Beveiligingsadvies
Microsoft Security Advisory 973882
Beveiligingsproblemen in de Microsoft Active Template Library (ATL) kunnen externe code-uitvoering toestaan
Gepubliceerd: 28 juli 2009 | Bijgewerkt: 13 oktober 2009
Versie: 4.0
Microsoft brengt dit beveiligingsadvies uit om informatie te verstrekken over ons doorlopend onderzoek naar beveiligingsproblemen in de openbare en persoonlijke versies van de Active Template Library (ATL) van Microsoft. Dit advies biedt ook richtlijnen voor wat ontwikkelaars kunnen doen om ervoor te zorgen dat de besturingselementen en onderdelen die ze hebben gebouwd, niet kwetsbaar zijn voor de ATL-problemen; wat IT-professionals en consumenten kunnen doen om potentiële aanvallen te beperken die gebruikmaken van de beveiligingsproblemen; en wat Microsoft doet als onderdeel van het doorlopende onderzoek naar het probleem dat in dit advies wordt beschreven. Dit beveiligingsadvies biedt ook een uitgebreide lijst met alle Microsoft-beveiligingsbulletins en beveiligingsupdates met betrekking tot de beveiligingsproblemen in ATL. Het onderzoek van Microsoft naar de persoonlijke en openbare versies van ATL is doorlopend en we zullen beveiligingsupdates en richtlijnen vrijgeven als onderdeel van het onderzoeksproces.
Microsoft is op de hoogte van beveiligingsproblemen in de openbare en persoonlijke versies van ATL. De Microsoft ATL wordt door softwareontwikkelaars gebruikt om besturingselementen of onderdelen voor het Windows-platform te maken. De beveiligingsproblemen die worden beschreven in dit beveiligingsadvies en Microsoft-beveiligingsbulletin MS09-035 kunnen leiden tot openbaarmaking van informatie of aanvallen op uitvoering van externe code voor besturingselementen en onderdelen die zijn gebouwd met kwetsbare versies van de ATL. Onderdelen en besturingselementen die zijn gemaakt met de kwetsbare versie van ATL, kunnen worden blootgesteld aan een kwetsbare situatie vanwege de wijze waarop ATL wordt gebruikt of vanwege problemen in de ATL-code zelf.
Richtlijnen voor ontwikkelaars: Microsoft heeft de problemen in de openbare headers van ATL gecorrigeerd en updates uitgebracht voor de bibliotheken in bulletin MS09-035 'Beveiligingsproblemen in Visual Studio Active Template Library kan uitvoering van externe code toestaan'. Microsoft raadt ontwikkelaars die besturingselementen of onderdelen met ATL hebben gebouwd, onmiddellijk actie te ondernemen om hun controles te evalueren op blootstelling aan een kwetsbare situatie en de richtlijnen te volgen voor het maken van besturingselementen en onderdelen die niet kwetsbaar zijn. Zie MS09-035, 'Beveiligingsproblemen in Visual Studio Active Template Library kan uitvoering van externe code toestaan' voor meer informatie over de beveiligingsproblemen en richtlijnen voor het oplossen van problemen in ATL.
Richtlijnen voor IT-professionals en consumenten: Om klanten beter te beschermen terwijl ontwikkelaars hun onderdelen en besturingselementen bijwerken, heeft Microsoft een nieuwe diepgaande technologie ontwikkeld. Deze nieuwe diepgaande verdedigingstechnologie die is ingebouwd in Internet Explorer, helpt klanten te beschermen tegen toekomstige aanvallen met behulp van de beveiligingsproblemen van microsoft Active Template Library die worden beschreven in dit advies- en Microsoft-beveiligingsbulletin MS09-035. Om te profiteren van deze nieuwe diepgaande verdedigingstechnologie, moeten IT-professionals en consumenten onmiddellijk de beveiligingsupdate van Internet Explorer implementeren die wordt aangeboden in Microsoft Security Bulletin MS09-034, 'Cumulatieve beveiligingsupdate voor Internet Explorer'.
Deze beveiligingsupdate omvat een beperking die voorkomt dat onderdelen en besturingselementen die zijn gebouwd met behulp van de kwetsbare ATL worden misbruikt in Internet Explorer, en om meerdere niet-gerelateerde beveiligingsproblemen aan te pakken. De nieuwe diepgaande beveiligingen die worden aangeboden in MS09-034, bevatten updates voor Internet Explorer 5.01, Internet Explorer 6 en Internet Explorer 6 Service Pack 1, Internet Explorer 7 en Internet Explorer 8. Deze diepgaande beveiligingsmaatregelen bewaken en helpen voorkomen dat alle bekende openbare en persoonlijke ATL-beveiligingsproblemen worden misbruikt, inclusief de beveiligingsproblemen die kunnen leiden tot het omzeilen van de bitbeveiligingsfunctie van ActiveX. Deze beveiligingen zijn ontworpen om klanten te beschermen tegen webaanvallen.
Richtlijnen voor thuisgebruikers: Om klanten beter te beschermen terwijl ontwikkelaars hun onderdelen en besturingselementen bijwerken, heeft Microsoft een nieuwe diepgaande technologie ontwikkeld. Deze nieuwe diepgaande verdedigingstechnologie die is ingebouwd in Internet Explorer met de nieuwe update, helpt klanten te beschermen tegen toekomstige aanvallen met behulp van de beveiligingsproblemen van Microsoft Active Template Library die worden beschreven in dit advies en Microsoft-beveiligingsbulletin MS09-035. Thuisgebruikers die zich hebben geregistreerd voor Automatische updates ontvangen automatisch de nieuwe Internet Explorer-update en hoeven geen verdere actie te ondernemen. Thuisgebruikers worden automatisch beter beschermd tegen toekomstige aanvallen tegen de beveiligingsproblemen die in dit beveiligingsadvies worden behandeld en in Microsoft Security Bulletin MS09-035.
Beperkende factoren voor besturingselementen en onderdelen die zijn gebouwd met behulp van een kwetsbare versie van de Active Template Library (ATL) van Microsoft:
- Standaard worden de meeste ActiveX-besturingselementen niet opgenomen in de standaardlijst met toegestane activeX-besturingselementen in Internet Explorer 7 of Internet Explorer 8 die wordt uitgevoerd op Windows Vista of hoger. Alleen klanten die expliciet kwetsbare besturingselementen hebben goedgekeurd met behulp van de ActiveX-opt-in-functie, lopen het risico om misbruik te maken van dit beveiligingsprobleem. Als een klant echter dergelijke ActiveX-besturingselementen in een eerdere versie van Internet Explorer heeft gebruikt en later een upgrade heeft uitgevoerd naar Internet Explorer 7 of Internet Explorer 8, zijn deze ActiveX-besturingselementen ingeschakeld voor gebruik in Internet Explorer 7 en Internet Explorer 8, zelfs als de klant deze niet expliciet heeft goedgekeurd met de functie ActiveX-opt-in.
- Internet Explorer 8 biedt standaard verbeterde beveiliging door DEP/NX-geheugenbeveiliging in te schakelen voor gebruikers op Windows XP Service Pack 3, Windows Vista Service Pack 1 en Windows Vista Service Pack 2 en Windows 7.
- Internet Explorer in Windows Server 2003 en Windows Server 2008 wordt standaard uitgevoerd in een beperkte modus die verbeterde beveiligingsconfiguratie wordt genoemd. Verbeterde beveiligingsconfiguratie is een groep vooraf geconfigureerde instellingen in Internet Explorer waarmee de kans kan worden beperkt dat een gebruiker of beheerder speciaal gemaakte webinhoud op een server downloadt en uitvoert. Dit is een beperkingsfactor voor websites die u niet hebt toegevoegd aan de zone Vertrouwde websites van Internet Explorer. Zie ook Verbeterde beveiliging van Internet Explorer beheren.
- Standaard openen alle ondersteunde versies van Microsoft Outlook en Microsoft Outlook Express HTML-e-mailberichten in de zone Beperkte sites. De zone Beperkte sites helpt aanvallen te beperken die kunnen proberen misbruik te maken van dit beveiligingsprobleem door te voorkomen dat Active Scripting en ActiveX-besturingselementen worden gebruikt bij het lezen van HTML-e-mailberichten. Als een gebruiker echter op een koppeling in een e-mailbericht klikt, kan de gebruiker nog steeds kwetsbaar zijn voor misbruik van dit beveiligingsprobleem via het scenario voor webaanvallen.
- In een scenario met webaanvallen kan een aanvaller een website hosten die een webpagina bevat die wordt gebruikt om dit beveiligingsprobleem te misbruiken. Bovendien kunnen gecompromitteerde websites en websites die door de gebruiker geleverde inhoud of advertenties accepteren of hosten, speciaal gemaakte inhoud bevatten die misbruik kan maken van dit beveiligingsprobleem. In alle gevallen zou een aanvaller echter geen enkele manier hebben om gebruikers te dwingen deze websites te bezoeken. In plaats daarvan moet een aanvaller gebruikers overtuigen om de website te bezoeken, meestal door ze te laten klikken op een koppeling in een e-mailbericht of chatbericht dat gebruikers naar de website van de aanvaller brengt.
- Een aanvaller die dit beveiligingsprobleem heeft misbruikt, kan dezelfde gebruikersrechten krijgen als de lokale gebruiker. Gebruikers van wie de accounts zijn geconfigureerd om minder gebruikersrechten op het systeem te hebben, kunnen minder worden beïnvloed dan gebruikers die werken met gebruikersrechten met beheerdersrechten.
Updates met betrekking tot ATL:
Update uitgebracht op 13 oktober 2009
- Microsoft-beveiligingsbulletin MS09-060, 'Beveiligingsproblemen in Microsoft Active Template Library (ATL) ActiveX Controls for Microsoft Office Could Allow Remote Code Execution', biedt ondersteuning voor Microsoft Office-onderdelen die worden beïnvloed door de ATL-beveiligingsproblemen die in dit advies worden beschreven.
Updates uitgebracht op 25 augustus 2009
- Windows Live Messenger 14.0.8089 wordt uitgebracht om beveiligingsproblemen in de Windows Live Messenger-client aan te pakken die zijn gerelateerd aan de ATL-beveiligingsproblemen die in dit advies worden beschreven.
- Er is een veelgestelde vragen over de sectie Windows Live-onderdelen toegevoegd aan dit advies om te communiceren over het verwijderen van de functie 'Foto bijvoegen' van Windows Live Hotmail en om details te verstrekken over de release van Windows Live Messenger 14.0.8089.
Updates uitgebracht op 11 augustus 2009
- Microsoft Security Bulletin MS09-037, 'Beveiligingsproblemen in Microsoft Active Template Library (ATL) Could Allow Remote Code Execution', biedt ondersteuning voor Windows-onderdelen die worden beïnvloed door de ATL-beveiligingsproblemen die in dit advies worden beschreven.
- Microsoft-beveiligingsbulletin MS09-035, 'Beveiligingsproblemen in visual Studio Active Template Library kan uitvoering van externe code toestaan', wordt opnieuw uitgebracht om nieuwe updates te bieden voor ontwikkelaars die Visual Studio gebruiken om onderdelen en besturingselementen te maken voor mobiele toepassingen die ATL voor Smart Devices gebruiken.
Updates uitgebracht op 28 juli 2009
- Microsoft Security Bulletin MS09-035, 'Beveiligingsproblemen in visual Studio Active Template Library Could Allow Remote Code Execution', gaat verder in op de specifieke beveiligingsproblemen in ATL en biedt de bijgewerkte openbare ATL-headers voor leveranciers om bijgewerkte onderdelen en besturingselementen te ontwikkelen. Uit ons onderzoek is gebleken dat er onderdelen en controles van Microsoft en derden zijn die worden beïnvloed door dit probleem en dat deze onderdelen en besturingselementen aanwezig zijn in alle ondersteunde edities van Windows 2000 Service Pack 4, Windows XP, Windows Server 2003, Windows Vista en Windows Server 2008. Ontwikkelaars die gebruikmaken van kwetsbare versies van de ATL bij het bouwen van besturingselementen of onderdelen, moeten dit bulletin bekijken en onmiddellijk actie ondernemen als hun besturingselementen kwetsbaar zijn.
- Microsoft-beveiligingsbulletin MS09-034, 'Cumulatieve beveiligingsupdate voor Internet Explorer', bevat een beperking die voorkomt dat onderdelen en besturingselementen die zijn gebouwd met behulp van de kwetsbare ATL worden misbruikt in Internet Explorer, en om meerdere niet-gerelateerde beveiligingsproblemen aan te pakken. De nieuwe diepgaande verdedigingsbeveiligingen die worden aangeboden in MS09-034, bevatten updates voor Internet Explorer 5.01, Internet Explorer 6 en Internet Explorer 6 Service Pack 1, Internet Explorer 7 en Internet Explorer 8. Deze diepgaande beveiligingsmaatregelen bewaken en helpen voorkomen dat alle bekende openbare en persoonlijke ATL-beveiligingsproblemen worden misbruikt, inclusief de beveiligingsproblemen die kunnen leiden tot het omzeilen van de bitbeveiligingsfunctie van ActiveX. Deze beveiligingen zijn ontworpen om klanten te beschermen tegen webaanvallen.
- We zijn niet op de hoogte van methoden of besturingselementen die zijn opgenomen in Windows 7, waardoor aanvallen kunnen worden geslaagd via Internet Explorer.
Update uitgebracht op 14 juli 2009
- Microsoft-beveiligingsbulletin MS09-032, 'Cumulatieve beveiligingsupdate van ActiveX Kill Bits', verstrekte ActiveX-beveiligingsmaatregelen (een kill-bit) waardoor het msvidctl-besturingselement niet werd uitgevoerd in Internet Explorer. De exploit in msvidcntl maakte gebruik van een beveiligingsprobleem in de persoonlijke versie van ATL. In dit specifieke geval kan een aanvaller met het beveiligingsprobleem het geheugen beschadigen, wat kan leiden tot het uitvoeren van externe code. De kill bits die zijn uitgegeven in de release van juni voor msvidctl (MS09-032) blokkeren de openbare aanvallen zoals hier wordt beschreven.
Algemene gegevens
Overzicht
Doel van advies: dit advies is vrijgegeven om klanten de eerste melding te geven van het openbaar openbaar gemaakte beveiligingsprobleem. Zie de secties Tijdelijke oplossingen, beperkende factoren en voorgestelde acties van dit beveiligingsadvies voor meer informatie.
Adviesstatus: Advies gepubliceerd.
Aanbeveling: Bekijk de voorgestelde acties en configureer indien van toepassing.
| Verwijzingen | Kenmerk |
|---|---|
| CVE-verwijzing | CVE-2009-0901 CVE-2009-2493\ CVE-2009-2495\ CVE-2008-0015\ |
| Beveiligingsbulletin | MS09-035, "Beveiligingsproblemen in Visual Studio Active Template Library kan uitvoering van externe code toestaan"\ \ MS09-034, "Cumulatieve beveiligingsupdate voor Internet Explorer"\ \ MS09-032, "Cumulatieve beveiligingsupdate van ActiveX Kill Bits" |
| Microsoft Knowledge Base-artikel | MS09-035:\ Microsoft Knowledge Base Article 969706\ \ MS09-034:\ Microsoft Knowledge Base Article 972260\ \ MS09-032:\ Microsoft Knowledge Base Article 973346 |
In dit advies worden de volgende software besproken.
| Betrokken software |
|---|
| Microsoft Windows |
| Besturingselementen en onderdelen die zijn gemaakt met behulp van kwetsbare Active Template Library |
| Microsoft Live Services |
| Windows Live Messenger (versies kleiner dan 14.0.8089) |
| De functie Foto bijvoegen in Windows Live Hotmail |
Veelgestelde vragen
Wat is het bereik van het advies?
Microsoft is op de hoogte van beveiligingsproblemen die van invloed zijn op onderdelen en besturingselementen die zijn gebouwd met behulp van openbare en persoonlijke versies van de Active Template Library (ATL). Het advies is erop gericht gebruikers bewust te maken van updates die helpen het risico van kwetsbare controles en onderdelen te beperken, richtlijnen en richting te bieden aan ontwikkelaars die besturingselementen en onderdelen hebben gebouwd met behulp van de kwetsbare ATL en it-professionals over het beveiligen en installeren van risicobeperking in hun omgeving.
Brengt Microsoft in de toekomst aanvullende beveiligingsupdates uit met betrekking tot dit beveiligingsadvies?
Het onderzoek van Microsoft naar de privé- en openbare headers van ATL is doorlopend en we zullen beveiligingsupdates en richtlijnen vrijgeven als onderdeel van het onderzoeksproces.
Was het beveiligingsprobleem msvidctl (MS09-032) gerelateerd aan deze ATL-update?
Ja, de exploit in msvidctl maakte gebruik van een beveiligingsprobleem in de privéversie van ATL. In dit specifieke geval kan een aanvaller met het beveiligingsprobleem het geheugen beschadigen, wat kan leiden tot het uitvoeren van externe code. MS09-032, eerder uitgegeven in de release van 14 juli, blokkeert bekende aanvallen voor msvidctl. Zie voor meer informatie over de exploit in msvidctl https://blogs.technet.com/srd/archive/2009/07/06/new-vulnerability-in-mpeg2tunerequest-activex-control-object-in-msvidctl-dll.aspx.
Beveiligt de Internet Explorer-update (ms09-034) ook tegen msvidctl-aanvallen?
Ja, de Internet Explorer-oplossingen beschermen tegen de exploitatie van de bekende beveiligingsproblemen in de openbare en persoonlijke versies van ATL, met inbegrip van de msvidctl-aanvallen.
Wat is ATL?
De Active Template Library (ATL) is een set op sjabloon gebaseerde C++-klassen waarmee u kleine, snelle COM-objecten (Component Object Model) kunt maken. ATL biedt speciale ondersteuning voor belangrijke COM-functies, waaronder stock-implementaties, dubbele interfaces, standaard COM-enumerator-interfaces, verbindingspunten, losloopinterfaces en ActiveX-besturingselementen. Zie het MSDN-artikel, ATL, voor meer informatie.
Wat veroorzaakt deze bedreiging in ATL?
Het probleem wordt in sommige gevallen veroorzaakt door de manier waarop ATL wordt gebruikt en in andere gevallen door de ATL-code zelf. In dergelijke gevallen kunnen gegevensstromen onjuist worden verwerkt, wat kan leiden tot beschadiging van het geheugen, openbaarmaking van informatie en instantiëring van objecten, zonder rekening te houden met het beveiligingsbeleid. Zie MS09-035 voor meer informatie over de beveiligingsproblemen die zijn opgelost in ATL, 'Beveiligingsproblemen in Visual Studio Active Template Library kan uitvoering van externe code toestaan'.
Wat zijn de verschillen tussen de openbare en persoonlijke versies van de actieve sjabloonbibliotheek?
De persoonlijke versie van de actieve sjabloonbibliotheek wordt door Microsoft-ontwikkelaars gebruikt om besturingselementen en onderdelen te bouwen. Microsoft heeft alle versies van de actieve sjabloonbibliotheek bijgewerkt die door onze ontwikkelaars wordt gebruikt.
De openbare versie van de actieve sjabloonbibliotheek wordt gedistribueerd naar klanten via ontwikkelhulpprogramma's, zoals Microsoft Visual Studio. Microsoft biedt een bijgewerkte versie van onze openbare ATL via Microsoft Security Bulletin MS09-035.
Moeten microsoft- en externe ontwikkelaars beveiligingsproblemen in ATL beveiligingsupdates uitgeven?
Ja. Naast de updates van het bulletin die in dit advies worden beschreven, voert Microsoft een uitgebreid onderzoek uit naar Microsoft-controles en -onderdelen. Na voltooiing van dit onderzoek zal Microsoft de juiste actie ondernemen om onze klanten te beschermen. Dit kan zijn onder andere het leveren van een beveiligingsupdate via ons maandelijkse releaseproces of het leveren van een out-of-band-beveiligingsupdate, afhankelijk van de behoeften van de klant.
Microsoft biedt ook richtlijnen en neemt actief contact op met belangrijke ontwikkelaars van derden om hen te helpen kwetsbare controles en onderdelen te identificeren. Dit kan leiden tot beveiligingsupdates voor besturingselementen en onderdelen van derden.
Veelgestelde vragen over Windows Live Services
Hoe wordt de upgrade naar Windows Live Messenger gedistribueerd?
Bij het aanmelden bij de Windows Live Messenger-service worden gebruikers van Windows Live Messenger 8.1, Windows Live Messenger 8.5 en Windows Live Messenger 14.0 op ondersteunde versies van Windows gevraagd door het clientimplementatiemechanisme in de Windows Live Messenger-service om de upgrade naar Windows Live Messenger 14.0.8089 te accepteren. Gebruikers die de upgrade naar Windows Live Messenger 14.0.8089 direct willen downloaden, kunnen dit ook doen via het Windows Live DownloadCentrum. Anders mogen gebruikers van kwetsbare versies van de Windows Live Messenger-clients mogelijk geen verbinding maken met de Windows Live Messenger-service.
Waarom brengt Microsoft de upgrade naar Windows Live Messenger uit via de Windows Live Messenger-service, evenals downloads?
Microsoft geeft momenteel upgrades uit voor de Windows Live Messenger-client met behulp van de Windows Live Messenger-service, omdat deze onlineservices een eigen clientimplementatiemechanisme hebben. Koppelingen in het Microsoft Downloadcentrum zijn echter ook beschikbaar voor specifieke Windows Live Messenger-clients. Gebruikers die de upgrades onmiddellijk willen downloaden, kunnen dit doen in het Windows Live Download Center.
Als dit een upgrade is, hoe kan ik detecteren of ik een kwetsbare versie van Windows Live Messenger heb?
Wanneer u zich probeert aan te melden bij de Windows Live Messenger-service, zal het clientimplementatiemechanisme automatisch uw huidige clientversie en -platform bepalen en, indien nodig, de juiste upgrade aanbevelen. U kunt ook de versie van uw Windows Live Messenger-client controleren door op Help en vervolgens op Info te klikken.
Wat gebeurt er als ik geen upgrade naar de meest recente versie van Windows Live Messenger uitvoer?
Als u geen upgrade uitvoert naar een niet-beïnvloede versie van de Windows Live Messenger-client, wordt u, afhankelijk van uw platform, op de hoogte gesteld van een upgrade bij elke poging om u aan te melden. Als u de upgrade niet accepteert, hebt u mogelijk geen toegang tot de Windows Live Messenger-service.
Worden andere Microsoft Realtime Samenwerkingstoepassingen, zoals Windows Messenger of Office Communicator, beïnvloed door dit beveiligingsprobleem?
Nee Andere berichtentoepassingen worden niet beïnvloed omdat ze het kwetsbare onderdeel niet bevatten.
Wanneer heeft Microsoft de functie Foto bijvoegen van Windows Live Hotmail verwijderd? Viel het samen met de lancering van een andere nieuwe functie?
Microsoft heeft onlangs besloten de functie op korte termijn te verwijderen om het probleem op te lossen. De tijdelijke verwijdering van deze functie viel niet samen met de lancering van een andere functie.
Wat is het laatste tijdschema voor de functie Foto bijvoegen om volledig te worden hersteld voor alle Windows Live Hotmail-gebruikers?
Microsoft werkt actief aan het oplossen van het probleem. Ondertussen kunt u nog steeds afbeeldingen als bijlagen toevoegen aan uw Hotmail-berichten door op Bijvoegen te klikken en vervolgens de afbeelding te selecteren die u wilt opnemen.
Veelgestelde vragen van ontwikkelaars over de Visual Studio Update
Wat veroorzaakt deze bedreiging in ATL?
Het probleem wordt in sommige gevallen veroorzaakt door de manier waarop ATL wordt gebruikt en in andere gevallen door de ATL-code zelf. In dergelijke gevallen kunnen gegevensstromen onjuist worden verwerkt, wat kan leiden tot beschadiging van het geheugen, openbaarmaking van informatie en instantiëring van objecten, zonder rekening te houden met het beveiligingsbeleid. Zie MS09-035 voor meer informatie over de beveiligingsproblemen die zijn opgelost in ATL, 'Beveiligingsproblemen in Visual Studio Active Template Library kan uitvoering van externe code toestaan'.
Wat kan een aanvaller doen met dit beveiligingsprobleem?
Voor besturingselementen en onderdelen die zijn gebouwd met ATL, kan onveilig gebruik van bepaalde macro's het instantiëren van willekeurige objecten toestaan die gerelateerd ActiveX-beveiligingsbeleid (d.w.w.v. kill-bits) in Internet Explorer kunnen omzeilen. Daarnaast kunnen onderdelen en besturingselementen die zijn gebouwd met behulp van de kwetsbare versie van ATL, kwetsbaar zijn voor het uitvoeren van externe code of bedreigingen voor openbaarmaking van informatie. Als een gebruiker is aangemeld met beheerdersrechten en hij of zij kwetsbaar is voor zijn systeem, kan een aanvaller de volledige controle over het getroffen systeem overnemen. Een aanvaller kan vervolgens programma's installeren; gegevens weergeven, wijzigen of verwijderen; of maak nieuwe accounts met volledige gebruikersrechten. Gebruikers van wie de accounts zijn geconfigureerd om minder gebruikersrechten op het systeem te hebben, kunnen minder worden beïnvloed dan gebruikers die werken met gebruikersrechten met beheerdersrechten.
Ik ben een ontwikkelaar van toepassingen van derden en ik gebruik ATL in mijn onderdeel of beheer. Is mijn onderdeel of controle kwetsbaar en zo ja, hoe kan ik het bijwerken?
Onderdelen en besturingselementen kunnen worden beïnvloed door dit probleem als aan bepaalde voorwaarden wordt voldaan tijdens het bouwen van het onderdeel of besturingselement. MS09-035 bevat aanvullende informatie, voorbeelden en richtlijnen die externe ontwikkelaars kunnen gebruiken om kwetsbare onderdelen en besturingselementen te detecteren en te corrigeren.
Wat doet de beveiligingsupdate voor Visual Studio?
Deze updates hebben betrekking op beveiligingsproblemen in de Microsoft Active Template Library (ATL), waardoor een externe, niet-geverifieerde gebruiker willekeurige code kan uitvoeren op een beïnvloed systeem. Deze beveiligingsproblemen worden in sommige gevallen veroorzaakt door de manier waarop ATL wordt gebruikt, en in andere gevallen door de ATL-code zelf. Omdat deze beveiligingsproblemen van invloed zijn op ATL, kunnen onderdelen of besturingselementen die zijn ontwikkeld met ATL, klanten blootstellen met behulp van de betrokken besturingselementen en onderdelen voor scenario's voor het uitvoeren van externe code.
De beveiligingsupdate voor Visual Studio werkt de kwetsbare versie van de ATL bij die wordt gebruikt door Visual Studio. Hierdoor kunnen Visual Studio-gebruikers hun besturingselementen en onderdelen wijzigen en opnieuw bouwen met behulp van een bijgewerkte versie van de ATL.
Uit ons onderzoek is gebleken dat zowel microsoft- als externe onderdelen en controles mogelijk worden beïnvloed door dit probleem. Daarom moeten alle betrokken leveranciers hun onderdelen en besturingselementen wijzigen en herbouwen met behulp van de gecorrigeerde ATL die is opgegeven in Microsoft Security Bulletin MS09-035.
Veelgestelde vragen van IT-professionals over wat ze kunnen doen om zichzelf te beschermen
Beveiligt de IE MS09-034 me tegen alle onderdelen en besturingselementen die zijn gebouwd op de kwetsbare versie van ATL?
Om klanten beter te beschermen terwijl ontwikkelaars hun onderdelen en besturingselementen bijwerken, heeft Microsoft een nieuwe diepgaande technologie ontwikkeld. Deze nieuwe diepgaande verdedigingstechnologie die is ingebouwd in Internet Explorer, helpt klanten te beschermen tegen toekomstige aanvallen met behulp van de beveiligingsproblemen van microsoft Active Template Library die in dit advies en in Microsoft Security Bulletin MS09-035 worden beschreven. Microsoft-beveiligingsbulletin MS09-034, 'Cumulatieve beveiligingsupdate voor Internet Explorer', bevat een beperking die voorkomt dat onderdelen en besturingselementen die zijn gebouwd met behulp van de kwetsbare ATL worden misbruikt in Internet Explorer, en om meerdere niet-gerelateerde beveiligingsproblemen aan te pakken.
Microsoft blijft alle Besturingselementen en onderdelen van Microsoft onderzoeken en helpt ontwikkelaars van derden hun controles en onderdelen te evalueren.
Welke actie kan een IT-professional ondernemen om de blootstelling aan dit probleem te beperken?
Microsoft raadt IT-professionals ten zeerste aan om de beveiligingsupdate van Internet Explorer direct te implementeren die wordt aangeboden in Microsoft Security Bulletin MS09-034, 'Cumulatieve beveiligingsupdate voor Internet Explorer'.
Veelgestelde vragen over wat consumenten kunnen doen om zichzelf te beschermen
Welke actie kunnen consumenten ondernemen om de blootstelling aan dit probleem te beperken?
Om klanten beter te beschermen terwijl ontwikkelaars hun onderdelen en besturingselementen bijwerken, heeft Microsoft een nieuwe diepgaande technologie ontwikkeld. Deze nieuwe diepgaande verdedigingstechnologie die is ingebouwd in Internet Explorer, helpt klanten te beschermen tegen toekomstige aanvallen met behulp van de beveiligingsproblemen van microsoft Active Template Library die in dit advies en in Microsoft Security Bulletin MS09-035 worden beschreven. Microsoft raadt gebruikers ten zeerste aan automatische updates in te schakelen en onmiddellijk de beveiligingsupdate van Internet Explorer te implementeren die wordt aangeboden in Microsoft Security Bulletin MS09-034, 'Cumulatieve beveiligingsupdate voor Internet Explorer'. Thuisgebruikers die automatisch updates ontvangen, ontvangen de oplossingen die worden geboden in de cumulatieve IE-update en andere beveiligingsupdates met betrekking tot dit probleem en hoeven geen verdere actie te ondernemen.
Microsoft moedigt thuisgebruikers ook aan om een upgrade uit te voeren naar Internet Explorer 8 om te profiteren van verbeterde beveiliging en bescherming.
Veelgestelde vragen over de oplossingen in Internet Explorer Update
Wat veroorzaakt deze bedreiging waardoor activeX-beveiliging kan worden overgeslagen?
ActiveX-besturingselementen die zijn gebouwd met kwetsbare ATL-methoden, valideren mogelijk niet correct informatie. Dit kan leiden tot een ActiveX-besturingselement dat beschadiging van het geheugen toestaat of een aanvaller toestaat een vertrouwd ActiveX-besturingselement te gebruiken om een niet-vertrouwd ActiveX-besturingselement te laden dat eerder was geblokkeerd in Internet Explorer.
De nieuwe diepgaande verdedigingsbeveiligingen die worden aangeboden in MS09-034 omvatten updates voor Internet Explorer 5.01, Internet Explorer 6 en Internet Explorer 6 Service Pack 1, Internet Explorer 7 en Internet Explorer 8, die de succesvolle exploitatie van alle bekende openbare en persoonlijke ATL-beveiligingsproblemen bewaken en voorkomen, inclusief de beveiligingsproblemen die kunnen leiden tot het omzeilen van de IE kill-beveiligingsfunctie. Deze beveiligingen zijn ontworpen om klanten te beschermen tegen webaanvallen.
Wat kan een aanvaller doen met deze functie?
Een aanvaller die dit beveiligingsprobleem op Windows Vista of Windows 2008 heeft misbruikt, krijgt alleen rechten als een beperkte gebruiker vanwege de beveiligingsmodus in Internet Explorer. Op andere Windows-systemen kan de aanvaller dezelfde gebruikersrechten krijgen als de lokale gebruiker. Gebruikers van wie de accounts zijn geconfigureerd om minder gebruikersrechten op het systeem te hebben, kunnen minder worden beïnvloed dan gebruikers die werken met gebruikersrechten met beheerdersrechten.
Hoe kan een aanvaller deze functie gebruiken?
Een aanvaller kan een website hosten die is ontworpen voor het hosten van een speciaal ontworpen ActiveX-besturingselement en vervolgens een gebruiker overtuigen om de website te bekijken. Dit kan ook gecompromitteerde websites en websites zijn die door de gebruiker geleverde inhoud of advertenties accepteren of hosten. In alle gevallen zou een aanvaller echter geen enkele manier hebben om gebruikers te dwingen deze websites te bezoeken. In plaats daarvan moet een aanvaller gebruikers overtuigen om de website te bezoeken, meestal door ze te laten klikken op een koppeling in een e-mailbericht of in een chatberichtaanvraag die gebruikers naar de website van de aanvaller brengt.
Wat is een kill bit?
Een beveiligingsfunctie in Microsoft Internet Explorer maakt het mogelijk om te voorkomen dat een ActiveX-besturingselement wordt geladen door de HTML-renderingengine van Internet Explorer. Dit wordt gedaan door een registerinstelling te maken en wordt aangeduid als 'het instellen van de kill bit'. Nadat de kill-bit is ingesteld, kan het besturingselement nooit worden geladen, zelfs wanneer het volledig is geïnstalleerd. Het instellen van de kill-bit zorgt ervoor dat zelfs als een kwetsbaar onderdeel wordt geïntroduceerd of opnieuw wordt geïntroduceerd in een systeem, het inert en ongevaarlijk blijft.
Zie het Microsoft Knowledge Base-artikel 240797 voor meer informatie over kill-bits: Een ActiveX-besturingselement niet meer uitvoeren in Internet Explorer. Zie het volgende blogbericht over beveiligingsonderzoek en defensie voor meer gedetailleerde informatie over kill bits en hoe deze werken in Internet Explorer.
Wat doet de update?
De update versterkt het ActiveX-beveiligingsmechanisme door validatie te bieden wanneer onveilige methoden worden gebruikt door ActiveX-besturingselementen die gebruikmaken van kwetsbare ATL-headers in specifieke configuraties.
Verandert deze updatefunctionaliteit?
Ja. Met deze update kunnen geen specifieke sets ATL-methoden meer worden uitgevoerd in Internet Explorer. De update beperkt het risico van het omzeilen van actieve beveiliging door te voorkomen dat vertrouwde ActiveX-besturingselementen niet-vertrouwde besturingselementen laden
Bevat deze update aanvullende softwarewijzigingen?
Ja. Deze update bevat ook aanvullende beveiligingsoplossingen en andere updates voor Internet Explorer als onderdeel van de cumulatieve update voor Internet Explorer.
Heeft deze update betrekking op alle onveilige ActiveX-besturingsscenario's?
Nee Deze update heeft specifiek betrekking op onveilige/niet-vertrouwde ActiveX-besturingselementen die kwetsbaar kunnen zijn voor de ATL-problemen die in dit advies worden beschreven om klanten te beschermen tegen aanvallen tijdens het surfen op internet.
Microsoft blijft dit probleem onderzoeken. Na voltooiing van dit onderzoek zal Microsoft de juiste actie ondernemen om onze klanten te beschermen. Dit kan zijn onder andere het leveren van een beveiligingsupdate via ons maandelijkse releaseproces of het leveren van een out-of-band-beveiligingsupdate, afhankelijk van de behoeften van de klant.
Hoe beschermt de beveiligde modus in Internet Explorer 7 en Internet Explorer 8 op Windows Vista en hoger mij tegen dit beveiligingsprobleem?
Internet Explorer 7 en Internet Explorer 8 op Windows Vista en hoger worden standaard uitgevoerd in de beveiligde modus in de internetbeveiligingszone. De beveiligde modus vermindert de mogelijkheid van een aanvaller om gegevens op de computer van de gebruiker te schrijven, te wijzigen of te vernietigen of om schadelijke code te installeren. Dit wordt bereikt met behulp van de integriteitsmechanismen van Windows Vista en hoger, waardoor de toegang tot processen, bestanden en registersleutels met hogere integriteitsniveaus wordt beperkt.
Wat is Preventie van gegevensuitvoering (DEP)?
Preventie van gegevensuitvoering (DEP) is standaard ingeschakeld in Internet Explorer 8. DEP is ontworpen om folieaanvallen te helpen door te voorkomen dat code wordt uitgevoerd in het geheugen dat is gemarkeerd als niet-uitvoerbaar bestand. Zie het volgende bericht voor meer informatie over DEP in Internet Explorer: https://blogs.msdn.com/ie/archive/2008/04/08/ie8-security-part-I_3A00_-dep-nx-memory-protection.aspx
Voorgestelde acties
Bekijk het Microsoft Knowledge Base-artikel dat is gekoppeld aan dit advies
Klanten die meer willen weten over de ATL-problemen, moeten het Microsoft Knowledge Base-artikel 973882 raadplegen.
De updates toepassen die zijn gekoppeld aan beveiligingsbulletins MS09-034 en MS09-035
Klanten met betrokken systemen kunnen de updates downloaden uit het Microsoft Knowledge Base-artikel 969706 en uit Microsoft Knowledge Base-artikel 972260. De Update van Internet Explorer biedt nieuwe oplossingen die het instantiëren van kwetsbare ActiveX-besturingselementen in Internet Explorer 7 en 8 voorkomen. Met de Visual Studio-update kunnen ontwikkelaars ActiveX-besturingselementen maken die niet worden beïnvloed door deze beveiligingsproblemen.
Uw pc beveiligen
We blijven klanten aanmoedigen om onze richtlijnen voor uw computer beveiligen te volgen voor het inschakelen van een firewall, het ophalen van software-updates en het installeren van antivirussoftware. Klanten kunnen meer informatie over deze stappen vinden door naar Uw computer beveiligen te gaan.
Voor meer informatie over veilig blijven op internet, moeten klanten Microsoft Security Central bezoeken.
Windows bijgewerkt houden
Alle Windows-gebruikers moeten de nieuwste beveiligingsupdates van Microsoft toepassen om ervoor te zorgen dat hun computers zo goed mogelijk zijn beveiligd. Als u niet zeker weet of uw software up-to-date is, gaat u naar Windows Update, scant u uw computer op beschikbare updates en installeert u eventuele updates met hoge prioriteit die aan u worden aangeboden. Als automatische updates zijn ingeschakeld, worden de updates aan u geleverd wanneer ze worden uitgebracht, maar moet u ervoor zorgen dat u ze installeert.
Tijdelijke oplossingen
Microsoft heeft de volgende tijdelijke oplossingen getest. Hoewel deze tijdelijke oplossingen het onderliggende beveiligingsprobleem niet corrigeren, helpen ze bekende aanvalsvectoren te blokkeren. Wanneer een tijdelijke oplossing de functionaliteit vermindert, wordt deze geïdentificeerd in de volgende sectie.
Stel de instellingen voor de beveiligingszone Internet en Lokaal intranet in op Hoog om te vragen voordat u ActiveX-besturingselementen en Active Scripting uitvoert in deze zones
U kunt bescherming bieden tegen dit beveiligingsprobleem door uw instellingen voor de internetbeveiligingszone te wijzigen om te vragen voordat ActiveX-besturingselementen en Active Scripting worden uitgevoerd. U kunt dit doen door de browserbeveiliging in te stellen op Hoog.
Voer de volgende stappen uit om het beveiligingsniveau voor browsen in Microsoft Internet Explorer te verhogen:
- Klik in het menu Extra van Internet Explorer op Internetopties.
- Klik in het dialoogvenster Internetopties op het tabblad Beveiliging en klik vervolgens op het internetpictogram .
- Verplaats de schuifregelaar onder Beveiligingsniveau voor deze zone naar Hoog. Hiermee stelt u het beveiligingsniveau in voor alle websites die u bezoekt op Hoog.
Opmerking Als er geen schuifregelaar zichtbaar is, klikt u op Standaardniveau en verplaatst u de schuifregelaar naar Hoog.
Opmerking Als u het niveau instelt op Hoog , werken sommige websites mogelijk onjuist. Als u problemen ondervindt met het gebruik van een website nadat u deze instelling hebt gewijzigd en u zeker weet dat de site veilig te gebruiken is, kunt u die site toevoegen aan uw lijst met vertrouwde sites. Hierdoor kan de site correct werken, zelfs als de beveiligingsinstelling is ingesteld op Hoog.
Gevolgen van tijdelijke oplossing: er zijn bijwerkingen die u moet vragen voordat u ActiveX-besturingselementen en Active Scripting uitvoert. Veel websites die zich op internet of op een intranet bevinden, maken gebruik van ActiveX of Active Scripting om extra functionaliteit te bieden. Een online e-commercesite of banksite kan bijvoorbeeld ActiveX-besturingselementen gebruiken om menu's, bestelformulieren of zelfs rekeningoverzichten te bieden. Vragen voordat u ActiveX-besturingselementen of Active Scripting uitvoert, is een globale instelling die van invloed is op alle internet- en intranetsites. U wordt regelmatig gevraagd wanneer u deze tijdelijke oplossing inschakelt. Als u voor elke prompt de site vertrouwt die u bezoekt, klikt u op Ja om ActiveX-besturingselementen of Active Scripting uit te voeren. Als u niet wilt worden gevraagd om al deze sites, gebruikt u de stappen die worden beschreven in 'Sites toevoegen die u vertrouwt aan de zone Vertrouwde websites van Internet Explorer'.
Sites toevoegen die u vertrouwt aan de zone Vertrouwde websites van Internet Explorer
Nadat u Internet Explorer hebt ingesteld om een prompt te vereisen voordat ActiveX-besturingselementen en Active Scripting worden uitgevoerd in de internetzone en in de zone Lokaal intranet, kunt u sites toevoegen die u vertrouwt aan de zone Vertrouwde websites van Internet Explorer. Hierdoor kunt u vertrouwde websites op dezelfde manier blijven gebruiken als vandaag, terwijl u wordt geholpen om u te beschermen tegen deze aanval op niet-vertrouwde sites. U wordt aangeraden alleen sites toe te voegen die u vertrouwt op de zone Vertrouwde sites.
Voer hiervoor de volgende stappen uit:
- Klik in Internet Explorer op Extra, klik op Internetopties en klik vervolgens op het tabblad Beveiliging .
- Klik in het vak Een webinhoudszone selecteren om de huidige beveiligingsinstellingen op te geven op Vertrouwde sites en klik vervolgens op Sites.
- Als u sites wilt toevoegen waarvoor geen versleuteld kanaal is vereist, schakelt u het selectievakje Serververificatie vereisen (https:) uit voor alle sites in deze zone .
- Typ in het vak Deze website toevoegen aan het zonevak de URL van een site die u vertrouwt en klik vervolgens op Toevoegen.
- Herhaal deze stappen voor elke site die u aan de zone wilt toevoegen.
- Klik twee keer op OK om de wijzigingen te accepteren en terug te keren naar Internet Explorer.
Opmerking Voeg sites toe die u vertrouwt om geen schadelijke actie op uw computer uit te voeren. Twee met name die u wilt toevoegen, zijn *.windowsupdate.microsoft.com en *.update.microsoft.com. Dit zijn de sites waarop de update wordt gehost en waarvoor een ActiveX-besturingselement is vereist om de update te installeren.
Internet Explorer configureren om te vragen voordat u Active Scripting uitvoert of actieve scripts uitschakelen in de beveiligingszone Internet en Lokaal intranet
U kunt u helpen beschermen tegen dit beveiligingsprobleem door de instellingen van Internet Explorer te wijzigen om te vragen voordat u Active Scripting uitvoert of om Active Scripting uit te schakelen in de beveiligingszone Internet en Lokaal intranet. Hiervoor volgt u deze stappen:
- Klik in Internet Explorer op Internetopties in het menu Extra .
- Klik op de beveiliging tabblad.
- Klik op Internet en klik vervolgens op Aangepast niveau.
- Klik onder Instellingen in de sectie Scripting onder Actief scripten op Vragenof Uitschakelen en klik vervolgens op OK.
- Klik op Lokaal intranet en klik vervolgens op Aangepast niveau.
- Klik onder Instellingen in de sectie Scripting onder Actief scripten op Vragenof Uitschakelen en klik vervolgens op OK.
- Klik twee keer op OK om terug te keren naar Internet Explorer.
Opmerking Het uitschakelen van actieve scripts in de internet- en lokale intranetbeveiligingszones kan ertoe leiden dat sommige websites onjuist werken. Als u problemen ondervindt met het gebruik van een website nadat u deze instelling hebt gewijzigd en u zeker weet dat de site veilig te gebruiken is, kunt u die site toevoegen aan uw lijst met vertrouwde sites. Hierdoor kan de site correct werken.
Gevolgen van tijdelijke oplossing: er zijn bijwerkingen die u moet vragen voordat u Actieve scripts uitvoert. Veel websites die zich op internet of op een intranet bevinden, maken gebruik van Active Scripting om extra functionaliteit te bieden. Een online e-commercesite of banksite kan bijvoorbeeld Active Scripting gebruiken om menu's, bestelformulieren of zelfs rekeningoverzichten te bieden. Vragen voordat actieve scripts worden uitgevoerd, is een globale instelling die van invloed is op alle internet- en intranetsites. U wordt regelmatig gevraagd wanneer u deze tijdelijke oplossing inschakelt. Als u voor elke prompt de site vertrouwt die u bezoekt, klikt u op Ja om actieve scripts uit te voeren. Als u niet wilt worden gevraagd om al deze sites, gebruikt u de stappen die worden beschreven in 'Sites toevoegen die u vertrouwt aan de zone Vertrouwde websites van Internet Explorer'.
Sites toevoegen die u vertrouwt aan de zone Vertrouwde websites van Internet Explorer
Nadat u Internet Explorer hebt ingesteld om een prompt te vereisen voordat ActiveX-besturingselementen en Active Scripting worden uitgevoerd in de internetzone en in de zone Lokaal intranet, kunt u sites toevoegen die u vertrouwt aan de zone Vertrouwde websites van Internet Explorer. Hierdoor kunt u vertrouwde websites op dezelfde manier blijven gebruiken als vandaag, terwijl u wordt geholpen om u te beschermen tegen deze aanval op niet-vertrouwde sites. U wordt aangeraden alleen sites toe te voegen die u vertrouwt op de zone Vertrouwde sites.
Voer hiervoor de volgende stappen uit:
- Klik in Internet Explorer op Extra, klik op Internetopties en klik vervolgens op het tabblad Beveiliging .
- Klik in het vak Een webinhoudszone selecteren om de huidige beveiligingsinstellingen op te geven op Vertrouwde sites en klik vervolgens op Sites.
- Als u sites wilt toevoegen waarvoor geen versleuteld kanaal is vereist, schakelt u het selectievakje Serververificatie vereisen (https:) uit voor alle sites in deze zone .
- Typ in het vak Deze website toevoegen aan het zonevak de URL van een site die u vertrouwt en klik vervolgens op Toevoegen.
- Herhaal deze stappen voor elke site die u aan de zone wilt toevoegen.
- Klik twee keer op OK om de wijzigingen te accepteren en terug te keren naar Internet Explorer.
Opmerking Voeg sites toe die u vertrouwt om geen schadelijke actie op uw computer uit te voeren. Twee met name die u wilt toevoegen, zijn *.windowsupdate.microsoft.com en *.update.microsoft.com. Dit zijn de sites waarop de update wordt gehost en waarvoor een ActiveX-besturingselement is vereist om de update te installeren.
Overige informatie
Bronnen:
- U kunt feedback geven door het formulier in te vullen door naar Microsoft Help en ondersteuning te gaan: Neem contact met ons op.
- Klanten in de Verenigde Staten en Canada kunnen technische ondersteuning van Security Support ontvangen. Zie Microsoft Help en ondersteuning voor meer informatie over beschikbare ondersteuningsopties.
- Internationale klanten kunnen ondersteuning krijgen van hun lokale Microsoft-dochterondernemingen. Ga naar Internationale ondersteuning voor meer informatie over hoe u contact kunt opnemen met Microsoft voor internationale ondersteuningsproblemen.
- Microsoft TechNet Security biedt aanvullende informatie over beveiliging in Microsoft-producten.
Disclaimer:
De informatie die in dit advies wordt verstrekt, wordt "zoals zodanig" verstrekt zonder enige garantie. Microsoft wijst alle garanties af, hetzij uitdrukkelijk of impliciet, met inbegrip van de garanties van verkoopbaarheid en geschiktheid voor een bepaald doel. In geen geval is Microsoft Corporation of haar leveranciers aansprakelijk voor enige schade, waaronder directe, indirecte, incidentele, gevolgschade, verlies van bedrijfswinst of speciale schade, zelfs als Microsoft Corporation of haar leveranciers op de hoogte zijn gesteld van de mogelijkheid van dergelijke schade. Sommige staten staan de uitsluiting of beperking van aansprakelijkheid voor gevolgschade of incidentele schade niet toe, zodat de voorgaande beperking mogelijk niet van toepassing is.
Revisies:
- V1.0 (28 juli 2009): Advies gepubliceerd.
- V2.0 (11 augustus 2009): Advies gewijzigd om vermeldingen toe te voegen in de sectie Updates met betrekking tot ATL om de release van Microsoft Security Bulletin MS09-037 te communiceren, 'Beveiligingsproblemen in Microsoft Active Template Library (ATL) kan uitvoering van externe code toestaan' en de herrelease van Microsoft Security Bulletin MS09-035, 'Beveiligingsproblemen in Visual Studio Active Template Library kunnen uitvoering van externe code toestaan' " om extra updates aan te bieden.
- V3.0 (25 augustus 2009): Advies gewijzigd om details te verstrekken over de release van Windows Live Messenger 14.0.8089 en om te communiceren over het verwijderen van de functie Foto bijvoegen van Windows Live Hotmail.
- V4.0 (13 oktober 2009): Advies gewijzigd om een vermelding toe te voegen in de sectie Updates met betrekking tot ATL om de release van Microsoft-beveiligingsbulletin MS09-060 te communiceren, 'Beveiligingsproblemen in Microsoft Active Template Library (ATL) ActiveX Controls for Microsoft Office Could Allow Remote Code Execution.'
Gebouwd op 2014-04-18T13:49:36Z-07:00