 2008 voor 32-bits systemen en Windows Server 2008 voor 32-bits systemen Service Pack 2 |
| Windows Server 2008 voor x64-systemen en Windows Server 2008 voor x64-systemen Service Pack 2 |
| Windows Server 2008 voor Op Itanium gebaseerde systemen en Windows Server 2008 voor Op Itanium gebaseerde Systemen Service Pack 2 |
Veelgestelde vragen
Moeten gebruikers met een Windows Server 2008 Server Core-installatie deze update installeren?
Gebruikers met een Windows Server 2008 Server Core-installatie hoeven deze update niet te installeren. Zie Server Core voor meer informatie over de serverkerninstallatieoptie. Houd er rekening mee dat de Server Core-installatieoptie niet van toepassing is op bepaalde edities van Windows Server 2008; zie Server Core-installatieopties vergelijken.
Waarom heeft dit advies geen beveiligingsclassificatie?
Deze update bevat een kill-bit voor een update die eerder is uitgebracht in een servicepack, evenals kill-bits voor besturingselementen van derden die niet eigendom zijn van Microsoft. Microsoft biedt geen beveiligingsclassificatie voor servicepacks of kwetsbare controles van derden.
Vervangt deze update de cumulatieve beveiligingsupdate van ActiveX Kill Bits (950760)?
Nee, voor het automatisch bijwerken vervangt deze update niet de cumulatieve beveiligingsupdate van ActiveX Kill Bits (950760) die wordt beschreven in microsoft-beveiligingsbulletin MS08-032. Automatische updates bieden nog steeds de MS08-032-update aan klanten, ongeacht of ze deze update (969898) hebben geïnstalleerd. Klanten die deze update (969898) installeren, hoeven echter niet de MS08-032-update te installeren om te worden beveiligd met alle kill-bits die zijn ingesteld in MS08-032.
Waarom brengt Microsoft dit updatepakket uit voor ActiveX Kill Bits met een beveiligingsadvies wanneer eerdere kill bit-updates zijn uitgebracht met een beveiligingsbulletin?
Microsoft brengt dit updatepakket voor ActiveX Kill Bits uit met een advies omdat de nieuwe kill-bits geen invloed hebben op Microsoft-software of eerder zijn ingesteld in een Microsoft-software-update.
Bevat deze update kill-bits die eerder zijn uitgebracht in een updatepakket voor ActiveX Kill Bits?
Ja, deze update bevat ook kill-bits die eerder zijn ingesteld in Microsoft Security Advisory 960715.
Bevat deze update kill-bits die eerder zijn uitgebracht in een beveiligingsupdate van Internet Explorer?
Nee, deze update bevat geen kill-bits die eerder zijn uitgebracht in een beveiligingsupdate van Internet Explorer. U wordt aangeraden de meest recente cumulatieve beveiligingsupdate voor Internet Explorer te installeren.
Wat is een kill bit?
Een beveiligingsfunctie in Microsoft Internet Explorer maakt het mogelijk om te voorkomen dat een ActiveX-besturingselement ooit wordt geladen door de HTML-renderingengine van Internet Explorer. Dit wordt gedaan door een registerinstelling te maken en wordt aangeduid als het instellen van de kill-bit. Nadat de kill-bit is ingesteld, kan het besturingselement nooit worden geladen, zelfs wanneer het volledig is geïnstalleerd. Het instellen van de kill-bit zorgt ervoor dat zelfs als een kwetsbaar onderdeel wordt geïntroduceerd of opnieuw wordt geïntroduceerd in een systeem, het inert en ongevaarlijk blijft.
Zie het Microsoft Knowledge Base-artikel 240797: Een ActiveX-besturingselement niet meer uitvoeren in Internet Explorer voor meer informatie.
Wat is een beveiligingsupdate van ActiveX kill bits?
Deze beveiligingsupdate bevat alleen de klasse-id's (CLSID) van bepaalde ActiveX-besturingselementen die de basis vormen van deze beveiligingsupdate.
Waarom bevat deze update geen binaire bestanden?
Met deze update worden alleen wijzigingen aangebracht in het register om het besturingselement uit te schakelen van instantiëren in Internet Explorer.
Moet ik deze update installeren als ik het betreffende onderdeel niet heb geïnstalleerd of het betreffende platform gebruik?
Ja. Als u deze update installeert, wordt het kwetsbare besturingselement niet uitgevoerd in Internet Explorer.
Moet ik deze update opnieuw toepassen als ik op een later tijdstip een ActiveX-besturingselement installeer dat in deze beveiligingsupdate wordt besproken?
Nee, het opnieuw toewijzen van deze update is niet vereist. De kill-bit blokkeert Internet Explorer het uitvoeren van het besturingselement, zelfs als het besturingselement op een latere datum is geïnstalleerd.
Wat doet deze update?
Met deze update wordt de kill-bit ingesteld voor een lijst met klasse-id's (CLSID's).
De volgende klasse-id's hebben betrekking op de MSCOMM32. OCX ATL Loader-besturingselement dat is geadresseerd in de cumulatieve update van Microsoft Visual Basic 6.0 Service Pack 6 (KB957924):
| Klasse-id |
|---|
| {648A5600-2C6E-101B-82B6-000000000014} |
De volgende klasse-id heeft betrekking op een aanvraag door Microgaming om de kill-bit in te stellen voor een klasse-id die kwetsbaar is. Meer informatie vindt u in de beveiligingsrelease die is uitgegeven door Microgaming:
| Klasse-id |
|---|
| {D8089245-3211-40F6-819B-9E5E92CD61A2} |
De volgende klasse-id heeft betrekking op een verzoek van eBay om de kill-bit in te stellen voor een klasse-id die kwetsbaar is. Meer informatie vindt u in de door eBay uitgegeven beveiligingsrelease :
| Klasse-id |
|---|
| {4C39376E-FA9D-4349-BACC-D305C1750EF3} |
| {C3EB1670-84E0-4EDA-B570-0B51AAE81679} |
De volgende klasse-id heeft betrekking op een aanvraag van HP om de kill-bit in te stellen voor een klasse-id die kwetsbaar is. Meer informatie vindt u in de beveiligingsrelease die is uitgegeven door HP:
| Klasse-id |
|---|
| {00000032-9593-4264-8B29-930B3E4EDCCD} |
Voorgestelde acties
Bekijk het Microsoft Knowledge Base-artikel dat is gekoppeld aan dit advies
Microsoft moedigt klanten aan deze update te installeren. Klanten die meer willen weten over deze update, moeten het Microsoft Knowledge Base-artikel 969898 raadplegen.
Tijdelijke oplossingen
Tijdelijke oplossing verwijst naar een instelling of configuratiewijziging die het onderliggende beveiligingsprobleem niet corrigeert, maar helpt bekende aanvalsvectoren te blokkeren voordat u de update toepast. Microsoft heeft de volgende tijdelijke oplossingen en statussen in de discussie getest of een tijdelijke oplossing de functionaliteit vermindert:
Voorkomen dat COM-objecten worden uitgevoerd in Internet Explorer
U kunt pogingen uitschakelen om een COM-object in Internet Explorer te instantiëren door de kill-bit voor het besturingselement in het register in te stellen.Waarschuwing Als u de Register-editor onjuist gebruikt, kan dit ernstige problemen veroorzaken waarvoor u het besturingssysteem mogelijk opnieuw moet installeren. Microsoft kan niet garanderen dat u problemen kunt oplossen die het gevolg zijn van een onjuist gebruik van de Register-editor. Gebruik Register-editor op eigen risico.
Zie het Microsoft Knowledge Base-artikel 240797 voor gedetailleerde stappen die u kunt gebruiken om te voorkomen dat een besturingselement wordt uitgevoerd in Internet Explorer. Volg de stappen in dit artikel om een waarde voor compatibiliteitsvlaggen in het register te maken om te voorkomen dat een COM-object wordt geïnstantieerd in Internet Explorer.
Let op De klasse-id's en bijbehorende bestanden waarin de ActiveX-objecten zijn opgenomen, worden beschreven onder 'Wat doet deze update?' in de sectie Veelgestelde vragen hierboven. Vervang {XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX} hieronder door de klasse-id's in deze sectie.
Als u de kill-bit voor een CLSID wilt instellen met de waarde {XXXXXXXX-XXXX-XXXX-XXXXXXXXXXXX}, plakt u de volgende tekst in een teksteditor, zoals Kladblok. Sla het bestand vervolgens op met behulp van de bestandsextensie .reg.
Windows Registry Editor versie 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{ XXXXXXXX-XXXX-XXXX-XXXX-XXXX-XXXXXXXXXX }] "Compatibiliteitsvlagken"=dword:00000400
U kunt dit .reg bestand toepassen op afzonderlijke systemen door erop te dubbelklikken. U kunt deze ook toepassen op meerdere domeinen met behulp van Groepsbeleid. Ga naar de volgende Microsoft-websites voor meer informatie over Groepsbeleid:
- Verzameling Groepsbeleid
- Wat is Groepsbeleidsobjecteditor?
- Hulpprogramma's en instellingen voor basisgroepsbeleid
Opmerking U moet Internet Explorer opnieuw starten om uw wijzigingen van kracht te laten worden.
Gevolgen van tijdelijke oplossing: er is geen impact zolang het object niet bedoeld is om te worden gebruikt in Internet Explorer.
Overige informatie
Bevestigingen
Microsoft bedankt voor het werken met ons om klanten te beschermen:
- Robert Freeman van ISS X-Force voor het rapporteren van de MSCOMM32. VULNERABILITY ATL Loader Remote Code Execution (CVE-2008-0024)
Bronnen:
- U kunt feedback geven door het formulier in te vullen door naar Microsoft Help en ondersteuning te gaan: Neem contact met ons op.
- Klanten in de Verenigde Staten en Canada kunnen technische ondersteuning van Security Support ontvangen. Zie Microsoft Help en ondersteuning voor meer informatie over beschikbare ondersteuningsopties.
- Internationale klanten kunnen ondersteuning krijgen van hun lokale Microsoft-dochterondernemingen. Ga naar Internationale ondersteuning voor meer informatie over hoe u contact kunt opnemen met Microsoft voor internationale ondersteuningsproblemen.
- Microsoft TechNet Security biedt aanvullende informatie over beveiliging in Microsoft-producten.
Disclaimer:
De informatie die in dit advies wordt verstrekt, wordt "zoals zodanig" verstrekt zonder enige garantie. Microsoft wijst alle garanties af, hetzij uitdrukkelijk of impliciet, met inbegrip van de garanties van verkoopbaarheid en geschiktheid voor een bepaald doel. In geen geval is Microsoft Corporation of haar leveranciers aansprakelijk voor enige schade, waaronder directe, indirecte, incidentele, gevolgschade, verlies van bedrijfswinst of speciale schade, zelfs als Microsoft Corporation of haar leveranciers op de hoogte zijn gesteld van de mogelijkheid van dergelijke schade. Sommige staten staan de uitsluiting of beperking van aansprakelijkheid voor gevolgschade of incidentele schade niet toe, zodat de voorgaande beperking mogelijk niet van toepassing is.
Revisies:
- V1.0 (9 juni 2009): Advies gepubliceerd
- V1.1 (17 juni 2009): Er is een vermelding toegevoegd aan veelgestelde vragen om te communiceren dat deze update voor het automatisch bijwerken niet de cumulatieve beveiligingsupdate van ActiveX Kill Bits (950760) vervangt die wordt beschreven in Microsoft-beveiligingsbulletin MS08-032.
Gebouwd op 2014-04-18T13:49:36Z-07:00