Exporteren (0) Afdrukken
Alles uitvouwen

Microsoft-beveiligingsadvies 969898

Updatepakket voor ActiveX kill-bits

Gepubliceerd: dinsdag 9 juni 2009 | Bijgewerkt: woensdag 17 juni 2009

Versie: 1.1

Microsoft geeft bij dit advies een nieuwe set ActiveX-kill-bits vrij.

De update omvat een kill-bit uit een eerder gepubliceerde cumulatieve update van Microsoft:

De update omvat tevens kill-bits voor de volgende software van derden:

  • Microgaming. Deze beveiligingsupdate stelt een kill-bit voor een door Microgaming ontwikkeld ActiveX-besturingselement in. Microgaming heeft een beveiligingsupdate vrijgegeven die een beveiligingslek in het getroffen onderdeel oplost. Zie het beveiligingsbulletin van Microgaming voor meer informatie en de downloadlocaties. Deze kill-bit wordt ingesteld op verzoek van de eigenaar van de ActiveX-besturingselementen. De klasse-identificaties (CLSID's) voor dit ActiveX-besturingselement staan in de sectie Veelgestelde vragen van dit advies.
  • Advanced Image Upload Component van eBay. Deze beveiligingsupdate stelt een kill-bit voor een door eBay ontwikkeld ActiveX-besturingselement in. eBay heeft een beveiligingsupdate vrijgegeven die een beveiligingslek in het getroffen onderdeel oplost. Zie het beveiligingsbulletin van eBay voor meer informatie en de downloadlocaties. Deze kill-bit wordt ingesteld op verzoek van de eigenaar van de ActiveX-besturingselementen. De klasse-identificaties (CLSID's) voor dit ActiveX-besturingselement staan in de sectie Veelgestelde vragen van dit advies.
  • HP Virtual Room v7.0. Deze beveiligingsupdate stelt een kill-bit voor een door Research In Motion (RIM) ontwikkeld ActiveX-besturingselement in. RIM heeft een beveiligingsupdate vrijgegeven die een beveiligingslek in het getroffen onderdeel oplost. Zie het beveiligingsbulletin van HP voor meer informatie en de downloadlocaties. Deze kill-bit wordt ingesteld op verzoek van de eigenaar van de ActiveX-besturingselementen. De klasse-identificaties (CLSID's) voor dit ActiveX-besturingselement staan in de sectie Veelgestelde vragen van dit advies.

Zie Microsoft Knowledge Base-artikel 969898 voor meer informatie over het installeren van deze update.

Algemene informatie

Doel van het advies: Aankondiging van de beschikbaarheid van een update voor ActiveX-kill-bits.

Status van het advies: Er werd een Microsoft Knowledge Base-artikel en een bijbehorende update uitgegeven.

Aanbeveling: Lees het bijbehorende Knowledge Base-artikel en pas de update naar behoren toe.

Meer informatieIdentificatie
CVE-verwijzing CVE-2008-0024
In het Microsoft Knowledge Base-artikel 969898

Dit advies betreft de volgende software:

Verwante software
Microsoft Windows 2000 Service Pack 4
Windows XP Service Pack 2 en Windows XP Service Pack 3
Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition Service Pack 2
Windows Server 2003 met SP2 voor Itanium-systemen
Windows Vista, Windows Vista Service Pack 1 en Windows Vista Service Pack 2
Windows Vista x64 Edition, Windows Vista x64 Edition Service Pack 1 en Windows Vista x64 Edition Service Pack 2
Windows Server 2008 voor 32-bits systemen en Windows Server 2008 voor 32-bits systemen Service Pack 2
Windows Server 2008 voor x64-systemen en Windows Server 2008 voor x64-systemen Service Pack 2
Windows Server 2008 voor Itanium-systemen en Windows Server 2008 voor Itanium-systemen Service Pack 2

Moeten gebruikers met een Windows Server 2008 Server Core-installatie deze update installeren?
Gebruikers met een Windows Server 2008 Server Core-installatie hoeven deze update niet te installeren. Zie Server Core voor meer informatie over de optie Server Core-installatie. De Server Core-installatieoptie kan niet worden toegepast op bepaalde edities van Windows Server 2008. Zie hiervoor Server Core-installatieopties vergelijken.

Waarom heeft dit advies geen prioriteitsniveau?
Deze update bevat een kill-bit voor een update die eerder is uitgegeven in een service pack, en kill-bits voor besturingselementen van andere leveranciers dan Microsoft. Microsoft wijst geen prioriteiten toe aan service packs of kwetsbare besturingselementen van derden.

Vervangt deze update de cumulatieve beveiligingsupdate van ActiveX-kill-bits (950760)?
Nee, terwille van het systeem van automatische updates vervangt deze update de cumulatieve Beveiligingsupdate van ActiveX-kill-bits (950760) niet die wordt beschreven in Microsoft-beveiligingsbulletin MS08-032. Via Automatische updates is nog steeds de update MS08-032 voor klanten beschikbaar, ongeacht of zij deze update (969898) hebben geïnstalleerd of niet. Klanten die deze update (969898) installeren hoeven echter niet de update MS08-032 te installeren om beschermd te zijn met alle kill-bits die in MS08-032 zijn ingesteld.

Waarom geeft Microsoft dit updatepakket voor ActiveX-kill-bits met een beveiligingsadvies uit als er al eerder kill-bitupdates bij een beveiligingsbulletin zijn uitgegeven?
Microsoft geeft dit updatepakket voor ActiveX-killbits uit omdat de nieuwe kill-bits geen schadelijke gevolgen voor Microsoft-software hebben of in een eerdere Microsoft-software-update reeds zijn ingesteld.

Bevat deze update kill-bits die eerder zijn uitgegeven in een updatepakket voor ActiveX kill-bits?
Ja, deze update bevat ook kill-bits die eerder in Microsoft-beveiligingsadvies 960715 zijn ingesteld.

Bevat deze update kill-bits die eerder zijn uitgebracht in een beveiligingsupdate voor Internet Explorer?
Nee, deze update bevat geen kill-bits die al eerder in een beveiligingsupdate voor Internet Explorer zijn uitgebracht. Wij raden aan de laatste cumulatieve beveiligingsupdate voor Internet Explorer te installeren.

Wat is een kill-bit?
Er is een beveiligingsfunctie in Microsoft Internet Explorer waarmee wordt voorkomen dat een ActiveX-besturingselement ooit opnieuw wordt geladen door de HTML-rendering-engine van Internet Explorer. Dit gebeurt door het wijzigen van een registerinstelling. Deze actie wordt aangeduid als het instellen van de kill-bit. Als de kill-bit eenmaal is ingesteld, kan het besturingselement niet meer worden geladen (zelfs niet als het volledig is geïnstalleerd). Door deze maatregel bent u ervan verzekerd dat zelfs bij het installeren of opnieuw installeren van een kwetsbaar onderdeel op een systeem, het onderdeel passief en ongevaarlijk blijft.

Zie Microsoft Knowledge Base-artikel 240797 voor meer informatie. Uitvoering van een ActiveX-besturingselement in Internet Explorer voorkomen.

Wat is een beveiligingsupdate van ActiveX kill-bits?  
Deze beveiligingsupdate bevat enkel de klasse-identificaties (CLSID) van bepaalde ActiveX-besturingselementen die de basis van deze beveiligingsupdate zijn.

Waarom bevat deze update geen binaire bestanden?
Deze update maakt enkel veranderingen in het register om te voorkomen dat Internet Explorer het besturingselement kan starten.

Moet ik deze update installeren als ik het onderdeel waarin dit probleem optreedt niet heb geïnstalleerd of als ik het platform waarop dit probleem optreedt, niet gebruik?
Ja. Als u deze update installeert, wordt voorkomen dat het kwetsbare besturingselement in Internet Explorer wordt gestart.

Moet ik deze update opnieuw toepassen als ik op een later tijdstip een ActiveX-besturingselement installeer dat in deze beveiligingsupdate wordt genoemd?
Nee, u hoeft de update niet opnieuw toe te passen. De kill-bit voorkomt dat Internet Explorer het besturingselement start, zelfs als het besturingselement op een latere datum wordt geïnstalleerd.

Wat doet de update?
Deze update stelt de kill-bit voor een lijst met klasse-identificaties (CLSID's) in.

De volgende klasse-identificaties hebben betrekking op het besturingselement van het MSCOMM32.OCX ATL-laadprogramma dat wordt opgelost met de cumulatieve update voor Microsoft Visual Basic 6.0 Service Pack 6 (KB957924):

Klasse-identificatie
{648A5600-2C6E-101B-82B6-000000000014}

De volgende klasse-identificatie heeft betrekking op een aanvraag door Microgaming om de kill-bit in te stellen voor een kwetsbare klasse-identificatie. Verdere details vindt u in de veiligheidsupdate die Microgaming heeft uitgebracht:

Klasse-identificatie
{D8089245-3211-40F6-819B-9E5E92CD61A2}

De volgende klasse-identificatie heeft betrekking op een aanvraag door eBay om de kill-bit in te stellen voor een kwetsbare klasse-identificatie. Verdere details vindt u in de veiligheidsupdate die eBay heeft uitgebracht:

Klasse-identificatie
{4C39376E-FA9D-4349-BACC-D305C1750EF3}
{C3EB1670-84E0-4EDA-B570-0B51AAE81679}

De volgende klasse-identificatie heeft betrekking op een aanvraag door HP om de kill-bit in te stellen voor een kwetsbare klasse-identificatie. Verdere details vindt u in de veiligheidsupdate die HP heeft uitgebracht:

Klasse-identificatie
{00000032-9593-4264-8

Lees het Microsoft Knowledge Base-artikel dat bij dit advies hoort

Microsoft raadt klanten aan om deze update te installeren. Klanten die meer willen weten over deze update, wordt aangeraden Microsoft Knowledge Base-artikel 969898 te lezen.

Tijdelijke oplossingen

Tijdelijke oplossingen zijn wijzigingen in een instelling of configuratie waardoor het beveiligingslek zelf niet wordt gedicht, maar waarmee aanvalsvectoren wel worden geblokkeerd voordat u de update uitvoert. Microsoft heeft de volgende methoden en statussen om het probleem te omzeilen getest om uit te zoeken of een tijdelijke oplossing functionaliteit vermindert:

  • Verhinderen dat COM-objecten in Internet Explorer worden gestart

    U kunt pogingen om een COM-object in Internet Explorer te starten, verhinderen door de kill-bit voor het besturingselement in het register in te stellen.

    Waarschuwing Als u de Register-editor onjuist gebruikt, kan dit tot zeer ernstige problemen leiden waardoor u het besturingssysteem mogelijk opnieuw dient te installeren. Microsoft kan niet garanderen dat problemen die ontstaan als gevolg van een onjuist gebruik van de Register-editor, kunnen worden opgelost. Het gebruik van de Register-editor is voor eigen risico.

    Voor uitvoerige stappen over het uitschakelen van een besturingselement in Internet Explorer verwijzen wij u naar Microsoft Knowledge Base-artikel 240797. Volg de stappen en breng een compatibiliteitsvlagwaarde aan in het register om te voorkomen dat een COM-object in Internet Explorer wordt gestart.

    Opmerking De klasse-identificaties en bijbehorende bestanden waarin de ActiveX-objecten voorkomen, worden beschreven in het gedeelte "Wat doet de update?" in de sectie met de veelgestelde vragen. Vervang {XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX} hieronder door de klasse-identificaties uit deze sectie.

    Om de kill-bit voor een CLSID met de waarde {XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX} in te stellen plakt u de volgende tekst in een teksteditor, bijvoorbeeld het Kladblok. Sla het bestand vervolgens op met de extensie .reg.

    Windows Registry-editor versie 5.00
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{ XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX }]
    "Compatibility Flags"=dword:00000400

    U kunt dit REG-bestand op afzonderlijke systemen toepassen door erop te dubbelklikken. U kunt het bestand ook met behulp van Groepsbeleid in domeinen toepassen. Ga naar de volgende websites van Microsoft voor meer informatie over Groepsbeleid:

    Opmerking U moet Internet Explorer opnieuw starten om de wijzigingen te laten ingaan.

    Gevolgen van de tijdelijke oplossing: Geen, zolang het object niet in Internet Explorer wordt gebruikt.

Overige informatie

Dankbetuiging

Microsoft bedankt de volgende partijen voor de samenwerking bij het verbeteren van de beveiliging voor klanten:

  • Robert Freeman van ISS X-Force voor het melden van het beveiligingslek in het MSCOMM32.OCX ATL-laadprogramma waardoor externe code kan worden uitgevoerd (CVE-2008-0024)

Informatiebronnen:

Uitsluiting van aansprakelijkheid:

De informatie in dit advies wordt geleverd 'in de huidige staat' zonder enige garantie. Microsoft wijst hierbij alle expliciete of impliciete garanties van de hand, met inbegrip van alle garanties betreffende de verhandelbaarheid en geschiktheid voor een bepaald doel. Voorzover maximaal is toegestaan op grond van toepasselijk recht zijn Microsoft Corporation en/of haar leveranciers in geen geval aansprakelijk voor enige directe, indirecte of incidentele schade, bijzondere schade, gevolgschade of schade ten gevolge van het verlies van winsten, zelfs als Microsoft Corporation of haar leveranciers van de mogelijkheid van dergelijke schade op de hoogte is gesteld. Aangezien sommige staten/rechtssystemen uitsluiting of beperking van aansprakelijkheid voor gevolgschade of incidentele schade niet toestaan, is de voorgaande beperking wellicht niet op u van toepassing.

Revisies:

  • V1.0 (9 juni 2009): Advies gepubliceerd
  • V1.1 (17 juni 2009): Er is een item toegevoegd aan Veelgestelde vragen om terwille van het systeem van automatische updates te melden dat deze update geen vervanging is voor de cumulatieve beveiligingsupdate van ActiveX-kill-bits (950760) die wordt beschreven in Microsoft-beveiligingsbulletin MS08-032.

Built at 2014-04-18T01:50:00Z-07:00

Vindt u dit nuttig?
(1500 tekens resterend)
Bedankt voor uw feedback
Weergeven:
© 2015 Microsoft