Microsoft-beveiligingsbulletin MS09-043 - Kritiek: Door beveiligingslekken in Microsoft Office Web Components kan externe code worden uitgevoerd (957638)

Samenvatting

Met deze beveiligingsupdate worden diverse privé gemelde beveiligingslekken in Microsoft Office Web Components opgelost waardoor externe code kan worden uitgevoerd als een gebruiker een speciaal vervaardigde webpagina opent. Een aanvaller die erin slaagt misbruik te maken van deze beveiligingslekken, kan dezelfde rechten over het systeem krijgen als de lokale gebruiker. Gebruikers met accounts waarvoor minder gebruikersrechten op het systeem zijn ingesteld, lopen minder risico dan gebruikers die met beheerdersrechten werken.

Het prioriteitsniveau van dit bulletin is Kritiek voor alle ondersteunde edities van Microsoft Office XP, Microsoft Office 2003, Microsoft Office 2000 Web Components, Microsoft Office XP Web Components, Microsoft Office 2003 Web Components, Microsoft Office 2003 Web Components voor het 2007 Microsoft Office-systeem, Microsoft Internet Security and Acceleration Server 2004 Standard Edition, Microsoft Internet Security and Acceleration Server 2004 Enterprise Edition, Microsoft Internet Security and Acceleration Server 2006, Microsoft BizTalk Server 2002, Microsoft Visual Studio .NET 2002, Microsoft Visual Studio .NET 2003 en Microsoft Office Small Business Accounting 2006. Zie de subsectie Software waarin dit probleem optreedt en software waarin dit probleem niet optreedt in deze paragraaf voor meer informatie.

De beveiligingsupdate lost de beveiligingslekken op door correcte afhandeling van geheugentoewijzing wanneer het ActiveX-besturingselement in Internet Explorer wordt gebruikt, met verbeterde verificatielogica voor methoden van ActiveX-besturingselementen voor Office Web Components en door uitvoering van extra parameterverificatie. Zie de subsectie Veelgestelde vragen over het specifieke beveiligingslek in de volgende sectie, Informatie over het beveiligingslek, voor meer informatie over de beveiligingslekken.

Deze beveiligingsupdate lost ook het eerder beschreven beveiligingslek in Microsoft-beveiligingsadvies 973472 op. De beveiligingsupdates behandeld in dit bulletin hebben geen betrekking op de beveiligingslekken beschreven in Microsoft-beveiligingsadvies 973882.

Aanbeveling. Microsoft raadt klanten aan de update onmiddellijk toe te passen.

Bekende problemen. In Microsoft Knowledge Base-artikel 957638 worden bekende problemen beschreven die klanten mogelijk ondervinden bij de installatie van deze beveiligingsupdate. In het artikel worden ook de aanbevolen oplossingen voor deze problemen toegelicht. Wanneer bekende problemen en aanbevolen oplossingen alleen betrekking hebben op specifieke versies van deze software, vindt u in dit artikel koppelingen naar andere artikelen.

Top of section

Software waarin dit probleem optreedt en software waarin dit probleem niet optreedt

De volgende software is getest om te bepalen in welke versies of edities dit probleem optreedt. Andere versies of edities hebben het einde van hun ondersteuningscyclus bereikt of hebben geen last van dit beveiligingslek. Ga naar Microsoft Support Lifecycle om de ondersteuningscyclus voor uw product en versie te bepalen.

Software waarin dit probleem optreedt

Office Suite en andere software	Maximale omvang van het beveiligingslek	Prioriteitsniveau	Bulletins die door deze update worden vervangen
Microsoft Office-suites
Microsoft Office XP Service Pack 3 (KB947320)	Uitvoering van externe code mogelijk	Kritiek	MS08-017
Microsoft Office 2003 Service Pack 3 (KB947319)	Uitvoering van externe code mogelijk	Kritiek	Geen
Microsoft Office Web Components.
Microsoft Office 2000 Web Components Service Pack 3 (KB947320)	Uitvoering van externe code mogelijk	Kritiek	MS08-017
Microsoft Office XP Web Components Service Pack 3 (KB947320)	Uitvoering van externe code mogelijk	Kritiek	MS08-017
Microsoft Office 2003 Web Components Service Pack 3 (KB947319)	Uitvoering van externe code mogelijk	Kritiek	Geen
Microsoft Office 2003 Web Components Service Pack 1 voor het 2007 Microsoft Office-systeem** (KB947318)	Uitvoering van externe code mogelijk	Kritiek	Geen
Microsoft Internet Security and Acceleration Server
Microsoft Internet Security and Acceleration Server 2004 Standard Edition Service Pack 3* (KB947826)	Uitvoering van externe code mogelijk	Kritiek	Geen
Microsoft Internet Security and Acceleration Server 2004 Enterprise Edition Service Pack 3 (KB947826)	Uitvoering van externe code mogelijk	Kritiek	Geen
Microsoft Internet Security and Acceleration Server 2006 Standard Edition Service Pack 1 (KB947826)	Uitvoering van externe code mogelijk	Kritiek	Geen
Microsoft Internet Security and Acceleration Server 2006 Enterprise Edition Service Pack 1 (KB947826)	Uitvoering van externe code mogelijk	Kritiek	Geen
Overige Microsoft-software
Microsoft BizTalk Server 2002 (KB971388)	Uitvoering van externe code mogelijk	Kritiek	MS08-017
Microsoft Visual Studio .NET 2003 Service Pack 1 (KB969172)	Uitvoering van externe code mogelijk	Kritiek	MS08-017
Microsoft Office Small Business Accounting 2006 (KB968377)	Uitvoering van externe code mogelijk	Kritiek	Geen

**Microsoft ISA Server 2004 Standard Edition wordt als een zelfstandig product geleverd. Microsoft ISA Server 2004 Standard Edition wordt ook als onderdeel van Windows Small Business Server 2003 Premium Edition Service Pack 1 en Windows Small Business Server 2003 R2 Premium Edition geleverd.

**SQL Server 2008 en Microsoft Forefront Threat Management Gateway Medium Business Edition distribueert opnieuw het getroffen onderdeel Office 2003 Web Components voor het 2007 Microsoft Office-systeem. De update voor het onderdeel Office 2003 Web Components voor het 2007 Microsoft Office-systeem controleert op SQL Server 2008 en Microsoft Forefront Threat Management Gateway Medium Business Edition en biedt de update aan klanten aan.

Software waarin dit probleem niet optreedt

Office en overige software
2007 Microsoft Office Suite Service Pack 1 en 2007 Microsoft Office Suite Service Pack 2
Microsoft Office 2004 voor Mac
Microsoft Office 2008 voor Mac
Microsoft Office PowerPoint Viewer 2003
Microsoft Office Word Viewer 2003
Microsoft Office Word Viewer 2003 Service Pack 3
Microsoft Office Excel Viewer 2003
Microsoft Office Excel Viewer 2003 Service Pack 3
Microsoft Office Excel Viewer
Microsoft Office PowerPoint 2007 Viewer
Microsoft Office PowerPoint Viewer 2007 Service Pack 1
Microsoft Office-compatibiliteitspakket voor de bestandsindelingen van Word, Excel en PowerPoint 2007 en Microsoft Office-compatibiliteitspakket voor de bestandsindelingen van Word, Excel en PowerPoint 2007 Service Pack 2
Microsoft Internet Security and Acceleration Server 2000 Service Pack 2*
Microsoft BizTalk Server 2004
Microsoft BizTalk Server 2006
Microsoft BizTalk Server 2009
Microsoft Visual Studio 2005
Microsoft Visual Studio 2005 Service Pack 1
Microsoft Visual Studio 2008
Microsoft Visual Studio 2008 Service Pack 1
Microsoft Visual Studio 2010

*Microsoft Internet Security and Acceleration Server 2000 Service Pack 2 heeft dit beveiligingslek niet omdat bij de vorige OWC release, MS08-017, de kill-bit al is ingesteld waarmee dit misbruik werd voorkomen.

Top of section

Veelgestelde vragen met betrekking tot deze beveiligingsupdate

Waarom is dit bulletin op 27 oktober 2009 opnieuw uitgebracht?
Microsoft heeft dit bulletin opnieuw uitgebracht om de update voor Microsoft Office 2003 Service Pack 3 en Microsoft Office 2003 Web Components Service Pack 3 opnieuw aan te bieden om een detectieprobleem op te lossen dat optreedt wanneer Microsoft Office Access Runtime 2003 is geïnstalleerd. Dit is alleen een detectieverandering. Er zijn geen binaire bestanden gewijzigd. Klanten die hun systemen al hebben bijgewerkt, hoeven deze update niet opnieuw te installeren.

Hoe weet ik welke versies van OWC nog worden ondersteund en met welke versies van Office ze worden geleverd?
Er zijn drie versies van Office Web Components:

•	Office 2000 Web Components
•	Office XP Web Components
•	Office 2003 Web Components

Alle versies zijn uitgebracht als download en op de cd's van de bijbehorende versie van Microsoft Office. Bovendien zijn alle versies samen opnieuw uitgebracht in de volgende versie van Office. Daarom staat er een versie van Office 2000 Web Components op de Office XP-cd's en een versie van Office XP Web Components op de Office 2003-cd's. De Office 2003 Web Components zijn niet uitgebracht op Office 2007-cd's. Wel zijn ze opnieuw uitgebracht op het Internet en opgenomen in Microsoft Office Project Server 2007. Deze heruitgaven hebben dezelfde naam en functionaliteit als de oorspronkelijke uitgave, maar om technische redenen worden ze met het oog op patches beschouwd als afzonderlijke producten.

Alle versies van OWC, inclusief de heruitgaven, worden ondersteund naar de versie van Office waarmee de versie werd geleverd. Daarom werd de ondersteuning van de versie van Office 2000 Web Components die werd geleverd bij Office 2000 uitgebreid totdat de uitgebreide ondersteuning voor Office 2000 op 14 juli 2009 werd gestaakt. De ondersteuning voor de versie van Office 2000 Web Components die werd geleverd bij Office XP wordt echter uitgebreid totdat de uitgebreide ondersteuning voor Office XP op 12 juli 2011 wordt gestaakt. Dezelfde regel is van toepassing op de overige versies van OWC. In de volgende tabel kunt u zien hoe alle verschillende versies van OWC zijn uitgebracht en tot wanneer ze worden ondersteund:

OWC-versie	Uitgebracht	Algemene ondersteuning eindigt op	Uitgebreide ondersteuning eindigt op
OWC 2000 (Office 2000-versie)	Office 2000-cd, Web	Algemene ondersteuning beëindigd.	Uitgebreide ondersteuning beëindigd.
OWC 2000 (Office XP-versie)	Office XP-cd	Algemene ondersteuning beëindigd.	7/12/2011
OWC XP (Office XP-versie)	Office XP-cd, Web	Algemene ondersteuning beëindigd.	7/12/2011
OWC XP (Office 2003-versie)	Office 2003-cd	Algemene ondersteuning beëindigd.	4/8/2014
OWC 2003 (Office 2003-versie)	Office 2003-cd, Web (versies 1-3)	Algemene ondersteuning beëindigd.	4/8/2014
OWC 2003 (2007 Office-systeemversies)	Project Server 2007-cd, Web (versie 4)	4/10/2012	4/11/2017

Meer informatie over de ondersteuningscyclus van Microsoft Office-producten vindt u op de website Office-producten bij Microsoft Help en ondersteuning.

Waar is de informatie over de bestandsgegevens?
Zie de referentietabellen in de sectie Implementatie van de beveiligingsupdate voor de details van de bestandsgegevens.

Op welke manier verhelpt deze update een aantal gerapporteerde beveiligingslekken?
Deze update biedt hulp bij diverse beveiligingslekken omdat een aantal wijzigingen dat nodig is om de gesignaleerde problemen op te lossen, in de bijbehorende bestanden is opgenomen. Klanten hoeven op deze manier niet allerlei gelijksoortige updates te installeren, maar kunnen volstaan met deze ene update

Bevat deze update andere functionaliteitswijzigingen met betrekking tot beveiliging?
Bij kwetsbare versies van ISA Server wordt met de update de kill-bit ingesteld voor alle OWC CLSID's om bekende aanvalsvectoren binnen Internet Explorer te blokkeren. Deze actie is niet van invloed op de functionaliteit van ISA Server.

Ik gebruik een oudere versie van de software die staat beschreven in dit beveiligingsbulletin. Wat moet ik doen?
De software waarin het probleem optreedt en die in dit beveiligingsbulletin wordt vermeld, is getest om te controleren of het probleem bij deze versies optreedt. Andere versies hebben het einde van hun ondersteuningscyclus bereikt. Ga naar Microsoft Support Lifecycle om de ondersteuningscyclus voor uw softwareversie te bepalen.

Klanten die met deze besturingssysteemversies werken, kunnen er het beste voor kiezen om binnenkort te migreren naar versies waarvoor wel ondersteuning wordt aangeboden om te voorkomen dat potentiële beveiligingslekken een probleem vormen. Ga naar Microsoft Support Lifecycle voor meer informatie over de levenscyclus van Windows-producten. Ga naar Microsoft Product Support Services voor meer informatie over de ondersteuningsperiode door beveiligingsupdates voor deze softwareversies of -edities.

Klanten die aangepaste ondersteuning voor deze versies nodig hebben, dienen voor aangepaste ondersteuningsopties contact op te nemen met hun Microsoft-accountteamvertegenwoordiger, hun technisch accountmanager of de aangewezen vertegenwoordiger van hun Microsoft-partner. Klanten zonder Alliance-, Premier- of Authorized-contract kunnen contact opnemen met het Microsoft-verkoopkantoor in hun land. Ga voor informatie over hoe u contact met hen kunt opnemen naar Microsoft Worldwide Information, selecteer het land en klik vervolgens op Go om een lijst met telefoonnummers weer te geven. Wanneer u belt, vraag dan naar de Premier Support-verkoopmanager. Raadpleeg de Windows Operating System Product Support Lifecycle FAQ voor meer informatie.

Top of section

Prioriteitsniveau en identificatie van het beveiligingslek

Bij de volgende prioriteitsniveaus is uitgegaan van de potentiële maximale uitwerking van het beveiligingslek. Raadpleeg binnen 30 dagen na het uitbrengen van dit beveiligingsbulletin de misbruikindex in de samenvatting van de bulletins voor augustus voor informatie over de waarschijnlijkheid van misbruik van dit beveiligingslek in samenhang met het prioriteitsniveau en de maximale omvang van het lek. Zie voor meer informatie de exploitatie-index van Microsoft.

Prioriteitsniveau van het beveiligingslek en maximale omvang van het beveiligingslek voor de software waarin dit probleem optreedt
Software waarin het probleem optreedt	Beveiligingslek met betrekking tot geheugentoewijzing in Office Web Components - CVE-2009-0562	Beveiligingslek met betrekking tot heap-corruptie in Office Web Components - CVE-2009-2496	Beveiligingslek met betrekking tot HTML-script in Office Web Components - CVE-2009-1136	Beveiligingslek door een bufferoverloop in Office Web Components - CVE-2009-1534	Prioriteitsniveau
Microsoft Office-suites
Microsoft Office XP Service Pack 3	Kritiek Uitvoering van externe code mogelijk	Kritiek Uitvoering van externe code mogelijk	Kritiek Uitvoering van externe code mogelijk	Kritiek Uitvoering van externe code mogelijk	Kritiek
Microsoft Office 2003 Service Pack 3	Kritiek Uitvoering van externe code mogelijk	Kritiek Uitvoering van externe code mogelijk	Kritiek Uitvoering van externe code mogelijk	Niet van toepassing	Kritiek
Microsoft Office Web Components.
Microsoft Office 2000 Web Components Service Pack 3	Niet van toepassing	Niet van toepassing	Niet van toepassing	Kritiek Uitvoering van externe code mogelijk	Kritiek
Microsoft Office XP Web Components Service Pack 3	Kritiek Uitvoering van externe code mogelijk	Kritiek Uitvoering van externe code mogelijk	Kritiek Uitvoering van externe code mogelijk	Kritiek Uitvoering van externe code mogelijk	Kritiek
Microsoft Office 2003 Web Components Service Pack 3	Kritiek Uitvoering van externe code mogelijk	Kritiek Uitvoering van externe code mogelijk	Kritiek Uitvoering van externe code mogelijk	Niet van toepassing	Kritiek
Microsoft Office 2003 Web Components Service Pack 1 voor Microsoft Office 2007	Kritiek Uitvoering van externe code mogelijk	Kritiek Uitvoering van externe code mogelijk	Kritiek Uitvoering van externe code mogelijk	Niet van toepassing	Kritiek
Microsoft Internet Security and Acceleration Server
Microsoft Internet Security and Acceleration Server 2004 Standard Edition Service Pack 3	Kritiek Uitvoering van externe code mogelijk	Kritiek Uitvoering van externe code mogelijk	Kritiek Uitvoering van externe code mogelijk	Niet van toepassing	Kritiek
Microsoft Internet Security and Acceleration Server 2004 Enterprise Edition Service Pack 3	Kritiek Uitvoering van externe code mogelijk	Kritiek Uitvoering van externe code mogelijk	Kritiek Uitvoering van externe code mogelijk	Niet van toepassing	Kritiek
Microsoft Internet Security and Acceleration Server 2006 Standard Edition Service Pack 1	Kritiek Uitvoering van externe code mogelijk	Kritiek Uitvoering van externe code mogelijk	Kritiek Uitvoering van externe code mogelijk	Niet van toepassing	Kritiek
Microsoft Internet Security and Acceleration Server 2006 Enterprise Edition Service Pack 1	Kritiek Uitvoering van externe code mogelijk	Kritiek Uitvoering van externe code mogelijk	Kritiek Uitvoering van externe code mogelijk	Niet van toepassing	Kritiek
Overige Microsoft-software
Microsoft BizTalk Server 2002	Niet van toepassing	Niet van toepassing	Niet van toepassing	Kritiek Uitvoering van externe code mogelijk	Kritiek
Microsoft Visual Studio .NET 2003 Service Pack 1	Niet van toepassing	Niet van toepassing	Niet van toepassing	Kritiek Uitvoering van externe code mogelijk	Kritiek
Microsoft Office Small Business Accounting 2006	Kritiek Uitvoering van externe code mogelijk	Kritiek Uitvoering van externe code mogelijk	Kritiek Uitvoering van externe code mogelijk	Niet van toepassing	Kritiek

Top of section

Beveiligingslek met betrekking tot geheugentoewijzing in Office Web Components - CVE-2009-0562

Er bestaat een beveiligingslek in het ActiveX-besturingselement voor Office Web Components, dat kan leiden tot het uitvoeren van externe code. Een aanvaller kan het beveiligingslek misbruiken door een speciaal ontworpen webpagina te maken. Als een gebruiker die webpagina bekijkt, kan via het beveiligingslek code vanaf een externe locatie worden uitgevoerd. Een aanvaller die erin slaagt misbruik te maken van dit beveiligingslek, kan dezelfde rechten over het systeem krijgen als de lokale gebruiker.

Zie CVE 2009-0562 als u dit beveiligingslek wilt weergeven als standaardvermelding in de lijst met veelvoorkomende beveiligingslekken en blootstellingen.

Beperkende factoren voor het beveiligingslek met betrekking tot geheugentoewijzing in Office Web Components - CVE-2009-0562

Met beperkende factoren wordt verwezen naar een instelling, de algehele configuratie of algemene tips voor een standaardstatus waarmee de ernst van misbruik via een beveiligingslek kan worden verminderd. De volgende beperkende factoren kunnen in uw situatie van pas komen:

•	Standaard wordt Internet Explorer in Windows Server 2003 en Windows Server 2008 uitgevoerd in een beperkte modus, Verbeterde beveiliging genaamd. Deze modus vermindert het probleem van dit beveiligingslek. Zie het gedeelte Veelgestelde vragen met betrekking tot deze beveiligingsupdate voor meer informatie over Verbeterde beveiliging van Internet Explorer.
•	HTML-e-mailberichten worden door Outlook Express 6, Outlook 2002 en Outlook 2003 standaard geopend in de zone met websites met beperkte toegang. Bij Outlook 2000 worden HTML-e-mailberichten geopend in de zone Websites met beperkte toegang als de e-mailbeveiligingsupdate voor Outlook is geïnstalleerd. In Outlook Express 5.5 Service Pack 2 worden e-mailberichten in HTML-indeling in de zone met websites met beperkte toegang geopend als het Microsoft-beveiligingsbulletin MS04-018 is geïnstalleerd. De zone Websites met beperkte toegang vermindert het aantal aanvallen die misbruik van dit beveiligingslek maken, doordat er bij het lezen van e-mail in HTML-indeling geen ActiveX-besturingselementen meer worden gebruikt. Als een gebruiker echter op een koppeling binnen een e-mail klikt, kan deze nog wel via het scenario voor een aanval vanaf het web worden getroffen door dit probleem.
•	In het geval van een aanval vanaf het web kan de aanvaller beschikken over een website waarop zich een webpagina bevindt waarmee dit beveiligingslek wordt misbruikt. Daarnaast kunnen ook gemanipuleerde websites en websites waarop gegevens of advertenties staan of gegevens of advertenties kunnen worden ingevoerd, schadelijke inhoud bevatten die dit beveiligingslek kunnen misbruiken. Een aanvaller kan echter een gebruiker er niet toe dwingen om naar deze websites te gaan. De aanvaller moet een gebruiker er dus van overtuigen een bezoek te brengen aan de website. In de meeste gevallen doet de aanvaller dat door de gebruiker ertoe te bewegen op een koppeling in een e-mailbericht of een verzoek in een expresbericht te klikken waarmee de gebruiker naar de website van de aanvaller gaat.
•	Een aanvaller die erin slaagt misbruik te maken van dit beveiligingslek, kan dezelfde rechten over het systeem krijgen als de lokale gebruiker. Gebruikers met accounts waarvoor minder gebruikersrechten op het systeem zijn ingesteld, lopen minder risico dan gebruikers die met beheerdersrechten werken.

Top of section

Tijdelijke oplossingen voor het beveiligingslek met betrekking tot geheugentoewijzing in Office Web Components - CVE-2009-0562

Tijdelijke oplossingen zijn wijzigingen in een instelling of configuratie waardoor het beveiligingslek zelf niet wordt gedicht, maar waarmee aanvalsvectoren wel worden geblokkeerd voordat u de update uitvoert. Microsoft heeft de volgende methoden en statussen om het probleem te omzeilen getest om uit te zoeken of een tijdelijke oplossing functionaliteit vermindert:

•

Voorkomen dat de Office Web Components-bibliotheek in Internet Explorer wordt uitgevoerd.

U kunt voorkomen dat de Office Web Components-bibliotheek in Internet Explorer wordt uitgevoerd door de kill-bit voor het besturingssysteem in het register in te stellen.

Waarschuwing Als u de Register-editor onjuist gebruikt, kan dit tot zeer ernstige problemen leiden waardoor u het besturingssysteem mogelijk opnieuw dient te installeren. Microsoft kan niet garanderen dat problemen die ontstaan als gevolg van een onjuist gebruik van de Register-editor, kunnen worden opgelost. Het gebruik van de Register-editor is voor eigen risico. Zie voor meer informatie over het bewerken van het register het Help-onderwerp 'Sleutels en waarden wijzigen' in de Register-editor (regedit.exe) of de Help-onderwerpen 'Toevoegen of verwijderen van registerinformatie' en 'Registergegevens bewerken' in regedt32.exe.

Opmerking Het is aan te raden een back-up te maken van het register voordat u het gaat bewerken.

Opmerking Dit is de actie die door het ISA Server-updatepakket wordt genomen. Deze update voor ISA Server omvat geen binaire bestanden.

Voor uitvoerige stappen waarmee u kunt voorkomen dat een besturingselement in Office Web Components wordt uitgevoerd, verwijzen wij u naar Microsoft Knowledge Base-artikel 240797. Volg deze stappen en breng een compatibiliteitsvlagwaarde aan in het register om te voorkomen dat de Office Web Components-bibliotheek wordt gestart.

Opmerking De klasse-identificaties en de overeenkomende bestanden waarin de bibliotheekobjecten staan, worden beschreven in de veelgestelde vraag 'Wat doet de update?'.

•

Om de kill-bit voor een CLSID met de waarde {0002E543-0000-0000-C000-000000000046} en {0002E55B-0000-0000-C000-000000000046} in te stellen, dient u de volgende tekst in een teksteditor te plakken, bijvoorbeeld in Kladblok. Sla het bestand vervolgens op met de extensie .reg.

Windows Registry-editor versie 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{0002E543-0000-0000-C000-000000000046}]
"Compatibility Flags"=dword:00000400

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{0002E55B-0000-0000-C000-000000000046}]
"Compatibility Flags"=dword:00000400

U kunt dit REG-bestand op afzonderlijke systemen toepassen door erop te dubbelklikken. U kunt het bestand ook met behulp van Groepsbeleid in domeinen toepassen. Ga naar de volgende websites van Microsoft voor meer informatie over Groepsbeleid:

•	Verzameling groepsbeleidsregels
•	Wat is Group Policy Object Editor?
•	Essentiële hulpprogramma's en instellingen voor groepsbeleid

Opmerking U moet Internet Explorer opnieuw starten om de wijzigingen te laten ingaan

Gevolgen van de tijdelijke oplossing: Nadat de kill-bit is ingesteld, kunt u niet langer gebruikmaken van de OWC Spreadsheet-functie in het ActiveX-besturingselement van Office Web Components in Internet Explorer, Microsoft Office of toepassingen met kill-bits. Dit heeft geen gevolgen voor de standaardwerking van Microsoft Office en de meeste gebruikers zullen geen verandering merken nadat de kill-bit is ingesteld. OWC wordt hoofdzakelijk gebruikt door webtoepassingen, inclusief interne bedrijfstoepassingen, Microsoft Office Project Web Access en de invoegtoepassing voor Office 2003: Web Parts and Components. Het kan ook worden gebruikt in bepaalde VBA-oplossingen in Microsoft Office. Zodra de kill-bit is ingesteld, kunnen deze toepassingen geen gebruik meer maken van functies op basis van het besturingselement van OWC Spreadsheet in het ActiveX-besturingselement van Office Web Components.

Zo kunt u tijdelijke oplossingen ongedaan maken: U kunt de hiervoor beschreven tijdelijke oplossing als volgt ongedaan maken:

Waarschuwing Als u de Register-editor onjuist gebruikt, kan dit tot zeer ernstige problemen leiden waardoor u het besturingssysteem mogelijk opnieuw dient te installeren. Microsoft kan niet garanderen dat problemen die ontstaan als gevolg van een onjuist gebruik van de Register-editor, kunnen worden opgelost. Het gebruik van de Register-editor is voor eigen risico. Zie voor meer informatie over het bewerken van het register het Help-onderwerp 'Sleutels en waarden wijzigen' in de Register-editor (regedit.exe) of de Help-onderwerpen 'Toevoegen of verwijderen van registerinformatie' en 'Registergegevens bewerken' in regedt32.exe.

Opmerking Het is aan te raden een back-up te maken van het register voordat u het gaat bewerken.

•

Om de kill-bit voor een CLSID met de waarde {0002E543-0000-0000-C000-000000000046} en {0002E55B-0000-0000-C000-000000000046} ongedaan te maken, dient u de volgende tekst in een teksteditor te plakken, bijvoorbeeld in Kladblok. Sla het bestand vervolgens op met de extensie .reg.

Windows Registry-editor versie 5.00

CLSID_OWC10_Spreadsheet, {0002E541-0000-0000-C000-000000000046}[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{0002E543-0000-0000-C000-000000000046}]

CLSID_OWC11_Spreadsheet, {0002E559-0000-0000-C000-000000000046}[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{0002E55B-0000-0000-C000-000000000046}]

•

De registratie van de Office Web Components-bibliotheek ongedaan maken

Opmerking Deze actie werkt niet op een ISA Server-computer omdat:

•	De Office Web Components worden geïnstalleerd in de ISA Server-programmamap (standaard “%ProgramFiles%\Microsoft ISA Server")
•	De Office Web Components worden door het taakrapportagesysteem van de ISA Server telkens opnieuw geregistreerd wanneer er een rapporttaak wordt uitgevoerd.

Waarschuwing Als u de Register-editor onjuist gebruikt, kan dit tot zeer ernstige problemen leiden waardoor u het besturingssysteem mogelijk opnieuw dient te installeren. Microsoft kan niet garanderen dat problemen die ontstaan als gevolg van een onjuist gebruik van de Register-editor, kunnen worden opgelost. Het gebruik van de Register-editor is voor eigen risico. Zie voor meer informatie over het bewerken van het register het Help-onderwerp 'Sleutels en waarden wijzigen' in de Register-editor (regedit.exe) of de Help-onderwerpen 'Toevoegen of verwijderen van registerinformatie' en 'Registergegevens bewerken' in regedt32.exe.

Opmerking Het is aan te raden een back-up te maken van het register voordat u het gaat bewerken.

•	Typ voor OWC 10 het volgende op de opdrachtprompt en selecteer Uitvoeren: Regsvr32.exe /u "C:\Program Files\Common Files\Microsoft Shared\Web Components\10\owc10.dll"
•	Typ voor OWC 11 het volgende op de opdrachtprompt en selecteer Uitvoeren: Regsvr32.exe /u "C:\Program Files\Common Files\Microsoft Shared\Web Components\11\owc11.dll"

Gevolgen van de tijdelijke oplossing: Toepassingen waarvoor de functionaliteit van Office Web Components nodig is, werken niet.

Zo kunt u tijdelijke oplossingen ongedaan maken: Ga als volgt te werk om de registratie van Office Web Components ongedaan te maken:

•	Typ voor OWC 10 het volgende op de opdrachtprompt en selecteer Uitvoeren: Regsvr32.exe "C:\Program Files\Common Files\Microsoft Shared\Web Components\10\owc10.dll"
•	Typ voor OWC 11 het volgende op de opdrachtprompt en selecteer Uitvoeren: Regsvr32.exe "C:\Program Files\Common Files\Microsoft Shared\Web Components\11\owc11.dll"

•

Beperk u alleen tot vertrouwde websites

Nadat u Internet Explorer zodanig hebt ingesteld dat u wordt gevraagd om bevestiging bij het uitvoeren van ActiveX-besturingselementen en het actief uitvoeren van scripts in de zone Het Internet en de zone Lokaal intranet, kunt u al uw vertrouwde websites aan de zone Vertrouwde websites van Internet Explorer toevoegen. Op deze manier bent u beveiligd tegen aanvallen op dit beveiligingslek vanaf niet-vertrouwde websites en kunt u als altijd blijven gebruikmaken van vertrouwde websites. Het is raadzaam alleen websites die u vertrouwt aan de zone Vertrouwde websites toe te voegen.

Voer hiertoe de volgende stappen uit:

1.	Klik op Internet-opties in het menu Extra van Internet Explorer en klik vervolgens op het tabblad Beveiliging.
2.	Klik in het vak Selecteer de zone waarvoor u beveiligingsinstellingen wilt opgeven op Vertrouwde websites en klik op Websites.
3.	Als u websites wilt toevoegen waarvoor geen gecodeerd kanaal is vereist, schakelt u het selectievakje Serververificatie (https:) voor alle websites in deze zone verplicht.
4.	In het vak Deze website aan de zone toevoegen typt u de URL van een website die u vertrouwt. Klik vervolgens op Toevoegen.
5.	Herhaal deze stappen voor elke website die u aan de zone wilt toevoegen.
6.	Klik tweemaal op OK om de wijzigingen te accepteren en terug te keren naar Internet Explorer.

Als er websites zijn waarvan u niet verwacht dat daarvandaan schadelijke acties op uw computer worden ondernomen, voegt u deze aan de vertrouwde websites toe. U kunt bijvoorbeeld de websites '*.windowsupdate.microsoft.com' en '*.update.microsoft.com' (zonder de aanhalingstekens) toevoegen. Dit is de website waar de update is te vinden en er is een ActiveX-besturingselement voor nodig om de update te kunnen installeren.

•

Stel het beveiligingsniveau van de zones Het Internet en Lokaal intranet in op “Hoog” als u gevraagd wilt worden of u ActiveX-besturingselementen in deze zones wilt uitvoeren

U kunt het systeem beter beschermen tegen de gevaren van deze beveiligingslekken door bepaalde instellingen voor de zone Het Internet te wijzigen zodat de gebruiker wordt gevraagd om bevestiging voordat ActiveX-besturingselementen worden uitgevoerd. U kunt dit doen door de beveiliging van uw browser in te stellen op Hoog.

Ga als volgt te werk als u het beveiligingsniveau van Microsoft Internet Explorer wilt verhogen:

1.	Ga in Internet Explorer naar het menu Extra en klik op Internet-opties.
2.	Klik in het dialoogvenster Internet-opties op het tabblad Beveiliging en klik op het pictogram Internet.
3.	Verplaats de schuifregelaar bij Beveiligingsniveau voor deze zone naar Hoog. Hiermee wordt het beveiligingsniveau voor alle websites die u bezoekt, ingesteld op Hoog.

Opmerking Klik, als er geen schuifregelaar zichtbaar is, op Standaardniveau en verplaats de schuifregelaar vervolgens naar Hoog.

Opmerking Door het niveau in te stellen op Hoog worden bepaalde websites mogelijk onjuist weergegeven. Als u problemen ervaart met het bezoeken van websites nadat u deze instelling hebt gewijzigd, en u weet zeker dat het bezoek van de desbetreffende website veilig is, kunt u die website aan uw lijst met vertrouwde websites toevoegen. Hierdoor werkt de website weer goed, zelfs met de beveiligingsinstelling Hoog.

Top of section

Veelgestelde vragen over het beveiligingslek met betrekking tot geheugentoewijzing in Office Web Components - CVE-2009-0562

Wat is de omvang van het probleem?
Dit beveiligingslek heeft betrekking op de uitvoering van externe code. Een aanvaller die misbruik weet te maken van dit beveiligingslek, kan volledige controle krijgen over een systeem waarin dit probleem optreedt. De aanvaller kan vervolgens programma's installeren, gegevens bekijken, wijzigen of wissen, of nieuwe accounts met volledige gebruikersrechten maken. Gebruikers met accounts waarvoor minder gebruikersrechten op het systeem zijn ingesteld, lopen minder risico dan gebruikers die met beheerdersrechten werken.

Waardoor wordt het beveiligingslek veroorzaakt?
Als het ActiveX-besturingselement in Internet Explorer wordt gebruikt, kan het de systeemstatus dusdanig beschadigen dat een aanvaller willekeurige code kan uitvoeren.

Wat is Office Web Components?
Microsoft Office Web Components is een verzameling COM-besturingselementen (Component Object Model) waarmee u spreadsheets, grafieken en databases op internet kunt publiceren en de gepubliceerde onderdelen op internet kunt bekijken.

Met welk doel kan een aanvaller het beveiligingslek misbruiken?
Als er een gebruiker met beheerdersrechten is aangemeld, kan een aanvaller volledige controle krijgen over het systeem waarin dit probleem optreedt. De aanvaller kan vervolgens programma's installeren, gegevens bekijken, wijzigen of wissen, of nieuwe accounts met volledige gebruikersrechten maken. Gebruikers met accounts waarvoor minder gebruikersrechten op het systeem zijn ingesteld, lopen minder risico dan gebruikers die met beheerdersrechten werken.

Hoe kan een aanvaller dit beveiligingslek misbruiken?
Een aanvaller kan het beveiligingslek misbruiken door een speciaal vervaardigde website te hosten die is ontworpen voor het aanroepen van het ActiveX-besturingselement via Internet Explorer. Dit kan ook betrekking hebben op gemanipuleerde websites en websites die inhoud of advertenties van gebruikers accepteren of hosten. Deze websites kunnen speciaal vervaardigde inhoud bevatten, die misbruik van dit beveiligingslek kan maken. Een aanvaller kan echter een gebruiker er niet toe dwingen om naar deze websites te gaan. De aanvaller moet een gebruiker er dus van overtuigen een bezoek te brengen aan de website. In de meeste gevallen doet de aanvaller dat door de gebruiker ertoe te bewegen op een koppeling in een e-mailbericht of een verzoek in een expresbericht te klikken waarmee de gebruiker naar de website van de aanvaller gaat. Speciaal ontworpen webinhoud kan ook worden weergegeven via banneradvertenties of andere manieren waarop webinhoud bij de kwetsbare systemen wordt afgeleverd.

Voor welke systemen vormt dit beveiligingslek het grootste risico?
Voor dit beveiligingslek is het noodzakelijk dat een gebruiker websites bezoekt en daarop is aangemeld voordat er een schadelijke actie kan plaatsvinden. Daarom lopen computers waarop e-mailberichten worden gelezen of waarop Internet Explorer regelmatig wordt gebruikt, zoals werkstations en terminalservers, het meeste risico. Servers zouden eventueel meer gevaar kunnen lopen als beheerders toestaan dat gebruikers zich op servers kunnen aanmelden en programma's kunnen uitvoeren. Dit is echter volkomen in strijd met de aanbevolen richtlijnen voor gebruik.

Ik heb Internet Explorer voor Windows Server 2003 / Windows Server 2008. Betekent dit dat het beveiligingslek minder problemen oplevert?
Ja. Standaard wordt Internet Explorer op Windows Server 2003 en Windows Server 2008 uitgevoerd in een beperkte modus genaamd Verbeterde beveiliging. Verbeterde beveiliging van Internet Explorer betreft een groep vooraf geconfigureerde Internet Explorer-instellingen die de kans vrij klein maken dat een gebruiker of beheerder speciaal vervaardigde webinhoud op een server downloadt en uitvoert. Dit is een beperkende factor voor websites die u niet aan de zone Vertrouwde websites van Internet Explorer hebt toegevoegd. Zie ook De verbeterde beveiliging van Internet Explorer beheren.

Wat is de functie voor het inschakelen van ActiveX-besturingselementen in Windows Internet Explorer 7?
Windows Internet Explorer 7 bevat een functie waarmee u ActiveX kunt inschakelen. Dat betekent dat vrijwel alle vooraf geïnstalleerde ActiveX-besturingselementen standaard zijn uitgeschakeld. Gebruikers wordt door de informatiebalk gevraagd of zij een eerder geïnstalleerd ActiveX-besturingselement willen inschakelen dat nog niet is gebruikt tijdens hun internetsessies. Zo kan de gebruiker per website bepalen of een besturingselement moet worden ingeschakeld. Zie voor meer informatie over deze en andere nieuwe functies de pagina over de eigenschappen van Windows Internet Explorer 7.

Wat doet de update?
De update verwijdert het beveiligingslek door correct om te gaan met de geheugentoewijzing wanneer het ActiveX-besturingselement in Internet Explorer wordt gebruikt.

Bij kwetsbare versies van ISA Server wordt met de update de kill-bit ingesteld voor alle OWC CLSID's om bekende aanvalsvectoren binnen Internet Explorer te blokkeren. Deze actie is niet van invloed op de functionaliteit van ISA Server.

Was dit beveiligingslek openbaar gemaakt op het moment dat dit beveiligingsbulletin werd uitgegeven?
Nee. Microsoft heeft uit discrete bronnen informatie over dit beveiligingslek ontvangen.

Was aan Microsoft gerapporteerd dat er misbruik was gemaakt van dit beveiligingslek op het moment dat dit beveiligingsbulletin werd uitgegeven?
Nee. Microsoft beschikte niet over informatie dat dit beveiligingslek was gebruikt voor aanvallen op klanten en had geen voorbeelden van gepubliceerde conceptcode gezien als bewijs toen dat dit beveiligingsbulletin oorspronkelijk werd uitgegeven.

Top of section

Beveiligingslek met betrekking tot heap-corruptie in Office Web Components - CVE-2009-2496

Er bestaat een beveiligingslek in het ActiveX-besturingselement voor Office Web Components, dat kan leiden tot het uitvoeren van externe code. Een aanvaller kan het beveiligingslek misbruiken door een speciaal ontworpen webpagina te maken. Als een gebruiker die webpagina bekijkt, kan via het beveiligingslek code vanaf een externe locatie worden uitgevoerd. Een aanvaller die erin slaagt misbruik te maken van dit beveiligingslek, kan dezelfde rechten over het systeem krijgen als de lokale gebruiker.

Zie CVE 2009-2496 als u dit beveiligingslek wilt weergeven als standaardvermelding in de lijst met veelvoorkomende beveiligingslekken en blootstellingen.

Beperkende factoren voor het beveiligingslek met betrekking tot heap-corruptie in Office Web Components - CVE-2009-2496

Met beperkende factoren wordt verwezen naar een instelling, de algehele configuratie of algemene tips voor een standaardstatus waarmee de ernst van misbruik via een beveiligingslek kan worden verminderd. De volgende beperkende factoren kunnen in uw situatie van pas komen:

•	Standaard wordt Internet Explorer in Windows Server 2003 en Windows Server 2008 uitgevoerd in een beperkte modus, Verbeterde beveiliging genaamd. Deze modus vermindert het probleem van dit beveiligingslek. Zie het gedeelte Veelgestelde vragen met betrekking tot deze beveiligingsupdate voor meer informatie over Verbeterde beveiliging van Internet Explorer.
•	HTML-e-mailberichten worden door Outlook Express 6, Outlook 2002 en Outlook 2003 standaard geopend in de zone met websites met beperkte toegang. In Outlook 98 en Outlook 2000 worden HTML-e-mailberichten geopend in de zone met websites met beperkte toegang als de e-mailbeveiligingsupdate voor Outlook is geïnstalleerd. In Outlook Express 5.5 Service Pack 2 worden e-mailberichten in HTML-indeling in de zone met websites met beperkte toegang geopend als het Microsoft-beveiligingsbulletin MS04-018 is geïnstalleerd. De zone Websites met beperkte toegang vermindert het aantal aanvallen die misbruik van dit beveiligingslek maken, doordat er bij het lezen van e-mail in HTML-indeling geen ActiveX-besturingselementen meer worden gebruikt. Als een gebruiker echter op een koppeling binnen een e-mail klikt, kan deze nog wel via het scenario voor een aanval vanaf het web worden getroffen door dit probleem.
•	In het geval van een aanval vanaf het web kan de aanvaller beschikken over een website waarop zich een webpagina bevindt waarmee dit beveiligingslek wordt misbruikt. Daarnaast kunnen ook gemanipuleerde websites en websites waarop gegevens of advertenties staan of gegevens of advertenties kunnen worden ingevoerd, schadelijke inhoud bevatten die dit beveiligingslek kunnen misbruiken. Een aanvaller kan echter een gebruiker er niet toe dwingen om naar deze websites te gaan. De aanvaller moet een gebruiker er dus van overtuigen een bezoek te brengen aan de website. In de meeste gevallen doet de aanvaller dat door de gebruiker ertoe te bewegen op een koppeling in een e-mailbericht of een verzoek in een expresbericht te klikken waarmee de gebruiker naar de website van de aanvaller gaat.
•	Een aanvaller die erin slaagt misbruik te maken van dit beveiligingslek, kan dezelfde rechten over het systeem krijgen als de lokale gebruiker. Gebruikers met accounts waarvoor minder gebruikersrechten op het systeem zijn ingesteld, lopen minder risico dan gebruikers die met beheerdersrechten werken.

Top of section

Tijdelijke oplossingen voor het beveiligingslek met betrekking tot heap-corruptie in Office Web Components - CVE-2009-2496

Tijdelijke oplossingen zijn wijzigingen in een instelling of configuratie waardoor het beveiligingslek zelf niet wordt gedicht, maar waarmee aanvalsvectoren wel worden geblokkeerd voordat u de update uitvoert. Microsoft heeft de volgende methoden en statussen om het probleem te omzeilen getest om uit te zoeken of een tijdelijke oplossing functionaliteit vermindert:

•

Voorkomen dat de Office Web Components-bibliotheek in Internet Explorer wordt uitgevoerd.

U kunt voorkomen dat de Office Web Components-bibliotheek in Internet Explorer wordt uitgevoerd door de kill-bit voor het besturingssysteem in het register in te stellen.

Waarschuwing Als u de Register-editor onjuist gebruikt, kan dit tot zeer ernstige problemen leiden waardoor u het besturingssysteem mogelijk opnieuw dient te installeren. Microsoft kan niet garanderen dat problemen die ontstaan als gevolg van een onjuist gebruik van de Register-editor, kunnen worden opgelost. Het gebruik van de Register-editor is voor eigen risico. Zie voor meer informatie over het bewerken van het register het Help-onderwerp 'Sleutels en waarden wijzigen' in de Register-editor (regedit.exe) of de Help-onderwerpen 'Toevoegen of verwijderen van registerinformatie' en 'Registergegevens bewerken' in regedt32.exe.

Opmerking Het is aan te raden een back-up te maken van het register voordat u het gaat bewerken.

Opmerking Dit is de actie die door het ISA Server-updatepakket wordt genomen. Deze update voor ISA Server omvat geen binaire bestanden.

Voor uitvoerige stappen waarmee u kunt voorkomen dat een besturingselement in Office Web Components wordt uitgevoerd, verwijzen wij u naar Microsoft Knowledge Base-artikel 240797. Volg deze stappen en breng een compatibiliteitsvlagwaarde aan in het register om te voorkomen dat de Office Web Components-bibliotheek wordt gestart.

Opmerking De klasse-identificaties en de overeenkomende bestanden waarin de bibliotheekobjecten staan, worden beschreven in de veelgestelde vraag 'Wat doet de update?'.

•

Om de kill-bit voor een CLSID met de waarde {0002E541-0000-0000-C000-000000000046} en {0002E559-0000-0000-C000-000000000046} in te stellen, dient u de volgende tekst in een teksteditor te plakken, bijvoorbeeld in Kladblok. Sla het bestand vervolgens op met de extensie .reg.

Windows Registry-editor versie 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{0002E541-0000-0000-C000-000000000046}]
"Compatibility Flags"=dword:00000400

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{0002E559-0000-0000-C000-000000000046}]
"Compatibility Flags"=dword:00000400

U kunt dit REG-bestand op afzonderlijke systemen toepassen door erop te dubbelklikken. U kunt het bestand ook met behulp van Groepsbeleid in domeinen toepassen. Ga naar de volgende websites van Microsoft voor meer informatie over Groepsbeleid:

•	Verzameling groepsbeleidsregels
•	Wat is Group Policy Object Editor?
•	Essentiële hulpprogramma's en instellingen voor groepsbeleid

Opmerking U moet Internet Explorer opnieuw starten om de wijzigingen te laten ingaan

Gevolgen van de tijdelijke oplossing: Nadat de kill-bit is ingesteld, kunt u niet langer gebruikmaken van de OWC Spreadsheet-functie in het ActiveX-besturingselement van Office Web Components in Internet Explorer, Microsoft Office of toepassingen met kill-bits. Dit heeft geen gevolgen voor de standaardwerking van Microsoft Office en de meeste gebruikers zullen geen verandering merken nadat de kill-bit is ingesteld. OWC wordt hoofdzakelijk gebruikt door webtoepassingen, inclusief interne bedrijfstoepassingen, Microsoft Office Project Web Access en de invoegtoepassing voor Office 2003: Web Parts and Components. Het kan ook worden gebruikt in bepaalde VBA-oplossingen in Microsoft Office. Zodra de kill-bit is ingesteld, kunnen deze toepassingen geen gebruik meer maken van functies op basis van het besturingselement van OWC Spreadsheet in het ActiveX-besturingselement van Office Web Components.

Zo kunt u tijdelijke oplossingen ongedaan maken: U kunt de hiervoor beschreven tijdelijke oplossing als volgt ongedaan maken:

Waarschuwing Als u de Register-editor onjuist gebruikt, kan dit tot zeer ernstige problemen leiden waardoor u het besturingssysteem mogelijk opnieuw dient te installeren. Microsoft kan niet garanderen dat problemen die ontstaan als gevolg van een onjuist gebruik van de Register-editor, kunnen worden opgelost. Het gebruik van de Register-editor is voor eigen risico. Zie voor meer informatie over het bewerken van het register het Help-onderwerp 'Sleutels en waarden wijzigen' in de Register-editor (regedit.exe) of de Help-onderwerpen 'Toevoegen of verwijderen van registerinformatie' en 'Registergegevens bewerken' in regedt32.exe.

Opmerking Het is aan te raden een back-up te maken van het register voordat u het gaat bewerken.

•

Om de kill-bit voor een CLSID met de waarde {0002E541-0000-0000-C000-000000000046} en {0002E559-0000-0000-C000-000000000046} ongedaan te maken, dient u de volgende tekst in een teksteditor te plakken, bijvoorbeeld in Kladblok. Sla het bestand vervolgens op met de extensie .reg.

Windows Registry-editor versie 5.00

CLSID_OWC10_Spreadsheet, {0002E541-0000-0000-C000-000000000046}[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{0002E541-0000-0000-C000-000000000046}]

CLSID_OWC11_Spreadsheet, {0002E559-0000-0000-C000-000000000046}[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{0002E559-0000-0000-C000-000000000046}]

•

De registratie van de Office Web Components-bibliotheek ongedaan maken

Opmerking Deze actie werkt niet op een ISA Server-computer omdat:

•	De Office Web Components worden geïnstalleerd in de ISA Server-programmamap (standaard “%ProgramFiles%\Microsoft ISA Server")
•	De Office Web Components worden door het taakrapportagesysteem van de ISA Server telkens opnieuw geregistreerd wanneer er een rapporttaak wordt uitgevoerd.

Waarschuwing Als u de Register-editor onjuist gebruikt, kan dit tot zeer ernstige problemen leiden waardoor u het besturingssysteem mogelijk opnieuw dient te installeren. Microsoft kan niet garanderen dat problemen die ontstaan als gevolg van een onjuist gebruik van de Register-editor, kunnen worden opgelost. Het gebruik van de Register-editor is voor eigen risico. Zie voor meer informatie over het bewerken van het register het Help-onderwerp 'Sleutels en waarden wijzigen' in de Register-editor (regedit.exe) of de Help-onderwerpen 'Toevoegen of verwijderen van registerinformatie' en 'Registergegevens bewerken' in regedt32.exe.

Opmerking Het is aan te raden een back-up te maken van het register voordat u het gaat bewerken.

•	Typ voor OWC 10 het volgende op de opdrachtprompt en selecteer Uitvoeren: Regsvr32.exe /u "C:\Program Files\Common Files\Microsoft Shared\Web Components\10\owc10.dll"
•	Typ voor OWC 11 het volgende op de opdrachtprompt en selecteer Uitvoeren: Regsvr32.exe /u "C:\Program Files\Common Files\Microsoft Shared\Web Components\11\owc11.dll"

Gevolgen van de tijdelijke oplossing: Toepassingen waarvoor de functionaliteit van Office Web Components nodig is, werken niet.

Zo kunt u tijdelijke oplossingen ongedaan maken: Ga als volgt te werk om de registratie van Office Web Components ongedaan te maken:

•	Typ voor OWC 10 het volgende op de opdrachtprompt en selecteer Uitvoeren: Regsvr32.exe "C:\Program Files\Common Files\Microsoft Shared\Web Components\10\owc10.dll"
•	Typ voor OWC 11 het volgende op de opdrachtprompt en selecteer Uitvoeren: Regsvr32.exe "C:\Program Files\Common Files\Microsoft Shared\Web Components\11\owc11.dll"

•

Beperk u alleen tot vertrouwde websites

Nadat u Internet Explorer zodanig hebt ingesteld dat u wordt gevraagd om bevestiging bij het uitvoeren van ActiveX-besturingselementen en het actief uitvoeren van scripts in de zone Het Internet en de zone Lokaal intranet, kunt u al uw vertrouwde websites aan de zone Vertrouwde websites van Internet Explorer toevoegen. Op deze manier bent u beveiligd tegen aanvallen op dit beveiligingslek vanaf niet-vertrouwde websites en kunt u als altijd blijven gebruikmaken van vertrouwde websites. Het is raadzaam alleen websites die u vertrouwt aan de zone Vertrouwde websites toe te voegen.

Voer hiertoe de volgende stappen uit:

1.	Klik op Internet-opties in het menu Extra van Internet Explorer en klik vervolgens op het tabblad Beveiliging.
2.	Klik in het vak Selecteer de zone waarvoor u beveiligingsinstellingen wilt opgeven op Vertrouwde websites en klik op Websites.
3.	Als u websites wilt toevoegen waarvoor geen gecodeerd kanaal is vereist, schakelt u het selectievakje Serververificatie (https:) voor alle websites in deze zone verplicht.
4.	In het vak Deze website aan de zone toevoegen typt u de URL van een website die u vertrouwt. Klik vervolgens op Toevoegen.
5.	Herhaal deze stappen voor elke website die u aan de zone wilt toevoegen.
6.	Klik tweemaal op OK om de wijzigingen te accepteren en terug te keren naar Internet Explorer.

Als er websites zijn waarvan u niet verwacht dat daarvandaan schadelijke acties op uw computer worden ondernomen, voegt u deze aan de vertrouwde websites toe. U kunt bijvoorbeeld de websites '*.windowsupdate.microsoft.com' en '*.update.microsoft.com' (zonder de aanhalingstekens) toevoegen. Dit is de website waar de update is te vinden en er is een ActiveX-besturingselement voor nodig om de update te kunnen installeren.

•

Stel het beveiligingsniveau van de zones Het Internet en Lokaal intranet in op “Hoog” als u gevraagd wilt worden of u ActiveX-besturingselementen in deze zones wilt uitvoeren

U kunt het systeem beter beschermen tegen de gevaren van deze beveiligingslekken door bepaalde instellingen voor de zone Het Internet te wijzigen zodat de gebruiker wordt gevraagd om bevestiging voordat ActiveX-besturingselementen worden uitgevoerd. U kunt dit doen door de beveiliging van uw browser in te stellen op Hoog.

Ga als volgt te werk als u het beveiligingsniveau van Microsoft Internet Explorer wilt verhogen:

1.	Ga in Internet Explorer naar het menu Extra en klik op Internet-opties.
2.	Klik in het dialoogvenster Internet-opties op het tabblad Beveiliging en klik op het pictogram Internet.
3.	Verplaats de schuifregelaar bij Beveiligingsniveau voor deze zone naar Hoog. Hiermee wordt het beveiligingsniveau voor alle websites die u bezoekt, ingesteld op Hoog.

Opmerking Klik, als er geen schuifregelaar zichtbaar is, op Standaardniveau en verplaats de schuifregelaar vervolgens naar Hoog.

Opmerking Door het niveau in te stellen op Hoog worden bepaalde websites mogelijk onjuist weergegeven. Als u problemen ervaart met het bezoeken van websites nadat u deze instelling hebt gewijzigd, en u weet zeker dat het bezoek van de desbetreffende website veilig is, kunt u die website aan uw lijst met vertrouwde websites toevoegen. Hierdoor werkt de website weer goed, zelfs met de beveiligingsinstelling Hoog.

Top of section

Veelgestelde vragen over het beveiligingslek met betrekking tot heap-corruptie in Office Web Components - CVE-2009-2496

Wat is de omvang van het probleem?
Dit beveiligingslek heeft betrekking op de uitvoering van externe code. Een aanvaller die misbruik weet te maken van dit beveiligingslek, kan volledige controle krijgen over een systeem waarin dit probleem optreedt. De aanvaller kan vervolgens programma's installeren, gegevens bekijken, wijzigen of wissen, of nieuwe accounts met volledige gebruikersrechten maken. Gebruikers met accounts waarvoor minder gebruikersrechten op het systeem zijn ingesteld, lopen minder risico dan gebruikers die met beheerdersrechten werken.

Waardoor wordt het beveiligingslek veroorzaakt?
Als het ActiveX-besturingselement in Internet Explorer wordt gebruikt, vindt er onvoldoende parameterverificatie plaats door methoden van het ActiveX-besturingselement, wat kan leiden tot een heap-overflow waarbij een aanvaller willekeurige code kan uitvoeren.

Wat is Office Web Components?
Microsoft Office Web Components is een verzameling COM-besturingselementen (Component Object Model) waarmee u spreadsheets, grafieken en databases op internet kunt publiceren en de gepubliceerde onderdelen op internet kunt bekijken.

Met welk doel kan een aanvaller het beveiligingslek misbruiken?
Als er een gebruiker met beheerdersrechten is aangemeld, kan een aanvaller volledige controle krijgen over het systeem waarin dit probleem optreedt. De aanvaller kan vervolgens programma's installeren, gegevens bekijken, wijzigen of wissen, of nieuwe accounts met volledige gebruikersrechten maken. Gebruikers met accounts waarvoor minder gebruikersrechten op het systeem zijn ingesteld, lopen minder risico dan gebruikers die met beheerdersrechten werken.

Hoe kan een aanvaller dit beveiligingslek misbruiken?
Een aanvaller kan het beveiligingslek misbruiken door een speciaal vervaardigde website te hosten die is ontworpen voor het aanroepen van het ActiveX-besturingselement via Internet Explorer. Dit kan ook betrekking hebben op gemanipuleerde websites en websites die inhoud of advertenties van gebruikers accepteren of hosten. Deze websites kunnen speciaal vervaardigde inhoud bevatten, die misbruik van dit beveiligingslek kan maken. Een aanvaller kan echter een gebruiker er niet toe dwingen om naar deze websites te gaan. De aanvaller moet een gebruiker er dus van overtuigen een bezoek te brengen aan de website. In de meeste gevallen doet de aanvaller dat door de gebruiker ertoe te bewegen op een koppeling in een e-mailbericht of een verzoek in een expresbericht te klikken waarmee de gebruiker naar de website van de aanvaller gaat. Speciaal ontworpen webinhoud kan ook worden weergegeven via banneradvertenties of andere manieren waarop webinhoud bij de kwetsbare systemen wordt afgeleverd.

Voor welke systemen vormt dit beveiligingslek het grootste risico?
Voor dit beveiligingslek is het noodzakelijk dat een gebruiker websites bezoekt en daarop is aangemeld voordat er een schadelijke actie kan plaatsvinden. Daarom lopen computers waarop e-mailberichten worden gelezen of waarop Internet Explorer regelmatig wordt gebruikt, zoals werkstations en terminalservers, het meeste risico. Servers zouden eventueel meer gevaar kunnen lopen als beheerders toestaan dat gebruikers zich op servers kunnen aanmelden en programma's kunnen uitvoeren. Dit is echter volkomen in strijd met de aanbevolen richtlijnen voor gebruik.

Ik heb Internet Explorer voor Windows Server 2003 / Windows Server 2008. Betekent dit dat het beveiligingslek minder problemen oplevert?
Ja. Standaard wordt Internet Explorer op Windows Server 2003 en Windows Server 2008 uitgevoerd in een beperkte modus genaamd Verbeterde beveiliging. Verbeterde beveiliging van Internet Explorer betreft een groep vooraf geconfigureerde Internet Explorer-instellingen die de kans vrij klein maken dat een gebruiker of beheerder speciaal vervaardigde webinhoud op een server downloadt en uitvoert. Dit is een beperkende factor voor websites die u niet aan de zone Vertrouwde websites van Internet Explorer hebt toegevoegd. Zie ook De verbeterde beveiliging van Internet Explorer beheren.

Wat is de functie voor het inschakelen van ActiveX-besturingselementen in Windows Internet Explorer 7?
Windows Internet Explorer 7 bevat een functie waarmee u ActiveX kunt inschakelen. Dat betekent dat vrijwel alle vooraf geïnstalleerde ActiveX-besturingselementen standaard zijn uitgeschakeld. Gebruikers wordt door de informatiebalk gevraagd of zij een eerder geïnstalleerd ActiveX-besturingselement willen inschakelen dat nog niet is gebruikt tijdens hun internetsessies. Zo kan de gebruiker per website bepalen of een besturingselement moet worden ingeschakeld. Zie voor meer informatie over deze en andere nieuwe functies de pagina over de eigenschappen van Windows Internet Explorer 7.

Wat doet de update?
De update verwijdert het beveiligingslek door de verificatielogica voor methoden van het ActiveX-besturingselement voor Office Web Components te corrigeren.

Bij kwetsbare versies van ISA Server wordt met de update de kill-bit ingesteld voor alle OWC CLSID's om bekende aanvalsvectoren binnen Internet Explorer te blokkeren.

Was dit beveiligingslek openbaar gemaakt op het moment dat dit beveiligingsbulletin werd uitgegeven?
Nee. Microsoft heeft uit discrete bronnen informatie over dit beveiligingslek ontvangen.

Was aan Microsoft gerapporteerd dat er misbruik was gemaakt van dit beveiligingslek op het moment dat dit beveiligingsbulletin werd uitgegeven?
Nee. Microsoft beschikte niet over informatie dat dit beveiligingslek was gebruikt voor aanvallen op klanten en had geen voorbeelden van gepubliceerde conceptcode gezien als bewijs toen dat dit beveiligingsbulletin oorspronkelijk werd uitgegeven.

Top of section

Beveiligingslek met betrekking tot HTML-script in Office Web Components - CVE-2009-1136

Er bestaat een beveiligingslek in het ActiveX-besturingselement voor Office Web Components, dat kan leiden tot het uitvoeren van externe code. Een aanvaller kan het beveiligingslek misbruiken door een speciaal ontworpen webpagina te maken. Als een gebruiker die webpagina bekijkt, kan via het beveiligingslek code vanaf een externe locatie worden uitgevoerd. Een aanvaller die erin slaagt misbruik te maken van dit beveiligingslek, kan dezelfde rechten over het systeem krijgen als de lokale gebruiker.

Zie CVE 2009-1136 als u dit beveiligingslek wilt weergeven als standaardvermelding in de lijst met veelvoorkomende beveiligingslekken en blootstellingen.

Beperkende factoren voor het beveiligingslek met betrekking tot HTML-script in Office Web Components - CVE-2009-1136

Met beperkende factoren wordt verwezen naar een instelling, de algehele configuratie of algemene tips voor een standaardstatus waarmee de ernst van misbruik via een beveiligingslek kan worden verminderd. De volgende beperkende factoren kunnen in uw situatie van pas komen:

•	Standaard wordt Internet Explorer in Windows Server 2003 en Windows Server 2008 uitgevoerd in een beperkte modus, Verbeterde beveiliging genaamd. Deze modus vermindert het probleem van dit beveiligingslek. Zie het gedeelte Veelgestelde vragen met betrekking tot deze beveiligingsupdate voor meer informatie over Verbeterde beveiliging van Internet Explorer.
•	HTML-e-mailberichten worden door Outlook Express 6, Outlook 2002 en Outlook 2003 standaard geopend in de zone met websites met beperkte toegang. In Outlook 98 en Outlook 2000 worden HTML-e-mailberichten geopend in de zone met websites met beperkte toegang als de e-mailbeveiligingsupdate voor Outlook is geïnstalleerd. In Outlook Express 5.5 Service Pack 2 worden e-mailberichten in HTML-indeling in de zone met websites met beperkte toegang geopend als het Microsoft-beveiligingsbulletin MS04-018 is geïnstalleerd. De zone Websites met beperkte toegang vermindert het aantal aanvallen die misbruik van dit beveiligingslek maken, doordat er bij het lezen van e-mail in HTML-indeling geen ActiveX-besturingselementen meer worden gebruikt. Als een gebruiker echter op een koppeling binnen een e-mail klikt, kan deze nog wel via het scenario voor een aanval vanaf het web worden getroffen door dit probleem.
•	In het geval van een aanval vanaf het web kan de aanvaller beschikken over een website waarop zich een webpagina bevindt waarmee dit beveiligingslek wordt misbruikt. Daarnaast kunnen ook gemanipuleerde websites en websites waarop gegevens of advertenties staan of gegevens of advertenties kunnen worden ingevoerd, schadelijke inhoud bevatten die dit beveiligingslek kunnen misbruiken. Een aanvaller kan echter een gebruiker er niet toe dwingen om naar deze websites te gaan. De aanvaller moet een gebruiker er dus van overtuigen een bezoek te brengen aan de website. In de meeste gevallen doet de aanvaller dat door de gebruiker ertoe te bewegen op een koppeling in een e-mailbericht of een verzoek in een expresbericht te klikken waarmee de gebruiker naar de website van de aanvaller gaat.
•	Een aanvaller die erin slaagt misbruik te maken van dit beveiligingslek, kan dezelfde rechten over het systeem krijgen als de lokale gebruiker. Gebruikers met accounts waarvoor minder gebruikersrechten op het systeem zijn ingesteld, lopen minder risico dan gebruikers die met beheerdersrechten werken.

Top of section

Tijdelijke oplossingen voor het beveiligingslek met betrekking tot HTML-script in Office Web Components - CVE-2009-1136

Tijdelijke oplossingen zijn wijzigingen in een instelling of configuratie waardoor het beveiligingslek zelf niet wordt gedicht, maar waarmee aanvalsvectoren wel worden geblokkeerd voordat u de update uitvoert. Microsoft heeft de volgende methoden en statussen om het probleem te omzeilen getest om uit te zoeken of een tijdelijke oplossing functionaliteit vermindert:

•

Voorkomen dat de Office Web Components-bibliotheek in Internet Explorer wordt uitgevoerd.

U kunt voorkomen dat de Office Web Components-bibliotheek in Internet Explorer wordt uitgevoerd door de kill-bit voor het besturingssysteem in het register in te stellen.

Waarschuwing Als u de Register-editor onjuist gebruikt, kan dit tot zeer ernstige problemen leiden waardoor u het besturingssysteem mogelijk opnieuw dient te installeren. Microsoft kan niet garanderen dat problemen die ontstaan als gevolg van een onjuist gebruik van de Register-editor, kunnen worden opgelost. Het gebruik van de Register-editor is voor eigen risico. Zie voor meer informatie over het bewerken van het register het Help-onderwerp 'Sleutels en waarden wijzigen' in de Register-editor (regedit.exe) of de Help-onderwerpen 'Toevoegen of verwijderen van registerinformatie' en 'Registergegevens bewerken' in regedt32.exe.

Opmerking Het is aan te raden een back-up te maken van het register voordat u het gaat bewerken.

Opmerking Dit is de actie die door het ISA Server-updatepakket wordt genomen. Deze update voor ISA Server omvat geen binaire bestanden.

Voor uitvoerige stappen waarmee u kunt voorkomen dat een besturingselement in Office Web Components wordt uitgevoerd, verwijzen wij u naar Microsoft Knowledge Base-artikel 240797. Volg deze stappen en breng een compatibiliteitsvlagwaarde aan in het register om te voorkomen dat de Office Web Components-bibliotheek wordt gestart.

Opmerking De klasse-identificaties en de overeenkomende bestanden waarin de bibliotheekobjecten staan, worden beschreven in de veelgestelde vraag 'Wat doet de update?'.

•

Om de kill-bit voor een CLSID met de waarde {0002E541-0000-0000-C000-000000000046} en {0002E559-0000-0000-C000-000000000046} in te stellen, dient u de volgende tekst in een teksteditor te plakken, bijvoorbeeld in Kladblok. Sla het bestand vervolgens op met de extensie .reg.

Windows Registry-editor versie 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{0002E541-0000-0000-C000-000000000046}]
"Compatibility Flags"=dword:00000400

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{0002E559-0000-0000-C000-000000000046}]
"Compatibility Flags"=dword:00000400

U kunt dit REG-bestand op afzonderlijke systemen toepassen door erop te dubbelklikken. U kunt het bestand ook met behulp van Groepsbeleid in domeinen toepassen. Ga naar de volgende websites van Microsoft voor meer informatie over Groepsbeleid:

•	Verzameling groepsbeleidsregels
•	Wat is Group Policy Object Editor?
•	Essentiële hulpprogramma's en instellingen voor groepsbeleid

Opmerking U moet Internet Explorer opnieuw starten om de wijzigingen te laten ingaan

Gevolgen van de tijdelijke oplossing: Nadat de kill-bit is ingesteld, kunt u niet langer gebruikmaken van de OWC Spreadsheet-functie in het ActiveX-besturingselement van Office Web Components in Internet Explorer, Microsoft Office of toepassingen met kill-bits. Dit heeft geen gevolgen voor de standaardwerking van Microsoft Office en de meeste gebruikers zullen geen verandering merken nadat de kill-bit is ingesteld. OWC wordt hoofdzakelijk gebruikt door webtoepassingen, inclusief interne bedrijfstoepassingen, Microsoft Office Project Web Access en de invoegtoepassing voor Office 2003: Web Parts and Components. Het kan ook worden gebruikt in bepaalde VBA-oplossingen in Microsoft Office. Zodra de kill-bit is ingesteld, kunnen deze toepassingen geen gebruik meer maken van functies op basis van het besturingselement van OWC Spreadsheet in het ActiveX-besturingselement van Office Web Components.

Zo kunt u tijdelijke oplossingen ongedaan maken: U kunt de hiervoor beschreven tijdelijke oplossing als volgt ongedaan maken:

Waarschuwing Als u de Register-editor onjuist gebruikt, kan dit tot zeer ernstige problemen leiden waardoor u het besturingssysteem mogelijk opnieuw dient te installeren. Microsoft kan niet garanderen dat problemen die ontstaan als gevolg van een onjuist gebruik van de Register-editor, kunnen worden opgelost. Het gebruik van de Register-editor is voor eigen risico. Zie voor meer informatie over het bewerken van het register het Help-onderwerp 'Sleutels en waarden wijzigen' in de Register-editor (regedit.exe) of de Help-onderwerpen 'Toevoegen of verwijderen van registerinformatie' en 'Registergegevens bewerken' in regedt32.exe.

Opmerking Het is aan te raden een back-up te maken van het register voordat u het gaat bewerken.

•

Om de kill-bit voor een CLSID met de waarde {0002E541-0000-0000-C000-000000000046} en {0002E559-0000-0000-C000-000000000046} ongedaan te maken, dient u de volgende tekst in een teksteditor te plakken, bijvoorbeeld in Kladblok. Sla het bestand vervolgens op met de extensie .reg.

Windows Registry-editor versie 5.00

CLSID_OWC10_Spreadsheet, {0002E541-0000-0000-C000-000000000046}[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{0002E541-0000-0000-C000-000000000046}]

CLSID_OWC11_Spreadsheet, {0002E559-0000-0000-C000-000000000046}[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{0002E559-0000-0000-C000-000000000046}]

•

De registratie van de Office Web Components-bibliotheek ongedaan maken

Opmerking Deze actie werkt niet op een ISA Server-computer omdat:

•	De Office Web Components worden geïnstalleerd in de ISA Server-programmamap (standaard “%ProgramFiles%\Microsoft ISA Server")
•	De Office Web Components worden door het taakrapportagesysteem van de ISA Server telkens opnieuw geregistreerd wanneer er een rapporttaak wordt uitgevoerd.

Waarschuwing Als u de Register-editor onjuist gebruikt, kan dit tot zeer ernstige problemen leiden waardoor u het besturingssysteem mogelijk opnieuw dient te installeren. Microsoft kan niet garanderen dat problemen die ontstaan als gevolg van een onjuist gebruik van de Register-editor, kunnen worden opgelost. Het gebruik van de Register-editor is voor eigen risico. Zie voor meer informatie over het bewerken van het register het Help-onderwerp 'Sleutels en waarden wijzigen' in de Register-editor (regedit.exe) of de Help-onderwerpen 'Toevoegen of verwijderen van registerinformatie' en 'Registergegevens bewerken' in regedt32.exe.

Opmerking Het is aan te raden een back-up te maken van het register voordat u het gaat bewerken.

•	Typ voor OWC 10 het volgende op de opdrachtprompt en selecteer Uitvoeren: Regsvr32.exe /u "C:\Program Files\Common Files\Microsoft Shared\Web Components\10\owc10.dll"
•	Typ voor OWC 11 het volgende op de opdrachtprompt en selecteer Uitvoeren: Regsvr32.exe /u "C:\Program Files\Common Files\Microsoft Shared\Web Components\11\owc11.dll"

Gevolgen van de tijdelijke oplossing: Toepassingen waarvoor de functionaliteit van Office Web Components nodig is, werken niet.

Zo kunt u tijdelijke oplossingen ongedaan maken: Ga als volgt te werk om de registratie van Office Web Components ongedaan te maken:

•	Typ voor OWC 10 het volgende op de opdrachtprompt en selecteer Uitvoeren: Regsvr32.exe "C:\Program Files\Common Files\Microsoft Shared\Web Components\10\owc10.dll"
•	Typ voor OWC 11 het volgende op de opdrachtprompt en selecteer Uitvoeren: Regsvr32.exe "C:\Program Files\Common Files\Microsoft Shared\Web Components\11\owc11.dll"

•

Beperk u alleen tot vertrouwde websites

Nadat u Internet Explorer zodanig hebt ingesteld dat u wordt gevraagd om bevestiging bij het uitvoeren van ActiveX-besturingselementen en het actief uitvoeren van scripts in de zone Het Internet en de zone Lokaal intranet, kunt u al uw vertrouwde websites aan de zone Vertrouwde websites van Internet Explorer toevoegen. Op deze manier bent u beveiligd tegen aanvallen op dit beveiligingslek vanaf niet-vertrouwde websites en kunt u als altijd blijven gebruikmaken van vertrouwde websites. Het is raadzaam alleen websites die u vertrouwt aan de zone Vertrouwde websites toe te voegen.

Voer hiertoe de volgende stappen uit:

1.	Klik op Internet-opties in het menu Extra van Internet Explorer en klik vervolgens op het tabblad Beveiliging.
2.	Klik in het vak Selecteer de zone waarvoor u beveiligingsinstellingen wilt opgeven op Vertrouwde websites en klik op Websites.
3.	Als u websites wilt toevoegen waarvoor geen gecodeerd kanaal is vereist, schakelt u het selectievakje Serververificatie (https:) voor alle websites in deze zone verplicht.
4.	In het vak Deze website aan de zone toevoegen typt u de URL van een website die u vertrouwt. Klik vervolgens op Toevoegen.
5.	Herhaal deze stappen voor elke website die u aan de zone wilt toevoegen.
6.	Klik tweemaal op OK om de wijzigingen te accepteren en terug te keren naar Internet Explorer.

Als er websites zijn waarvan u niet verwacht dat daarvandaan schadelijke acties op uw computer worden ondernomen, voegt u deze aan de vertrouwde websites toe. U kunt bijvoorbeeld de websites '*.windowsupdate.microsoft.com' en '*.update.microsoft.com' (zonder de aanhalingstekens) toevoegen. Dit is de website waar de update is te vinden en er is een ActiveX-besturingselement voor nodig om de update te kunnen installeren.

•

Stel het beveiligingsniveau van de zones Het Internet en Lokaal intranet in op “Hoog” als u gevraagd wilt worden of u ActiveX-besturingselementen in deze zones wilt uitvoeren

U kunt het systeem beter beschermen tegen de gevaren van deze beveiligingslekken door bepaalde instellingen voor de zone Het Internet te wijzigen zodat de gebruiker wordt gevraagd om bevestiging voordat ActiveX-besturingselementen worden uitgevoerd. U kunt dit doen door de beveiliging van uw browser in te stellen op Hoog.

Ga als volgt te werk als u het beveiligingsniveau van Microsoft Internet Explorer wilt verhogen:

1.	Ga in Internet Explorer naar het menu Extra en klik op Internet-opties.
2.	Klik in het dialoogvenster Internet-opties op het tabblad Beveiliging en klik op het pictogram Internet.
3.	Verplaats de schuifregelaar bij Beveiligingsniveau voor deze zone naar Hoog. Hiermee wordt het beveiligingsniveau voor alle websites die u bezoekt, ingesteld op Hoog.

Opmerking Klik, als er geen schuifregelaar zichtbaar is, op Standaardniveau en verplaats de schuifregelaar vervolgens naar Hoog.

Opmerking Door het niveau in te stellen op Hoog worden bepaalde websites mogelijk onjuist weergegeven. Als u problemen ervaart met het bezoeken van websites nadat u deze instelling hebt gewijzigd, en u weet zeker dat het bezoek van de desbetreffende website veilig is, kunt u die website aan uw lijst met vertrouwde websites toevoegen. Hierdoor werkt de website weer goed, zelfs met de beveiligingsinstelling Hoog.

Top of section

Veelgestelde vragen over het beveiligingslek met betrekking tot HTML-script in Office Web Components - CVE-2009-1136

Wat is de omvang van het probleem?
Dit beveiligingslek heeft betrekking op de uitvoering van externe code. Een aanvaller die misbruik weet te maken van dit beveiligingslek, kan volledige controle krijgen over een systeem waarin dit probleem optreedt. De aanvaller kan vervolgens programma's installeren, gegevens bekijken, wijzigen of wissen, of nieuwe accounts met volledige gebruikersrechten maken. Gebruikers met accounts waarvoor minder gebruikersrechten op het systeem zijn ingesteld, lopen minder risico dan gebruikers die met beheerdersrechten werken.

Waardoor wordt het beveiligingslek veroorzaakt?
Als het ActiveX-besturingselement in Internet Explorer wordt gebruikt, worden de parameterwaarden niet juist verwerkt waardoor de systeemstatus dusdanig kan beschadigen dat een aanvaller willekeurige code kan uitvoeren.

Wat is Office Web Components?
Microsoft Office Web Components is een verzameling COM-besturingselementen (Component Object Model) waarmee u spreadsheets, grafieken en databases op internet kunt publiceren en de gepubliceerde onderdelen op internet kunt bekijken.

Met welk doel kan een aanvaller het beveiligingslek misbruiken?
Als er een gebruiker met beheerdersrechten is aangemeld, kan een aanvaller volledige controle krijgen over het systeem waarin dit probleem optreedt. De aanvaller kan vervolgens programma's installeren, gegevens bekijken, wijzigen of wissen, of nieuwe accounts met volledige gebruikersrechten maken. Gebruikers met accounts waarvoor minder gebruikersrechten op het systeem zijn ingesteld, lopen minder risico dan gebruikers die met beheerdersrechten werken.

Hoe kan een aanvaller dit beveiligingslek misbruiken?
Een aanvaller kan het beveiligingslek misbruiken door een speciaal vervaardigde website te hosten die is ontworpen voor het aanroepen van het ActiveX-besturingselement via Internet Explorer. Dit kan ook betrekking hebben op gemanipuleerde websites en websites die inhoud of advertenties van gebruikers accepteren of hosten. Deze websites kunnen speciaal vervaardigde inhoud bevatten, die misbruik van dit beveiligingslek kan maken. Een aanvaller kan echter een gebruiker er niet toe dwingen om naar deze websites te gaan. De aanvaller moet een gebruiker er dus van overtuigen een bezoek te brengen aan de website. In de meeste gevallen doet de aanvaller dat door de gebruiker ertoe te bewegen op een koppeling in een e-mailbericht of een verzoek in een expresbericht te klikken waarmee de gebruiker naar de website van de aanvaller gaat. Speciaal ontworpen webinhoud kan ook worden weergegeven via banneradvertenties of andere manieren waarop webinhoud bij de kwetsbare systemen wordt afgeleverd.

Voor welke systemen vormt dit beveiligingslek het grootste risico?
Voor dit beveiligingslek is het noodzakelijk dat een gebruiker websites bezoekt en daarop is aangemeld voordat er een schadelijke actie kan plaatsvinden. Daarom lopen computers waarop e-mailberichten worden gelezen of waarop Internet Explorer regelmatig wordt gebruikt, zoals werkstations en terminalservers, het meeste risico. Servers zouden eventueel meer gevaar kunnen lopen als beheerders toestaan dat gebruikers zich op servers kunnen aanmelden en programma's kunnen uitvoeren. Dit is echter volkomen in strijd met de aanbevolen richtlijnen voor gebruik.

Ik heb Internet Explorer voor Windows Server 2003 / Windows Server 2008. Betekent dit dat het beveiligingslek minder problemen oplevert?
Ja. Standaard wordt Internet Explorer op Windows Server 2003 en Windows Server 2008 uitgevoerd in een beperkte modus genaamd Verbeterde beveiliging. Verbeterde beveiliging van Internet Explorer betreft een groep vooraf geconfigureerde Internet Explorer-instellingen die de kans vrij klein maken dat een gebruiker of beheerder speciaal vervaardigde webinhoud op een server downloadt en uitvoert. Dit is een beperkende factor voor websites die u niet aan de zone Vertrouwde websites van Internet Explorer hebt toegevoegd. Zie ook De verbeterde beveiliging van Internet Explorer beheren.

Wat is de functie voor het inschakelen van ActiveX-besturingselementen in Windows Internet Explorer 7?
Windows Internet Explorer 7 bevat een functie waarmee u ActiveX kunt inschakelen. Dat betekent dat vrijwel alle vooraf geïnstalleerde ActiveX-besturingselementen standaard zijn uitgeschakeld. Gebruikers wordt door de informatiebalk gevraagd of zij een eerder geïnstalleerd ActiveX-besturingselement willen inschakelen dat nog niet is gebruikt tijdens hun internetsessies. Zo kan de gebruiker per website bepalen of een besturingselement moet worden ingeschakeld. Zie voor meer informatie over deze en andere nieuwe functies de pagina over de eigenschappen van Windows Internet Explorer 7.

Wat doet de update?
De beveiligingsupdate lost het beveiligingslek op door extra parameterverificatie uit te voeren.

Bij kwetsbare versies van ISA Server wordt met de update de kill-bit ingesteld voor alle OWC CLSID's om bekende aanvalsvectoren binnen Internet Explorer te blokkeren. Deze actie is niet van invloed op de functionaliteit van ISA Server.

Was dit beveiligingslek openbaar gemaakt op het moment dat dit beveiligingsbulletin werd uitgegeven?
Terwijl het eerste rapport op verantwoorde wijze aan het licht is gekomen, werd het beveiligingslek later door een afzonderlijke partij openbaar gemaakt. In dit beveiligingsbulletin wordt het openbaar gemaakte beveiligingslek beschreven, alsmede een aantal problemen die na intern onderzoek aan het licht kwamen. Dit beveiligingslek is voor het eerst beschreven in Microsoft-beveiligingsadvies 973472.

Was aan Microsoft gerapporteerd dat er misbruik was gemaakt van dit beveiligingslek op het moment dat dit beveiligingsbulletin werd uitgegeven?
Ja. Microsoft is op de hoogte van beperkte, gerichte aanvallen waarbij wordt geprobeerd het beveiligingslek te misbruiken.

Top of section

Beveiligingslek door een bufferoverloop in Office Web Components - CVE-2009-1534

Er bestaat een beveiligingslek in het ActiveX-besturingselement voor Office Web Components, dat kan leiden tot het uitvoeren van externe code. Een aanvaller kan het beveiligingslek misbruiken door een speciaal ontworpen webpagina te maken. Als een gebruiker die webpagina bekijkt, kan via het beveiligingslek code vanaf een externe locatie worden uitgevoerd. Een aanvaller die erin slaagt misbruik te maken van dit beveiligingslek, kan dezelfde rechten over het systeem krijgen als de lokale gebruiker.

Zie CVE 2009-1534 als u dit beveiligingslek wilt weergeven als standaardvermelding in de lijst met veelvoorkomende beveiligingslekken en blootstellingen.

Beperkende factoren voor het beveiligingslek door een bufferoverloop in Office Web Components - CVE-2009-1534

Met beperkende factoren wordt verwezen naar een instelling, de algehele configuratie of algemene tips voor een standaardstatus waarmee de ernst van misbruik via een beveiligingslek kan worden verminderd. De volgende beperkende factoren kunnen in uw situatie van pas komen:

•	Standaard wordt Internet Explorer in Windows Server 2003 en Windows Server 2008 uitgevoerd in een beperkte modus, Verbeterde beveiliging genaamd. Deze modus vermindert het probleem van dit beveiligingslek. Zie het gedeelte Veelgestelde vragen met betrekking tot deze beveiligingsupdate voor meer informatie over Verbeterde beveiliging van Internet Explorer.
•	HTML-e-mailberichten worden door Outlook Express 6, Outlook 2002 en Outlook 2003 standaard geopend in de zone met websites met beperkte toegang. In Outlook 98 en Outlook 2000 worden HTML-e-mailberichten geopend in de zone met websites met beperkte toegang als de e-mailbeveiligingsupdate voor Outlook is geïnstalleerd. In Outlook Express 5.5 Service Pack 2 worden e-mailberichten in HTML-indeling in de zone met websites met beperkte toegang geopend als het Microsoft-beveiligingsbulletin MS04-018 is geïnstalleerd. De zone Websites met beperkte toegang vermindert het aantal aanvallen die misbruik van dit beveiligingslek maken, doordat er bij het lezen van e-mail in HTML-indeling geen ActiveX-besturingselementen meer worden gebruikt. Als een gebruiker echter op een koppeling binnen een e-mail klikt, kan deze nog wel via het scenario voor een aanval vanaf het web worden getroffen door dit probleem.
•	In het geval van een aanval vanaf het web kan de aanvaller beschikken over een website waarop zich een webpagina bevindt waarmee dit beveiligingslek wordt misbruikt. Daarnaast kunnen ook gemanipuleerde websites en websites waarop gegevens of advertenties staan of gegevens of advertenties kunnen worden ingevoerd, schadelijke inhoud bevatten die dit beveiligingslek kunnen misbruiken. Een aanvaller kan echter een gebruiker er niet toe dwingen om naar deze websites te gaan. De aanvaller moet een gebruiker er dus van overtuigen een bezoek te brengen aan de website. In de meeste gevallen doet de aanvaller dat door de gebruiker ertoe te bewegen op een koppeling in een e-mailbericht of een verzoek in een expresbericht te klikken waarmee de gebruiker naar de website van de aanvaller gaat.
•	Een aanvaller die erin slaagt misbruik te maken van dit beveiligingslek, kan dezelfde rechten over het systeem krijgen als de lokale gebruiker. Gebruikers met accounts waarvoor minder gebruikersrechten op het systeem zijn ingesteld, lopen minder risico dan gebruikers die met beheerdersrechten werken.

Top of section

Tijdelijke oplossingen voor het beveiligingslek door een bufferoverloop in Office Web Components - CVE-2009-1534

Tijdelijke oplossingen zijn wijzigingen in een instelling of configuratie waardoor het beveiligingslek zelf niet wordt gedicht, maar waarmee aanvalsvectoren wel worden geblokkeerd voordat u de update uitvoert. Microsoft heeft de volgende methoden en statussen om het probleem te omzeilen getest om uit te zoeken of een tijdelijke oplossing functionaliteit vermindert:

•

Voorkomen dat de Office Web Components-bibliotheek in Internet Explorer wordt uitgevoerd.

U kunt voorkomen dat de Office Web Components-bibliotheek in Internet Explorer wordt uitgevoerd door de kill-bit voor het besturingssysteem in het register in te stellen.

Waarschuwing Als u de Register-editor onjuist gebruikt, kan dit tot zeer ernstige problemen leiden waardoor u het besturingssysteem mogelijk opnieuw dient te installeren. Microsoft kan niet garanderen dat problemen die ontstaan als gevolg van een onjuist gebruik van de Register-editor, kunnen worden opgelost. Het gebruik van de Register-editor is voor eigen risico. Zie voor meer informatie over het bewerken van het register het Help-onderwerp 'Sleutels en waarden wijzigen' in de Register-editor (regedit.exe) of de Help-onderwerpen 'Toevoegen of verwijderen van registerinformatie' en 'Registergegevens bewerken' in regedt32.exe.

Opmerking Het is aan te raden een back-up te maken van het register voordat u het gaat bewerken.

Opmerking Dit is de actie die door het ISA Server-updatepakket wordt genomen. Deze update voor ISA Server omvat geen binaire bestanden.

Voor uitvoerige stappen waarmee u kunt voorkomen dat een besturingselement in Office Web Components wordt uitgevoerd, verwijzen wij u naar Microsoft Knowledge Base-artikel 240797. Volg deze stappen en breng een compatibiliteitsvlagwaarde aan in het register om te voorkomen dat de Office Web Components-bibliotheek wordt gestart.

Opmerking De klasse-identificaties en de overeenkomende bestanden waarin de bibliotheekobjecten staan, worden beschreven in de veelgestelde vraag 'Wat doet de update?'.

•

Om de kill-bit voor een CLSID met de waarde {0002E512-0000-0000-C000-000000000046} in te stellen, dient u de volgende tekst in een teksteditor te plakken, bijvoorbeeld in Kladblok. Sla het bestand vervolgens op met de extensie .reg.

Windows Registry-editor versie 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{0002E512-0000-0000-C000-000000000046}]
"Compatibility Flags"=dword:00000400

U kunt dit REG-bestand op afzonderlijke systemen toepassen door erop te dubbelklikken. U kunt het bestand ook met behulp van Groepsbeleid in domeinen toepassen. Ga naar de volgende websites van Microsoft voor meer informatie over Groepsbeleid:

•	Verzameling groepsbeleidsregels
•	Wat is Group Policy Object Editor?
•	Essentiële hulpprogramma's en instellingen voor groepsbeleid

Opmerking U moet Internet Explorer opnieuw starten om de wijzigingen te laten ingaan

Gevolgen van de tijdelijke oplossing: Nadat de kill-bit is ingesteld, kunt u niet langer gebruikmaken van de OWC Spreadsheet-functie in het ActiveX-besturingselement van Office Web Components in Internet Explorer, Microsoft Office of toepassingen met kill-bits. Dit heeft geen gevolgen voor de standaardwerking van Microsoft Office en de meeste gebruikers zullen geen verandering merken nadat de kill-bit is ingesteld. OWC wordt hoofdzakelijk gebruikt door webtoepassingen, inclusief interne bedrijfstoepassingen, Microsoft Office Project Web Access en de invoegtoepassing voor Office 2003: Web Parts and Components. Het kan ook worden gebruikt in bepaalde VBA-oplossingen in Microsoft Office. Zodra de kill-bit is ingesteld, kunnen deze toepassingen geen gebruik meer maken van functies op basis van het besturingselement van OWC Spreadsheet in het ActiveX-besturingselement van Office Web Components.

Zo kunt u tijdelijke oplossingen ongedaan maken: U kunt de hiervoor beschreven tijdelijke oplossing als volgt ongedaan maken:

Waarschuwing Als u de Register-editor onjuist gebruikt, kan dit tot zeer ernstige problemen leiden waardoor u het besturingssysteem mogelijk opnieuw dient te installeren. Microsoft kan niet garanderen dat problemen die ontstaan als gevolg van een onjuist gebruik van de Register-editor, kunnen worden opgelost. Het gebruik van de Register-editor is voor eigen risico. Zie voor meer informatie over het bewerken van het register het Help-onderwerp 'Sleutels en waarden wijzigen' in de Register-editor (regedit.exe) of de Help-onderwerpen 'Toevoegen of verwijderen van registerinformatie' en 'Registergegevens bewerken' in regedt32.exe.

Opmerking Het is aan te raden een back-up te maken van het register voordat u het gaat bewerken.

•

Om de kill-bit voor een CLSID met de waarde {0002E512-0000-0000-C000-000000000046} ongedaan te maken dient u de volgende tekst in een teksteditor te plakken, bijvoorbeeld in Kladblok. Sla het bestand vervolgens op met de extensie .reg.

Windows Registry-editor versie 5.00

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{0002E512-0000-0000-C000-000000000046}]

•

De registratie van de Office Web Components-bibliotheek ongedaan maken

Opmerking Deze actie werkt niet op een ISA Server-computer omdat:

•	De Office Web Components worden geïnstalleerd in de ISA Server-programmamap (standaard “%ProgramFiles%\Microsoft ISA Server")
•	De Office Web Components worden door het taakrapportagesysteem van de ISA Server telkens opnieuw geregistreerd wanneer er een rapporttaak wordt uitgevoerd.

Waarschuwing Als u de Register-editor onjuist gebruikt, kan dit tot zeer ernstige problemen leiden waardoor u het besturingssysteem mogelijk opnieuw dient te installeren. Microsoft kan niet garanderen dat problemen die ontstaan als gevolg van een onjuist gebruik van de Register-editor, kunnen worden opgelost. Het gebruik van de Register-editor is voor eigen risico. Zie voor meer informatie over het bewerken van het register het Help-onderwerp 'Sleutels en waarden wijzigen' in de Register-editor (regedit.exe) of de Help-onderwerpen 'Toevoegen of verwijderen van registerinformatie' en 'Registergegevens bewerken' in regedt32.exe.

Opmerking Het is aan te raden een back-up te maken van het register voordat u het gaat bewerken.

•	Typ voor Office 2000 het volgende op de opdrachtprompt en selecteer Uitvoeren: Regsvr32.exe /u "C:\Program Files\Microsoft Office\Office\msowc.dll"
•	Typ voor Office XP het volgende op de opdrachtprompt en selecteer Uitvoeren: Regsvr32.exe /u "C:\Program Files\Microsoft Office\Office10\msowc.dll"

Gevolgen van de tijdelijke oplossing: Toepassingen waarvoor de functionaliteit van Office Web Components nodig is, werken niet.

Zo kunt u tijdelijke oplossingen ongedaan maken: Ga als volgt te werk om de registratie van Office Web Components ongedaan te maken:

•	Typ voor Office 2000 het volgende op de opdrachtprompt en selecteer Uitvoeren: Regsvr32.exe "C:\Program Files\Microsoft Office\Office\msowc.dll"
•	Typ voor Office XP het volgende op de opdrachtprompt en selecteer Uitvoeren: Regsvr32.exe "C:\Program Files\Microsoft Office\Office10\msowc.dll

•

Beperk u alleen tot vertrouwde websites

Nadat u Internet Explorer zodanig hebt ingesteld dat u wordt gevraagd om bevestiging bij het uitvoeren van ActiveX-besturingselementen en het actief uitvoeren van scripts in de zone Het Internet en de zone Lokaal intranet, kunt u al uw vertrouwde websites aan de zone Vertrouwde websites van Internet Explorer toevoegen. Op deze manier bent u beveiligd tegen aanvallen op dit beveiligingslek vanaf niet-vertrouwde websites en kunt u als altijd blijven gebruikmaken van vertrouwde websites. Het is raadzaam alleen websites die u vertrouwt aan de zone Vertrouwde websites toe te voegen.

Voer hiertoe de volgende stappen uit:

1.	Klik op Internet-opties in het menu Extra van Internet Explorer en klik vervolgens op het tabblad Beveiliging.
2.	Klik in het vak Selecteer de zone waarvoor u beveiligingsinstellingen wilt opgeven op Vertrouwde websites en klik op Websites.
3.	Als u websites wilt toevoegen waarvoor geen gecodeerd kanaal is vereist, schakelt u het selectievakje Serververificatie (https:) voor alle websites in deze zone verplicht.
4.	In het vak Deze website aan de zone toevoegen typt u de URL van een website die u vertrouwt. Klik vervolgens op Toevoegen.
5.	Herhaal deze stappen voor elke website die u aan de zone wilt toevoegen.
6.	Klik tweemaal op OK om de wijzigingen te accepteren en terug te keren naar Internet Explorer.

Als er websites zijn waarvan u niet verwacht dat daarvandaan schadelijke acties op uw computer worden ondernomen, voegt u deze aan de vertrouwde websites toe. U kunt bijvoorbeeld de websites '*.windowsupdate.microsoft.com' en '*.update.microsoft.com' (zonder de aanhalingstekens) toevoegen. Dit is de website waar de update is te vinden en er is een ActiveX-besturingselement voor nodig om de update te kunnen installeren.

•

Stel het beveiligingsniveau van de zones Het Internet en Lokaal intranet in op “Hoog” als u gevraagd wilt worden of u ActiveX-besturingselementen in deze zones wilt uitvoeren

U kunt het systeem beter beschermen tegen de gevaren van deze beveiligingslekken door bepaalde instellingen voor de zone Het Internet te wijzigen zodat de gebruiker wordt gevraagd om bevestiging voordat ActiveX-besturingselementen worden uitgevoerd. U kunt dit doen door de beveiliging van uw browser in te stellen op Hoog.

Ga als volgt te werk als u het beveiligingsniveau van Microsoft Internet Explorer wilt verhogen:

1.	Ga in Internet Explorer naar het menu Extra en klik op Internet-opties.
2.	Klik in het dialoogvenster Internet-opties op het tabblad Beveiliging en klik op het pictogram Internet.
3.	Verplaats de schuifregelaar bij Beveiligingsniveau voor deze zone naar Hoog. Hiermee wordt het beveiligingsniveau voor alle websites die u bezoekt, ingesteld op Hoog.

Opmerking Klik, als er geen schuifregelaar zichtbaar is, op Standaardniveau en verplaats de schuifregelaar vervolgens naar Hoog.

Opmerking Door het niveau in te stellen op Hoog worden bepaalde websites mogelijk onjuist weergegeven. Als u problemen ervaart met het bezoeken van websites nadat u deze instelling hebt gewijzigd, en u weet zeker dat het bezoek van de desbetreffende website veilig is, kunt u die website aan uw lijst met vertrouwde websites toevoegen. Hierdoor werkt de website weer goed, zelfs met de beveiligingsinstelling Hoog.

Top of section

Veelgestelde vragen over het beveiligingslek door een bufferoverloop in Office Web Components - CVE-2009-1534