Microsoft-beveiligingsbulletin MS15-034 - Kritiek
Beveiligingsprobleem in HTTP.sys Kan uitvoering van externe code toestaan (3042553)
Gepubliceerd: 14 april 2015 | Bijgewerkt: 22 april 2015
Versie: 1.1
Samenvatting
Met deze beveiligingsupdate wordt een beveiligingsprobleem in Microsoft Windows opgelost. Met het beveiligingsprobleem kan externe code worden uitgevoerd als een aanvaller een speciaal gemaakte HTTP-aanvraag verzendt naar een beïnvloed Windows-systeem.
Deze beveiligingsupdate wordt beoordeeld als kritiek voor alle ondersteunde edities van Windows 7, Windows Server 2008 R2, Windows 8, Windows Server 2012, Windows 8.1 en Windows Server 2012 R2. Zie de sectie Beïnvloede software voor meer informatie.
Met de beveiligingsupdate wordt het beveiligingsprobleem opgelost door te wijzigen hoe de Windows HTTP-stack aanvragen verwerkt. Zie de sectie VulnerabilityInformation voor meer informatie over het beveiligingsprobleem.
Zie het Microsoft Knowledge Base-artikel 3042553 voor meer informatie over dit document.
Betrokken software
De volgende softwareversies of -edities worden beïnvloed. Versies of edities die niet worden vermeld, vallen na de levenscyclus van de ondersteuning of worden niet beïnvloed. Zie Microsoft Ondersteuning Levenscyclus om de levenscyclus van de ondersteuning voor uw softwareversie of -editie te bepalen.
| Besturingssysteem | Maximale beveiligingsimpact | Classificatie voor cumulatieve ernst | Updates vervangen |
|---|---|---|---|
| Windows 7 | |||
| Windows 7 voor 32-bits systemen Service Pack 1 (3042553) | Uitvoering van externe code | Kritiek | Geen |
| Windows 7 voor x64-systemen Service Pack 1 (3042553) | Uitvoering van externe code | Kritiek | Geen |
| Windows Server 2008 R2 | |||
| Windows Server 2008 R2 voor x64-systemen Service Pack 1 (3042553) | Uitvoering van externe code | Kritiek | Geen |
| Windows Server 2008 R2 voor Op Itanium gebaseerde Systemen Service Pack 1 (3042553) | Uitvoering van externe code | Kritiek | Geen |
| Windows 8 en Windows 8.1 | |||
| Windows 8 voor 32-bits systemen (3042553) | Uitvoering van externe code | Kritiek | 2829254 in MS13-039 |
| Windows 8 voor x64-systemen (3042553) | Uitvoering van externe code | Kritiek | 2829254 in MS13-039 |
| Windows 8.1 voor 32-bits systemen (3042553) | Uitvoering van externe code | Kritiek | Geen |
| Windows 8.1 voor x64-systemen (3042553) | Uitvoering van externe code | Kritiek | Geen |
| Windows Server 2012 en Windows Server 2012 R2 | |||
| Windows Server 2012 (3042553) | Uitvoering van externe code | Kritiek | 2829254 in MS13-039 |
| Windows Server 2012 R2 (3042553) | Uitvoering van externe code | Kritiek | Geen |
| Server Core-installatieoptie | |||
| Windows Server 2008 R2 voor x64-systemen Service Pack 1 (Server Core-installatie) (3042553) | Uitvoering van externe code | Kritiek | Geen |
| Windows Server 2012 (Server Core-installatie) (3042553) | Uitvoering van externe code | Kritiek | 2829254 in MS13-039 |
| Windows Server 2012 R2 (Server Core-installatie) (3042553) | Uitvoering van externe code | Kritiek | Geen |
Opmerking De update is beschikbaar voor Windows Technical Preview en Windows Server Technical Preview. Klanten die deze besturingssystemen uitvoeren, worden aangemoedigd om de update toe te passen, die beschikbaar is via Windows Update.
Ernstclassificaties en id's voor beveiligingsproblemen
Bij de volgende ernstclassificaties wordt uitgegaan van de mogelijke maximale impact van het beveiligingsprobleem. Voor informatie over de waarschijnlijkheid, binnen 30 dagen na de release van dit beveiligingsbulletin, van de misbruikbaarheid van het beveiligingsprobleem ten opzichte van de ernstclassificatie en beveiligingsimpact, raadpleegt u de Exploitability Index in de samenvatting van het bulletin van april.
| Ernstclassificatie van beveiligingsproblemen en maximale beveiligingsimpact door betrokken software | ||
|---|---|---|
| Betrokken software | HTTP.sys Beveiligingsprobleem met uitvoering van externe code - CVE-2015-1635 | Classificatie voor cumulatieve ernst |
| Windows 7 | ||
| Windows 7 voor 32-bits systemen Service Pack 1 (3042553) | Kritieke uitvoering van externe code | Kritiek |
| Windows 7 voor x64-systemen Service Pack 1 3042553 | Kritieke uitvoering van externe code | Kritiek |
| Windows Server 2008 R2 | ||
| Windows Server 2008 R2 voor Op Itanium gebaseerde systemen Service Pack 1 (3042553) | Kritieke uitvoering van externe code | Kritiek |
| Windows Server 2008 R2 voor x64-systemen Service Pack 1 (3042553) | Kritieke uitvoering van externe code | Kritiek |
| Windows 8 en Windows 8.1 | ||
| Windows 8 voor 32-bits systemen (3042553) | Kritieke uitvoering van externe code | Kritiek |
| Windows 8 voor x64-systemen (3042553) | Kritieke uitvoering van externe code | Kritiek |
| Windows Server 2012 en Windows Server 2012 R2 | ||
| Windows Server 2012 (3042553) | Kritieke uitvoering van externe code | Kritiek |
| Windows Server 2012 R2 (3042553) | Kritieke uitvoering van externe code | Kritiek |
| Server Core-installatieoptie | ||
| Windows Server 2012 (Server Core-installatie) (3042553) | Kritieke uitvoering van externe code | Kritiek |
| Windows Server 2012 R2 (Server Core-installatie) (3042553) | Kritieke uitvoering van externe code | Kritiek |
Informatie over het beveiligingsprobleem
HTTP.sys Beveiligingsprobleem met uitvoering van externe code - CVE-2015-1635
Er bestaat een beveiligingsprobleem met de uitvoering van externe code in de HTTP-protocolstack (HTTP.sys) die wordt veroorzaakt wanneer HTTP.sys speciaal gemaakte HTTP-aanvragen onjuist parseert. Een aanvaller die dit beveiligingsprobleem heeft misbruikt, kan willekeurige code uitvoeren in de context van het systeemaccount.
Om dit beveiligingsprobleem te misbruiken, moet een aanvaller een speciaal gemaakte HTTP-aanvraag verzenden naar het betreffende systeem. De update lost het beveiligingsprobleem op door te wijzigen hoe de Windows HTTP-stack aanvragen verwerkt.
Microsoft heeft informatie ontvangen over dit beveiligingsprobleem via gecoördineerde openbaarmaking van beveiligingsproblemen. Toen dit beveiligingsbulletin oorspronkelijk werd uitgegeven, had Microsoft geen informatie ontvangen om aan te geven dat dit beveiligingsprobleem openbaar is gebruikt om klanten aan te vallen.
Factoren beperken
Microsoft heeft geen beperkende factoren voor dit beveiligingsprobleem geïdentificeerd.
Tijdelijke oplossingen
De volgende tijdelijke oplossing kan nuttig zijn in uw situatie:
IIS-kernelcaching uitschakelen
Deze tijdelijke oplossing is specifiek voor IIS en kan prestatieproblemen veroorzaken. Zie Kernelcaching inschakelen (IIS 7) voor meer informatie.
Implementatie van beveiligingsupdates
Zie het Microsoft Knowledge Base-artikel waarnaar wordt verwezen in het executive-overzicht voor informatie over de implementatie van beveiligingsupdates.
Erkenningen
Microsoft herkent de inspanningen van degenen in de beveiligingscommunity die ons helpen klanten te beschermen via gecoördineerde openbaarmaking van beveiligingsproblemen. Zie Bevestigingen voor meer informatie.
Vrijwaring
De informatie in de Microsoft Knowledge Base wordt geleverd zonder enige garantie. Microsoft wijst alle garanties af, hetzij uitdrukkelijk of impliciet, met inbegrip van de garanties van verkoopbaarheid en geschiktheid voor een bepaald doel. In geen geval is Microsoft Corporation of haar leveranciers aansprakelijk voor enige schade, waaronder directe, indirecte, incidentele, gevolgschade, verlies van bedrijfswinst of speciale schade, zelfs als Microsoft Corporation of haar leveranciers op de hoogte zijn gesteld van de mogelijkheid van dergelijke schade. Sommige staten staan de uitsluiting of beperking van aansprakelijkheid voor gevolgschade of incidentele schade niet toe, zodat de voorgaande beperking mogelijk niet van toepassing is.
Revisies
- V1.0 (14 april 2015): Bulletin gepubliceerd.
- V1.1 (22 april 2015): Bulletin is gewijzigd om de vervangende vermeldingen voor Windows 8 en Windows Server 2012 in de tabel Betrokken software te corrigeren. Dit is alleen een informatieve wijziging. De updatebestanden zijn niet gewijzigd. Klanten die hun systemen al hebben bijgewerkt, hoeven geen actie te ondernemen.
Pagina gegenereerd 2015-04-22 11:30Z-07:00.