Beveiligingsupdate voor Internet Explorer (3034682)
Gepubliceerd: 10 februari 2015 | Bijgewerkt: 4 maart 2015
Versie: 1.1
Samenvatting
Met deze beveiligingsupdate wordt één openbaar bekendgemaakte en veertig privé gemelde beveiligingsproblemen in Internet Explorer opgelost. De ernstigste van deze beveiligingsproblemen kan uitvoering van externe code toestaan als een gebruiker een speciaal gemaakte webpagina bekijkt met Behulp van Internet Explorer. Een aanvaller die deze beveiligingsproblemen heeft misbruikt, kan dezelfde gebruikersrechten krijgen als de huidige gebruiker. Klanten van wie de accounts zijn geconfigureerd om minder gebruikersrechten op het systeem te hebben, kunnen minder worden beïnvloed dan klanten die werken met gebruikersrechten met beheerdersrechten.
Deze beveiligingsupdate wordt beoordeeld als kritiek voor Internet Explorer 6 (IE 6), Internet Explorer 7 (IE 7), Internet Explorer 8 (IE 8), Internet Explorer 9 (IE 9), Internet Explorer 10 (IE 10) en Internet Explorer 11 (IE 11) op betrokken Windows-clients, en Gemiddeld voor Internet Explorer 6 (IE 6), Internet Explorer 7 (IE 7), Internet Explorer 8 (IE 8), Internet Explorer 9 (IE 9), Internet Explorer 10 (IE 10) en Internet Explorer 11 (IE 11) op betrokken Windows-servers. Zie de sectie Beïnvloede software voor meer informatie.
Met de beveiligingsupdate worden de beveiligingsproblemen opgelost door de manier te wijzigen waarop Internet Explorer objecten in het geheugen verwerkt, door extra machtigingsvalidaties toe te voegen aan Internet Explorer, door ervoor te zorgen dat de betreffende versies van Internet Explorer de ASLR-beveiligingsfunctie correct implementeren en door ervoor te zorgen dat beleidsregels voor meerdere domeinen correct worden afgedwongen in Internet Explorer. Zie de sectie Informatie over beveiligingsproblemen voor meer informatie over de beveiligingsproblemen.
De volgende softwareversies of -edities worden beïnvloed. Versies of edities die niet worden vermeld, vallen na de levenscyclus van de ondersteuning of worden niet beïnvloed. Zie Microsoft Ondersteuning Levenscyclus om de levenscyclus van de ondersteuning voor uw softwareversie of -editie te bepalen.
Houd er rekening mee dat Windows Technical Preview en Windows Server Technical Preview worden beïnvloed. Klanten die deze besturingssystemen uitvoeren, worden aangemoedigd om de update toe te passen, die beschikbaar is via Windows Update.
Veelgestelde vragen over bijwerken
Er zijn meerdere updatepakketten vermeld in de tabel Betrokken software voor Internet Explorer 9, Internet Explorer 10 en Internet Explorer 11. Moet ik al deze updates installeren?
Ja. Systemen met Internet Explorer 9, Internet Explorer 10 of Internet Explorer 11 zijn pas volledig beveiligd als u zowel beveiligingsupdates 3021952 als de updates voor het beveiligingsprobleem hebt geïnstalleerd dat wordt beschreven in beveiligingsadvies 3009008.
Als u Windows Update, Windows Server Update Services (WSUS) of Microsoft Update Catalog gebruikt om updates te installeren, wordt beveiligingsupdate 3021952 eerst geïnstalleerd. Nadat uw systeem opnieuw is opgestart, controleert u opnieuw op updates in Windows Update om update-3034196 te verkrijgen en te installeren.
Als u updates handmatig downloadt en installeert, moet u eerst de beveiligingsupdate 3021952 installeren voordat u update-3034196 installeert. Kan 3021952 niet installeren voordat 3034196 kan leiden tot gedegradeerde paginaweergave.
Zijn er aanvullende updates waar ik rekening mee moet houden?
Ja. Er zijn extra oplossingen voor Internet Explorer 11 die zijn opgenomen als onderdeel van update-3021952.
Voor Internet Explorer 11 op Windows 7 Service Pack 1 en Windows Server 2008 R2 Service Pack 1:
Wanneer u beveiligingsupdates installeert 3021952, wordt update-3023607 ook automatisch geïnstalleerd. Update 3023607 wijzigingen in tls-protocol (Transport Layer Security) heronderhandeling en terugvalgedrag.
Wanneer de installatie is voltooid, worden updates 3021952 en 3023607 weergegeven in Geïnstalleerde updates.
Als u updates handmatig downloadt en installeert, wordt u gevraagd om updates te selecteren 3021952 en 3023607.
Voor Internet Explorer 11 op Windows 8.1, Windows Server 2012 R2 en Windows RT 8.1:
Wanneer u beveiligingsupdates installeert 3021952, worden updates 3023607 en 3036197 automatisch geïnstalleerd. Update 3023607 wijzigt het heronderhandelings- en terugvalgedrag van het TLS-protocol. Update 3036197 is vereist voor de groepsbeleidsinstellingen voor het uitschakelen van de SSL 3.0-terugval in alle gelokaliseerde talen.
Wanneer de installatie is voltooid, worden updates 3021952, 3036197 en 3023607 weergegeven in Geïnstalleerde updates.
Als u updates handmatig downloadt en installeert, wordt u gevraagd om updates te selecteren 3021952, 3023607 en 3036197.
Ernstclassificaties en id's voor beveiligingsproblemen
Bij de volgende ernstclassificaties wordt uitgegaan van de mogelijke maximale impact van het beveiligingsprobleem. Voor informatie over de waarschijnlijkheid, binnen 30 dagen na de release van dit beveiligingsbulletin, van de misbruikbaarheid van het beveiligingsprobleem ten opzichte van de ernstclassificatie en beveiligingsimpact, raadpleegt u de Index exploitability in het overzicht van het bulletin van februari.
In de volgende tabel waar opgegeven geven de waarden Kritiek, Belangrijk en Gemiddeld de ernstclassificaties aan. Zie Beveiligingsbulletin Ernstbeoordelingssysteem voor meer informatie. Indien opgegeven, geven de afkortingen zoals weergegeven in de volgende sleutel de maximale impact aan:
Beveiligingsprobleem met ASLR omzeilen in Internet Explorer
Niet van toepassing
Niet van toepassing
Niet van toepassing
Windows-clients:\ Belangrijk / SFB \ Windows Servers:\ Laag / SFB
Windows-clients:\ Belangrijk / SFB \ Windows Servers:\ Laag / SFB
Windows-clients:\ Belangrijk / SFB \ Windows Servers:\ Laag / SFB
Informatie over het beveiligingsprobleem
Beveiligingsproblemen met meerdere geheugenbeschadigingen in Internet Explorer
Beveiligingsproblemen met uitvoering van externe code bestaan wanneer Internet Explorer objecten in het geheugen onjuist opent. Deze beveiligingsproblemen kunnen geheugen beschadigen op een zodanige manier dat een aanvaller willekeurige code kan uitvoeren in de context van de huidige gebruiker. Met de update worden de beveiligingsproblemen opgelost door de manier te wijzigen waarop Internet Explorer objecten in het geheugen verwerkt.
Een aanvaller kan een speciaal gemaakte website hosten die is ontworpen om deze beveiligingsproblemen te misbruiken via Internet Explorer en vervolgens een gebruiker overtuigen om de website te bekijken. De aanvaller kan ook profiteren van gecompromitteerde websites en websites die door de gebruiker geleverde inhoud of advertenties accepteren of hosten door speciaal gemaakte inhoud toe te voegen die misbruik kan maken van deze beveiligingsproblemen. In alle gevallen zou een aanvaller echter geen manier hebben om gebruikers te dwingen om de door de aanvaller beheerde inhoud te bekijken. In plaats daarvan moet een aanvaller gebruikers overtuigen om actie te ondernemen, meestal door ze te laten klikken op een koppeling in een chatbericht of e-mailbericht dat gebruikers naar de website van de aanvaller brengt of door hen een bijlage te laten openen die via e-mail wordt verzonden.
Een aanvaller die deze beveiligingsproblemen heeft misbruikt, kan dezelfde gebruikersrechten krijgen als de huidige gebruiker. Als de huidige gebruiker is aangemeld met gebruikersrechten met beheerdersrechten, kan een aanvaller die deze beveiligingsproblemen heeft misbruikt volledige controle over een beïnvloed systeem overnemen. Een aanvaller kan vervolgens programma's installeren; gegevens weergeven, wijzigen of verwijderen; of maak nieuwe accounts met volledige gebruikersrechten. Systemen waarbij Internet Explorer vaak wordt gebruikt, zoals werkstations of terminalservers, lopen het grootste risico op deze beveiligingsproblemen.
De volgende tabel bevat koppelingen naar de standaardvermelding voor elk beveiligingsprobleem in de lijst algemene beveiligingsproblemen en blootstellingen:
Titel van beveiligingsprobleem
CVE-nummer
Openbaar gemaakt
Benut
Beveiligingsprobleem met geheugenbeschadiging in Internet Explorer
Microsoft heeft geen beperkende factoren geïdentificeerd voor deze beveiligingsproblemen.
Tijdelijke oplossingen
Microsoft heeft geen tijdelijke oplossingen voor deze beveiligingsproblemen geïdentificeerd.
Veelgestelde vragen
Ik gebruik Internet Explorer op Windows Server 2003, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 of Windows Server 2012 R2. Verhelpt dit deze beveiligingsproblemen?
Ja. Internet Explorer op Windows Server 2003, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 en Windows Server 2012 R2 wordt standaard uitgevoerd in een beperkte modus die bekend staat als Verbeterde beveiligingsconfiguratie. Verbeterde beveiligingsconfiguratie is een groep vooraf geconfigureerde instellingen in Internet Explorer waarmee de kans kan worden beperkt dat een gebruiker of beheerder speciaal gemaakte webinhoud op een server downloadt en uitvoert. Dit is een beperkingsfactor voor websites die u niet hebt toegevoegd aan de zone Vertrouwde websites van Internet Explorer.
Helpt EMET bij het beperken van aanvallen die kunnen proberen deze beveiligingsproblemen te misbruiken?
Ja. Met de Enhanced Mitigation Experience Toolkit (EMET) kunnen gebruikers beveiligingsbeperkingstechnologieën beheren die het moeilijker maken voor aanvallers om beveiligingsproblemen in een bepaald stuk software te misbruiken. EMET helpt deze beveiligingsproblemen in Internet Explorer te beperken op systemen waarop EMET is geïnstalleerd en geconfigureerd voor gebruik met Internet Explorer.
Meerdere beveiligingsproblemen met bevoegdheden in Internet Explorer
Er bestaan beveiligingsproblemen met bevoegdheden wanneer Internet Explorer machtigingen onder specifieke omstandigheden niet goed valideert, waardoor script kan worden uitgevoerd met verhoogde bevoegdheden. Met de update worden de beveiligingsproblemen opgelost door extra machtigingsvalidaties toe te voegen aan Internet Explorer.
In een scenario met webaanvallen kan een aanvaller een website hosten die wordt gebruikt om misbruik te maken van deze beveiligingsproblemen. Bovendien kunnen gecompromitteerde websites en websites die door de gebruiker geleverde inhoud accepteren of hosten, speciaal gemaakte inhoud bevatten die misbruik kan maken van deze beveiligingsproblemen. In alle gevallen zou een aanvaller echter geen manier hebben om gebruikers te dwingen om de door de aanvaller beheerde inhoud te bekijken. In plaats daarvan moet een aanvaller gebruikers overtuigen om actie te ondernemen. Een aanvaller kan bijvoorbeeld gebruikers misleiden om te klikken op een koppeling waarmee ze naar de site van de aanvaller worden gebracht. Een aanvaller die deze beveiligingsproblemen heeft misbruikt, kan bevoegdheden verhogen in de betreffende versies van Internet Explorer.
Deze beveiligingsproblemen staan op zichzelf niet toe dat willekeurige code wordt uitgevoerd. Deze beveiligingsproblemen kunnen echter worden gebruikt in combinatie met een ander beveiligingsprobleem (bijvoorbeeld een beveiligingsprobleem met uitvoering van externe code) dat kan profiteren van de verhoogde bevoegdheden bij het uitvoeren van willekeurige code. Een aanvaller kan bijvoorbeeld misbruik maken van een ander beveiligingsprobleem om willekeurige code uit te voeren via Internet Explorer, maar vanwege de context waarin processen worden gestart door Internet Explorer, kan de code worden beperkt tot uitvoering met een laag integriteitsniveau (zeer beperkte machtigingen). Een aanvaller kan echter op zijn beurt misbruik maken van deze beveiligingsproblemen om ervoor te zorgen dat de willekeurige code wordt uitgevoerd op een gemiddeld integriteitsniveau (machtigingen van de huidige gebruiker).
De volgende tabel bevat koppelingen naar de standaardvermelding voor elk beveiligingsprobleem in de lijst algemene beveiligingsproblemen en blootstellingen:
Titel van beveiligingsprobleem
CVE-nummer
Openbaar gemaakt
Benut
Beveiligingsprobleem met onrechtmatige uitbreiding van bevoegdheden in Internet Explorer
Deze beveiligingsproblemen staan op zichzelf niet toe dat willekeurige code wordt uitgevoerd. De beveiligingsproblemen moeten worden gebruikt in combinatie met een ander beveiligingsprobleem dat uitvoering van externe code toestaat. Een aanvaller kan bijvoorbeeld misbruik maken van een ander beveiligingsprobleem om willekeurige code uit te voeren via Internet Explorer, maar vanwege de context waarin processen worden gestart door Internet Explorer, kan de code worden beperkt tot uitvoering met een laag integriteitsniveau (zeer beperkte machtigingen). Een aanvaller kan echter op zijn beurt misbruik maken van deze beveiligingsproblemen om ervoor te zorgen dat de willekeurige code wordt uitgevoerd op een gemiddeld integriteitsniveau (machtigingen van de huidige gebruiker).
Tijdelijke oplossingen
Microsoft heeft geen tijdelijke oplossingen voor deze beveiligingsproblemen geïdentificeerd.
Meerdere beveiligingsproblemen in Internet Explorer ASLR omzeilen
Beveiligingsfunctie omzeilt beveiligingsproblemen wanneer Internet Explorer niet gebruikmaakt van de ASLR-beveiligingsfunctie (Address Space Layout Randomization), zodat een aanvaller de geheugenverschiln van specifieke instructies in een bepaalde aanroepstack betrouwbaarder kan voorspellen. Een aanvaller die deze beveiligingsproblemen heeft misbruikt, kan de aslr-beveiligingsfunctie (Address Space Layout Randomization) omzeilen, waardoor gebruikers worden beschermd tegen een breed scala aan beveiligingsproblemen. Het omzeilen van de beveiligingsfunctie op zichzelf staat niet toe dat willekeurige code wordt uitgevoerd. Een aanvaller kan echter een ASLR-bypass-beveiligingsprobleem gebruiken in combinatie met een ander beveiligingsprobleem, zoals een beveiligingsprobleem met het uitvoeren van externe code, die kan profiteren van de ASLR-bypass om willekeurige code uit te voeren. Een beveiligingsprobleem met de uitvoering van externe code die wordt geblokkeerd door ASLR, kan bijvoorbeeld worden misbruikt na een geslaagde BYPASS van ASLR.
In een scenario voor surfen op internet is een geslaagde exploitatie van deze beveiligingsproblemen vereist dat een gebruiker is aangemeld en een getroffen versie van Internet Explorer uitvoert. Daarom lopen systemen waarbij een webbrowser vaak wordt gebruikt, zoals werkstations of terminalservers, het meeste risico op deze beveiligingsproblemen. Servers kunnen meer risico lopen als beheerders toestaan dat gebruikers door e-mail op servers bladeren en lezen. Best practices raden echter ten zeerste af dit toe te staan.
De update lost de beveiligingsproblemen op door ervoor te zorgen dat de betreffende versies van Internet Explorer de ASLR-beveiligingsfunctie correct implementeren.
De volgende tabel bevat koppelingen naar de standaardvermelding voor elk beveiligingsprobleem in de lijst algemene beveiligingsproblemen en blootstellingen:
Titel van beveiligingsprobleem
CVE-nummer
Openbaar gemaakt
Benut
Beveiligingsprobleem met ASLR omzeilen in Internet Explorer
Microsoft heeft geen beperkende factoren geïdentificeerd voor deze beveiligingsproblemen.
Tijdelijke oplossingen
Microsoft heeft geen tijdelijke oplossingen voor deze beveiligingsproblemen geïdentificeerd.
Beveiligingsprobleem met openbaarmaking van gegevens in meerdere domeinen in Internet Explorer - CVE-2015-0070
Er bestaat een beveiligingsprobleem met betrekking tot openbaarmaking van informatie wanneer Internet Explorer beleid voor meerdere domeinen niet goed afdwingt, waardoor een aanvaller toegang kan krijgen tot informatie in een ander domein of een Internet Explorer-zone. De update lost het beveiligingsprobleem op door ervoor te zorgen dat beleid voor meerdere domeinen correct wordt afgedwongen in Internet Explorer.
In een scenario met webaanvallen kan een aanvaller een website hosten die wordt gebruikt om misbruik te maken van deze beveiligingsproblemen. Bovendien kunnen gecompromitteerde websites en websites die door de gebruiker geleverde inhoud accepteren of hosten, speciaal gemaakte inhoud bevatten die misbruik kan maken van deze beveiligingsproblemen. In alle gevallen zou een aanvaller echter geen manier hebben om gebruikers te dwingen om de door de aanvaller beheerde inhoud te bekijken. In plaats daarvan moet een aanvaller gebruikers overtuigen om actie te ondernemen. Een aanvaller kan bijvoorbeeld gebruikers misleiden om te klikken op een koppeling waarmee ze naar de site van de aanvaller worden gebracht. Een aanvaller die het beveiligingsprobleem heeft misbruikt, kan inhoud uit een ander domein of een Internet Explorer-zone bekijken.
De volgende tabel bevat koppelingen naar de standaardvermelding voor elk beveiligingsprobleem in de lijst algemene beveiligingsproblemen en blootstellingen:
Titel van beveiligingsprobleem
CVE-nummer
Openbaar gemaakt
Benut
Beveiligingsprobleem met openbaarmaking van gegevens in meerdere domeinen in Internet Explorer
Microsoft heeft geen beperkende factoren voor dit beveiligingsprobleem geïdentificeerd.
Tijdelijke oplossingen
Microsoft heeft geen tijdelijke oplossingen voor dit beveiligingsprobleem geïdentificeerd.
Veelgestelde vragen
Ik gebruik Internet Explorer op Windows Server 2003, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 of Windows Server 2012 R2. Verhelpt dit deze beveiligingsproblemen?
Ja. Internet Explorer op Windows Server 2003, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 en Windows Server 2012 R2 wordt standaard uitgevoerd in een beperkte modus die bekend staat als Verbeterde beveiligingsconfiguratie. Verbeterde beveiligingsconfiguratie is een groep vooraf geconfigureerde instellingen in Internet Explorer waarmee de kans kan worden beperkt dat een gebruiker of beheerder speciaal gemaakte webinhoud op een server downloadt en uitvoert. Dit is een beperkingsfactor voor websites die u niet hebt toegevoegd aan de zone Vertrouwde websites van Internet Explorer.
Implementatie van beveiligingsupdates
Zie het Microsoft Knowledge Base-artikel waarnaar wordt verwezen in het executive-overzicht voor informatie over de implementatie van beveiligingsupdates.
Erkenningen
Microsoft herkent de inspanningen van degenen in de beveiligingscommunity die ons helpen klanten te beschermen via gecoördineerde openbaarmaking van beveiligingsproblemen. Zie Bevestigingen voor meer informatie.
Vrijwaring
De informatie in de Microsoft Knowledge Base wordt geleverd zonder enige garantie. Microsoft wijst alle garanties af, hetzij uitdrukkelijk of impliciet, met inbegrip van de garanties van verkoopbaarheid en geschiktheid voor een bepaald doel. In geen geval is Microsoft Corporation of haar leveranciers aansprakelijk voor enige schade, waaronder directe, indirecte, incidentele, gevolgschade, verlies van bedrijfswinst of speciale schade, zelfs als Microsoft Corporation of haar leveranciers op de hoogte zijn gesteld van de mogelijkheid van dergelijke schade. Sommige staten staan de uitsluiting of beperking van aansprakelijkheid voor gevolgschade of incidentele schade niet toe, zodat de voorgaande beperking mogelijk niet van toepassing is.
Revisies
V1.0 (10 februari 2015): Bulletin gepubliceerd.
V1.1 (4 maart 2015): Herzien bulletin om te verduidelijken welke extra updates worden geïnstalleerd en hoe ze worden geïnstalleerd, wanneer beveiligingsupdates 3021952 is geïnstalleerd op systemen met Internet Explorer 9, Internet Explorer 10 of Internet Explorer 11. Zie de veelgestelde vragen over updates voor meer informatie. Dit is alleen een informatieve wijziging. De updatebestanden zijn niet gewijzigd. Klanten die hun systemen al hebben bijgewerkt, hoeven geen actie te ondernemen.
As an Information Security Administrator, you plan and implement information security of sensitive data by using Microsoft Purview and related services. You’re responsible for mitigating risks by protecting data inside collaboration environments that are managed by Microsoft 365 from internal and external threats and protecting data used by AI services. You also implement information protection, data loss prevention, retention, insider risk management, and manage information security alerts and activities.