Exporteren (0) Afdrukken
Alles uitvouwen

Microsoft-beveiligingsadvies 973882

Door beveiligingslekken in de Active Template Library (ATL) van Microsoft kan externe code worden uitgevoerd

Gepubliceerd: dinsdag 28 juli 2009 | Bijgewerkt: dinsdag 13 oktober 2009

Versie: 4.0

Microsoft geeft dit beveiligingsadvies uit om informatie te geven over ons onderzoek naar beveiligingslekken in de openbare versies en privéversies van de Active Template Library (ATL) van Microsoft. Dit advies geeft ook advies over wat ontwikkelaars kunnen doen om te helpen zorgen dat de ATL-problemen niet optreden in de besturingselementen en onderdelen die zij hebben gebouwd; wat IT-professionals en consumenten kunnen doen om mogelijke aanvallen via deze beveiligingslekken te beperken; en wat Microsoft doet als onderdeel van het onderzoek naar het probleem dat wordt beschreven in dit advies. Dit beveiligingsadvies bevat ook een uitgebreide lijst met alle Microsoft-beveiligingsbulletins en beveiligingsupdates die betrekking hebben op de beveiligingslekken in de ATL. Het onderzoek van Microsoft naar de openbare versies en privéversies van de ATL blijft lopen en wanneer nodig worden beveiligingsupdates en adviezen gepubliceerd als onderdeel van het onderzoeksproces.

Microsoft is zich bewust van beveiligingslekken in openbare versies en privéversies van de ATL. De Microsoft ATL wordt gebruikt door softwareontwikkelaars om besturingselementen of onderdelen voor het Windows-platform te maken. Door beveiligingslekken die worden beschreven in dit beveiligingsadvies en Microsoft-beveiligingsbulletin MS09-035 kan informatie worden vrijgegeven of externe code worden uitgevoerd via besturingselementen en onderdelen die zijn ontwikkeld met de versies van de ATL waarin dit probleem optreedt. Onderdelen en besturingselementen die zijn gemaakt met een versie van de ATL waarin dit probleem optreedt, kunnen worden blootgesteld aan een schadelijke situatie door de manier waarop de ATL wordt gebruikt of door problemen in de ATL-code.

Advies voor ontwikkelaars: Microsoft heeft de problemen in de openbare headers van ATL opgelost en updates voor de ATL's gepubliceerd in bulletin MS09-035 "Door beveiligingslekken in de Active Template Library van Visual Studio kan externe code worden uitgevoerd". Microsoft raadt ontwikkelaars die besturingselementen of onderdelen met de ATL hebben gebouwd sterk aan onmiddellijk actie te ondernemen om hun besturingselementen te controleren op blootstelling aan een kwetsbare situatie en het advies te volgen om besturingselementen en onderdelen te maken waarin dit probleem niet optreedt. Zie MS09-035, "Door beveiligingslekken in de Active Template Library van Visual Studio kan externe code worden uitgevoerd" voor meer informatie over de beveiligingslekken en hulp bij het oplossen van problemen in de ATL.

Advies voor IT-professionals en consumenten: Microsoft heeft een nieuwe ingrijpende technologie ontwikkeld om klanten beter te beschermen terwijl de ontwikkelaars hun onderdelen en besturingselementen bijwerken. Deze nieuwe ingrijpende technologie is ingebouwd in Internet Explorer en helpt klanten te beschermen tegen toekomstige aanvallen via de beveiligingslekken in de Active Template Library van Microsoft die worden beschreven in dit advies en Microsoft-beveiligingsbulletin MS09-035. Om van deze ingrijpende technologie te kunnen profiteren, dienen IT-professionals en consumenten onmiddellijk de beveiligingsupdate voor Internet Explorer van Microsoft-beveiligingsbulletin MS09-034, "Cumulatieve beveiligingsupdate voor Internet Explorer", toe te passen.

Deze beveiligingsupdate omvat een beperking die voorkomt dat onderdelen en besturingselementen die zijn gebouwd met de kwetsbare ATL worden misbruikt in Internet Explorer en lost tevens andere, afzonderlijke beveiligingslekken op. De nieuwe ingrijpende beschermingsmaatregel die wordt aangeboden in MS09-034 omvat updates voor Internet Explorer 5.01, Internet Explorer 6 en Internet Explorer 6 Service Pack 1, Internet Explorer 7 en Internet Explorer 8. Deze ingrijpende beschermingsmaatregelen controleren en voorkomen misbruik van alle bekende beveiligingslekken in openbare versies en privéversies van de ATL, waaronder ook de beveiligingslekken die kunnen leiden tot omzeiling van de beveiligingsfunctie voor kill-bits in ActiveX. Deze beschermingsmaatregelen zijn ontworpen om klanten te beschermen tegen aanvallen vanaf het web.

Advies voor thuisgebruikers: Microsoft heeft een nieuwe ingrijpende technologie ontwikkeld om klanten beter te beschermen terwijl de ontwikkelaars hun onderdelen en besturingselementen bijwerken. Deze nieuwe ingrijpende technologie die door de nieuwe update in Internet Explorer wordt ingebouwd, beschermt gebruikers in de toekomst tegen aanvallen via in dit bulletin en in Microsoft-beveiligingsbulletin MS09-035 beschreven beveiligingslekken in Microsoft Active Template Library. Thuisgebruikers die de functie Automatische updates hebben ingeschakeld, ontvangen de nieuwe update voor Internet Explorer automatisch en hoeven verder niets te doen. Thuisgebruikers zijn automatisch beter beschermd tegen toekomstige aanvallen via de beveiligingslekken die worden besproken in dit beveiligingsadvies en in Microsoft-beveiligingsbulletin MS09-035.

Beperkende factoren voor besturingselementen en onderdelen die zijn ontwikkeld met een kwetsbare versie van de Active Template Library (ATL) van Microsoft:

  • Standaard is de meerderheid van ActiveX-besturingselementen niet opgenomen in de standaardlijst Geaccepteerd voor ActiveX-besturingselementen in Internet Explorer 7 of Internet Explorer 8 op Windows Vista of latere besturingssystemen. Alleen klanten die expliciet kwetsbare besturingselementen hebben goedgekeurd met de functie voor het inschakelen van ActiveX-besturingselementen lopen het risico dat misbruik wordt gemaakt van dit beveiligingslek. Als een klant echter een dergelijk ActiveX-besturingselement heeft gebruikt in een vorige versie van Internet Explorer en de klant vervolgens een upgrade heeft uitgevoerd naar Internet Explorer 7 of Internet Explorer 8, dan zijn deze ActiveX-besturingselementen ingeschakeld voor gebruik in Internet Explorer 7 en Internet Explorer 8, zelfs wanneer de klant dit niet expliciet heeft goedgekeurd met de functie voor het inschakelen van ActiveX-besturingselementen.
  • Standaard biedt Internet Explorer 8 uitgebreide bescherming door DEP/NX-geheugenbescherming in te schakelen voor gebruikers met Windows XP Service Pack 3, Windows Vista Service Pack 1 en Windows Vista Service Pack 2 en Windows 7.
  • Standaard wordt Internet Explorer op Windows Server 2003 en Windows Server 2008 uitgevoerd in een beperkte modus genaamd Verbeterde beveiliging. Verbeterde beveiliging van Internet Explorer betreft een groep vooraf geconfigureerde Internet Explorer-instellingen die de kans vrij klein maken dat een gebruiker of beheerder speciaal vervaardigde webinhoud op een server downloadt en uitvoert. Dit is een beperkende factor voor websites die u niet aan de zone Vertrouwde websites van Internet Explorer hebt toegevoegd. Zie ook De verbeterde beveiliging van Internet Explorer beheren.
  • HTML-e-mailberichten worden door alle ondersteunde versies van Microsoft Outlook en Microsoft Outlook Express standaard geopend in de zone Websites met beperkte toegang. De zone Websites met beperkte toegang beperkt het aantal aanvallen die dit beveiligingslek kunnen misbruiken, doordat er bij het lezen van e-mailberichten in HTML-indeling geen scripts actief worden uitgevoerd en geen ActiveX-besturingselementen meer worden gebruikt. Als een gebruiker echter op een koppeling in een e-mailbericht klikt, kan deze nog wel als gevolg van het beveiligingslek via een aanval vanaf het web worden getroffen.
  • In het geval van een aanval vanaf het web kan de aanvaller beschikken over een website waarop zich een webpagina bevindt waarmee dit beveiligingslek wordt misbruikt. Daarnaast kunnen ook gemanipuleerde websites en websites waarop gegevens of advertenties staan of gegevens of advertenties kunnen worden ingevoerd, schadelijke inhoud bevatten die dit beveiligingslek kunnen misbruiken. Een aanvaller kan echter een gebruiker er niet toe dwingen om naar deze websites te gaan. De aanvaller moet een gebruiker er dus van overtuigen een bezoek te brengen aan de website. In de meeste gevallen doet de aanvaller dat door de gebruiker ertoe te bewegen op een koppeling in een e-mailbericht of een verzoek in een expresbericht te klikken waarmee de gebruiker naar de website van de aanvaller gaat.
  • Een aanvaller die erin slaagt misbruik te maken van dit beveiligingslek, kan dezelfde rechten over het systeem krijgen als de lokale gebruiker. Gebruikers met accounts waarvoor minder gebruikersrechten op het systeem zijn ingesteld, lopen minder risico dan gebruikers die met beheerdersrechten werken.

Updates met betrekking tot ATL:

Update gepubliceerd op 13 oktober 2009

  • Microsoft-beveiligingsbulletin MS09-060, "Door beveiligingslekken in Active X-besturingselementen voor de Microsoft Active Template Library (ATL) voor Microsoft Office kan externe code worden uitgevoerd," biedt ondersteuning voor Microsoft Office-onderdelen waarin de ATL-beveiligingslekken optreden die worden beschreven in dit advies.

Updates uitgegeven op 25 augustus 2009

  • Windows Live Messenger 14.0.8089 wordt uitgegeven om beveiligingslekken in de Windows Live Messenger-client te dichten die betrekking hebben op de in dit bulletin beschreven beveiligingslekken in ATL.
  • Er is een onderdeel Veelgestelde vragen over Windows Live Components toegevoegd aan dit advies om te melden dat de functie "Foto invoegen" in Windows Live Hotmail is verwijderd en om meer informatie te geven over de release van Windows Live Messenger 14.0.8089.

Updates die zijn vrijgegeven op 11 augustus 2009

  • Microsoft-beveiligingsbulletin MS09-037, "Door beveiligingslekken in Microsoft Active Template Library (ATL) kan externe code worden uitgevoerd", biedt ondersteuning voor Windows-onderdelen die worden getroffen door de ATL-beveiligingslekken die in dit advies worden beschreven.
  • Microsoft-beveiligingsbulletin MS09- 035, "Door beveiligingslekken in Active Template Library van Visual Studio kan externe code worden uitgevoerd", wordt opnieuw uitgebracht om nieuwe updates aan te bieden voor ontwikkelaars die Visual Studio gebruiken om onderdelen en besturingselementen voor mobiele toepassingen te creëren met ATL voor Slimme apparaten.

Updates gepubliceerd op 28 juli 2009

  • Microsoft-beveiligingsbulletin MS09- 035, "Door beveiligingslekken in de Active Template Library van Visual Studio kan externe code worden uitgevoerd", bevat meer informatie over de specifieke beveiligingslekken in de ATL en biedt de bijgewerkte openbare ATL-headers voor leveranciers voor het ontwikkelen van bijgewerkte onderdelen en besturingselementen. Ons onderzoek heeft aangetoond dat er onderdelen en besturingselementen zijn van Microsoft en van andere leveranciers waarin dit probleem optreedt en dat deze onderdelen en besturingselementen zich bevinden op alle ondersteunde edities van Windows 2000 Service Pack 4, Windows XP, Windows Server 2003, Windows Vista en Windows Server 2008. Ontwikkelaars die kwetsbare versies van de ATL hebben gebruikt bij het ontwikkelen van besturingselementen of onderdelen, dienen dit bulletin te raadplegen en onmiddellijk actie te ondernemen als het probleem optreedt in hun besturingselementen.
  • Microsoft-beveiligingsbulletin MS09-034, "Cumulatieve beveiligingsupdate voor Internet Explorer", omvat een beperking die voorkomt dat onderdelen en besturingselementen die zijn ontwikkeld met de kwetsbare ATL worden misbruikt in Internet Explorer, en lost tevens andere, afzonderlijke beveiligingslekken op. De nieuwe ingrijpende beschermingsmaatregel die wordt aangeboden in MS09-034 omvat updates voor Internet Explorer 5.01, Internet Explorer 6 en Internet Explorer 6 Service Pack 1, Internet Explorer 7 en Internet Explorer 8. Deze ingrijpende beschermingsmaatregelen controleren en voorkomen misbruik van alle bekende beveiligingslekken in openbare versies en privéversies van de ATL, waaronder ook de beveiligingslekken die kunnen leiden tot omzeiling van de beveiligingsfunctie voor kill-bits in ActiveX. Deze beschermingsmaatregelen zijn ontworpen om klanten te beschermen tegen aanvallen vanaf het web.
  • Wij zijn niet op de hoogte van methoden of besturingselementen in Windows 7 waardoor aanvallen kunnen worden uitgevoerd via Internet Explorer.

Update gepubliceerd op 14 juli 2009

  • Microsoft-beveiligingsbulletin MS09-032, "Cumulatieve beveiligingsupdate voor ActiveX kill-bits", biedt beveiligingsmaatregelen voor ActiveX (een kill-bit) waardoor het besturingselement msvidctl niet wordt uitgevoerd in Internet Explorer. Via msvidctl kan misbruik worden gemaakt van een beveiligingslek in de privéversie van ATL. In dit specifieke geval kan een aanvaller geheugen beschadigen, waardoor externe code kan worden uitgevoerd. De kill-bits die zijn gepubliceerd in juni voor msvidctl (MS09-032) blokkeren het misbruik zoals hier beschreven.

Algemene informatie

Doel van het advies: Dit advies is gepubliceerd om klanten op de hoogte te brengen van het openbaar gemelde beveiligingslek. Raadpleeg de sectie met tijdelijke oplossingen, beperkende factoren en voorgestelde acties van dit beveiligingsadvies voor meer informatie.

Status van het advies: Advies gepubliceerd.

Aanbeveling: De voorgestelde acties beoordelen en waar van toepassing configureren.

Meer informatieIdentificatie
CVE-verwijzing CVE-2009-0901
CVE-2009-2493
CVE-2009-2495
CVE-2008-0015
Beveiligingsbulletin MS09-035, "Door beveiligingslekken in de Active Template Library van Visual Studio kan externe code worden uitgevoerd"

MS09-034, "Cumulatieve beveiligingsupdate voor Internet Explorer"

MS09-032, "Cumulatieve beveiligingsupdate voor ActiveX kill-bits"
Microsoft Knowledge Base-artikel MS09-035:
Microsoft Knowledge Base-artikel 969706

MS09-034:
Microsoft Knowledge Base-artikel 972260

MS09-032:
Microsoft Knowledge Base-artikel 973346

Dit advies betreft de volgende software:

Software waarin het probleem optreedt
Microsoft Windows
Besturingselementen en onderdelen die zijn gemaakt met de kwetsbare Active Template Library
Microsoft Live Services
Windows Live Messenger (versies ouder dan 14.0.8089)
Functie "Foto invoegen" van Windows Live Hotmail

Wat is de omvang van het advies?
Microsoft is op de hoogte van beveiligingslekken in onderdelen en besturingselementen die zijn gemaakt met openbare versies en privéversies van de Active Template Library (ATL). Het advies is bedoeld om gebruikers op de hoogte te brengen van updates die het risico op kwetsbare besturingselementen en onderdelen beperken, advies en richtlijnen te bieden voor ontwikkelaars die besturingselementen en onderdelen hebben gemaakt met de kwetsbare ATL, en IT-professionals informatie te geven over hoe zij hun omgeving kunnen beschermen en beperkingen kunnen installeren.

Geeft Microsoft in de toekomst nog andere beveiligingsupdates uit met betrekking tot dit beveiligingsadvies?
Het onderzoek van Microsoft naar de openbare versies en privéversies van de ATL blijft lopen en wanneer nodig worden beveiligingsupdates en adviezen gepubliceerd als deel van het onderzoeksproces.

Is het beveiligingslek met betrekking tot msvidctl (MS09-032) verwant aan deze ATL-update?
Ja, via msvidcntl kan misbruik worden gemaakt van een beveiligingslek in de privéversie van ATL. In dit specifieke geval kan een aanvaller geheugen beschadigen, waardoor externe code kan worden uitgevoerd. MS09-032, dat is gepubliceerd op 14 juli, blokkeert bekende aanvallen via msvidctl. Zie http://blogs.technet.com/srd/archive/2009/07/06/new-vulnerability-in-mpeg2tunerequest-activex-control-object-in-msvidctl-dll.aspx voor meer informatie over het misbruik via msvidctl.

Beschermt de update voor Internet Explorer (ms09-034) ook tegen aanvallen via msvidctl?
Ja, de beperkingen voor Internet Explorer beschermen tegen misbruik van de bekende beveiligingslekken in de openbare versies en privéversies van de ATL, waaronder ook aanvallen via msvidctl.

Wat is ATL?
De Active Template Library (ATL) is een serie op sjablonen gebaseerde C++-klassen waarmee u kleine, snelle COM-objecten (Component Object Model) kunt maken. ATL biedt speciale ondersteuning voor de belangrijkste COM-functies, zoals voorraadimplementaties, dubbele interfaces, normale COM-enumeratorinterfaces, verbindingspunten, tear-off interfaces en ActiveX-besturingselementen. Zie het MSDN-artikel ATL voor meer informatie.

Waardoor wordt dit probleem in ATL veroorzaakt?
Het probleem wordt in sommige gevallen veroorzaakt door de manier waarop ATL wordt gebruikt en in sommige gevallen door de ATL-code. In deze gevallen kunnen gegevensstromen onjuist worden verwerkt, waardoor geheugen ontregeld kan raken, informatie kan worden vrijgegeven of objecten kunnen worden gestart zonder inachtneming van het beveiligingsbeleid. Zie MS09-035, "Door beveiligingslekken in de Active Template Library van Visual Studio kan externe code worden uitgevoerd", voor meer informatie over de beveiligingslekken in de ATL.

Wat is het verschil tussen de openbare versie en privéversie van de Active Template Library?
De privéversie van de Active Template Library wordt gebruikt door Microsoft-ontwikkelaars om besturingselementen en onderdelen te maken. Microsoft heeft alle versies van de Active Template Library die worden gebruikt door onze ontwikkelaars bijgewerkt.

De openbare versie van de Active Template Library wordt via programma's van ontwikkelaars, zoals Microsoft Visual Studio, aan klanten gegeven. Microsoft biedt een bijgewerkte versie van onze openbare ATL via Microsoft-beveiligingsbulletin MS09-035.

Moeten ontwikkelaars van Microsoft en andere leveranciers beveiligingsupdates publiceren voor de beveiligingslekke in ATL?
Ja. Naast de updates die worden beschreven in dit advies, voert Microsoft uitgebreid onderzoek uit naar Microsoft-besturingselementen en -onderdelen. Als het onderzoek is afgerond zal Microsoft de juiste actie ondernemen om klanten te beschermen. Afhankelijk van de behoeften van onze klanten, kunnen we via onze maandelijkse bulletins een beveiligingsupdate publiceren of een tussentijdse beveiligingsupdate uitgeven.

Microsoft biedt ook advies en neemt actief contact op met grote ontwikkelaars om ze te helpen de kwetsbare besturingselementen en onderdelen te identificeren. Dit kan leiden tot beveiligingsupdates voor besturingselementen en onderdelen van derden.

Hoe wordt de upgrade van Windows Live Messenger gedistribueerd?
Wanneer gebruikers van Windows Live Messenger 8.1, Windows Live Messenger 8.5, en Windows Live Messenger 14.0 op ondersteunde edities van Windows zich aanmelden bij de Windows Live Messenger-service, worden ze door het mechanisme voor clientimplementatie in de Windows Live Messenger-service gevraagd om de upgrade naar Windows Live Messenger 14.0.8089 uit te voeren. Gebruikers die de upgrade naar Windows Live Messenger 14.0.8089 onmiddellijk willen downloaden, kunnen dit doen via het Windows Live-downloadcentrum. Als gebruikers van kwetsbare versies van de Windows Live Messenger-clients dit niet doen, kunnen ze mogelijk geen verbinding maken met de Windows Live Messenger-service.

Waarom brengt Microsoft de upgrade voor Windows Live Messenger uit via de Windows Live Messenger-service én als download?
Microsoft brengt momenteel upgrades uit voor de Windows Live Messenger-client via de Windows Live Messenger-service omdat deze onlineservices over een eigen mechanisme voor clientimplementatie beschikken. Er zijn ook koppelingen naar het Microsoft Downloadcentrum voor specifieke Windows Live Messenger-clients. Gebruikers die de upgrades onmiddellijk willen downloaden, kunnen dit doen via het Windows Live-downloadcentrum.

Als dit een upgrade is, hoe weet ik dan of ik een kwetsbare versie van Windows Live Messenger heb?  
Als u zich aanmeldt bij de Windows Live Messenger-service, stelt het mechanisme voor clientimplementatie automatisch vast welke clientversie u gebruikt en beveelt het mechanisme indien nodig de juiste upgrade aan. U kunt ook uw versie van de Windows Live Messenger-client controleren door te klikken op Help en vervolgens op Info.

Wat gebeurt er als ik geen upgrade uitvoer naar de nieuwste versie van Windows Live Messenger?
Als u geen upgrade uitvoert naar een niet-getroffen versie van de Windows Live Messenger-client, wordt er, afhankelijk van uw platform, telkens als u probeert u aan te melden gevraagd of u een upgrade wilt uitvoeren. Als u de upgrade niet accepteert, kunt u mogelijk geen verbinding maken met de Windows Live Messenger-service.

Hebben andere toepassingen van Microsoft Real-Time Collaboration, zoals Windows Messenger of Office Communicator, ook last van dit beveiligingslek?
Nee. Andere toepassingen voor tekstberichten hebben geen last van dit beveiligingslek aangezien ze het onderdeel waarin dit probleem optreedt niet bevatten.

Wanneer heeft Microsoft de functie "Foto invoegen" van Windows Live Hotmail verwijderd? Is daar een nieuwe functie voor in de plaats gekomen?
Microsoft heeft besloten de functie op korte termijn te verwijderen om het probleem op te lossen. De verwijdering van deze functie is tijdelijk, en er is geen andere functie voor in de plaats gekomen.

Wanneer zal de functie "Foto invoegen" volledig zijn hersteld voor alle Windows Live Hotmail-gebruikers?
Microsoft is druk bezig het probleem te herstellen. Ondertussen kunt u nog steeds afbeeldingen toevoegen als bijlage van uw Hotmail-berichten door te klikken op Bijlage en vervolgens de gewenste afbeelding te selecteren.

Waardoor wordt dit probleem in ATL veroorzaakt?
Het probleem wordt in sommige gevallen veroorzaakt door de manier waarop ATL wordt gebruikt en in sommige gevallen door de ATL-code. In deze gevallen kunnen gegevensstromen onjuist worden verwerkt, waardoor geheugen ontregeld kan raken, informatie kan worden vrijgegeven of objecten kunnen worden gestart zonder inachtneming van het beveiligingsbeleid. Zie MS09-035, "Door beveiligingslekken in de Active Template Library van Visual Studio kan externe code worden uitgevoerd", voor meer informatie over de beveiligingslekken in de ATL.

Met welk doel kan een aanvaller het beveiligingslek misbruiken?
Voor besturingselementen en onderdelen die zijn gebouwd met de ATL kan onveilig gebruik van bepaalde macro's leiden tot het starten van willekeurige objecten die bijbehorend beveiligingsbeleid voor ActiveX (kill-bits) in Internet Explorer kunnen omzeilen. Bovendien kunnen onderdelen en besturingselementen die zijn gebouwd met de kwetsbare versie van ATL leiden tot uitvoering van externe code of het onrechtmatig vrijgeven van informatie. Indien een gebruiker zich heeft aangemeld met beheerdersrechten en zich een kwetsbaar besturingselement op het systeem bevindt, kan een aanvaller de volledige controle krijgen over het systeem. De aanvaller kan vervolgens programma's installeren, gegevens bekijken, wijzigen of wissen, of nieuwe accounts met volledige gebruikersrechten maken. Gebruikers met accounts waarvoor minder gebruikersrechten op het systeem zijn ingesteld, lopen minder risico dan gebruikers die met beheerdersrechten werken.

Ik ben een ontwikkelaar van toepassingen en ik gebruik de ATL in mijn onderdeel of besturingselement. Is mijn onderdeel of besturingselement kwetsbaar en zo ja, hoe werk ik het bij?  
Dit probleem kan optreden in onderdelen en besturingselementen als er aan bepaalde voorwaarden is voldaan tijdens het bouwen van het onderdeel of besturingselement. MS09- 035 bevat aanvullende informatie, voorbeelden en advies waarmee ontwikkelaars van andere leveranciers kwetsbare onderdelen en besturingselementen kunnen opsporen en corrigeren.

Wat doet de beveiligingsupdate voor Visual Studio?
Deze updates lossen beveiligingslekken op in de Active Template Library (ATL) van Microsoft waardoor een externe, onbevoegde willekeurige code kan worden uitgevoerd op een systeem waarin dit probleem optreedt. Deze beveiligingslekken worden in sommige gevallen veroorzaakt door de manier waarop ATL wordt gebruikt en in sommige gevallen door de ATL-code. Omdat deze beveiligingslekken betrekking hebben op de ATL, kunnen onderdelen of besturingselementen die zijn ontwikkeld met de ATL klanten die de desbetreffende onderdelen en besturingselementen gebruiken blootstellen aan het uitvoeren van externe code.

De beveiligingsupdate voor Visual Studio werkt de kwetsbare versie bij van de ATL die door Visual Studio wordt gebruikt. Hierdoor kunnen gebruikers van Visual Studio hun besturingselementen en onderdelen aanpassen en opnieuw bouwen met een bijgewerkte versie van de ATL.

Ons onderzoek heeft aangetoond dat dit probleem kan optreden in onderdelen en besturingselementen van zowel Microsoft als andere leveranciers. Daarom moeten alle getroffen leveranciers hun onderdelen en besturingselementen aanpassen en opnieuw bouwen met de gecorrigeerde ATL die wordt aangeboden in Microsoft-beveiligingsbulletin MS09-035.

Beschermt de update voor IE MS09-034 mij tegen alle onderdelen en besturingselementen die zijn gebouwd met de getroffen versie van de ATL?
Microsoft heeft een nieuwe ingrijpende technologie ontwikkeld om klanten beter te beschermen terwijl de ontwikkelaars hun onderdelen en besturingselementen bijwerken. Deze nieuwe ingrijpende technologie is ingebouwd in Internet Explorer en helpt klanten te beschermen tegen toekomstige aanvallen via de beveiligingslekken in de Active Template Library van Microsoft die worden beschreven in dit advies en Microsoft-beveiligingsbulletin MS09-035. Microsoft-beveiligingsbulletin MS09-034, "Cumulatieve beveiligingsupdate voor Internet Explorer", omvat een beperking die voorkomt dat onderdelen en besturingselementen die zijn ontwikkeld met de kwetsbare ATL worden misbruikt in Internet Explorer, en lost tevens andere, afzonderlijke beveiligingslekken op.

Microsoft blijft onderzoek uitvoeren naar alle besturingselementen en onderdelen van Microsoft en helpt ontwikkelaars van andere leveranciers hun besturingselementen en onderdelen te evalueren.

Welke actie kan een IT-professional ondernemen om blootstelling aan dit probleem te beperken?
Microsoft raadt IT-professionals sterk aan onmiddellijk de beveiligingsupdate voor Internet Explorer van Microsoft-beveiligingsbulletin MS09-034 "Cumulatieve beveiligingsupdate voor Internet Explorer" toe te passen.

Welke actie kunnen consumenten ondernemen om blootstelling aan dit probleem te beperken?
Microsoft heeft een nieuwe ingrijpende technologie ontwikkeld om klanten beter te beschermen terwijl de ontwikkelaars hun onderdelen en besturingselementen bijwerken. Deze nieuwe ingrijpende technologie is ingebouwd in Internet Explorer en helpt klanten te beschermen tegen toekomstige aanvallen via de beveiligingslekken in de Active Template Library van Microsoft die worden beschreven in dit advies en Microsoft-beveiligingsbulletin MS09-035. Microsoft raadt consumenten sterk aan Automatische updates in te schakelen en onmiddellijk de beveiligingsupdate voor Internet Explorer van Microsoft-beveiligingsbulletin MS09-034 "Cumulatieve beveiligingsupdate voor Internet Explorer" toe te passen. Thuisgebruikers die automatisch updates ontvangen, ontvangen de beperkingen in de cumulatieve beveiligingsupdate voor IE en andere beveiligingsupdates in verband met dit probleem. Zij hoeven geen verdere actie te ondernemen.

Microsoft moedigt ook thuisgebruikers aan een upgrade uit te voeren naar Internet Explorer 8 om te profiteren van verbeterde beveiliging en bescherming.

Waardoor wordt dit probleem veroorzaakt waardoor de beveiliging van ActiveX kan worden omzeild?
ActiveX-besturingselementen die zijn gebouwd met kwetsbare ATL-methoden verwerken informatie mogelijk niet juist. Hierdoor kan een ActiveX-besturingselement leiden tot geheugenbeschadiging of kan een aanvaller een vertrouwd ActiveX-besturingselement gebruiken om een onbetrouwbaar ActiveX-besturingselement te laden dat eerder is geblokkeerd in Internet Explorer.

De nieuwe ingrijpende beschermingsmaatregel die wordt aangeboden in MS09-034 omvat updates voor Internet Explorer 5.01, Internet Explorer 6 en Internet Explorer 6 Service Pack 1, Internet Explorer 7 en Internet Explorer 8 die misbruik van alle bekende beveiligingslekken in openbare versies en privéversies van de ATL controleren en voorkomen, waaronder ook de beveiligingslekken die kunnen leiden tot omzeiling van de beveiligingsfunctie voor kill-bits in ActiveX. Deze beschermingsmaatregelen zijn ontworpen om klanten te beschermen tegen aanvallen vanaf het web.

Met welk doel kan een aanvaller deze functie misbruiken?
Een aanvaller die misbruik weet te maken van dit beveiligingslek in Windows Vista of Windows 2008 krijgt slechts de rechten van een gebruiker met beperkte rechten dankzij de Beschermde modus in Internet Explorer. Op andere Windows-systemen kan de aanvaller dezelfde gebruikersrechten als de lokale gebruiker krijgen. Gebruikers met accounts waarvoor minder gebruikersrechten op het systeem zijn ingesteld, lopen minder risico dan gebruikers die met beheerdersrechten werken.

Hoe kan een aanvaller deze functie gebruiken?
Een aanvaller kan een website hosten met een speciaal ontworpen ActiveX-besturingselement en vervolgens een gebruiker de website laten bekijken. Dit kan ook betrekking hebben op gemanipuleerde websites en websites die inhoud of advertenties van gebruikers accepteren of hosten. Een aanvaller kan echter een gebruiker er niet toe dwingen om naar deze websites te gaan. De aanvaller moet een gebruiker er dus van overtuigen een bezoek te brengen aan de website. In de meeste gevallen doet de aanvaller dat door de gebruiker ertoe te bewegen op een koppeling in een e-mailbericht of een verzoek in een expresbericht te klikken waarmee de gebruiker naar de website van de aanvaller gaat.

Wat is een kill-bit?
Er is een beveiligingsfunctie in Microsoft Internet Explorer waarmee wordt voorkomen dat een ActiveX-besturingselement wordt geladen door de HTML-rendering-engine van Internet Explorer. Dit gebeurt door het wijzigen van een registerinstelling. Deze actie wordt aangeduid als het instellen van de kill-bit. Als de kill-bit eenmaal is ingesteld, kan het besturingselement niet meer worden geladen (zelfs niet als het volledig is geïnstalleerd). Door deze maatregel bent u ervan verzekerd dat zelfs bij het installeren of opnieuw installeren van een kwetsbaar onderdeel op een systeem, het onderdeel passief en ongevaarlijk blijft.

Zie Microsoft Knowledge Base-artikel 240797 voor meer informatie over kill-bits: Uitvoering van een ActiveX-besturingselement in Internet Explorer voorkomen. Zie het volgende blogbericht over het onderzoeken en dichten van beveiligingslekken voor meer informatie over kill-bits en hoe zij werken binnen Internet Explorer.

Wat doet de update?
De update versterkt het ActiveX-beveiligingsmechanisme door validatie uit te voeren wanneer onveilige methoden worden gebruikt door ActiveX-besturingselementen die gebruikmaken van kwetsbare ATL-headers in specifieke configuraties.

Wijzigt deze update de functionaliteit?
Ja. Door deze update kunnen specifieke ATL-methoden niet langer worden uitgevoerd in Internet Explorer. De update beperkt het risico van het omzeilen van actieve beveiliging door te voorkomen dat vertrouwde ActiveX-besturingselementen onbetrouwbare besturingselementen laden.

Bevat deze update nog andere softwarewijzigingen?
Ja. Deze update bevat ook extra beveiligingsupdates en andere updates voor Internet Explorer als onderdeel van de cumulatieve update voor Internet Explorer.

Lost deze update alle problemen met onveilige ActiveX-besturingselementen op?
Nee. Deze update heeft betrekking op onveilige en onbetrouwbare ActiveX-besturingselementen waarin de ATL-problemen die worden beschreven in dit advies kunnen optreden en beschermt daardoor klanten tegen aanvallen via internet.

Microsoft blijft dit probleem onderzoeken. Als het onderzoek is afgerond zal Microsoft de juiste actie ondernemen om klanten te beschermen. Afhankelijk van de behoeften van onze klanten, kunnen we via onze maandelijkse bulletins een beveiligingsupdate publiceren of een tussentijdse beveiligingsupdate uitgeven.

Hoe beschermt de beveiligde modus in Internet Explorer 7 en Internet Explorer 8 in Windows Vista en hoger mij tegen dit beveiligingslek?
Internet Explorer 7 en Internet Explorer 8 in Windows Vista en latere besturingssystemen worden standaard in de beveiligde modus in de internetzone uitgevoerd. De beveiligde modus maakt het aanvallers aanzienlijk moeilijker om gegevens op het systeem van de gebruiker weg te schrijven, te wijzigen of te vernietigen of om schadelijke code te installeren. Dit wordt bereikt door gebruik te maken van de integriteitsmechanismen van Windows Vista en hoger waarmee te toegang tot processen, bestanden en registersleutels wordt beperkt met hogere integriteitsniveaus.

Wat is preventie van gegevensuitvoering (DEP)?
Preventie van gegevensuitvoering (DEP) is standaard ingeschakeld in Internet Explorer 8. DEP is ontworpen om aanvallen te verijdelen door te voorkomen dat code wordt uitgevoerd in geheugen dat is gemarkeerd als niet uitvoerbaar. Zie voor meer informatie over DEP in Internet Explorer: http://blogs.msdn.com/ie/archive/2008/04/08/ie8-security-part-I_3A00_-dep-nx-memory-protection.aspx.

  • Lees het Microsoft Knowledge Base-artikel dat bij dit advies hoort

    Klanten die meer willen weten over de ATL-problemen wordt aangeraden Microsoft Knowledge Base-artikel 973882 te lezen.
  • Pas de updates van beveiligingsbulletins MS09-034 en MS09-035 toe

    Klanten met systemen waarin dit probleem optreedt, kunnen de updates van Microsoft Knowledge Base-artikel 969706 en van Microsoft Knowledge Base-artikel 972260 downloaden. De update voor Internet Explorer bevat nieuwe beperkingen die de het starten van kwetsbare ActiveX-besturingselementen in Internet Explorer 7 en 8 voorkomen. Door de update voor Visual Studio kunnen ontwikkelaars ActiveX-besturingselementen maken waarin deze beveiligingslekken niet optreden.
  • Beveilig uw pc

    Wij raden u aan onze richtlijnen voor het beveiligen van uw computer te volgen. Deze bestaan uit het inschakelen van een firewall, het downloaden en installeren van software-updates en het installeren van antivirussoftware. Raadpleeg voor meer informatie onze website Beveilig uw computer.
  • Voor meer informatie over veilig surfen verwijzen wij gebruikers naar de website van het beveiligingscentrum van Microsoft.
  • Houd Windows up-to-date

    Alle gebruikers van Windows wordt aangeraden de nieuwste beveiligingsupdates van Microsoft te installeren om de beveiliging van hun computer te optimaliseren. Als u niet weet of uw software up-to-date is, gaat u naar de website Windows Update, scant u uw computer op beschikbare updates en installeert u alle updates met een hoge prioriteit. Als u Automatische updates hebt ingeschakeld, worden de updates naar u toegestuurd zodra ze zijn vrijgegeven, maar u moet ze wel nog installeren.

Tijdelijke oplossingen

Microsoft heeft een aantal methoden getest om het probleem te omzeilen. Het probleem wordt er niet door verholpen, maar bekende aanvalsvectoren kunnen ermee worden geblokkeerd. Wanneer de functionaliteit wordt beperkt door een oplossing, wordt dat aangegeven in het volgende gedeelte.

Stel het beveiligingsniveau van de zones Het Internet en Lokaal intranet in op “Hoog” als u wilt dat u wordt gevraagd of u ActiveX-besturingselementen en actieve scripts in deze zones wilt uitvoeren

U kunt het systeem beter tegen de gevaren van dit beveiligingslek beschermen door bepaalde instellingen voor de beveiligingszone Het Internet zodanig te wijzigen dat de gebruiker om bevestiging wordt gevraagd voordat ActiveX-besturingselementen worden uitgevoerd en scripts actief worden uitgevoerd. U kunt dit doen door de beveiliging van uw browser in te stellen op Hoog.

Ga als volgt te werk als u het beveiligingsniveau van Microsoft Internet Explorer wilt verhogen:

  1. Ga in Internet Explorer naar het menu Extra en klik op Internet-opties.
  2. Klik in het dialoogvenster Internet-opties op het tabblad Beveiliging en klik op het pictogram Internet.
  3. Verplaats de schuifregelaar bij Beveiligingsniveau voor deze zone naar Hoog. Hiermee wordt het beveiligingsniveau voor alle websites die u bezoekt, ingesteld op Hoog.

Opmerking Klik, als er geen schuifregelaar zichtbaar is, op Standaardniveau en verplaats de schuifregelaar vervolgens naar Hoog.

Opmerking Door het niveau in te stellen op Hoog worden bepaalde websites mogelijk onjuist weergegeven. Als u problemen ervaart met het bezoeken van websites nadat u deze instelling hebt gewijzigd, en u weet zeker dat het bezoek van de desbetreffende website veilig is, kunt u die website aan uw lijst met vertrouwde websites toevoegen. Hierdoor werkt de website weer goed, zelfs met de beveiligingsinstelling Hoog.

Gevolgen van de tijdelijke oplossing: Wanneer u wordt gevraagd om bevestiging voordat een ActiveX-besturingselement of Active Scripting wordt uitgevoerd, zijn de volgende punten van toepassing. Veel websites op internet of een intranet bieden extra functionaliteit dankzij ActiveX of Active Scripting. Een website van een e-commerce-bedrijf of een bank kan met ActiveX-besturingselementen menu's, bestelformulieren of zelfs bankafschriften ter beschikking stellen. Vragen om bevestiging voordat een ActiveX-besturingselement of Active Scripting wordt uitgevoerd, is een algemene instelling die voor alle websites (internet en intranet) geldt. Wanneer u voor deze oplossing hebt gekozen, zal het vraagvenster veelvuldig worden weergegeven. Klik telkens wanneer het vraagvenster wordt weergegeven op Ja als u de website die u wilt bezoeken vertrouwt. Hierna worden de ActiveX-besturingselementen of Active Scripting uitgevoerd. Als u niet wilt dat het vraagvenster voor al deze websites wordt weergegeven, kunt u de stappen uitvoeren die worden beschreven in de volgende paragraaf "Vertrouwde websites toevoegen aan de zone Vertrouwde websites in Internet Explorer".

Vertrouwde websites toevoegen aan de zone Vertrouwde websites in Internet Explorer

Nadat u Internet Explorer zodanig hebt ingesteld dat u wordt gevraagd om bevestiging bij het uitvoeren van ActiveX-besturingselementen en het actief uitvoeren van scripts in de zone Het Internet en de zone Lokaal intranet, kunt u al uw vertrouwde websites aan de zone Vertrouwde websites van Internet Explorer toevoegen. Op deze manier bent u beveiligd tegen aanvallen op dit beveiligingslek vanaf niet-vertrouwde websites en kunt u als altijd blijven gebruikmaken van vertrouwde websites. Het is raadzaam alleen websites die u vertrouwt aan de zone Vertrouwde websites toe te voegen.

Ga hiervoor als volgt te werk:

  1. Klik op Internet-opties in het menu Extra van Internet Explorer en klik vervolgens op het tabblad Beveiliging.
  2. Klik in het vak Selecteer de zone waarvoor u beveiligingsinstellingen wilt opgeven op Vertrouwde websites en klik op Websites.
  3. Als u websites wilt toevoegen waarvoor geen gecodeerd kanaal is vereist, schakelt u het selectievakje Serververificatie (https:) voor alle websites in deze zone verplicht.
  4. In het vak Deze website aan de zone toevoegen typt u de URL van een website die u vertrouwt. Klik vervolgens op Toevoegen.
  5. Herhaal deze stappen voor elke website die u aan de zone wilt toevoegen.
  6. Klik tweemaal op OK om de wijzigingen te accepteren en terug te keren naar Internet Explorer.

Opmerking Als er websites zijn waarvan u niet verwacht dat daarvandaan schadelijke acties op uw computer worden ondernomen, voegt u deze aan de vertrouwde websites toe. U kunt bijvoorbeeld de websites *.windowsupdate.microsoft.com en *.update.microsoft.com toevoegen. Dit zijn de websites waar de update is te vinden. Er is een ActiveX-besturingselement nodig om de update te kunnen installeren.

Stel Internet Explorer zodanig in dat u wordt gevraagd of u actieve scripts wilt uitvoeren, of schakel de optie Actief uitvoeren van scripts uit voor de beveiligingszones Het Internet en Lokaal intranet

U kunt het systeem beter beschermen tegen de gevaren van dit beveiligingslek door instellingen in Internet Explorer te wijzigen zodat u wordt gevraagd om bevestiging voordat actieve scripts wordt uitgevoerd. U kunt ook de optie Actief uitvoeren van scripts uitschakelen in de beveiligingszones Het Internet en Lokaal intranet. Voer hiertoe de volgende stappen uit:

  1. Klik op Internet-opties in het menu Extra van Internet Explorer.
  2. Klik op het tabblad Beveiliging.
  3. Klik op Het Internet en klik op Aangepast niveau.
  4. Ga naar Instellingen, klik in de sectie Uitvoeren van scripts onder de optie Actief uitvoeren van scripts op Vragen of Uitschakelen en klik op OK.
  5. Klik op Lokaal intranet en klik op Aangepast niveau.
  6. Ga naar Instellingen, klik in de sectie Uitvoeren van scripts onder de optie Actief uitvoeren van scripts op Vragen of Uitschakelen en klik op OK.
  7. Klik tweemaal op OK om terug te gaan naar Internet Explorer.

Opmerking Als u Actief uitvoeren van scripts uitschakelt in de beveiligingszones Het Internet en Lokaal intranet, is het mogelijk dat sommige websites niet correct werken. Als u problemen ervaart met het bezoeken van websites nadat u deze instelling hebt gewijzigd, en u weet zeker dat het bezoek van de desbetreffende website veilig is, kunt u die website aan uw lijst met vertrouwde websites toevoegen. Hierdoor werkt de website weer goed.

Gevolgen van de tijdelijke oplossing: Wanneer u vraagt om bevestiging voordat u Active Scripting uitvoert, zijn de volgende punten van toepassing. Veel websites op internet of een intranet bieden extra functionaliteit dankzij de technologie voor actieve scripts. Een website van een e-commerce-bedrijf of een bank kan met de optie Actief uitvoeren van scripts menu's, bestelformulieren of zelfs bankafschriften ter beschikking stellen. Vragen om bevestiging voordat actieve scripts worden uitgevoerd, is een instelling die geldt voor alle websites (internet en intranet). Wanneer u voor deze oplossing hebt gekozen, zal het vraagvenster veelvuldig worden weergegeven. Telkens wanneer het vraagvenster verschijnt, dient u op Ja te klikken als u de website vertrouwt die u wilt bezoeken. Hierna worden de actieve scripts van die website uitgevoerd. Als u niet wilt dat het vraagvenster voor al deze websites wordt weergegeven, kunt u de stappen uitvoeren die worden beschreven in de volgende paragraaf "Vertrouwde websites toevoegen aan de zone Vertrouwde websites in Internet Explorer".

Vertrouwde websites toevoegen aan de zone Vertrouwde websites in Internet Explorer

Nadat u Internet Explorer zodanig hebt ingesteld dat u wordt gevraagd om bevestiging bij het uitvoeren van ActiveX-besturingselementen en het actief uitvoeren van scripts in de zone Het Internet en de zone Lokaal intranet, kunt u al uw vertrouwde websites aan de zone Vertrouwde websites van Internet Explorer toevoegen. Op deze manier bent u beveiligd tegen aanvallen op dit beveiligingslek vanaf niet-vertrouwde websites en kunt u als altijd blijven gebruikmaken van vertrouwde websites. Het is raadzaam alleen websites die u vertrouwt aan de zone Vertrouwde websites toe te voegen.

Ga hiervoor als volgt te werk:

  1. Klik op Internet-opties in het menu Extra van Internet Explorer en klik vervolgens op het tabblad Beveiliging.
  2. Klik in het vak Selecteer de zone waarvoor u beveiligingsinstellingen wilt opgeven op Vertrouwde websites en klik op Websites.
  3. Als u websites wilt toevoegen waarvoor geen gecodeerd kanaal is vereist, schakelt u het selectievakje Serververificatie (https:) voor alle websites in deze zone verplicht.
  4. In het vak Deze website aan de zone toevoegen typt u de URL van een website die u vertrouwt. Klik vervolgens op Toevoegen.
  5. Herhaal deze stappen voor elke website die u aan de zone wilt toevoegen.
  6. Klik tweemaal op OK om de wijzigingen te accepteren en terug te keren naar Internet Explorer.

Opmerking Als er websites zijn waarvan u niet verwacht dat daarvandaan schadelijke acties op uw computer worden ondernomen, voegt u deze aan de vertrouwde websites toe. U kunt bijvoorbeeld de websites *.windowsupdate.microsoft.com en *.update.microsoft.com toevoegen. Dit zijn de websites waar de update is te vinden. Er is een ActiveX-besturingselement nodig om de update te kunnen installeren.

Overige informatie

Informatiebronnen:

Uitsluiting van aansprakelijkheid:

De informatie in dit advies wordt geleverd 'in de huidige staat' zonder enige garantie. Microsoft wijst hierbij alle expliciete of impliciete garanties van de hand, met inbegrip van alle garanties betreffende de verhandelbaarheid en geschiktheid voor een bepaald doel. Voorzover maximaal is toegestaan op grond van toepasselijk recht zijn Microsoft Corporation en/of haar leveranciers in geen geval aansprakelijk voor enige directe, indirecte of incidentele schade, bijzondere schade, gevolgschade of schade ten gevolge van het verlies van winsten, zelfs als Microsoft Corporation of haar leveranciers van de mogelijkheid van dergelijke schade op de hoogte is gesteld. Aangezien sommige staten/rechtssystemen uitsluiting of beperking van aansprakelijkheid voor gevolgschade of incidentele schade niet toestaan, is de voorgaande beperking wellicht niet op u van toepassing.

Revisies:

  • V1.0 (28 juli 2009): Advies gepubliceerd.
  • V2.0 (11 augustus 2009): Advies dat is gereviseerd voor het toevoegen van vermeldingen in het gedeelte Updates met betrekking tot ATL. Hiermee worden het uitbrengen van Microsoft-beveiligingsbulletin MS09-037, "Door beveiligingslekken in Microsoft Active Template Library (ATL) kan externe code worden uitgevoerd", en het opnieuw uitbrengen van Microsoft-beveiligingsbulletin MS09-035, "Door beveiligingslekken in Visual Studio Active Template Library kan externe code worden uitgevoerd" gecommuniceerd, zodat aanvullende updates kunnen worden aangeboden.
  • V3.0 (25 augustus 2009): Bulletin gewijzigd om informatie te geven over de release van Windows Live Messenger 14.0.8089 en om te melden dat de functie "Foto invoegen" in Windows Live Hotmail is verwijderd.
  • V4.0 (13 oktober 2009): Advies bijgewerkt met een vermelding in het gedeelte Updates met betrekking tot ATL. Hiermee wordt het uitbrengen van Microsoft-beveiligingsbulletin MS09-060, "Door beveiligingslekken in Active X-besturingselementen voor de Microsoft Active Template Library (ATL) voor Microsoft Office kan externe code worden uitgevoerd" gecommuniceerd.

Built at 2014-04-18T01:50:00Z-07:00

Vindt u dit nuttig?
(1500 tekens resterend)
Bedankt voor uw feedback
Weergeven:
© 2015 Microsoft