Säkerhetsrådgivning

Microsoft Security Advisory 973882

Säkerhetsrisker i Microsoft Active Template Library (ATL) kan tillåta fjärrkörning av kod

Publicerad: 28 juli 2009 | Uppdaterad: 13 oktober 2009

Version: 4.0

Microsoft släpper den här säkerhetsrekommendationen för att ge information om vår pågående undersökning av sårbarheter i offentliga och privata versioner av Microsofts Active Template Library (ATL). Den här rådgivningen ger också vägledning om vad utvecklare kan göra för att säkerställa att de kontroller och komponenter som de har skapat inte är sårbara för ATL-problemen. vad IT-proffs och it-konsumenter kan göra för att minska potentiella attacker som använder säkerhetsriskerna; och vad Microsoft gör som en del av sin pågående undersökning av problemet som beskrivs i den här rådgivningen. Den här säkerhetsrådgivningen innehåller också en omfattande lista över alla Microsofts säkerhetsbulletiner och säkerhetsrelaterade Uppdateringar relaterade till säkerhetsriskerna i ATL. Microsofts undersökning av de privata och offentliga versionerna av ATL pågår och vi kommer att släppa säkerhetsuppdateringar och vägledning efter behov som en del av undersökningsprocessen.

Microsoft är medvetet om säkerhetsrisker i offentliga och privata versioner av ATL. Microsoft ATL används av programvaruutvecklare för att skapa kontroller eller komponenter för Windows-plattformen. De säkerhetsrisker som beskrivs i den här säkerhetsrekommendationen och Microsoft Security Bulletin MS09-035 kan leda till informationsröjande eller fjärranslutna kodkörningsattacker för kontroller och komponenter som skapats med hjälp av sårbara versioner av ATL. Komponenter och kontroller som skapats med den sårbara versionen av ATL kan exponeras för ett sårbart tillstånd på grund av hur ATL används eller på grund av problem i själva ATL-koden.

Utvecklarvägledning: Microsoft har korrigerat problemen i de offentliga rubrikerna i ATL och publicerat uppdateringar av biblioteken i bulletinen MS09-035 "Sårbarheter i Visual Studio Active Template Library kan tillåta fjärrkodkörning". Microsoft rekommenderar starkt att utvecklare som har skapat kontroller eller komponenter med ATL vidtar omedelbara åtgärder för att utvärdera sina kontroller för exponering för ett sårbart tillstånd och följa de riktlinjer som ges för att skapa kontroller och komponenter som inte är sårbara. Mer information om sårbarheter och vägledning för att åtgärda problem i ATL finns i MS09-035, "Sårbarheter i Visual Studio Active Template Library could Allow Remote Code Execution" (Sårbarheter i Visual Studio Active Template Library could Allow Remote Code Execution).

Vägledning för IT-tekniker och konsumenter: Microsoft har utvecklat en ny teknik för skydd på djupet för att bättre skydda kunder medan utvecklare uppdaterar sina komponenter och kontroller. Den här nya försvarsdjupa tekniken som är inbyggd i Internet Explorer hjälper till att skydda kunder från framtida attacker med hjälp av sårbarheter i Microsoft Active Template Library som beskrivs i den här rådgivningen och Microsoft Security Bulletin MS09-035. För att dra nytta av den här nya försvarsdjupa tekniken bör IT-proffs och konsumenter omedelbart distribuera Internet Explorer Security Update som erbjuds i Microsoft Security Bulletin MS09-034, "Kumulativ säkerhetsuppdatering för Internet Explorer".

Den här säkerhetsuppdateringen innehåller en åtgärd som förhindrar att komponenter och kontroller som skapats med den sårbara ATL:n utnyttjas i Internet Explorer, samt åtgärdar flera orelaterade säkerhetsrisker. De nya skydd som erbjuds i MS09-034 innehåller uppdateringar av Internet Explorer 5.01, Internet Explorer 6 och Internet Explorer 6 Service Pack 1, Internet Explorer 7 och Internet Explorer 8. Dessa skydd på djupet övervakar och hjälper till att förhindra ett lyckat utnyttjande av alla kända offentliga och privata ATL-sårbarheter, inklusive de sårbarheter som kan leda till att ActiveX-säkerhetsfunktionen kringgås. Dessa skydd är utformade för att skydda kunder från webbaserade attacker.

Vägledning för hemanvändare: För att bättre skydda kunder medan utvecklare uppdaterar sina komponenter och kontroller har Microsoft utvecklat en ny djupskyddsteknik. Den här nya försvarsdjupa tekniken som är inbyggd i Internet Explorer med den nya uppdateringen hjälper till att skydda kunder från framtida attacker med hjälp av sårbarheter i Microsoft Active Template Library som beskrivs i den här rådgivnings- och Microsoft Security Bulletin MS09-035. Hemanvändare som registrerat sig för Automatisk Uppdateringar får den nya Internet Explorer-uppdateringen automatiskt och behöver inte vidta några ytterligare åtgärder. Hemanvändare skyddas automatiskt bättre från framtida attacker mot de sårbarheter som åtgärdas i den här säkerhetsrådgivningen och i Microsoft Security Bulletin MS09-035.

Minimera faktorer för kontroller och komponenter som skapats med hjälp av en sårbar version av Microsofts Active Template Library (ATL):

• Som standard ingår de flesta ActiveX-kontroller inte i standardlistan över tillåtna ActiveX-kontroller i Internet Explorer 7 eller Internet Explorer 8 som körs i Windows Vista eller senare operativsystem. Endast kunder som uttryckligen har godkänt sårbara kontroller med hjälp av ActiveX-opt-in-funktionen riskerar att försöka utnyttja den här sårbarheten. Men om en kund har använt sådana ActiveX-kontroller i en tidigare version av Internet Explorer och senare uppgraderats till Internet Explorer 7 eller Internet Explorer 8, aktiveras dessa ActiveX-kontroller för att fungera i Internet Explorer 7 och Internet Explorer 8, även om kunden inte uttryckligen har godkänt det med hjälp av ActiveX-opt-in-funktionen.
• Som standard erbjuder Internet Explorer 8 förbättrat skydd genom att aktivera DEP/NX-minnesskydd för användare i Windows XP Service Pack 3, Windows Vista Service Pack 1 och Windows Vista Service Pack 2 och Windows 7.
• Som standard körs Internet Explorer på Windows Server 2003 och Windows Server 2008 i ett begränsat läge som kallas Förbättrad säkerhetskonfiguration. Förbättrad säkerhetskonfiguration är en grupp förkonfigurerade inställningar i Internet Explorer som kan minska sannolikheten för att en användare eller administratör laddar ned och kör särskilt utformat webbinnehåll på en server. Det här är en förmildrande faktor för webbplatser som du inte har lagt till i zonen Betrodda webbplatser i Internet Explorer. Se även Hantera Förbättrad säkerhetskonfiguration i Internet Explorer.
• Som standard öppnar alla versioner av Microsoft Outlook och Microsoft Outlook Express HTML-e-postmeddelanden i zonen Begränsade webbplatser. Zonen Begränsade webbplatser hjälper till att minska attacker som kan försöka utnyttja den här sårbarheten genom att förhindra att Active Scripting- och ActiveX-kontroller används vid läsning av HTML-e-postmeddelanden. Men om en användare klickar på en länk i ett e-postmeddelande kan användaren fortfarande vara sårbar för utnyttjande av den här sårbarheten via det webbaserade attackscenariot.
• I ett webbaserat attackscenario kan en angripare vara värd för en webbplats som innehåller en webbsida som används för att utnyttja den här säkerhetsrisken. Dessutom kan komprometterade webbplatser och webbplatser som accepterar eller är värdar för innehåll eller annonser som tillhandahålls av användaren innehålla särskilt utformat innehåll som kan utnyttja den här sårbarheten. I samtliga fall skulle dock en angripare inte ha något sätt att tvinga användare att besöka dessa webbplatser. I stället skulle en angripare behöva övertala användare att besöka webbplatsen, vanligtvis genom att få dem att klicka på en länk i ett e-postmeddelande eller snabbmeddelande som tar användare till angriparens webbplats.
• En angripare som har utnyttjat den här säkerhetsrisken kan få samma användarrättigheter som den lokala användaren. Användare vars konton är konfigurerade för att ha färre användarrättigheter i systemet kan påverkas mindre än användare som arbetar med administrativa användarrättigheter.

Uppdateringar relaterade till ATL:

Uppdatering som släpptes den 13 oktober 2009

• Microsoft Security Bulletin MS09-060, "Vulnerabilities in Microsoft Active Template Library (ATL) ActiveX Controls for Microsoft Office Could Allow Remote Code Execution", ger stöd för Microsoft Office-komponenter som påverkas av DE ATL-sårbarheter som beskrivs i den här rekommendationen.

Uppdateringar släpptes den 25 augusti 2009

• Windows Live Messenger 14.0.8089 släpps för att åtgärda sårbarheter i Windows Live Messenger-klienten som är relaterade till de ATL-sårbarheter som beskrivs i den här rekommendationen.
• Ett avsnitt med vanliga frågor och svar om Windows Live-komponenter har lagts till i den här rekommendationen för att kommunicera borttagningen av funktionen Bifoga foto i Windows Live Hotmail och för att ge information om Windows Live Messenger 14.0.8089-versionen.

Uppdateringar släpptes den 11 augusti 2009

• Microsoft Security Bulletin MS09-037, "Vulnerabilities in Microsoft Active Template Library (ATL) Could Allow Remote Code Execution", ger stöd för Windows-komponenter som påverkas av de ATL-sårbarheter som beskrivs i den här rekommendationen.
• Microsoft Security Bulletin MS09-035, "Sårbarheter i Visual Studio Active Template Library Could Allow Remote Code Execution", återutlånas för att erbjuda nya uppdateringar för utvecklare som använder Visual Studio för att skapa komponenter och kontroller för mobila program med ATL för smarta enheter.

Uppdateringar släpptes den 28 juli 2009

• Microsoft Security Bulletin MS09-035, "Vulnerabilities in Visual Studio Active Template Library Could Allow Remote Code Execution", går in närmare på de specifika säkerhetsriskerna i ATL och tillhandahåller uppdaterade offentliga ATL-huvuden för leverantörer för att utveckla uppdaterade komponenter och kontroller. Vår undersökning har visat att det finns Komponenter och kontroller från Microsoft och tredje part som påverkas av det här problemet och att dessa komponenter och kontroller finns i alla versioner av Windows 2000 Service Pack 4, Windows XP, Windows Server 2003, Windows Vista och Windows Server 2008. Utvecklare som använde sårbara versioner av ATL när de byggde kontroller eller komponenter bör granska den här bulletinen och vidta omedelbara åtgärder om deras kontroller är sårbara.
• Microsoft Security Bulletin MS09-034, "Kumulativ säkerhetsuppdatering för Internet Explorer", innehåller en åtgärd som förhindrar att komponenter och kontroller som skapats med den sårbara ATL:n utnyttjas i Internet Explorer samt åtgärdar flera orelaterade säkerhetsrisker. Det nya skydd för djupskydd som erbjuds i MS09-034 omfattar uppdateringar av Internet Explorer 5.01, Internet Explorer 6 och Internet Explorer 6 Service Pack 1, Internet Explorer 7 och Internet Explorer 8. Dessa skydd på djupet övervakar och hjälper till att förhindra ett lyckat utnyttjande av alla kända offentliga och privata ATL-sårbarheter, inklusive de sårbarheter som kan leda till att ActiveX-säkerhetsfunktionen kringgås. Dessa skydd är utformade för att skydda kunder från webbaserade attacker.
• Vi känner inte till några metoder eller kontroller som ingår i Windows 7 som gör att attacker kan lyckas via Internet Explorer.

Uppdatering som släpptes den 14 juli 2009

• Microsoft Security Bulletin MS09-032, "Cumulative Security Update of ActiveX Kill Bits", tillhandahöll ActiveX-säkerhetsåtgärder (en kill bit) som hindrade msvidctl-kontrollen från att köras i Internet Explorer. Exploateringen i msvidcntl utnyttjade en säkerhetsrisk i den privata versionen av ATL. I den här specifika instansen gör säkerhetsrisken att en angripare kan skada minnet, vilket kan leda till en fjärrkörning av kod. Dödsbitarna som utfärdades i juniversionen för msvidctl (MS09-032) blockerar de offentliga kryphålen enligt beskrivningen här.

Allmän information

Översikt

Syfte med rådgivning: Den här rådgivningen släpptes för att ge kunderna ett första meddelande om den offentligt avslöjade sårbarheten. Mer information finns i avsnitten Workarounds, Mitigating Factors och Suggested Actions i den här säkerhetsrekommendationen.

Rådgivningsstatus: Rådgivning publicerad.

Rekommendation: Granska de föreslagna åtgärderna och konfigurera efter behov.

Referenser	Identifiering
CVE-referens	CVE-2009-0901 CVE-2009-2493\ CVE-2009-2495\ CVE-2008-0015\
Säkerhetsbulletin	MS09-035, "Sårbarheter i Visual Studio Active Template Library could Allow Remote Code Execution"\ \ MS09-034, "Cumulative Security Update for Internet Explorer"\ \ MS09-032, "Cumulative Security Update of ActiveX Kill Bits"
Microsoft Knowledge Base-artikel	MS09-035:\ Microsoft Knowledge Base Artikel 969706\ \ MS09-034:\ Microsoft Knowledge Base Artikel 972260\ \ MS09-032:\ Microsoft Knowledge Base artikel 973346

Den här rådgivningen beskriver följande programvara.

Programvara som påverkas
Microsoft Windows
Kontroller och komponenter som skapats med hjälp av sårbart aktivt mallbibliotek
Microsoft Live Services
Windows Live Messenger (versioner som är mindre än 14.0.8089)
Funktionen "Bifoga foto" i Windows Live Hotmail

Vanliga frågor och svar

Vad är omfattningen av rådgivningen?
Microsoft är medvetet om sårbarheter som påverkar komponenter och kontroller som skapats med offentliga och privata versioner av Active Template Library (ATL). Rådgivningen syftar till att göra användarna medvetna om uppdateringar som hjälper till att minska risken för sårbara kontroller och komponenter, ge vägledning och vägledning till utvecklare som har skapat kontroller och komponenter med hjälp av den sårbara ATL och till IT-proffs om hur man skyddar och installerar åtgärder i sin miljö.

Kommer Microsoft att släppa ytterligare säkerhetsuppdateringar relaterade till den här säkerhetsrådgivningen i framtiden?
Microsofts undersökning av de privata och offentliga huvuden i ATL pågår och vi kommer att släppa säkerhetsuppdateringar och vägledning efter behov som en del av undersökningsprocessen.

Var msvidctl-sårbarheten (MS09-032) relaterad till den här ATL-uppdateringen?
Ja, exploateringen i msvidctl utnyttjade en säkerhetsrisk i den privata versionen av ATL. I den här specifika instansen gör säkerhetsrisken att en angripare kan skada minnet, vilket kan leda till en fjärrkörning av kod. MS09-032, som tidigare utfärdades i 14 juli-versionen, blockerar kända attacker för msvidctl. Mer information om exploateringen i msvidctl finns https://blogs.technet.com/srd/archive/2009/07/06/new-vulnerability-in-mpeg2tunerequest-activex-control-object-in-msvidctl-dll.aspxi .

Kommer Internet Explorer-uppdateringen (ms09-034) också att skydda mot msvidctl-attacker?
Ja, Internet Explorer-åtgärder skyddar mot utnyttjande av kända sårbarheter i offentliga och privata versioner av ATL, inklusive msvidctl-attacker.

Vad är ATL?
Active Template Library (ATL) är en uppsättning mallbaserade C++-klasser som gör att du kan skapa små, snabba COM-objekt (Component Object Model). ATL har särskilt stöd för viktiga COM-funktioner, inklusive lagerimplementeringar, dubbla gränssnitt, STANDARD COM-uppräkningsgränssnitt, anslutningspunkter, avrivningsgränssnitt och ActiveX-kontroller. Mer information finns i MSDN-artikeln ATL.

Vad orsakar det här hotet i ATL?
Problemet orsakas i vissa fall av hur ATL används och i andra fall av själva ATL-koden. I dessa fall kan dataströmmar hanteras felaktigt, vilket kan leda till minnesskada, avslöjande av information och instansiering av objekt utan hänsyn till säkerhetsprinciper. Mer information om de sårbarheter som åtgärdas i ATL finns i MS09-035, "Sårbarheter i Visual Studio Active Template Library could Allow Remote Code Execution" (Sårbarheter i Visual Studio Active Template Library Could Allow Remote Code Execution).

Vilka är skillnaderna mellan de offentliga och privata versionerna av det aktiva mallbiblioteket?
Den privata versionen av Active Template Library används av Microsoft-utvecklare för att skapa kontroller och komponenter. Microsoft har uppdaterat alla versioner av det aktiva mallbiblioteket som används av våra utvecklare.

Den offentliga versionen av det aktiva mallbiblioteket distribueras till kunder via utvecklarverktyg, till exempel Microsoft Visual Studio. Microsoft tillhandahåller en uppdaterad version av vår offentliga ATL via Microsoft Security Bulletin MS09-035.

Kommer säkerhetsriskerna i ATL att kräva att Microsoft och tredjepartsutvecklare utfärdar säkerhetsuppdateringar?
Ja. Förutom de bulletinuppdateringar som beskrivs i den här rekommendationen utför Microsoft en omfattande undersökning av Microsofts kontroller och komponenter. När den här undersökningen är klar vidtar Microsoft lämpliga åtgärder för att skydda våra kunder. Detta kan innefatta att tillhandahålla en säkerhetsuppdatering via vår månatliga lanseringsprocess eller tillhandahålla en out-of-band-säkerhetsuppdatering, beroende på kundernas behov.

Microsoft ger också vägledning och kontaktar aktivt stora tredjepartsutvecklare för att hjälpa dem att identifiera sårbara kontroller och komponenter. Detta kan resultera i säkerhetsuppdateringar för kontroller och komponenter från tredje part.

Vanliga frågor och svar om Windows Live Services

Hur distribueras uppgraderingen till Windows Live Messenger?
När du loggar in på Windows Live Messenger-tjänsten uppmanas användare av Windows Live Messenger 8.1, Windows Live Messenger 8.5 och Windows Live Messenger 14.0 på versioner av Windows som stöds av klientdistributionsmekanismen i Windows Live Messenger-tjänsten att acceptera uppgraderingen till Windows Live Messenger 14.0.8089. Dessutom kan användare som vill ladda ned uppgraderingen till Windows Live Messenger 14.0.8089 omedelbart göra det med hjälp av Windows Live Download Center. Annars kan användare av sårbara versioner av Windows Live Messenger-klienter inte tillåtas ansluta till Windows Live Messenger-tjänsten.

Varför släpper Microsoft uppgraderingen till Windows Live Messenger via Windows Live Messenger-tjänsten och tillhandahåller nedladdningar?
Microsoft utfärdar för närvarande uppgraderingar för Windows Live Messenger-klienten med hjälp av Windows Live Messenger-tjänsten eftersom dessa onlinetjänster har en egen mekanism för klientdistribution. Microsoft Download Center-länkar är dock också tillgängliga för specifika Windows Live Messenger-klienter. Användare som vill ladda ned uppgraderingarna omedelbart kan göra det i Windows Live Download Center.

Om det här är en uppgradering, hur kan jag identifiera om jag har en sårbar version av Windows Live Messenger?
När du försöker logga in på Windows Live Messenger-tjänsten avgör klientdistributionsmekanismen automatiskt din aktuella klientversion och plattform och rekommenderar vid behov lämplig uppgradering. Du kan också verifiera din Windows Live Messenger-klientversion genom att klicka på Hjälp och sedan På.

Vad händer om jag inte uppgraderar till den senaste versionen av Windows Live Messenger?
Om du inte uppgraderar till en icke-påverkad version av Windows Live Messenger-klienten, beroende på din plattform, meddelas du att uppgradera på varje försök att logga in. Om du inte accepterar uppgraderingen kanske du inte får åtkomst till Windows Live Messenger-tjänsten.

Påverkas andra Microsoft Real-Time Collaboration-program, till exempel Windows Messenger eller Office Communicator, av den här sårbarheten?
Nej. Andra meddelandeprogram påverkas inte eftersom de inte innehåller den sårbara komponenten.

När tog Microsoft bort funktionen "Bifoga foto" i Windows Live Hotmail? Sammanföll det med lanseringen av en annan ny funktion?
Microsoft tog nyligen beslutet att ta bort funktionen på kort sikt för att åtgärda problemet. Den tillfälliga borttagningen av den här funktionen sammanföll inte med lanseringen av en annan funktion.

Vad är den senaste tidsplanen för att funktionen "Bifoga foto" ska återställas helt till alla Windows Live Hotmail-användare?
Microsoft arbetar aktivt för att åtgärda problemet. Under tiden kan du fortfarande lägga till bilder som bifogade filer i dina Hotmail-meddelanden genom att klicka på Bifoga och sedan välja den bild som du vill ta med.

Vanliga frågor och svar från utvecklare om Visual Studio Update

Vad orsakar det här hotet i ATL?
Problemet orsakas i vissa fall av hur ATL används och i andra fall av själva ATL-koden. I dessa fall kan dataströmmar hanteras felaktigt, vilket kan leda till minnesskada, avslöjande av information och instansiering av objekt utan hänsyn till säkerhetsprinciper. Mer information om de sårbarheter som åtgärdas i ATL finns i MS09-035, "Sårbarheter i Visual Studio Active Template Library could Allow Remote Code Execution" (Sårbarheter i Visual Studio Active Template Library Could Allow Remote Code Execution).

Vad kan en angripare använda den här säkerhetsrisken för att göra?
För kontroller och komponenter som skapats med ATL kan osäker användning av vissa makron möjliggöra instansiering av godtyckliga objekt som kan kringgå relaterade ActiveX-säkerhetsprinciper (dvs. döda bitar) i Internet Explorer. Dessutom kan komponenter och kontroller som skapats med hjälp av den sårbara versionen av ATL vara sårbara för fjärrkörning av kod eller informationsutlämnande hot. Om en användare är inloggad med administratörsbehörighet och har en sårbar kontroll över systemet kan en angripare ta fullständig kontroll över det berörda systemet. En angripare kan sedan installera program. visa, ändra eller ta bort data. eller skapa nya konton med fullständiga användarrättigheter. Användare vars konton är konfigurerade för att ha färre användarrättigheter i systemet kan påverkas mindre än användare som arbetar med administrativa användarrättigheter.

Jag är programutvecklare från tredje part och använder ATL i min komponent eller kontroll. Är min komponent eller kontroll sårbar, och i så fall hur uppdaterar jag den?
Komponenter och kontroller kan påverkas av det här problemet om vissa villkor uppfylls när komponenten eller kontrollen byggs. MS09-035 innehåller ytterligare information, exempel och vägledning som utvecklare från tredje part kan använda för att identifiera och korrigera sårbara komponenter och kontroller.

Vad gör säkerhetsuppdateringen för Visual Studio?
Dessa uppdateringar åtgärdar sårbarheter i Microsoft Active Template Library (ATL) som kan göra det möjligt för en fjärransluten, oautentiserad användare att köra godtycklig kod på ett berört system. Dessa sårbarheter orsakas i vissa fall av hur ATL används och i andra fall av själva ATL-koden. Eftersom dessa sårbarheter påverkar ATL kan komponenter eller kontroller som har utvecklats med ATL exponera kunder som använder de berörda kontrollerna och komponenterna för scenarier för fjärrkörning av kod.

Säkerhetsuppdateringen för Visual Studio uppdaterar den sårbara versionen av ATL som används av Visual Studio. På så sätt kan Visual Studio-användare ändra och återskapa sina kontroller och komponenter med hjälp av en uppdaterad version av ATL.

Vår undersökning har visat att både Microsoft och komponenter och kontroller från tredje part kan påverkas av det här problemet. Därför måste alla berörda leverantörer ändra och återskapa sina komponenter och kontroller med hjälp av den korrigerade ATL som anges i Microsoft Security Bulletin MS09-035.

Vanliga frågor och svar från IT-proffs om vad de kan göra för att skydda sig själva

Skyddar IE-uppdateringen MS09-034 mig från alla komponenter och kontroller som har byggts på den sårbara versionen av ATL?
För att bättre skydda kunder medan utvecklare uppdaterar sina komponenter och kontroller har Microsoft utvecklat en ny teknik för skydd på djupet. Den här nya försvarsdjupa tekniken som är inbyggd i Internet Explorer hjälper till att skydda kunder från framtida attacker med hjälp av säkerhetsrisker i Microsoft Active Template Library som beskrivs i den här rekommendationen och i Microsoft Security Bulletin MS09-035. Microsoft Security Bulletin MS09-034, "Kumulativ säkerhetsuppdatering för Internet Explorer", innehåller en åtgärd som förhindrar att komponenter och kontroller som skapats med den sårbara ATL:n utnyttjas i Internet Explorer samt åtgärdar flera orelaterade säkerhetsrisker.

Microsoft fortsätter att undersöka alla Microsoft-kontroller och komponenter och hjälper tredjepartsutvecklare att utvärdera sina kontroller och komponenter.

Vilken åtgärd kan it-tekniker vidta för att minska exponeringen för det här problemet?
Microsoft rekommenderar starkt att IT-proffs omedelbart distribuerar Internet Explorer Security Update som erbjuds i Microsoft Security Bulletin MS09-034, "Kumulativ säkerhetsuppdatering för Internet Explorer".

Vanliga frågor och svar om vad konsumenter kan göra för att skydda sig själva

Vilka åtgärder kan konsumenterna vidta för att minska exponeringen för det här problemet?
För att bättre skydda kunder medan utvecklare uppdaterar sina komponenter och kontroller har Microsoft utvecklat en ny teknik för skydd på djupet. Den här nya försvarsdjupa tekniken som är inbyggd i Internet Explorer hjälper till att skydda kunder från framtida attacker med hjälp av säkerhetsrisker i Microsoft Active Template Library som beskrivs i den här rekommendationen och i Microsoft Security Bulletin MS09-035. Microsoft rekommenderar starkt att konsumenter aktiverar automatisk uppdatering och omedelbart distribuerar Internet Explorer-säkerhetsuppdateringen som erbjuds i Microsoft Security Bulletin MS09-034, "Kumulativ säkerhetsuppdatering för Internet Explorer". Hemanvändare som får uppdateringar automatiskt får de åtgärder som tillhandahålls i den kumulativa IE-uppdateringen och andra säkerhetsuppdateringar relaterade till det här problemet och behöver inte vidta ytterligare åtgärder.

Microsoft uppmuntrar också hemanvändare att uppgradera till Internet Explorer 8 för att dra nytta av förbättrad säkerhet och skydd.

Vanliga frågor och svar om åtgärder i Internet Explorer Update

Vad orsakar det här hotet som kan tillåta förbikoppling av ActiveX-säkerhet?
ActiveX-kontroller som skapats med sårbara ATL-metoder kanske inte verifierar informationen korrekt. Detta kan resultera i en ActiveX-kontroll som gör att minnet skadas eller gör att en angripare kan använda en betrodd ActiveX-kontroll för att läsa in en obetrodd ActiveX-kontroll som tidigare hade blockerats från att köras i Internet Explorer.

Det nya skyddet för djupskydd som erbjuds i MS09-034 omfattar uppdateringar av Internet Explorer 5.01, Internet Explorer 6 och Internet Explorer 6 Service Pack 1, Internet Explorer 7 och Internet Explorer 8, som övervakar och förhindrar lyckat utnyttjande av alla kända offentliga och privata ATL-sårbarheter, inklusive de sårbarheter som kan leda till att funktionen för IE-dödande bit-säkerhet kringgås. Dessa skydd är utformade för att skydda kunder från webbaserade attacker.

Vad kan en angripare använda den här funktionen för att göra?
En angripare som har utnyttjat den här säkerhetsrisken i Windows Vista eller Windows 2008 skulle bara få rättigheter som begränsad användare på grund av skyddsläget i Internet Explorer. I andra Windows-system kan angriparen få samma användarrättigheter som den lokala användaren. Användare vars konton är konfigurerade för att ha färre användarrättigheter i systemet kan påverkas mindre än användare som arbetar med administrativa användarrättigheter.

Hur kan en angripare använda den här funktionen?
En angripare kan vara värd för en webbplats som är utformad för att vara värd för en särskilt utformad ActiveX-kontroll och sedan övertyga en användare att visa webbplatsen. Detta kan även omfatta komprometterade webbplatser och webbplatser som accepterar eller är värdar för innehåll eller annonser som tillhandahålls av användaren. I samtliga fall skulle dock en angripare inte ha något sätt att tvinga användare att besöka dessa webbplatser. I stället skulle en angripare behöva övertyga användarna att besöka webbplatsen, vanligtvis genom att få dem att klicka på en länk i ett e-postmeddelande eller i en snabbmeddelandebegäran som tar användare till angriparens webbplats.

Vad är en kill bit?
En säkerhetsfunktion i Microsoft Internet Explorer gör det möjligt att förhindra att en ActiveX-kontroll läses in av HTML-renderingsmotorn i Internet Explorer. Detta görs genom att göra en registerinställning och kallas "ange kill-biten". När avlivningsbiten har angetts kan kontrollen aldrig läsas in, även när den är helt installerad. Om du ställer in killbiten ser du till att även om en sårbar komponent introduceras eller introduceras på nytt i ett system, förblir den inert och ofarlig.

Mer information om döda bitar finns i Microsoft Knowledge Base-artikeln 240797: Så här stoppar du en ActiveX-kontroll från att köras i Internet Explorer. Mer detaljerad information om döda bitar och hur de fungerar i Internet Explorer finns i följande blogginlägg om säkerhetsforskning och försvar .

Vad gör uppdateringen?
Uppdateringen stärker ActiveX-säkerhetsmekanismen genom att tillhandahålla verifiering när osäkra metoder används av ActiveX-kontroller med hjälp av sårbara ATL-huvuden i specifika konfigurationer.

Ändrar den här uppdateringen funktioner?
Ja. Den här uppdateringen tillåter inte längre att vissa uppsättningar AV ATL-metoder körs i Internet Explorer. Uppdateringen minskar risken för att kringgå aktiv säkerhet genom att förhindra att betrodda ActiveX-kontroller läser in obetrott

Innehåller den här uppdateringen ytterligare programvaruändringar?
Ja. Den här uppdateringen innehåller även ytterligare säkerhetskorrigeringar och andra uppdateringar av Internet Explorer som en del av den kumulativa uppdateringen för Internet Explorer.

Hanterar den här uppdateringen alla osäkra ActiveX-kontrollscenarier?
Nej. Den här uppdateringen tar specifikt upp osäkra/ej betrodda ActiveX-kontroller som kan vara sårbara för DE ATL-problem som beskrivs i den här rekommendationen för att skydda kunder från angrepp när de surfar på Internet.

Microsoft fortsätter att undersöka det här problemet. När den här undersökningen är klar vidtar Microsoft lämpliga åtgärder för att skydda våra kunder. Detta kan innefatta att tillhandahålla en säkerhetsuppdatering via vår månatliga lanseringsprocess eller tillhandahålla en out-of-band-säkerhetsuppdatering, beroende på kundernas behov.

Hur skyddar skyddat läge i Internet Explorer 7 och Internet Explorer 8 i Windows Vista och senare mig från den här sårbarheten?
Internet Explorer 7 och Internet Explorer 8 i Windows Vista och senare operativsystem körs som standard i skyddat läge i zonen Internetsäkerhet. Skyddat läge minskar avsevärt en angripares möjlighet att skriva, ändra eller förstöra data på användarens dator eller att installera skadlig kod. Detta görs med hjälp av integritetsmekanismerna i Windows Vista och senare, vilket begränsar åtkomsten till processer, filer och registernycklar med högre integritetsnivåer.

Vad är datakörningsskydd (DEP)?
Datakörningsskydd (DEP) är aktiverat som standard i Internet Explorer 8. DEP är utformat för att hjälpa till att stoppa attacker genom att förhindra att kod körs i minnet som är markerad som icke-körbar. Mer information om DEP i Internet Explorer finns i följande inlägg: https://blogs.msdn.com/ie/archive/2008/04/08/ie8-security-part-I_3A00_-dep-nx-memory-protection.aspx.

Föreslagna åtgärder

• Läs artikeln om Microsoft Knowledge Base som är associerad med den här rådgivningen

  Kunder som är intresserade av att lära sig mer om ATL-problemen bör läsa microsofts kunskapsbasartikel 973882.

• Tillämpa uppdateringarna som är associerade med säkerhetsbulletinerna MS09-034 och MS09-035

  Kunder med berörda system kan ladda ned uppdateringarna från Microsoft Knowledge Base-artikeln 969706 och från Microsoft Knowledge Base artikel 972260. Internet Explorer-uppdateringen innehåller nya åtgärder som förhindrar instansiering av sårbara ActiveX-kontroller i Internet Explorer 7 och 8. Med Visual Studio-uppdateringen kan utvecklare skapa ActiveX-kontroller som inte påverkas av dessa sårbarheter.

• Skydda datorn

  Vi fortsätter att uppmuntra kunderna att följa vår vägledning om att skydda din dator för att aktivera en brandvägg, hämta programuppdateringar och installera antivirusprogram. Kunder kan lära sig mer om de här stegen genom att besöka Skydda din dator.

• Mer information om hur du håller dig säker på Internet finns i Microsoft Security Central.

• Håll Windows uppdaterat

  Alla Windows-användare bör använda de senaste Säkerhetsuppdateringarna från Microsoft för att se till att deras datorer är så skyddade som möjligt. Om du inte är säker på om programvaran är uppdaterad går du till Windows Update, söker igenom datorn efter tillgängliga uppdateringar och installerar eventuella uppdateringar med hög prioritet som erbjuds dig. Om du har automatisk Uppdateringar aktiverad levereras uppdateringarna till dig när de släpps, men du måste se till att du installerar dem.

Provisoriska lösningar

Microsoft har testat följande lösningar. Även om de här lösningarna inte korrigerar den underliggande säkerhetsrisken, hjälper de till att blockera kända attackvektorer. När en lösning minskar funktionaliteten identifieras den i följande avsnitt.

Ange inställningar för Internet- och lokala intranätsäkerhetszoner till "Hög" för att fråga innan du kör ActiveX-kontroller och Active Scripting i dessa zoner

Du kan skydda dig mot den här säkerhetsrisken genom att ändra inställningarna för Internetsäkerhetszonen så att du uppmanas innan du kör ActiveX-kontroller och Active Scripting. Du kan göra detta genom att ställa in webbläsarens säkerhet på Hög.

Följ dessa steg för att höja surfsäkerhetsnivån i Microsoft Internet Explorer:

1. Klicka på Internetalternativ på menyn Verktyg i Internet Explorer.
2. I dialogrutan Internetalternativ klickar du på fliken Säkerhet och klickar sedan på Internetikonen.
3. Under Säkerhetsnivå för den här zonen flyttar du skjutreglaget till Hög. Detta anger säkerhetsnivån för alla webbplatser som du besöker på Hög.

Obs! Om inget skjutreglage visas klickar du på Standardnivå och flyttar sedan skjutreglaget till Hög.

Obs! Om du ställer in nivån på Hög kan vissa webbplatser fungera felaktigt. Om du har problem med att använda en webbplats när du har ändrat den här inställningen, och du är säker på att webbplatsen är säker att använda, kan du lägga till webbplatsen i listan över betrodda webbplatser. På så sätt kan webbplatsen fungera korrekt även med säkerhetsinställningen inställd på Hög.

Lösningspåverkan: Det finns biverkningar när du frågar innan du kör ActiveX-kontroller och Active Scripting. Många webbplatser som finns på Internet eller i ett intranät använder ActiveX eller Active Scripting för att tillhandahålla ytterligare funktioner. En e-handelswebbplats eller en bankwebbplats online kan till exempel använda ActiveX-kontroller för att tillhandahålla menyer, beställningsformulär eller till och med kontoutdrag. Att fråga innan du kör ActiveX-kontroller eller Active Scripting är en global inställning som påverkar alla Internet- och intranätplatser. Du uppmanas ofta när du aktiverar den här lösningen. Om du känner att du litar på den webbplats som du besöker klickar du på Ja för att köra ActiveX-kontroller eller Active Scripting. Om du inte vill bli tillfrågad om alla dessa webbplatser använder du stegen som beskrivs i "Lägg till webbplatser som du litar på i zonen Betrodda webbplatser i Internet Explorer".

Lägg till webbplatser som du litar på i zonen Betrodda webbplatser i Internet Explorer

När du har angett Att Internet Explorer ska kräva en uppmaning innan ActiveX-kontroller och Active Scripting körs i zonen Internet och i zonen Lokalt intranät kan du lägga till webbplatser som du litar på i zonen Betrodda webbplatser i Internet Explorer. På så sätt kan du fortsätta att använda betrodda webbplatser precis som du gör i dag, samtidigt som du skyddar dig från den här attacken på ej betrodda webbplatser. Vi rekommenderar att du bara lägger till webbplatser som du litar på i zonen Betrodda platser.

Följ dessa steg för att åstadkomma detta:

1. I Internet Explorer klickar du på Verktyg, på Internetalternativ och sedan på fliken Säkerhet.
2. I rutan Välj en webbinnehållszon för att ange dess aktuella säkerhetsinställningar klickar du på Betrodda webbplatser och klickar sedan på Webbplatser.
3. Om du vill lägga till webbplatser som inte kräver en krypterad kanal klickar du för att avmarkera kryssrutan Kräv serververifiering (https:) för alla platser i den här zonen .
4. I rutan Lägg till den här webbplatsen i zonen skriver du URL:en för en webbplats som du litar på och klickar sedan på Lägg till.
5. Upprepa de här stegen för varje plats som du vill lägga till i zonen.
6. Klicka på OK två gånger för att acceptera ändringarna och återgå till Internet Explorer.

Lägg till webbplatser som du litar på för att inte vidta skadliga åtgärder på datorn. Två som du kanske vill lägga till är *.windowsupdate.microsoft.com och *.update.microsoft.com. Det här är de platser som ska vara värd för uppdateringen och det krävs en ActiveX-kontroll för att installera uppdateringen.

Konfigurera Internet Explorer för att fråga innan du kör active scripting eller för att inaktivera active scripting i säkerhetszonen Internet och lokalt intranät

Du kan skydda dig mot den här säkerhetsrisken genom att ändra inställningarna för Internet Explorer för att fråga innan du kör Active Scripting eller för att inaktivera Active Scripting i säkerhetszonen Internet och lokalt intranät. Följ stegen nedan:

1. I Internet Explorer klickar du på Internetalternativ på menyn Verktyg .
2. Klicka på den säkerhet fliken.
3. Klicka på Internet och sedan på Anpassad nivå.
4. Under Inställningar går du till avsnittet Skript under Aktivt skript, klickar på Frågaeller Inaktivera och klickar sedan på OK.
5. Klicka på Lokalt intranät och sedan på Anpassad nivå.
6. Under Inställningar går du till avsnittet Skript under Aktivt skript, klickar på Frågaeller Inaktivera och klickar sedan på OK.
7. Klicka på OK två gånger för att återgå till Internet Explorer.

Obs! Om du inaktiverar active scripting i säkerhetszonerna Internet och lokalt intranät kan vissa webbplatser fungera felaktigt. Om du har problem med att använda en webbplats när du har ändrat den här inställningen, och du är säker på att webbplatsen är säker att använda, kan du lägga till webbplatsen i listan över betrodda webbplatser. På så sätt kan webbplatsen fungera korrekt.

Lösningspåverkan: Det finns biverkningar när du frågar innan du kör Active Scripting. Många webbplatser som finns på Internet eller i ett intranät använder Active Scripting för att tillhandahålla ytterligare funktioner. En e-handelswebbplats eller en bankwebbplats online kan till exempel använda Active Scripting för att tillhandahålla menyer, beställningsformulär eller till och med kontoutdrag. Att fråga innan du kör Active Scripting är en global inställning som påverkar alla Internet- och intranätplatser. Du uppmanas ofta när du aktiverar den här lösningen. Om du känner att du litar på den webbplats som du besöker för varje fråga klickar du på Ja för att köra Active Scripting. Om du inte vill bli tillfrågad om alla dessa webbplatser använder du stegen som beskrivs i "Lägg till webbplatser som du litar på i zonen Betrodda webbplatser i Internet Explorer".

Lägg till webbplatser som du litar på i zonen Betrodda webbplatser i Internet Explorer

När du har angett Att Internet Explorer ska kräva en uppmaning innan ActiveX-kontroller och Active Scripting körs i zonen Internet och i zonen Lokalt intranät kan du lägga till webbplatser som du litar på i zonen Betrodda webbplatser i Internet Explorer. På så sätt kan du fortsätta att använda betrodda webbplatser precis som du gör i dag, samtidigt som du skyddar dig från den här attacken på ej betrodda webbplatser. Vi rekommenderar att du bara lägger till webbplatser som du litar på i zonen Betrodda platser.

Följ dessa steg för att åstadkomma detta:

1. I Internet Explorer klickar du på Verktyg, på Internetalternativ och sedan på fliken Säkerhet.
2. I rutan Välj en webbinnehållszon för att ange dess aktuella säkerhetsinställningar klickar du på Betrodda webbplatser och klickar sedan på Webbplatser.
3. Om du vill lägga till webbplatser som inte kräver en krypterad kanal klickar du för att avmarkera kryssrutan Kräv serververifiering (https:) för alla platser i den här zonen .
4. I rutan Lägg till den här webbplatsen i zonen skriver du URL:en för en webbplats som du litar på och klickar sedan på Lägg till.
5. Upprepa de här stegen för varje plats som du vill lägga till i zonen.
6. Klicka på OK två gånger för att acceptera ändringarna och återgå till Internet Explorer.

Lägg till webbplatser som du litar på för att inte vidta skadliga åtgärder på datorn. Två som du kanske vill lägga till är *.windowsupdate.microsoft.com och *.update.microsoft.com. Det här är de platser som ska vara värd för uppdateringen och det krävs en ActiveX-kontroll för att installera uppdateringen.

Övrig information

Resurser:

• Du kan ge feedback genom att fylla i formuläret genom att besöka Microsofts hjälp och support: Kontakta oss.
• Kunder i USA och Kanada kan få teknisk support från säkerhetssupporten. Mer information om tillgängliga supportalternativ finns i Microsofts hjälp och support.
• Internationella kunder kan få support från sina lokala Microsoft-dotterbolag. Mer information om hur du kontaktar Microsoft för internationella supportärende finns i Internationell support.
• Microsoft TechNet Security innehåller ytterligare information om säkerhet i Microsoft-produkter.

Friskrivning:

Informationen som tillhandahålls i denna rekommendation tillhandahålls "som den är" utan garanti av något slag. Microsoft frånsäger sig alla garantier, antingen uttryckliga eller underförstådda, inklusive garantier för säljbarhet och lämplighet för ett visst syfte. Under inga omständigheter ska Microsoft Corporation eller dess leverantörer vara ansvariga för eventuella skador, inklusive direkta, indirekta, tillfälliga, följdskador, förlust av företagsvinster eller särskilda skador, även om Microsoft Corporation eller dess leverantörer har informerats om risken för sådana skador. Vissa stater tillåter inte undantag eller begränsning av ansvar för följdskador eller oförutsedda skador, så den föregående begränsningen kanske inte gäller.

Revideringar:

• V1.0 (28 juli 2009): Rådgivning publicerad.
• V2.0 (11 augusti 2009): Rekommendationen ändrades för att lägga till poster i Uppdateringar relaterade till ATL-avsnittet för att kommunicera versionen av Microsoft Security Bulletin MS09-037, "Sårbarheter i Microsoft Active Template Library (ATL) kan tillåta fjärrkodkörning" och återaktivering av Microsoft Security Bulletin MS09-035, "Sårbarheter i Visual Studio Active Template Library kan tillåta fjärrkodkörning, " för att erbjuda ytterligare uppdateringar.
• V3.0 (25 augusti 2009): Rådgivning reviderad för att ge information om Windows Live Messenger 14.0.8089-versionen och för att kommunicera borttagningen av Windows Live Hotmail "Attach Photo"-funktionen.
• V4.0 (13 oktober 2009): Rekommendationen ändrades för att lägga till en post i Uppdateringar relaterade till ATL-avsnittet för att kommunicera versionen av Microsoft Security Bulletin MS09-060, "Sårbarheter i Microsoft Active Template Library (ATL) ActiveX-kontroller för Microsoft Office kan tillåta fjärrkodkörning."

Byggd 2014-04-18T13:49:36Z-07:00