Cumulatieve beveiligingsupdate voor Internet Explorer (3058515)
Gepubliceerd: 9 juni 2015
Versie: 1.0
Samenvatting
Met deze beveiligingsupdate worden beveiligingsproblemen in Internet Explorer opgelost. De ernstigste beveiligingsproblemen kunnen externe code-uitvoering toestaan als een gebruiker een speciaal gemaakte webpagina bekijkt met Behulp van Internet Explorer. Een aanvaller die deze beveiligingsproblemen heeft misbruikt, kan dezelfde gebruikersrechten krijgen als de huidige gebruiker. Klanten van wie de accounts zijn geconfigureerd om minder gebruikersrechten op het systeem te hebben, kunnen minder worden beïnvloed dan klanten die werken met gebruikersrechten met beheerdersrechten.
Deze beveiligingsupdate wordt beoordeeld als kritiek voor Internet Explorer 6 (IE 6), Internet Explorer 7 (IE 7), Internet Explorer 8 (IE 8), Internet Explorer 9 (IE 9), Internet Explorer 10 (IE 10) en Internet Explorer 11 (IE 11) op betrokken Windows-clients, en Gemiddeld voor Internet Explorer 6 (IE 6), Internet Explorer 7 (IE 7), Internet Explorer 8 (IE 8), Internet Explorer 9 (IE 9), Internet Explorer 10 (IE 10) en Internet Explorer 11 (IE 11) op betrokken Windows-servers. Zie de sectie Beïnvloede software voor meer informatie.
Met de beveiligingsupdate worden de beveiligingsproblemen opgelost door:
Voorkomen dat browsergeschiedenissen worden geopend door een schadelijke site
Aanvullende machtigingsvalidaties toevoegen aan Internet Explorer
Wijzigen hoe Internet Explorer objecten in het geheugen verwerkt
Zie de sectie Informatie over beveiligingsproblemen voor meer informatie over de beveiligingsproblemen.
De volgende softwareversies of -edities worden beïnvloed. Versies of edities die niet worden vermeld, vallen na de levenscyclus van de ondersteuning of worden niet beïnvloed. Zie Microsoft Ondersteuning Levenscyclus om de levenscyclus van de ondersteuning voor uw softwareversie of -editie te bepalen.
Houd er rekening mee dat Windows Technical Preview en Windows Server Technical Preview worden beïnvloed. Klanten die deze besturingssystemen uitvoeren, worden aangemoedigd om de update toe te passen, die beschikbaar is via Windows Update.
*De kolom Updates vervangen toont alleen de meest recente update in een keten van vervangen updates. Voor een uitgebreide lijst met updates die zijn vervangen, gaat u naar de Microsoft Update-catalogus, zoekt u naar het KB-nummer van de update en bekijkt u de updategegevens (informatie over updates vervangen vindt u op het tabblad Pakketdetails).
Veelgestelde vragen over bijwerken
Bevat deze update aanvullende beveiligingsgerelateerde wijzigingen in functionaliteit?
Naast de wijzigingen die worden vermeld voor de beveiligingsproblemen die in dit bulletin worden beschreven, bevat deze update diepgaande updates ter verbetering van beveiligingsfuncties.
Ernstclassificaties en id's voor beveiligingsproblemen
Bij de volgende ernstclassificaties wordt uitgegaan van de mogelijke maximale impact van het beveiligingsprobleem. Voor informatie over de waarschijnlijkheid, binnen 30 dagen na de release van dit beveiligingsbulletin, van de misbruikbaarheid van het beveiligingsprobleem ten opzichte van de ernstclassificatie en beveiligingsimpact, raadpleegt u de Index exploitabiliteit in de samenvatting van het bulletin van juni.
Waar opgegeven in de tabel Ernstbeoordelingen en Impact, Kritieke, Belangrijke en Gemiddelde waarden, geven ernstclassificaties aan. Zie Beveiligingsbulletin Ernstbeoordelingssysteem voor meer informatie. Raadpleeg de volgende sleutel voor de afkortingen die in de tabel worden gebruikt om de maximale impact aan te geven:
Afkorting
Maximale impact
RCE
Uitvoering van externe code
Eop
Verhoging van bevoegdheden
Id
Openbaarmaking van informatie
SFB
Bypass van beveiligingsfuncties
Ernstclassificaties en impact van beveiligingsproblemen
Beveiligingsprobleem met informatieverschaffing in Internet Explorer - CVE-2015-1765
Er bestaat een beveiligingsprobleem met betrekking tot openbaarmaking van informatie in Internet Explorer waarmee een aanvaller die dit beveiligingsprobleem heeft misbruikt, toegang kan krijgen tot de browsergeschiedenis van een gebruiker.
In een aanvalsscenario op internet kan een aanvaller een website hosten die wordt gebruikt om misbruik te maken van dit beveiligingsprobleem. Bovendien kunnen gecompromitteerde websites en websites die door de gebruiker geleverde inhoud accepteren of hosten, speciaal gemaakte inhoud bevatten die misbruik kan maken van dit beveiligingsprobleem. In alle gevallen zou een aanvaller echter geen manier hebben om gebruikers te dwingen om de door de aanvaller beheerde inhoud te bekijken. In plaats daarvan moet een aanvaller gebruikers overtuigen om actie te ondernemen. Een aanvaller kan bijvoorbeeld gebruikers misleiden om te klikken op een koppeling waarmee ze naar de site van de aanvaller worden gebracht.
Met de update wordt het beveiligingsprobleem opgelost door te voorkomen dat browsergeschiedenissen worden geopend door een schadelijke site. De volgende tabel bevat koppelingen naar de standaardvermelding voor elk beveiligingsprobleem in de lijst algemene beveiligingsproblemen en blootstellingen:
Titel van beveiligingsprobleem
CVE-nummer
Openbaar gemaakt
Benut
Beveiligingsprobleem met betrekking tot openbaarmaking van informatie in Internet Explorer
Microsoft heeft geen beperkende factoren voor dit beveiligingsprobleem geïdentificeerd.
Tijdelijke oplossingen
Microsoft heeft geen tijdelijke oplossingen voor dit beveiligingsprobleem geïdentificeerd.
Veelgestelde vragen
Ik gebruik Internet Explorer voor Windows Server 2003, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 of Windows Server 2012 R2. Vermindert dit beveiligingsprobleem?
Ja. Internet Explorer op Windows Server 2003, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 en Windows Server 2012 R2 wordt standaard uitgevoerd in een beperkte modus die bekend staat als Verbeterde beveiligingsconfiguratie. Verbeterde beveiligingsconfiguratie is een groep vooraf geconfigureerde instellingen in Internet Explorer waarmee de kans kan worden beperkt dat een gebruiker of beheerder speciaal gemaakte webinhoud op een server downloadt en uitvoert. Dit is een beperkingsfactor voor websites die u niet hebt toegevoegd aan de zone Vertrouwde websites van Internet Explorer.
Meerdere beveiligingsproblemen met bevoegdheden
Er bestaan beveiligingsproblemen met bevoegdheden wanneer Internet Explorer machtigingen onder specifieke omstandigheden niet goed valideert, waardoor script kan worden uitgevoerd met verhoogde bevoegdheden.
In een scenario met webaanvallen kan een aanvaller een website hosten die wordt gebruikt om misbruik te maken van deze beveiligingsproblemen. Bovendien kunnen gecompromitteerde websites en websites die door de gebruiker geleverde inhoud accepteren of hosten, speciaal gemaakte inhoud bevatten die misbruik kan maken van deze beveiligingsproblemen. In alle gevallen zou een aanvaller echter geen manier hebben om gebruikers te dwingen om de door de aanvaller beheerde inhoud te bekijken. In plaats daarvan moet een aanvaller gebruikers overtuigen om actie te ondernemen. Een aanvaller kan bijvoorbeeld gebruikers misleiden om te klikken op een koppeling waarmee ze naar de site van de aanvaller worden gebracht. Een aanvaller die deze beveiligingsproblemen heeft misbruikt, kan bevoegdheden verhogen in de betreffende versies van Internet Explorer.
Deze beveiligingsproblemen staan op zichzelf niet toe dat willekeurige code wordt uitgevoerd. Deze beveiligingsproblemen kunnen echter worden gebruikt in combinatie met een ander beveiligingsprobleem (bijvoorbeeld een beveiligingsprobleem met uitvoering van externe code) dat kan profiteren van de verhoogde bevoegdheden bij het uitvoeren van willekeurige code. Een aanvaller kan bijvoorbeeld misbruik maken van een ander beveiligingsprobleem om willekeurige code uit te voeren via Internet Explorer, maar vanwege de context waarin processen worden gestart door Internet Explorer, kan de code worden beperkt tot uitvoering met een laag integriteitsniveau (zeer beperkte machtigingen). Een aanvaller kan echter op zijn beurt misbruik maken van deze beveiligingsproblemen om ervoor te zorgen dat de willekeurige code wordt uitgevoerd op een gemiddeld integriteitsniveau (machtigingen van de huidige gebruiker).
Met de update worden de beveiligingsproblemen opgelost door extra machtigingsvalidaties toe te voegen aan Internet Explorer. De volgende tabel bevat koppelingen naar de standaardvermelding voor elk beveiligingsprobleem in de lijst algemene beveiligingsproblemen en blootstellingen:
Titel van beveiligingsprobleem
CVE-nummer
Openbaar gemaakt
Benut
Beveiligingsprobleem met onrechtmatige uitbreiding van bevoegdheden in Internet Explorer
Microsoft heeft geen beperkende factoren geïdentificeerd voor deze beveiligingsproblemen.
Tijdelijke oplossingen
Microsoft heeft geen tijdelijke oplossingen voor deze beveiligingsproblemen geïdentificeerd.
Beveiligingsproblemen met meerdere geheugenbeschadigingen in Internet Explorer
Beveiligingsproblemen met uitvoering van externe code bestaan wanneer Internet Explorer objecten in het geheugen onjuist opent. Deze beveiligingsproblemen kunnen geheugen beschadigen op een zodanige manier dat een aanvaller willekeurige code kan uitvoeren in de context van de huidige gebruiker.
Een aanvaller kan een speciaal gemaakte website hosten die is ontworpen om deze beveiligingsproblemen te misbruiken via Internet Explorer en vervolgens een gebruiker overtuigen om de website te bekijken. De aanvaller kan ook profiteren van gecompromitteerde websites en websites die door de gebruiker geleverde inhoud of advertenties accepteren of hosten door speciaal gemaakte inhoud toe te voegen die misbruik kan maken van deze beveiligingsproblemen. In alle gevallen zou een aanvaller echter geen manier hebben om gebruikers te dwingen om de door de aanvaller beheerde inhoud te bekijken. In plaats daarvan moet een aanvaller gebruikers overtuigen om actie te ondernemen, meestal door ze te laten klikken op een koppeling in een chatbericht of e-mailbericht dat gebruikers naar de website van de aanvaller brengt of door hen een bijlage te laten openen die via e-mail wordt verzonden.
Een aanvaller die deze beveiligingsproblemen heeft misbruikt, kan dezelfde gebruikersrechten krijgen als de huidige gebruiker. Als de huidige gebruiker is aangemeld met gebruikersrechten met beheerdersrechten, kan een aanvaller die deze beveiligingsproblemen heeft misbruikt volledige controle over een beïnvloed systeem overnemen. Een aanvaller kan vervolgens programma's installeren; gegevens weergeven, wijzigen of verwijderen; of maak nieuwe accounts met volledige gebruikersrechten. Systemen waarbij Internet Explorer vaak wordt gebruikt, zoals werkstations of terminalservers, lopen het grootste risico op deze beveiligingsproblemen.
Met de update worden de beveiligingsproblemen opgelost door te wijzigen hoe Internet Explorer objecten in het geheugen verwerkt. De volgende tabel bevat koppelingen naar de standaardvermelding voor elk beveiligingsprobleem in de lijst algemene beveiligingsproblemen en blootstellingen:
Titel van beveiligingsprobleem
CVE-nummer
Openbaar gemaakt
Benut
Beveiligingsprobleem met geheugenbeschadiging in Internet Explorer
Microsoft heeft geen beperkende factoren geïdentificeerd voor deze beveiligingsproblemen.
Tijdelijke oplossingen
Microsoft heeft geen tijdelijke oplossingen voor deze beveiligingsproblemen geïdentificeerd.
Veelgestelde vragen
Ik gebruik Internet Explorer op Windows Server 2003, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 of Windows Server 2012 R2. Verhelpt dit deze beveiligingsproblemen?
Ja. Internet Explorer op Windows Server 2003, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 en Windows Server 2012 R2 wordt standaard uitgevoerd in een beperkte modus die bekend staat als Verbeterde beveiligingsconfiguratie. Verbeterde beveiligingsconfiguratie is een groep vooraf geconfigureerde instellingen in Internet Explorer waarmee de kans kan worden beperkt dat een gebruiker of beheerder speciaal gemaakte webinhoud op een server downloadt en uitvoert. Dit is een beperkingsfactor voor websites die u niet hebt toegevoegd aan de zone Vertrouwde websites van Internet Explorer.
Kan EMET helpen bij het beperken van aanvallen die proberen deze beveiligingsproblemen te misbruiken?
Ja. Met de Enhanced Mitigation Experience Toolkit (EMET) kunnen gebruikers beveiligingsbeperkingstechnologieën beheren die het lastiger maken voor aanvallers om beveiligingsproblemen in een bepaald stukje software te misbruiken. EMET kan helpen aanvallen te beperken die proberen deze beveiligingsproblemen in Internet Explorer te misbruiken op systemen waarop EMET is geïnstalleerd en geconfigureerd voor gebruik met Internet Explorer.
Zie het Microsoft Knowledge Base-artikel waarnaar wordt verwezen in het executive-overzicht voor informatie over de implementatie van beveiligingsupdates.
Erkenningen
Microsoft herkent de inspanningen van degenen in de beveiligingscommunity die ons helpen klanten te beschermen via gecoördineerde openbaarmaking van beveiligingsproblemen. Zie Bevestigingen voor meer informatie.
Vrijwaring
De informatie in de Microsoft Knowledge Base wordt geleverd zonder enige garantie. Microsoft wijst alle garanties af, hetzij uitdrukkelijk of impliciet, met inbegrip van de garanties van verkoopbaarheid en geschiktheid voor een bepaald doel. In geen geval is Microsoft Corporation of haar leveranciers aansprakelijk voor enige schade, waaronder directe, indirecte, incidentele, gevolgschade, verlies van bedrijfswinst of speciale schade, zelfs als Microsoft Corporation of haar leveranciers op de hoogte zijn gesteld van de mogelijkheid van dergelijke schade. Sommige staten staan de uitsluiting of beperking van aansprakelijkheid voor gevolgschade of incidentele schade niet toe, zodat de voorgaande beperking mogelijk niet van toepassing is.
As an Information Security Administrator, you plan and implement information security of sensitive data by using Microsoft Purview and related services. You’re responsible for mitigating risks by protecting data inside collaboration environments that are managed by Microsoft 365 from internal and external threats and protecting data used by AI services. You also implement information protection, data loss prevention, retention, insider risk management, and manage information security alerts and activities.