Microsoft-beveiligingsbulletin MS09-062 - Kritiek

Een aanvaller die erin slaagt misbruik te maken van dit beveiligingslek, kan dezelfde rechten over het systeem krijgen als de lokale gebruiker. Gebruikers met accounts waarvoor minder gebruikersrechten op het systeem zijn ingesteld, lopen minder risico dan gebruikers die met beheerdersrechten werken.

In het geval van een aanval vanaf het web kan de aanvaller beschikken over een website waarop zich een webpagina bevindt waarmee dit beveiligingslek wordt misbruikt. Daarnaast kunnen ook gemanipuleerde websites en websites waarop gegevens of advertenties staan of gegevens of advertenties kunnen worden ingevoerd, schadelijke inhoud bevatten die dit beveiligingslek kunnen misbruiken. Een aanvaller kan echter een gebruiker er niet toe dwingen om naar deze websites te gaan. De aanvaller moet een gebruiker er dus van overtuigen een bezoek te brengen aan de website. In de meeste gevallen doet de aanvaller dat door de gebruiker ertoe te bewegen op een koppeling in een e-mailbericht of een verzoek in een expresbericht te klikken waarmee de gebruiker naar de website van de aanvaller gaat.

Standaard wordt Internet Explorer op Windows Server 2003 en Windows Server 2008 uitgevoerd in een beperkte modus genaamd Verbeterde beveiliging. In deze modus wordt het beveiligingsniveau voor de zone Internet ingesteld op Hoog. Dit is een beperkende factor voor websites die u niet aan de zone Vertrouwde websites van Internet Explorer hebt toegevoegd. Zie de subsectie Veelgestelde vragen van dit beveiligingslek voor meer informatie over Verbeterde beveiliging van Internet Explorer.

Het beveiligingslek zou door een aanvaller kunnen worden misbruikt die een gebruiker overtuigde een speciaal vervaardigd bestand te openen. Een aanvaller kan een gebruiker op geen enkele wijze dwingen een speciaal vervaardigd bestand te openen.

Verwerking van metabestanden uitschakelen

1. Klik op Start en vervolgens op Uitvoeren. Typ Regedit en klik vervolgens op OK.

2. Zoek de volgende subsleutel in het register op en klik erop:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\GRE_Initialize

3. Ga in het menu Bewerken naar Nieuw en klik vervolgens op DWORD-waarde.

4. Typ DisableMetaFiles en druk op ENTER.

5. Klik in het menu Bewerken op Wijzigen om de DisableMetaFiles-registervermelding te wijzigen.

6. Typ 1 in het gegevensvak Waarde en klik op OK.

7. Sluit Register-editor af.

8. Start de computer opnieuw op.

Gevolgen van de tijdelijke oplossing: Metabestanden kunnen niet meer worden verwerkt.

Zo kunt u tijdelijke oplossingen ongedaan maken.

1. Klik op Start en vervolgens op Uitvoeren. Typ Regedit en klik vervolgens op OK.

2. Zoek de volgende subsleutel in het register op en klik erop:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\GRE_Initialize

3. Selecteer de registervermelding DisableMetaFiles en klik in het menu Bewerken op Aanpassen.

4. Typ 0 in het gegevensvak Waarde en klik op OK.

5. Sluit Register-editor af.

6. Start de computer opnieuw op.

Verwerking van metabestanden uitschakelen via het groepsbeleidobject

1. Sla de volgende gegevens op in een bestand met de extensie .REG, bijvoorbeeld Disable_MetaFiles.reg:

Windows Registry-editor versie 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\GRE_Initialize]

"DisableMetaFiles"=dword:00000001

2. Voer als beheerder het bovenstaande registerscript met de volgende opdracht vanaf een opdrachtregel op de doelcomputer uit:

Regedit.exe /s Disable_MetaFiles.reg

3. Start de computer opnieuw op.

Gevolgen van de tijdelijke oplossing: Metabestanden kunnen niet meer worden verwerkt.

Toegang tot gdiplus.dll beperken

1. Voer de volgende opdrachten uit in een opdrachtregel van een hogere beheerder

for /F "tokens=*" %G IN ('dir /b /s %windir%\Microsoft.NET\Framework\gdiplus.dll') DO cacls %G /E /P everyone:N
for /F "tokens=*" %G IN ('dir /b /s %windir%\winsxs\gdiplus.dll') DO cacls %G /E /P everyone:N
for /F "tokens=*" %G IN ('dir /b /s ^"%windir%\Downloaded Program Files\gdiplus.dll^"') DO cacls %G /E /P everyone:N
for /F "tokens=*" %G IN ('dir /b /s ^"%programfiles%\microsoft office\gdiplus.dll^"') DO cacls "%G" /E /P everyone:N
for /F "tokens=*" %G IN ('dir /b /s ^"%programfiles^(86^)%\microsoft office\gdiplus.dll^"') DO cacls "%G" /E /P everyone:N
cacls "%programfiles%\Common Files\Microsoft Shared\VFP\gdiplus.dll" /E /P everyone:N
cacls "%programfiles(x86)%\Common Files\Microsoft Shared\VFP\gdiplus.dll" /E /P everyone:N
cacls "%programfiles%\Microsoft Visual FoxPro 8\gdiplus.dll" /E /P everyone:N
cacls "%programfiles(x86)%\Microsoft Visual FoxPro 8\gdiplus.dll" /E /P everyone:N
cacls "%programfiles%\Microsoft Visual FoxPro 9\gdiplus.dll" /E /P everyone:N
cacls "%programfiles(x86)%\Microsoft Visual FoxPro 9\gdiplus.dll" /E /P everyone:N
cacls "%programfiles%\Microsoft Digital Image 2006\gdiplus.dll" /E /P everyone:N
cacls "%programfiles(x86)%\Microsoft Digital Image 2006\gdiplus.dll" /E /P everyone:N
cacls "%programfiles%\Common Files\Microsoft shared\Works Shared\gdiplus.dll" /E /P everyone:N
cacls "%programfiles(x86)%\Common Files\Microsoft shared\Works Shared\gdiplus.dll" /E /P everyone:N
cacls "%programfiles%\Microsoft Works\gdiplus.dll" /E /P everyone:N
cacls "%programfiles(x86)%\Microsoft Works\gdiplus.dll" /E /P everyone:N
cacls "%programfiles%\Common Files\Microsoft Shared\VGX\vgx.dll" /E /P everyone:N
cacls "%programfiles(x86)%\Common Files\Microsoft Shared\VGX\vgx.dll" /E /P everyone:N

2. Start de computer opnieuw op

Gevolgen van de tijdelijke oplossing: In de Windows Picture and Fax Viewer (op versies ouder dan Windows Vista) en andere toepassingen die afhankelijk zijn van GDI+, kunnen geen afbeeldingen worden weergegeven. Ook kunnen miniaturen in Windows Verkenner (op versies ouder dan Vista) niet worden weergegeven.

Zo kunt u tijdelijke oplossingen ongedaan maken.

1. Voer de volgende opdrachten uit in een opdrachtregel van een hogere beheerder

for /F "tokens=*" %G IN ('dir /b /s %windir%\Microsoft.NET\Framework\gdiplus.dll') DO cacls %G /E /R everyone
for /F "tokens=*" %G IN ('dir /b /s %windir%\winsxs\gdiplus.dll') DO cacls %G /E /R everyone
for /F "tokens=*" %G IN ('dir /b /s ^"%windir%\Downloaded Program Files\gdiplus.dll^"') DO cacls %G /E /R everyone
for /F "tokens=*" %G IN ('dir /b /s ^"%programfiles%\microsoft office\gdiplus.dll^"') DO cacls "%G" /E /R everyone
for /F "tokens=*" %G IN ('dir /b /s ^"%programfiles^(86^)%\microsoft office\gdiplus.dll^"') DO cacls "%G" /E /R everyone
cacls "%programfiles%\Common Files\Microsoft Shared\VFP\gdiplus.dll" /E /R everyone
cacls "%programfiles(x86)%\Common Files\Microsoft Shared\VFP\gdiplus.dll" /E /R everyone
cacls "%programfiles%\Microsoft Visual FoxPro 8\gdiplus.dll" /E /R everyone
cacls "%programfiles(x86)%\Microsoft Visual FoxPro 8\gdiplus.dll" /E /R everyone
cacls "%programfiles%\Microsoft Visual FoxPro 9\gdiplus.dll" /E /R everyone
cacls "%programfiles(x86)%\Microsoft Visual FoxPro 9\gdiplus.dll" /E /R everyone
cacls "%programfiles%\Microsoft Digital Image 2006\gdiplus.dll" /E /R everyone
cacls "%programfiles(x86)%\Microsoft Digital Image 2006\gdiplus.dll" /E /R everyone
cacls "%programfiles%\Common Files\Microsoft shared\Works Shared\gdiplus.dll" /E /R everyone
cacls "%programfiles(x86)%\Common Files\Microsoft shared\Works Shared\gdiplus.dll" /E /R everyone
cacls "%programfiles%\Microsoft Works\gdiplus.dll" /E /R everyone
cacls "%programfiles(x86)%\Microsoft Works\gdiplus.dll" /E /R everyone
cacls "%programfiles%\ Common Files\Microsoft Shared\VGX\vgx.dll" /E /R everyone
cacls "%programfiles(x86)%\ Common Files\Microsoft Shared\VGX\vgx.dll" /E /R everyone

2. Start de computer opnieuw op

De registratie van vgx.dll ongedaan maken

1. Klik achtereenvolgens op Start en Uitvoeren, typ "%SystemRoot%\System32\regsvr32.exe" -u "%CommonProgramFiles%\Microsoft Shared\VGX\vgx.dll" en klik vervolgens op OK.

2. Er wordt een dialoogvenster weergegeven waarin wordt bevestigd dat de verwijdering uit het register geslaagd is. Klik op OK om het dialoogvenster te sluiten.

Gevolgen van de tijdelijke oplossing: Zodra vgx.dll uit het register is verwijderd, geven toepassingen VML niet langer weer.

Zo kunt u tijdelijke oplossingen ongedaan maken.

1. Klik achtereenvolgens op Start en Uitvoeren, typ "%SystemRoot%\System32\regsvr32,exe" "%CommonProgramFiles%\Microsoft Shared\VGX\vgx.dll" en klik vervolgens op OK.

2. Er wordt een dialoogvenster weergegeven waarin wordt bevestigd dat vgx.dll opnieuw in het register is opgenomen. Klik op OK om het dialoogvenster te sluiten.

Verhinderen dat RSClientPrint in Internet Explorer wordt gestart

U kunt pogingen om RSClientPrint in Internet Explorer te starten, verhinderen door de kill-bit voor het besturingselement in het register in te stellen.

Waarschuwing Als u de Register-editor onjuist gebruikt, kan dit tot zeer ernstige problemen leiden waardoor u het besturingssysteem mogelijk opnieuw dient te installeren. Microsoft kan niet garanderen dat problemen die ontstaan als gevolg van een onjuist gebruik van de Register-editor, kunnen worden opgelost. Het gebruik van de Register-editor is voor eigen risico.

Voor uitvoerige stappen over het uitschakelen van een besturingselement in Internet Explorer verwijzen wij u naar Microsoft Knowledge Base-artikel 240797. Volg de stappen in dit artikel en breng een compatibiliteitsvlagwaarde aan in het register om te voorkomen dat RSClientPrint in Internet Explorer wordt gestart.

Plak de volgende tekst in een teksteditor, bijvoorbeeld Kladblok. Sla het bestand vervolgens op met de extensie .reg.

Windows Registry-editor versie 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{41861299-EAB2-4DCC-986C-802AE12AC499}]

"Compatibility Flags"=dword:00000400

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\ActiveX Compatibility\{41861299-EAB2-4DCC-986C-802AE12AC499}]

"Compatibility Flags"=dword:00000400

U kunt dit REG-bestand op afzonderlijke systemen toepassen door erop te dubbelklikken. U kunt het bestand ook met behulp van Groepsbeleid in domeinen toepassen. Ga naar de volgende websites van Microsoft voor meer informatie over Groepsbeleid:

Opmerking U moet Internet Explorer opnieuw starten om de wijzigingen te laten ingaan.

Gevolgen van de tijdelijke oplossing: Geen, zolang het object niet in Internet Explorer wordt gebruikt.

Zo kunt u tijdelijke oplossingen ongedaan maken.

Plak de volgende tekst in een teksteditor, bijvoorbeeld Kladblok. Sla het bestand vervolgens op met de extensie .reg.

Windows Registry-editor versie 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{41861299-EAB2-4DCC-986C-802AE12AC499}]

"Compatibility Flags"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\ActiveX Compatibility\{41861299-EAB2-4DCC-986C-802AE12AC499}]

"Compatibility Flags"=-

U kunt dit REG-bestand op afzonderlijke systemen toepassen door erop te dubbelklikken. U kunt het bestand ook met behulp van Groepsbeleid in domeinen toepassen. Ga naar de volgende websites van Microsoft voor meer informatie over Groepsbeleid:

Opmerking U moet Internet Explorer opnieuw starten om de wijzigingen te laten ingaan.

E-mailberichten in de indeling voor tekst zonder opmaak lezen

Om uzelf te beschermen tegen vectoraanvallen via e-mail moet u de e-mailberichten als tekst zonder opmaak lezen.

Gebruikers van Microsoft Office Outlook 2002 die Office XP Service Pack 1 of hoger hebben geïnstalleerd, en gebruikers van Microsoft Office Outlook Express 6 die Internet Explorer 6 Service Pack 1 hebben geïnstalleerd, kunnen deze instelling inschakelen om alle niet-digitaal ondertekende e-mailberichten of niet-gecodeerde e-mailberichten alleen als tekst zonder opmaak te lezen.

Digitaal ondertekende e-mailberichten of gecodeerde e-mailberichten worden niet door deze instelling beïnvloed en kunnen in hun oorspronkelijke indeling worden gelezen. Zie Microsoft Knowledge Base-artikel 307594 voor meer informatie over het inschakelen van deze instelling in Outlook 2002.

Zie Microsoft Knowledge Base-artikel 291387 voor meer informatie over deze instelling in Outlook Express 6.

Gevolgen van de tijdelijke oplossing: E-mailberichten die u in de indeling tekst zonder opmaak bekijkt, kunnen geen afbeeldingen, bijzondere lettertypen, animaties of andere inhoud met opmaak bevatten. Bovendien geldt het volgende:

Een aanvaller die erin slaagt misbruik te maken van dit beveiligingslek, kan dezelfde rechten over het systeem krijgen als de lokale gebruiker. Gebruikers met accounts waarvoor minder gebruikersrechten op het systeem zijn ingesteld, lopen minder risico dan gebruikers die met beheerdersrechten werken.

In het geval van een aanval vanaf het web kan de aanvaller beschikken over een website waarop zich een webpagina bevindt waarmee dit beveiligingslek wordt misbruikt. Daarnaast kunnen ook gemanipuleerde websites en websites waarop gegevens of advertenties staan of gegevens of advertenties kunnen worden ingevoerd, schadelijke inhoud bevatten die dit beveiligingslek kunnen misbruiken. Een aanvaller kan echter een gebruiker er niet toe dwingen om naar deze websites te gaan. De aanvaller moet een gebruiker er dus van overtuigen een bezoek te brengen aan de website. In de meeste gevallen doet de aanvaller dat door de gebruiker ertoe te bewegen op een koppeling in een e-mailbericht of een verzoek in een expresbericht te klikken waarmee de gebruiker naar de website van de aanvaller gaat.

Standaard wordt Internet Explorer op Windows Server 2003 en Windows Server 2008 uitgevoerd in een beperkte modus genaamd Verbeterde beveiliging. In deze modus wordt het beveiligingsniveau voor de zone Internet ingesteld op Hoog. Dit is een beperkende factor voor websites die u niet aan de zone Vertrouwde websites van Internet Explorer hebt toegevoegd. Zie de subsectie Veelgestelde vragen van dit beveiligingslek voor meer informatie over Verbeterde beveiliging van Internet Explorer.

Toegang tot gdiplus.dll beperken

1. Voer de volgende opdrachten uit in een opdrachtregel van een hogere beheerder

for /F "tokens=*" %G IN ('dir /b /s %windir%\Microsoft.NET\Framework\gdiplus.dll') DO cacls %G /E /P everyone:N
for /F "tokens=*" %G IN ('dir /b /s %windir%\winsxs\gdiplus.dll') DO cacls %G /E /P everyone:N
for /F "tokens=*" %G IN ('dir /b /s ^"%windir%\Downloaded Program Files\gdiplus.dll^"') DO cacls %G /E /P everyone:N
for /F "tokens=*" %G IN ('dir /b /s ^"%programfiles%\microsoft office\gdiplus.dll^"') DO cacls "%G" /E /P everyone:N
for /F "tokens=*" %G IN ('dir /b /s ^"%programfiles^(86^)%\microsoft office\gdiplus.dll^"') DO cacls "%G" /E /P everyone:N
cacls "%programfiles%\Common Files\Microsoft Shared\VFP\gdiplus.dll" /E /P everyone:N
cacls "%programfiles(x86)%\Common Files\Microsoft Shared\VFP\gdiplus.dll" /E /P everyone:N
cacls "%programfiles%\Microsoft Visual FoxPro 8\gdiplus.dll" /E /P everyone:N
cacls "%programfiles(x86)%\Microsoft Visual FoxPro 8\gdiplus.dll" /E /P everyone:N
cacls "%programfiles%\Microsoft Visual FoxPro 9\gdiplus.dll" /E /P everyone:N
cacls "%programfiles(x86)%\Microsoft Visual FoxPro 9\gdiplus.dll" /E /P everyone:N
cacls "%programfiles%\Microsoft Digital Image 2006\gdiplus.dll" /E /P everyone:N
cacls "%programfiles(x86)%\Microsoft Digital Image 2006\gdiplus.dll" /E /P everyone:N
cacls "%programfiles%\Common Files\Microsoft shared\Works Shared\gdiplus.dll" /E /P everyone:N
cacls "%programfiles(x86)%\Common Files\Microsoft shared\Works Shared\gdiplus.dll" /E /P everyone:N
cacls "%programfiles%\Microsoft Works\gdiplus.dll" /E /P everyone:N
cacls "%programfiles(x86)%\Microsoft Works\gdiplus.dll" /E /P everyone:N
cacls "%programfiles%\Common Files\Microsoft Shared\VGX\vgx.dll" /E /P everyone:N
cacls "%programfiles(x86)%\Common Files\Microsoft Shared\VGX\vgx.dll" /E /P everyone:N

2. Start de computer opnieuw op

Gevolgen van de tijdelijke oplossing: In de Windows Picture and Fax Viewer (op versies ouder dan Windows Vista) en andere toepassingen die afhankelijk zijn van GDI+, kunnen geen afbeeldingen worden weergegeven. Ook kunnen miniaturen in Windows Verkenner (op versies ouder dan Vista) niet worden weergegeven.

Zo kunt u tijdelijke oplossingen ongedaan maken.

1. Voer de volgende opdrachten uit in een opdrachtregel van een hogere beheerder

for /F "tokens=*" %G IN ('dir /b /s %windir%\Microsoft.NET\Framework\gdiplus.dll') DO cacls %G /E /R everyone
for /F "tokens=*" %G IN ('dir /b /s %windir%\winsxs\gdiplus.dll') DO cacls %G /E /R everyone
for /F "tokens=*" %G IN ('dir /b /s ^"%windir%\Downloaded Program Files\gdiplus.dll^"') DO cacls %G /E /R everyone
for /F "tokens=*" %G IN ('dir /b /s ^"%programfiles%\microsoft office\gdiplus.dll^"') DO cacls "%G" /E /R everyone
for /F "tokens=*" %G IN ('dir /b /s ^"%programfiles^(86^)%\microsoft office\gdiplus.dll^"') DO cacls "%G" /E /R everyone
cacls "%programfiles%\Common Files\Microsoft Shared\VFP\gdiplus.dll" /E /R everyone
cacls "%programfiles(x86)%\Common Files\Microsoft Shared\VFP\gdiplus.dll" /E /R everyone
cacls "%programfiles%\Microsoft Visual FoxPro 8\gdiplus.dll" /E /R everyone
cacls "%programfiles(x86)%\Microsoft Visual FoxPro 8\gdiplus.dll" /E /R everyone
cacls "%programfiles%\Microsoft Visual FoxPro 9\gdiplus.dll" /E /R everyone
cacls "%programfiles(x86)%\Microsoft Visual FoxPro 9\gdiplus.dll" /E /R everyone
cacls "%programfiles%\Microsoft Digital Image 2006\gdiplus.dll" /E /R everyone
cacls "%programfiles(x86)%\Microsoft Digital Image 2006\gdiplus.dll" /E /R everyone
cacls "%programfiles%\Common Files\Microsoft shared\Works Shared\gdiplus.dll" /E /R everyone
cacls "%programfiles(x86)%\Common Files\Microsoft shared\Works Shared\gdiplus.dll" /E /R everyone
cacls "%programfiles%\Microsoft Works\gdiplus.dll" /E /R everyone
cacls "%programfiles(x86)%\Microsoft Works\gdiplus.dll" /E /R everyone
cacls "%programfiles%\ Common Files\Microsoft Shared\VGX\vgx.dll" /E /R everyone
cacls "%programfiles(x86)%\ Common Files\Microsoft Shared\VGX\vgx.dll" /E /R everyone

2. Start de computer opnieuw op

De registratie van vgx.dll ongedaan maken

1. Klik achtereenvolgens op Start en Uitvoeren, typ "%SystemRoot%\System32\regsvr32.exe" -u "%CommonProgramFiles%\Microsoft Shared\VGX\vgx.dll" en klik vervolgens op OK.

2. Er wordt een dialoogvenster weergegeven waarin wordt bevestigd dat de verwijdering uit het register geslaagd is. Klik op OK om het dialoogvenster te sluiten.

Gevolgen van de tijdelijke oplossing: Zodra vgx.dll uit het register is verwijderd, geven toepassingen VML niet langer weer.

Zo kunt u tijdelijke oplossingen ongedaan maken.

1. Klik achtereenvolgens op Start en Uitvoeren, typ "%SystemRoot%\System32\regsvr32,exe" "%CommonProgramFiles%\Microsoft Shared\VGX\vgx.dll" en klik vervolgens op OK.

2. Er wordt een dialoogvenster weergegeven waarin wordt bevestigd dat vgx.dll opnieuw in het register is opgenomen. Klik op OK om het dialoogvenster te sluiten.

Verhinderen dat RSClientPrint in Internet Explorer wordt gestart

U kunt pogingen om RSClientPrint in Internet Explorer te starten, verhinderen door de kill-bit voor het besturingselement in het register in te stellen.

Waarschuwing Als u de Register-editor onjuist gebruikt, kan dit tot zeer ernstige problemen leiden waardoor u het besturingssysteem mogelijk opnieuw dient te installeren. Microsoft kan niet garanderen dat problemen die ontstaan als gevolg van een onjuist gebruik van de Register-editor, kunnen worden opgelost. Het gebruik van de Register-editor is voor eigen risico.

Voor uitvoerige stappen over het uitschakelen van een besturingselement in Internet Explorer verwijzen wij u naar Microsoft Knowledge Base-artikel 240797. Volg de stappen in dit artikel en breng een compatibiliteitsvlagwaarde aan in het register om te voorkomen dat RSClientPrint in Internet Explorer wordt gestart.

Plak de volgende tekst in een teksteditor, bijvoorbeeld Kladblok. Sla het bestand vervolgens op met de extensie .reg.

Windows Registry-editor versie 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{41861299-EAB2-4DCC-986C-802AE12AC499}]

"Compatibility Flags"=dword:00000400

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\ActiveX Compatibility\{41861299-EAB2-4DCC-986C-802AE12AC499}]

"Compatibility Flags"=dword:00000400

U kunt dit REG-bestand op afzonderlijke systemen toepassen door erop te dubbelklikken. U kunt het bestand ook met behulp van Groepsbeleid in domeinen toepassen. Ga naar de volgende websites van Microsoft voor meer informatie over Groepsbeleid:

Opmerking U moet Internet Explorer opnieuw starten om de wijzigingen te laten ingaan.

Gevolgen van de tijdelijke oplossing: Geen, zolang het object niet in Internet Explorer wordt gebruikt.

Zo kunt u tijdelijke oplossingen ongedaan maken.

Plak de volgende tekst in een teksteditor, bijvoorbeeld Kladblok. Sla het bestand vervolgens op met de extensie .reg.

Windows Registry-editor versie 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{41861299-EAB2-4DCC-986C-802AE12AC499}]

"Compatibility Flags"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\ActiveX Compatibility\{41861299-EAB2-4DCC-986C-802AE12AC499}]

"Compatibility Flags"=-

U kunt dit REG-bestand op afzonderlijke systemen toepassen door erop te dubbelklikken. U kunt het bestand ook met behulp van Groepsbeleid in domeinen toepassen. Ga naar de volgende websites van Microsoft voor meer informatie over Groepsbeleid:

Opmerking U moet Internet Explorer opnieuw starten om de wijzigingen te laten ingaan.

E-mailberichten in de indeling voor tekst zonder opmaak lezen

Om uzelf te beschermen tegen vectoraanvallen via e-mail moet u de e-mailberichten als tekst zonder opmaak lezen.

Gebruikers van Microsoft Office Outlook 2002 die Office XP Service Pack 1 of hoger hebben geïnstalleerd, en gebruikers van Microsoft Office Outlook Express 6 die Internet Explorer 6 Service Pack 1 hebben geïnstalleerd, kunnen deze instelling inschakelen om alle niet-digitaal ondertekende e-mailberichten of niet-gecodeerde e-mailberichten alleen als tekst zonder opmaak te lezen.

Digitaal ondertekende e-mailberichten of gecodeerde e-mailberichten worden niet door deze instelling beïnvloed en kunnen in hun oorspronkelijke indeling worden gelezen. Zie Microsoft Knowledge Base-artikel 307594 voor meer informatie over het inschakelen van deze instelling in Outlook 2002.

Zie Microsoft Knowledge Base-artikel 291387 voor meer informatie over deze instelling in Outlook Express 6.

Gevolgen van de tijdelijke oplossing: E-mailberichten die u in de indeling tekst zonder opmaak bekijkt, kunnen geen afbeeldingen, bijzondere lettertypen, animaties of andere inhoud met opmaak bevatten. Bovendien geldt het volgende:

Een aanvaller die erin slaagt misbruik te maken van dit beveiligingslek, kan dezelfde rechten over het systeem krijgen als de lokale gebruiker. Gebruikers met accounts waarvoor minder gebruikersrechten op het systeem zijn ingesteld, lopen minder risico dan gebruikers die met beheerdersrechten werken.

In het geval van een aanval vanaf het web kan de aanvaller beschikken over een website waarop zich een webpagina bevindt waarmee dit beveiligingslek wordt misbruikt. Daarnaast kunnen ook gemanipuleerde websites en websites waarop gegevens of advertenties staan of gegevens of advertenties kunnen worden ingevoerd, schadelijke inhoud bevatten die dit beveiligingslek kunnen misbruiken. Een aanvaller kan echter een gebruiker er niet toe dwingen om naar deze websites te gaan. De aanvaller moet een gebruiker er dus van overtuigen een bezoek te brengen aan de website. In de meeste gevallen doet de aanvaller dat door de gebruiker ertoe te bewegen op een koppeling in een e-mailbericht of een verzoek in een expresbericht te klikken waarmee de gebruiker naar de website van de aanvaller gaat.

Standaard wordt Internet Explorer op Windows Server 2003 en Windows Server 2008 uitgevoerd in een beperkte modus genaamd Verbeterde beveiliging. In deze modus wordt het beveiligingsniveau voor de zone Internet ingesteld op Hoog. Dit is een beperkende factor voor websites die u niet aan de zone Vertrouwde websites van Internet Explorer hebt toegevoegd. Zie de subsectie Veelgestelde vragen van dit beveiligingslek voor meer informatie over Verbeterde beveiliging van Internet Explorer.

Toegang tot gdiplus.dll beperken

1. Voer de volgende opdrachten uit in een opdrachtregel van een hogere beheerder

for /F "tokens=*" %G IN ('dir /b /s %windir%\Microsoft.NET\Framework\gdiplus.dll') DO cacls %G /E /P everyone:N
for /F "tokens=*" %G IN ('dir /b /s %windir%\winsxs\gdiplus.dll') DO cacls %G /E /P everyone:N
for /F "tokens=*" %G IN ('dir /b /s ^"%windir%\Downloaded Program Files\gdiplus.dll^"') DO cacls %G /E /P everyone:N
for /F "tokens=*" %G IN ('dir /b /s ^"%programfiles%\microsoft office\gdiplus.dll^"') DO cacls "%G" /E /P everyone:N
for /F "tokens=*" %G IN ('dir /b /s ^"%programfiles^(86^)%\microsoft office\gdiplus.dll^"') DO cacls "%G" /E /P everyone:N
cacls "%programfiles%\Common Files\Microsoft Shared\VFP\gdiplus.dll" /E /P everyone:N
cacls "%programfiles(x86)%\Common Files\Microsoft Shared\VFP\gdiplus.dll" /E /P everyone:N
cacls "%programfiles%\Microsoft Visual FoxPro 8\gdiplus.dll" /E /P everyone:N
cacls "%programfiles(x86)%\Microsoft Visual FoxPro 8\gdiplus.dll" /E /P everyone:N
cacls "%programfiles%\Microsoft Visual FoxPro 9\gdiplus.dll" /E /P everyone:N
cacls "%programfiles(x86)%\Microsoft Visual FoxPro 9\gdiplus.dll" /E /P everyone:N
cacls "%programfiles%\Microsoft Digital Image 2006\gdiplus.dll" /E /P everyone:N
cacls "%programfiles(x86)%\Microsoft Digital Image 2006\gdiplus.dll" /E /P everyone:N
cacls "%programfiles%\Common Files\Microsoft shared\Works Shared\gdiplus.dll" /E /P everyone:N
cacls "%programfiles(x86)%\Common Files\Microsoft shared\Works Shared\gdiplus.dll" /E /P everyone:N
cacls "%programfiles%\Microsoft Works\gdiplus.dll" /E /P everyone:N
cacls "%programfiles(x86)%\Microsoft Works\gdiplus.dll" /E /P everyone:N
cacls "%programfiles%\Common Files\Microsoft Shared\VGX\vgx.dll" /E /P everyone:N
cacls "%programfiles(x86)%\Common Files\Microsoft Shared\VGX\vgx.dll" /E /P everyone:N

2. Start de computer opnieuw op

Gevolgen van de tijdelijke oplossing: In de Windows Picture and Fax Viewer (op versies ouder dan Windows Vista) en andere toepassingen die afhankelijk zijn van GDI+, kunnen geen afbeeldingen worden weergegeven. Ook kunnen miniaturen in Windows Verkenner (op versies ouder dan Vista) niet worden weergegeven.

Zo kunt u tijdelijke oplossingen ongedaan maken.

1. Voer de volgende opdrachten uit in een opdrachtregel van een hogere beheerder

for /F "tokens=*" %G IN ('dir /b /s %windir%\Microsoft.NET\Framework\gdiplus.dll') DO cacls %G /E /R everyone
for /F "tokens=*" %G IN ('dir /b /s %windir%\winsxs\gdiplus.dll') DO cacls %G /E /R everyone
for /F "tokens=*" %G IN ('dir /b /s ^"%windir%\Downloaded Program Files\gdiplus.dll^"') DO cacls %G /E /R everyone
for /F "tokens=*" %G IN ('dir /b /s ^"%programfiles%\microsoft office\gdiplus.dll^"') DO cacls "%G" /E /R everyone
for /F "tokens=*" %G IN ('dir /b /s ^"%programfiles^(86^)%\microsoft office\gdiplus.dll^"') DO cacls "%G" /E /R everyone
cacls "%programfiles%\Common Files\Microsoft Shared\VFP\gdiplus.dll" /E /R everyone
cacls "%programfiles(x86)%\Common Files\Microsoft Shared\VFP\gdiplus.dll" /E /R everyone
cacls "%programfiles%\Microsoft Visual FoxPro 8\gdiplus.dll" /E /R everyone
cacls "%programfiles(x86)%\Microsoft Visual FoxPro 8\gdiplus.dll" /E /R everyone
cacls "%programfiles%\Microsoft Visual FoxPro 9\gdiplus.dll" /E /R everyone
cacls "%programfiles(x86)%\Microsoft Visual FoxPro 9\gdiplus.dll" /E /R everyone
cacls "%programfiles%\Microsoft Digital Image 2006\gdiplus.dll" /E /R everyone
cacls "%programfiles(x86)%\Microsoft Digital Image 2006\gdiplus.dll" /E /R everyone
cacls "%programfiles%\Common Files\Microsoft shared\Works Shared\gdiplus.dll" /E /R everyone
cacls "%programfiles(x86)%\Common Files\Microsoft shared\Works Shared\gdiplus.dll" /E /R everyone
cacls "%programfiles%\Microsoft Works\gdiplus.dll" /E /R everyone
cacls "%programfiles(x86)%\Microsoft Works\gdiplus.dll" /E /R everyone
cacls "%programfiles%\ Common Files\Microsoft Shared\VGX\vgx.dll" /E /R everyone
cacls "%programfiles(x86)%\ Common Files\Microsoft Shared\VGX\vgx.dll" /E /R everyone

2. Start de computer opnieuw op

De registratie van vgx.dll ongedaan maken

1. Klik achtereenvolgens op Start en Uitvoeren, typ "%SystemRoot%\System32\regsvr32.exe" -u "%CommonProgramFiles%\Microsoft Shared\VGX\vgx.dll" en klik vervolgens op OK.

2. Er wordt een dialoogvenster weergegeven waarin wordt bevestigd dat de verwijdering uit het register geslaagd is. Klik op OK om het dialoogvenster te sluiten.

Gevolgen van de tijdelijke oplossing: Zodra vgx.dll uit het register is verwijderd, geven toepassingen VML niet langer weer.

Zo kunt u tijdelijke oplossingen ongedaan maken.

1. Klik achtereenvolgens op Start en Uitvoeren, typ "%SystemRoot%\System32\regsvr32,exe" "%CommonProgramFiles%\Microsoft Shared\VGX\vgx.dll" en klik vervolgens op OK.

2. Er wordt een dialoogvenster weergegeven waarin wordt bevestigd dat vgx.dll opnieuw in het register is opgenomen. Klik op OK om het dialoogvenster te sluiten.

Verhinderen dat RSClientPrint in Internet Explorer wordt gestart

U kunt pogingen om RSClientPrint in Internet Explorer te starten, verhinderen door de kill-bit voor het besturingselement in het register in te stellen.

Waarschuwing Als u de Register-editor onjuist gebruikt, kan dit tot zeer ernstige problemen leiden waardoor u het besturingssysteem mogelijk opnieuw dient te installeren. Microsoft kan niet garanderen dat problemen die ontstaan als gevolg van een onjuist gebruik van de Register-editor, kunnen worden opgelost. Het gebruik van de Register-editor is voor eigen risico.

Voor uitvoerige stappen over het uitschakelen van een besturingselement in Internet Explorer verwijzen wij u naar Microsoft Knowledge Base-artikel 240797. Volg de stappen in dit artikel en breng een compatibiliteitsvlagwaarde aan in het register om te voorkomen dat RSClientPrint in Internet Explorer wordt gestart.

Plak de volgende tekst in een teksteditor, bijvoorbeeld Kladblok. Sla het bestand vervolgens op met de extensie .reg.

Windows Registry-editor versie 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{41861299-EAB2-4DCC-986C-802AE12AC499}]

"Compatibility Flags"=dword:00000400

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\ActiveX Compatibility\{41861299-EAB2-4DCC-986C-802AE12AC499}]

"Compatibility Flags"=dword:00000400

U kunt dit REG-bestand op afzonderlijke systemen toepassen door erop te dubbelklikken. U kunt het bestand ook met behulp van Groepsbeleid in domeinen toepassen. Ga naar de volgende websites van Microsoft voor meer informatie over Groepsbeleid:

Opmerking U moet Internet Explorer opnieuw starten om de wijzigingen te laten ingaan.

Gevolgen van de tijdelijke oplossing: Geen, zolang het object niet in Internet Explorer wordt gebruikt.

Zo kunt u tijdelijke oplossingen ongedaan maken.

Plak de volgende tekst in een teksteditor, bijvoorbeeld Kladblok. Sla het bestand vervolgens op met de extensie .reg.

Windows Registry-editor versie 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{41861299-EAB2-4DCC-986C-802AE12AC499}]

"Compatibility Flags"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\ActiveX Compatibility\{41861299-EAB2-4DCC-986C-802AE12AC499}]

"Compatibility Flags"=-

U kunt dit REG-bestand op afzonderlijke systemen toepassen door erop te dubbelklikken. U kunt het bestand ook met behulp van Groepsbeleid in domeinen toepassen. Ga naar de volgende websites van Microsoft voor meer informatie over Groepsbeleid:

Opmerking U moet Internet Explorer opnieuw starten om de wijzigingen te laten ingaan.

E-mailberichten in de indeling voor tekst zonder opmaak lezen

Om uzelf te beschermen tegen vectoraanvallen via e-mail moet u de e-mailberichten als tekst zonder opmaak lezen.

Gebruikers van Microsoft Office Outlook 2002 die Office XP Service Pack 1 of hoger hebben geïnstalleerd, en gebruikers van Microsoft Office Outlook Express 6 die Internet Explorer 6 Service Pack 1 hebben geïnstalleerd, kunnen deze instelling inschakelen om alle niet-digitaal ondertekende e-mailberichten of niet-gecodeerde e-mailberichten alleen als tekst zonder opmaak te lezen.

Digitaal ondertekende e-mailberichten of gecodeerde e-mailberichten worden niet door deze instelling beïnvloed en kunnen in hun oorspronkelijke indeling worden gelezen. Zie Microsoft Knowledge Base-artikel 307594 voor meer informatie over het inschakelen van deze instelling in Outlook 2002.

Zie Microsoft Knowledge Base-artikel 291387 voor meer informatie over deze instelling in Outlook Express 6.

Gevolgen van de tijdelijke oplossing: E-mailberichten die u in de indeling tekst zonder opmaak bekijkt, kunnen geen afbeeldingen, bijzondere lettertypen, animaties of andere inhoud met opmaak bevatten. Bovendien geldt het volgende:

Een aanvaller die erin slaagt misbruik te maken van dit beveiligingslek, kan dezelfde rechten over het systeem krijgen als de lokale gebruiker. Gebruikers met accounts waarvoor minder gebruikersrechten op het systeem zijn ingesteld, lopen minder risico dan gebruikers die met beheerdersrechten werken.

In het geval van een aanval vanaf het web kan de aanvaller beschikken over een website waarop zich een webpagina bevindt waarmee dit beveiligingslek wordt misbruikt. Daarnaast kunnen ook gemanipuleerde websites en websites waarop gegevens of advertenties staan of gegevens of advertenties kunnen worden ingevoerd, schadelijke inhoud bevatten die dit beveiligingslek kunnen misbruiken. Een aanvaller kan echter een gebruiker er niet toe dwingen om naar deze websites te gaan. De aanvaller moet een gebruiker er dus van overtuigen een bezoek te brengen aan de website. In de meeste gevallen doet de aanvaller dat door de gebruiker ertoe te bewegen op een koppeling in een e-mailbericht of een verzoek in een expresbericht te klikken waarmee de gebruiker naar de website van de aanvaller gaat.

Standaard wordt Internet Explorer op Windows Server 2003 en Windows Server 2008 uitgevoerd in een beperkte modus genaamd Verbeterde beveiliging. In deze modus wordt het beveiligingsniveau voor de zone Internet ingesteld op Hoog. Dit is een beperkende factor voor websites die u niet aan de zone Vertrouwde websites van Internet Explorer hebt toegevoegd. Zie de subsectie Veelgestelde vragen van dit beveiligingslek voor meer informatie over Verbeterde beveiliging van Internet Explorer.

Toegang tot gdiplus.dll beperken

1. Voer de volgende opdrachten uit in een opdrachtregel van een hogere beheerder

for /F "tokens=*" %G IN ('dir /b /s %windir%\Microsoft.NET\Framework\gdiplus.dll') DO cacls %G /E /P everyone:N
for /F "tokens=*" %G IN ('dir /b /s %windir%\winsxs\gdiplus.dll') DO cacls %G /E /P everyone:N
for /F "tokens=*" %G IN ('dir /b /s ^"%windir%\Downloaded Program Files\gdiplus.dll^"') DO cacls %G /E /P everyone:N
for /F "tokens=*" %G IN ('dir /b /s ^"%programfiles%\microsoft office\gdiplus.dll^"') DO cacls "%G" /E /P everyone:N
for /F "tokens=*" %G IN ('dir /b /s ^"%programfiles^(86^)%\microsoft office\gdiplus.dll^"') DO cacls "%G" /E /P everyone:N
cacls "%programfiles%\Common Files\Microsoft Shared\VFP\gdiplus.dll" /E /P everyone:N
cacls "%programfiles(x86)%\Common Files\Microsoft Shared\VFP\gdiplus.dll" /E /P everyone:N
cacls "%programfiles%\Microsoft Visual FoxPro 8\gdiplus.dll" /E /P everyone:N
cacls "%programfiles(x86)%\Microsoft Visual FoxPro 8\gdiplus.dll" /E /P everyone:N
cacls "%programfiles%\Microsoft Visual FoxPro 9\gdiplus.dll" /E /P everyone:N
cacls "%programfiles(x86)%\Microsoft Visual FoxPro 9\gdiplus.dll" /E /P everyone:N
cacls "%programfiles%\Microsoft Digital Image 2006\gdiplus.dll" /E /P everyone:N
cacls "%programfiles(x86)%\Microsoft Digital Image 2006\gdiplus.dll" /E /P everyone:N
cacls "%programfiles%\Common Files\Microsoft shared\Works Shared\gdiplus.dll" /E /P everyone:N
cacls "%programfiles(x86)%\Common Files\Microsoft shared\Works Shared\gdiplus.dll" /E /P everyone:N
cacls "%programfiles%\Microsoft Works\gdiplus.dll" /E /P everyone:N
cacls "%programfiles(x86)%\Microsoft Works\gdiplus.dll" /E /P everyone:N
cacls "%programfiles%\Common Files\Microsoft Shared\VGX\vgx.dll" /E /P everyone:N
cacls "%programfiles(x86)%\Common Files\Microsoft Shared\VGX\vgx.dll" /E /P everyone:N

2. Start de computer opnieuw op

Gevolgen van de tijdelijke oplossing: In de Windows Picture and Fax Viewer (op versies ouder dan Windows Vista) en andere toepassingen die afhankelijk zijn van GDI+, kunnen geen afbeeldingen worden weergegeven. Ook kunnen miniaturen in Windows Verkenner (op versies ouder dan Vista) niet worden weergegeven.

Zo kunt u tijdelijke oplossingen ongedaan maken.

1. Voer de volgende opdrachten uit in een opdrachtregel van een hogere beheerder

for /F "tokens=*" %G IN ('dir /b /s %windir%\Microsoft.NET\Framework\gdiplus.dll') DO cacls %G /E /R everyone
for /F "tokens=*" %G IN ('dir /b /s %windir%\winsxs\gdiplus.dll') DO cacls %G /E /R everyone
for /F "tokens=*" %G IN ('dir /b /s ^"%windir%\Downloaded Program Files\gdiplus.dll^"') DO cacls %G /E /R everyone
for /F "tokens=*" %G IN ('dir /b /s ^"%programfiles%\microsoft office\gdiplus.dll^"') DO cacls "%G" /E /R everyone
for /F "tokens=*" %G IN ('dir /b /s ^"%programfiles^(86^)%\microsoft office\gdiplus.dll^"') DO cacls "%G" /E /R everyone
cacls "%programfiles%\Common Files\Microsoft Shared\VFP\gdiplus.dll" /E /R everyone
cacls "%programfiles(x86)%\Common Files\Microsoft Shared\VFP\gdiplus.dll" /E /R everyone
cacls "%programfiles%\Microsoft Visual FoxPro 8\gdiplus.dll" /E /R everyone
cacls "%programfiles(x86)%\Microsoft Visual FoxPro 8\gdiplus.dll" /E /R everyone
cacls "%programfiles%\Microsoft Visual FoxPro 9\gdiplus.dll" /E /R everyone
cacls "%programfiles(x86)%\Microsoft Visual FoxPro 9\gdiplus.dll" /E /R everyone
cacls "%programfiles%\Microsoft Digital Image 2006\gdiplus.dll" /E /R everyone
cacls "%programfiles(x86)%\Microsoft Digital Image 2006\gdiplus.dll" /E /R everyone
cacls "%programfiles%\Common Files\Microsoft shared\Works Shared\gdiplus.dll" /E /R everyone
cacls "%programfiles(x86)%\Common Files\Microsoft shared\Works Shared\gdiplus.dll" /E /R everyone
cacls "%programfiles%\Microsoft Works\gdiplus.dll" /E /R everyone
cacls "%programfiles(x86)%\Microsoft Works\gdiplus.dll" /E /R everyone
cacls "%programfiles%\ Common Files\Microsoft Shared\VGX\vgx.dll" /E /R everyone
cacls "%programfiles(x86)%\ Common Files\Microsoft Shared\VGX\vgx.dll" /E /R everyone

2. Start de computer opnieuw op

De registratie van vgx.dll ongedaan maken

1. Klik achtereenvolgens op Start en Uitvoeren, typ "%SystemRoot%\System32\regsvr32.exe" -u "%CommonProgramFiles%\Microsoft Shared\VGX\vgx.dll" en klik vervolgens op OK.

2. Er wordt een dialoogvenster weergegeven waarin wordt bevestigd dat de verwijdering uit het register geslaagd is. Klik op OK om het dialoogvenster te sluiten.

Gevolgen van de tijdelijke oplossing: Zodra vgx.dll uit het register is verwijderd, geven toepassingen VML niet langer weer.

Zo kunt u tijdelijke oplossingen ongedaan maken.

1. Klik achtereenvolgens op Start en Uitvoeren, typ "%SystemRoot%\System32\regsvr32,exe" "%CommonProgramFiles%\Microsoft Shared\VGX\vgx.dll" en klik vervolgens op OK.

2. Er wordt een dialoogvenster weergegeven waarin wordt bevestigd dat vgx.dll opnieuw in het register is opgenomen. Klik op OK om het dialoogvenster te sluiten.

Verhinderen dat RSClientPrint in Internet Explorer wordt gestart

U kunt pogingen om RSClientPrint in Internet Explorer te starten, verhinderen door de kill-bit voor het besturingselement in het register in te stellen.

Waarschuwing Als u de Register-editor onjuist gebruikt, kan dit tot zeer ernstige problemen leiden waardoor u het besturingssysteem mogelijk opnieuw dient te installeren. Microsoft kan niet garanderen dat problemen die ontstaan als gevolg van een onjuist gebruik van de Register-editor, kunnen worden opgelost. Het gebruik van de Register-editor is voor eigen risico.

Voor uitvoerige stappen over het uitschakelen van een besturingselement in Internet Explorer verwijzen wij u naar Microsoft Knowledge Base-artikel 240797. Volg de stappen in dit artikel en breng een compatibiliteitsvlagwaarde aan in het register om te voorkomen dat RSClientPrint in Internet Explorer wordt gestart.

Plak de volgende tekst in een teksteditor, bijvoorbeeld Kladblok. Sla het bestand vervolgens op met de extensie .reg.

Windows Registry-editor versie 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{41861299-EAB2-4DCC-986C-802AE12AC499}]

"Compatibility Flags"=dword:00000400

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\ActiveX Compatibility\{41861299-EAB2-4DCC-986C-802AE12AC499}]

"Compatibility Flags"=dword:00000400

U kunt dit REG-bestand op afzonderlijke systemen toepassen door erop te dubbelklikken. U kunt het bestand ook met behulp van Groepsbeleid in domeinen toepassen. Ga naar de volgende websites van Microsoft voor meer informatie over Groepsbeleid:

Opmerking U moet Internet Explorer opnieuw starten om de wijzigingen te laten ingaan.

Gevolgen van de tijdelijke oplossing: Geen, zolang het object niet in Internet Explorer wordt gebruikt.

Zo kunt u tijdelijke oplossingen ongedaan maken.

Plak de volgende tekst in een teksteditor, bijvoorbeeld Kladblok. Sla het bestand vervolgens op met de extensie .reg.

Windows Registry-editor versie 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{41861299-EAB2-4DCC-986C-802AE12AC499}]

"Compatibility Flags"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\ActiveX Compatibility\{41861299-EAB2-4DCC-986C-802AE12AC499}]

"Compatibility Flags"=-

U kunt dit REG-bestand op afzonderlijke systemen toepassen door erop te dubbelklikken. U kunt het bestand ook met behulp van Groepsbeleid in domeinen toepassen. Ga naar de volgende websites van Microsoft voor meer informatie over Groepsbeleid:

Opmerking U moet Internet Explorer opnieuw starten om de wijzigingen te laten ingaan.

E-mailberichten in de indeling voor tekst zonder opmaak lezen

Om uzelf te beschermen tegen vectoraanvallen via e-mail moet u de e-mailberichten als tekst zonder opmaak lezen.

Gebruikers van Microsoft Office Outlook 2002 die Office XP Service Pack 1 of hoger hebben geïnstalleerd, en gebruikers van Microsoft Office Outlook Express 6 die Internet Explorer 6 Service Pack 1 hebben geïnstalleerd, kunnen deze instelling inschakelen om alle niet-digitaal ondertekende e-mailberichten of niet-gecodeerde e-mailberichten alleen als tekst zonder opmaak te lezen.

Digitaal ondertekende e-mailberichten of gecodeerde e-mailberichten worden niet door deze instelling beïnvloed en kunnen in hun oorspronkelijke indeling worden gelezen. Zie Microsoft Knowledge Base-artikel 307594 voor meer informatie over het inschakelen van deze instelling in Outlook 2002.

Zie Microsoft Knowledge Base-artikel 291387 voor meer informatie over deze instelling in Outlook Express 6.

Gevolgen van de tijdelijke oplossing: E-mailberichten die u in de indeling tekst zonder opmaak bekijkt, kunnen geen afbeeldingen, bijzondere lettertypen, animaties of andere inhoud met opmaak bevatten. Bovendien geldt het volgende:

Het is heel onwaarschijnlijk dat een aanvaller daadwerkelijk een niet-schadelijke .NET-toepassing zodanig kan beïnvloeden dat API-oproepen worden geplaatst bij kwetsbare functies en misbruik kan worden gemaakt van het beveiligingslek.

Een aanvaller die erin slaagt misbruik te maken van dit beveiligingslek, kan dezelfde rechten over het systeem krijgen als de lokale gebruiker of ASP.NET-account. Gebruikers met accounts waarvoor minder gebruikersrechten op het systeem zijn ingesteld, lopen minder risico dan gebruikers die met beheerdersrechten werken.

In het geval van een aanval vanaf het web kan de aanvaller beschikken over een website waarop zich een webpagina bevindt waarmee dit beveiligingslek wordt misbruikt. Daarnaast kunnen ook gemanipuleerde websites en websites waarop gegevens of advertenties staan of gegevens of advertenties kunnen worden ingevoerd, schadelijke inhoud bevatten die dit beveiligingslek kunnen misbruiken. Een aanvaller kan echter een gebruiker er niet toe dwingen om naar deze websites te gaan. De aanvaller moet een gebruiker er dus van overtuigen een bezoek te brengen aan de website. In de meeste gevallen doet de aanvaller dat door de gebruiker ertoe te bewegen op een koppeling in een e-mailbericht of een verzoek in een expresbericht te klikken waarmee de gebruiker naar de website van de aanvaller gaat.

Standaard wordt Internet Explorer op Windows Server 2003 en Windows Server 2008 uitgevoerd in een beperkte modus genaamd Verbeterde beveiliging. In deze modus wordt het beveiligingsniveau voor de zone Internet ingesteld op Hoog. Dit is een beperkende factor voor websites die u niet aan de zone Vertrouwde websites van Internet Explorer hebt toegevoegd. Zie de subsectie Veelgestelde vragen van dit beveiligingslek voor meer informatie over Verbeterde beveiliging van Internet Explorer.

Het beveiligingslek zou door een aanvaller kunnen worden misbruikt die een gebruiker overtuigde een speciaal vervaardigd bestand te openen. Een aanvaller kan een gebruiker op geen enkele wijze dwingen een speciaal vervaardigd bestand te openen.

Het beveiligingslek kan niet automatisch via e-mail worden misbruikt. Aanvallen per e-mail lukken alleen als een gebruiker een bijlage opent die in een e-mailbericht is verzonden.

Toegang tot gdiplus.dll beperken

1. Voer de volgende opdrachten uit in een opdrachtregel van een hogere beheerder

for /F "tokens=*" %G IN ('dir /b /s %windir%\Microsoft.NET\Framework\gdiplus.dll') DO cacls %G /E /P everyone:N
for /F "tokens=*" %G IN ('dir /b /s %windir%\winsxs\gdiplus.dll') DO cacls %G /E /P everyone:N
for /F "tokens=*" %G IN ('dir /b /s ^"%windir%\Downloaded Program Files\gdiplus.dll^"') DO cacls %G /E /P everyone:N
for /F "tokens=*" %G IN ('dir /b /s ^"%programfiles%\microsoft office\gdiplus.dll^"') DO cacls "%G" /E /P everyone:N
for /F "tokens=*" %G IN ('dir /b /s ^"%programfiles^(86^)%\microsoft office\gdiplus.dll^"') DO cacls "%G" /E /P everyone:N
cacls "%programfiles%\Common Files\Microsoft Shared\VFP\gdiplus.dll" /E /P everyone:N
cacls "%programfiles(x86)%\Common Files\Microsoft Shared\VFP\gdiplus.dll" /E /P everyone:N
cacls "%programfiles%\Microsoft Visual FoxPro 8\gdiplus.dll" /E /P everyone:N
cacls "%programfiles(x86)%\Microsoft Visual FoxPro 8\gdiplus.dll" /E /P everyone:N
cacls "%programfiles%\Microsoft Visual FoxPro 9\gdiplus.dll" /E /P everyone:N
cacls "%programfiles(x86)%\Microsoft Visual FoxPro 9\gdiplus.dll" /E /P everyone:N
cacls "%programfiles%\Microsoft Digital Image 2006\gdiplus.dll" /E /P everyone:N
cacls "%programfiles(x86)%\Microsoft Digital Image 2006\gdiplus.dll" /E /P everyone:N
cacls "%programfiles%\Common Files\Microsoft shared\Works Shared\gdiplus.dll" /E /P everyone:N
cacls "%programfiles(x86)%\Common Files\Microsoft shared\Works Shared\gdiplus.dll" /E /P everyone:N
cacls "%programfiles%\Microsoft Works\gdiplus.dll" /E /P everyone:N
cacls "%programfiles(x86)%\Microsoft Works\gdiplus.dll" /E /P everyone:N
cacls "%programfiles%\Common Files\Microsoft Shared\VGX\vgx.dll" /E /P everyone:N
cacls "%programfiles(x86)%\Common Files\Microsoft Shared\VGX\vgx.dll" /E /P everyone:N

2. Start de computer opnieuw op

Gevolgen van de tijdelijke oplossing: In de Windows Picture and Fax Viewer (op versies ouder dan Windows Vista) en andere toepassingen die afhankelijk zijn van GDI+, kunnen geen afbeeldingen worden weergegeven. Ook kunnen miniaturen in Windows Verkenner (op versies ouder dan Vista) niet worden weergegeven.

Zo kunt u tijdelijke oplossingen ongedaan maken.

1. Voer de volgende opdrachten uit in een opdrachtregel van een hogere beheerder

for /F "tokens=*" %G IN ('dir /b /s %windir%\Microsoft.NET\Framework\gdiplus.dll') DO cacls %G /E /R everyone
for /F "tokens=*" %G IN ('dir /b /s %windir%\winsxs\gdiplus.dll') DO cacls %G /E /R everyone
for /F "tokens=*" %G IN ('dir /b /s ^"%windir%\Downloaded Program Files\gdiplus.dll^"') DO cacls %G /E /R everyone
for /F "tokens=*" %G IN ('dir /b /s ^"%programfiles%\microsoft office\gdiplus.dll^"') DO cacls "%G" /E /R everyone
for /F "tokens=*" %G IN ('dir /b /s ^"%programfiles^(86^)%\microsoft office\gdiplus.dll^"') DO cacls "%G" /E /R everyone
cacls "%programfiles%\Common Files\Microsoft Shared\VFP\gdiplus.dll" /E /R everyone
cacls "%programfiles(x86)%\Common Files\Microsoft Shared\VFP\gdiplus.dll" /E /R everyone
cacls "%programfiles%\Microsoft Visual FoxPro 8\gdiplus.dll" /E /R everyone
cacls "%programfiles(x86)%\Microsoft Visual FoxPro 8\gdiplus.dll" /E /R everyone
cacls "%programfiles%\Microsoft Visual FoxPro 9\gdiplus.dll" /E /R everyone
cacls "%programfiles(x86)%\Microsoft Visual FoxPro 9\gdiplus.dll" /E /R everyone
cacls "%programfiles%\Microsoft Digital Image 2006\gdiplus.dll" /E /R everyone
cacls "%programfiles(x86)%\Microsoft Digital Image 2006\gdiplus.dll" /E /R everyone
cacls "%programfiles%\Common Files\Microsoft shared\Works Shared\gdiplus.dll" /E /R everyone
cacls "%programfiles(x86)%\Common Files\Microsoft shared\Works Shared\gdiplus.dll" /E /R everyone
cacls "%programfiles%\Microsoft Works\gdiplus.dll" /E /R everyone
cacls "%programfiles(x86)%\Microsoft Works\gdiplus.dll" /E /R everyone
cacls "%programfiles%\ Common Files\Microsoft Shared\VGX\vgx.dll" /E /R everyone
cacls "%programfiles(x86)%\ Common Files\Microsoft Shared\VGX\vgx.dll" /E /R everyone

2. Start de computer opnieuw op

XAML-browsertoepassingen in Internet Explorer uitschakelen

U kunt helpen tegen dit beveiligingslek te beschermen door uw instellingen zodanig te wijzigen dat u een melding ontvangt voordat u XAML-browsertoepassingen uitvoert of door XAML-browsertoepassingen volledig uit te schakelen in de beveiligingszone voor internet en lokaal intranet. Voer hiertoe de volgende stappen uit:

1. Klik op Internet-opties in het menu Extra van Internet Explorer.

2. Klik op het tabblad Beveiliging.

3. Klik op Het Internet en klik op Aangepast niveau.

4. Onder Instellingen, in de sectie .NET Framework, onder XAML-browsertoepassingen, klikt u op Vragen of Uitschakelen en vervolgens op OK.

5. Klik op Lokaal intranet en klik op Aangepast niveau.

6. Onder Instellingen, in de sectie .NET Framework, onder XAML-browsertoepassingen, klikt u op Vragen of Uitschakelen en vervolgens op OK.

7. Klik op Ja als u wordt gevraagd of u de gewijzigde instellingen wilt bevestigen.

8. Klik OK om terug te gaan naar Internet Explorer.

Gevolgen van de tijdelijke oplossing: XBAP-toepassingen worden niet uitgevoerd of worden niet uitgevoerd zonder melding.

Opmerking Als u XAML-browsertoepassingen uitschakelt in de beveiligingszones internet en lokaal intranet, is het mogelijk dat sommige websites niet correct werken. Als u problemen ervaart met het bezoeken van websites nadat u deze instelling hebt gewijzigd, en u weet zeker dat het bezoek van de desbetreffende website veilig is, kunt u die website aan uw lijst met vertrouwde websites toevoegen. Hierdoor werkt de website weer goed.

Zo kunt u tijdelijke oplossingen ongedaan maken.

1. Klik op Internet-opties in het menu Extra van Internet Explorer.

2. Klik op het tabblad Beveiliging.

3. Klik op Het Internet en klik op Aangepast niveau.

4. Onder Instellingen, in de sectie .NET Framework, onder XAML-browsertoepassingen, klikt u op Inschakelen en vervolgens op OK.

5. Klik op Lokaal intranet en klik op Aangepast niveau.

6. Onder Instellingen, in de sectie .NET Framework, onder XAML-browsertoepassingen, klikt u op Inschakelen en vervolgens op OK.

7. Klik op Ja als u wordt gevraagd of u de gewijzigde instellingen wilt bevestigen.

8. Klik OK om terug te gaan naar Internet Explorer.

Gedeeltelijke betrouwbare .NET-toepassingen uitschakelen

Door te voorkomen dat alle .NET-toepassingen die niet volledig betrouwbaar zijn, worden uitgevoerd, wordt dit beveiligingslek effectief opgelost omdat volledig betrouwbare .NET-toepassingen al wijzigingen kunnen aanbrengen in het systeem. Voer als beheerder de volgende opdrachten uit vanaf de opdrachtregel om alle .NET-toepassingen die niet volledig betrouwbaar zijn, uit te schakelen:

caspol -pp off
caspol -m -resetlockdown
caspol -pp on

Gevolgen van de tijdelijke oplossing: Bepaalde .NET-toepassingen kunnen niet worden uitgevoerd.

Zo kunt u tijdelijke oplossingen ongedaan maken.

Voer als beheerder de volgende opdrachten uit vanaf de opdrachtregel om de .NET-beveiligingsmaatregelen in te stellen op de standaardwaarde:

caspol -pp off
caspol -m -reset
caspol -pp on

Verhinderen dat RSClientPrint in Internet Explorer wordt gestart

U kunt pogingen om RSClientPrint in Internet Explorer te starten, verhinderen door de kill-bit voor het besturingselement in het register in te stellen.

Waarschuwing Als u de Register-editor onjuist gebruikt, kan dit tot zeer ernstige problemen leiden waardoor u het besturingssysteem mogelijk opnieuw dient te installeren. Microsoft kan niet garanderen dat problemen die ontstaan als gevolg van een onjuist gebruik van de Register-editor, kunnen worden opgelost. Het gebruik van de Register-editor is voor eigen risico.

Voor uitvoerige stappen over het uitschakelen van een besturingselement in Internet Explorer verwijzen wij u naar Microsoft Knowledge Base-artikel 240797. Volg de stappen in dit artikel en breng een compatibiliteitsvlagwaarde aan in het register om te voorkomen dat RSClientPrint in Internet Explorer wordt gestart.

Plak de volgende tekst in een teksteditor, bijvoorbeeld Kladblok. Sla het bestand vervolgens op met de extensie .reg.

Windows Registry-editor versie 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{41861299-EAB2-4DCC-986C-802AE12AC499}]

"Compatibility Flags"=dword:00000400

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\ActiveX Compatibility\{41861299-EAB2-4DCC-986C-802AE12AC499}]

"Compatibility Flags"=dword:00000400

U kunt dit REG-bestand op afzonderlijke systemen toepassen door erop te dubbelklikken. U kunt het bestand ook met behulp van Groepsbeleid in domeinen toepassen. Ga naar de volgende websites van Microsoft voor meer informatie over Groepsbeleid:

Opmerking U moet Internet Explorer opnieuw starten om de wijzigingen te laten ingaan.

Gevolgen van de tijdelijke oplossing: Geen, zolang het object niet in Internet Explorer wordt gebruikt.

Zo kunt u tijdelijke oplossingen ongedaan maken.

Plak de volgende tekst in een teksteditor, bijvoorbeeld Kladblok. Sla het bestand vervolgens op met de extensie .reg.

Windows Registry-editor versie 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{41861299-EAB2-4DCC-986C-802AE12AC499}]

"Compatibility Flags"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\ActiveX Compatibility\{41861299-EAB2-4DCC-986C-802AE12AC499}]

"Compatibility Flags"=-

U kunt dit REG-bestand op afzonderlijke systemen toepassen door erop te dubbelklikken. U kunt het bestand ook met behulp van Groepsbeleid in domeinen toepassen. Ga naar de volgende websites van Microsoft voor meer informatie over Groepsbeleid:

Opmerking U moet Internet Explorer opnieuw starten om de wijzigingen te laten ingaan.

Scenario met webbrowsing
Een aanvaller kan een speciaal vervaardigde website hosten die een speciaal vervaardigde XBAP (XAML-browsertoepassing) bevat waarmee misbruik kan worden gemaakt van dit beveiligingslek en een gebruiker er vervolgens toe bewegen de website te openen. De aanvaller zou ook misbruik kunnen maken van gemanipuleerde websites en websites die inhoud of advertenties van gebruikers accepteren of hosten. Deze websites kunnen speciaal vervaardigde inhoud bevatten, die misbruik van dit beveiligingslek kan maken. Een aanvaller kan echter een gebruiker er niet toe dwingen om naar deze websites te gaan. De aanvaller moet een gebruiker er dus van overtuigen een bezoek te brengen aan de website. In de meeste gevallen doet de aanvaller dat door de gebruiker ertoe te bewegen op een koppeling in een e-mailbericht of een verzoek in een expresbericht te klikken waarmee de gebruiker naar de website van de aanvaller gaat. Speciaal ontworpen webinhoud kan ook worden weergegeven via banneradvertenties of andere manieren waarop webinhoud bij de kwetsbare systemen wordt afgeleverd.

Scenario met webhosting
Als gebruikers in een omgeving voor webhosting eigen ASP.NET-toepassingen kunnen uploaden, kan een aanvaller een schadelijke ASP.NET-toepassing uploaden die gebruikmaakt van dit beveiligingslek om de CAS-regels te omzeilen die worden gebruikt door de host om te voorkomen dat ASP.NET-code schadelijke acties uitvoert op het serversysteem.

Scenario met Microsoft .NET Framework-toepassing
Een aanvaller kan een schadelijke Microsoft .NET Framework-toepassing op een gedeelde netwerklocatie plaatsen en gebruikers naar dat netwerk lokken om deze toepassing uit te voeren.

Scenario met webbrowsing
Voor een geslaagd misbruik van dit beveiligingslek moet een gebruiker zich hebben aangemeld en websites bezoeken met een webbrowser waarmee XBAP's kunnen worden gestart. Daarom is het risico het grootst voor computers waarop een webbrowser regelmatig wordt gebruikt, zoals werkstations en terminalservers. Servers lopen meer risico als beheerders gebruikers toestaan op de servers te bladeren en e-mail te lezen. Dit is echter volkomen in strijd met de aanbevolen richtlijnen voor gebruik.

Scenario met webhosting
Hostingsites waarop gebruikers eigen ASP.NET-toepassingen kunen uploaden, lopen een groter risico.

Een aanvaller die erin slaagt misbruik te maken van dit beveiligingslek, kan dezelfde rechten over het systeem krijgen als de lokale gebruiker. Gebruikers met accounts waarvoor minder gebruikersrechten op het systeem zijn ingesteld, lopen minder risico dan gebruikers die met beheerdersrechten werken.

In het geval van een aanval vanaf het web kan de aanvaller beschikken over een website waarop zich een webpagina bevindt waarmee dit beveiligingslek wordt misbruikt. Daarnaast kunnen ook gemanipuleerde websites en websites waarop gegevens of advertenties staan of gegevens of advertenties kunnen worden ingevoerd, schadelijke inhoud bevatten die dit beveiligingslek kunnen misbruiken. Een aanvaller kan echter een gebruiker er niet toe dwingen om naar deze websites te gaan. De aanvaller moet een gebruiker er dus van overtuigen een bezoek te brengen aan de website. In de meeste gevallen doet de aanvaller dat door de gebruiker ertoe te bewegen op een koppeling in een e-mailbericht of een verzoek in een expresbericht te klikken waarmee de gebruiker naar de website van de aanvaller gaat.

Standaard wordt Internet Explorer op Windows Server 2003 en Windows Server 2008 uitgevoerd in een beperkte modus genaamd Verbeterde beveiliging. In deze modus wordt het beveiligingsniveau voor de zone Internet ingesteld op Hoog. Dit is een beperkende factor voor websites die u niet aan de zone Vertrouwde websites van Internet Explorer hebt toegevoegd. Zie de subsectie Veelgestelde vragen van dit beveiligingslek voor meer informatie over Verbeterde beveiliging van Internet Explorer.

Het beveiligingslek zou door een aanvaller kunnen worden misbruikt die een gebruiker overtuigde een speciaal vervaardigd bestand te openen. Een aanvaller kan een gebruiker op geen enkele wijze dwingen een speciaal vervaardigd bestand te openen.

Het beveiligingslek kan niet automatisch via e-mail worden misbruikt. Aanvallen per e-mail lukken alleen als een gebruiker een bijlage opent die in een e-mailbericht is verzonden.

Toegang tot gdiplus.dll beperken

1. Voer de volgende opdrachten uit in een opdrachtregel van een hogere beheerder

for /F "tokens=*" %G IN ('dir /b /s %windir%\Microsoft.NET\Framework\gdiplus.dll') DO cacls %G /E /P everyone:N
for /F "tokens=*" %G IN ('dir /b /s %windir%\winsxs\gdiplus.dll') DO cacls %G /E /P everyone:N
for /F "tokens=*" %G IN ('dir /b /s ^"%windir%\Downloaded Program Files\gdiplus.dll^"') DO cacls %G /E /P everyone:N
for /F "tokens=*" %G IN ('dir /b /s ^"%programfiles%\microsoft office\gdiplus.dll^"') DO cacls "%G" /E /P everyone:N
for /F "tokens=*" %G IN ('dir /b /s ^"%programfiles^(86^)%\microsoft office\gdiplus.dll^"') DO cacls "%G" /E /P everyone:N
cacls "%programfiles%\Common Files\Microsoft Shared\VFP\gdiplus.dll" /E /P everyone:N
cacls "%programfiles(x86)%\Common Files\Microsoft Shared\VFP\gdiplus.dll" /E /P everyone:N
cacls "%programfiles%\Microsoft Visual FoxPro 8\gdiplus.dll" /E /P everyone:N
cacls "%programfiles(x86)%\Microsoft Visual FoxPro 8\gdiplus.dll" /E /P everyone:N
cacls "%programfiles%\Microsoft Visual FoxPro 9\gdiplus.dll" /E /P everyone:N
cacls "%programfiles(x86)%\Microsoft Visual FoxPro 9\gdiplus.dll" /E /P everyone:N
cacls "%programfiles%\Microsoft Digital Image 2006\gdiplus.dll" /E /P everyone:N
cacls "%programfiles(x86)%\Microsoft Digital Image 2006\gdiplus.dll" /E /P everyone:N
cacls "%programfiles%\Common Files\Microsoft shared\Works Shared\gdiplus.dll" /E /P everyone:N
cacls "%programfiles(x86)%\Common Files\Microsoft shared\Works Shared\gdiplus.dll" /E /P everyone:N
cacls "%programfiles%\Microsoft Works\gdiplus.dll" /E /P everyone:N
cacls "%programfiles(x86)%\Microsoft Works\gdiplus.dll" /E /P everyone:N
cacls "%programfiles%\Common Files\Microsoft Shared\VGX\vgx.dll" /E /P everyone:N
cacls "%programfiles(x86)%\Common Files\Microsoft Shared\VGX\vgx.dll" /E /P everyone:N

2. Start de computer opnieuw op

Gevolgen van de tijdelijke oplossing: In de Windows Picture and Fax Viewer (op versies ouder dan Windows Vista) en andere toepassingen die afhankelijk zijn van GDI+, kunnen geen afbeeldingen worden weergegeven. Ook kunnen miniaturen in Windows Verkenner (op versies ouder dan Vista) niet worden weergegeven.

Zo kunt u tijdelijke oplossingen ongedaan maken.

1. Voer de volgende opdrachten uit in een opdrachtregel van een hogere beheerder

for /F "tokens=*" %G IN ('dir /b /s %windir%\Microsoft.NET\Framework\gdiplus.dll') DO cacls %G /E /R everyone
for /F "tokens=*" %G IN ('dir /b /s %windir%\winsxs\gdiplus.dll') DO cacls %G /E /R everyone
for /F "tokens=*" %G IN ('dir /b /s ^"%windir%\Downloaded Program Files\gdiplus.dll^"') DO cacls %G /E /R everyone
for /F "tokens=*" %G IN ('dir /b /s ^"%programfiles%\microsoft office\gdiplus.dll^"') DO cacls "%G" /E /R everyone
for /F "tokens=*" %G IN ('dir /b /s ^"%programfiles^(86^)%\microsoft office\gdiplus.dll^"') DO cacls "%G" /E /R everyone
cacls "%programfiles%\Common Files\Microsoft Shared\VFP\gdiplus.dll" /E /R everyone
cacls "%programfiles(x86)%\Common Files\Microsoft Shared\VFP\gdiplus.dll" /E /R everyone
cacls "%programfiles%\Microsoft Visual FoxPro 8\gdiplus.dll" /E /R everyone
cacls "%programfiles(x86)%\Microsoft Visual FoxPro 8\gdiplus.dll" /E /R everyone
cacls "%programfiles%\Microsoft Visual FoxPro 9\gdiplus.dll" /E /R everyone
cacls "%programfiles(x86)%\Microsoft Visual FoxPro 9\gdiplus.dll" /E /R everyone
cacls "%programfiles%\Microsoft Digital Image 2006\gdiplus.dll" /E /R everyone
cacls "%programfiles(x86)%\Microsoft Digital Image 2006\gdiplus.dll" /E /R everyone
cacls "%programfiles%\Common Files\Microsoft shared\Works Shared\gdiplus.dll" /E /R everyone
cacls "%programfiles(x86)%\Common Files\Microsoft shared\Works Shared\gdiplus.dll" /E /R everyone
cacls "%programfiles%\Microsoft Works\gdiplus.dll" /E /R everyone
cacls "%programfiles(x86)%\Microsoft Works\gdiplus.dll" /E /R everyone
cacls "%programfiles%\ Common Files\Microsoft Shared\VGX\vgx.dll" /E /R everyone
cacls "%programfiles(x86)%\ Common Files\Microsoft Shared\VGX\vgx.dll" /E /R everyone

2. Start de computer opnieuw op

De registratie van vgx.dll ongedaan maken

1. Klik achtereenvolgens op Start en Uitvoeren, typ "%SystemRoot%\System32\regsvr32.exe" -u "%CommonProgramFiles%\Microsoft Shared\VGX\vgx.dll" en klik vervolgens op OK.

2. Er wordt een dialoogvenster weergegeven waarin wordt bevestigd dat de verwijdering uit het register geslaagd is. Klik op OK om het dialoogvenster te sluiten.

Gevolgen van de tijdelijke oplossing: Zodra vgx.dll uit het register is verwijderd, geven toepassingen VML niet langer weer.

Zo kunt u tijdelijke oplossingen ongedaan maken.

1. Klik achtereenvolgens op Start en Uitvoeren, typ "%SystemRoot%\System32\regsvr32,exe" "%CommonProgramFiles%\Microsoft Shared\VGX\vgx.dll" en klik vervolgens op OK.

2. Er wordt een dialoogvenster weergegeven waarin wordt bevestigd dat vgx.dll opnieuw in het register is opgenomen. Klik op OK om het dialoogvenster te sluiten.

Verhinderen dat RSClientPrint in Internet Explorer wordt gestart

U kunt pogingen om RSClientPrint in Internet Explorer te starten, verhinderen door de kill-bit voor het besturingselement in het register in te stellen.

Waarschuwing Als u de Register-editor onjuist gebruikt, kan dit tot zeer ernstige problemen leiden waardoor u het besturingssysteem mogelijk opnieuw dient te installeren. Microsoft kan niet garanderen dat problemen die ontstaan als gevolg van een onjuist gebruik van de Register-editor, kunnen worden opgelost. Het gebruik van de Register-editor is voor eigen risico.

Voor uitvoerige stappen over het uitschakelen van een besturingselement in Internet Explorer verwijzen wij u naar Microsoft Knowledge Base-artikel 240797. Volg de stappen in dit artikel en breng een compatibiliteitsvlagwaarde aan in het register om te voorkomen dat RSClientPrint in Internet Explorer wordt gestart.

Plak de volgende tekst in een teksteditor, bijvoorbeeld Kladblok. Sla het bestand vervolgens op met de extensie .reg.

Windows Registry-editor versie 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{41861299-EAB2-4DCC-986C-802AE12AC499}]

"Compatibility Flags"=dword:00000400

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\ActiveX Compatibility\{41861299-EAB2-4DCC-986C-802AE12AC499}]

"Compatibility Flags"=dword:00000400

U kunt dit REG-bestand op afzonderlijke systemen toepassen door erop te dubbelklikken. U kunt het bestand ook met behulp van Groepsbeleid in domeinen toepassen. Ga naar de volgende websites van Microsoft voor meer informatie over Groepsbeleid:

Opmerking U moet Internet Explorer opnieuw starten om de wijzigingen te laten ingaan.

Gevolgen van de tijdelijke oplossing: Geen, zolang het object niet in Internet Explorer wordt gebruikt.

Zo kunt u tijdelijke oplossingen ongedaan maken.

Plak de volgende tekst in een teksteditor, bijvoorbeeld Kladblok. Sla het bestand vervolgens op met de extensie .reg.

Windows Registry-editor versie 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{41861299-EAB2-4DCC-986C-802AE12AC499}]

"Compatibility Flags"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\ActiveX Compatibility\{41861299-EAB2-4DCC-986C-802AE12AC499}]

"Compatibility Flags"=-

U kunt dit REG-bestand op afzonderlijke systemen toepassen door erop te dubbelklikken. U kunt het bestand ook met behulp van Groepsbeleid in domeinen toepassen. Ga naar de volgende websites van Microsoft voor meer informatie over Groepsbeleid:

Opmerking U moet Internet Explorer opnieuw starten om de wijzigingen te laten ingaan.

Een aanvaller die erin slaagt misbruik te maken van dit beveiligingslek, kan dezelfde rechten over het systeem krijgen als de lokale gebruiker. Gebruikers met accounts waarvoor minder gebruikersrechten op het systeem zijn ingesteld, lopen minder risico dan gebruikers die met beheerdersrechten werken.

In het geval van een aanval vanaf het web kan de aanvaller beschikken over een website waarop zich een webpagina bevindt waarmee dit beveiligingslek wordt misbruikt. Daarnaast kunnen ook gemanipuleerde websites en websites waarop gegevens of advertenties staan of gegevens of advertenties kunnen worden ingevoerd, schadelijke inhoud bevatten die dit beveiligingslek kunnen misbruiken. Een aanvaller kan echter een gebruiker er niet toe dwingen om naar deze websites te gaan. De aanvaller moet een gebruiker er dus van overtuigen een bezoek te brengen aan de website. In de meeste gevallen doet de aanvaller dat door de gebruiker ertoe te bewegen op een koppeling in een e-mailbericht of een verzoek in een expresbericht te klikken waarmee de gebruiker naar de website van de aanvaller gaat.

Het beveiligingslek kan niet automatisch via e-mail worden misbruikt. Aanvallen per e-mail lukken alleen als een gebruiker een bijlage opent die in een e-mailbericht is verzonden.

Open geen Office-bestanden die u van niet-vertrouwde bronnen ontvangt of onverwachts van vertrouwde bronnen ontvangt. Dit beveiligingslek kan worden misbruikt wanneer een gebruiker een speciaal gemaakt bestand opent.

Een aanvaller die erin slaagt misbruik te maken van dit beveiligingslek, kan dezelfde rechten over het systeem krijgen als de lokale gebruiker. Gebruikers met accounts waarvoor minder gebruikersrechten op het systeem zijn ingesteld, lopen minder risico dan gebruikers die met beheerdersrechten werken.

In het geval van een aanval vanaf het web kan de aanvaller beschikken over een website waarop zich een webpagina bevindt waarmee dit beveiligingslek wordt misbruikt. Daarnaast kunnen ook gemanipuleerde websites en websites waarop gegevens of advertenties staan of gegevens of advertenties kunnen worden ingevoerd, schadelijke inhoud bevatten die dit beveiligingslek kunnen misbruiken. Een aanvaller kan echter een gebruiker er niet toe dwingen om naar deze websites te gaan. De aanvaller moet een gebruiker er dus van overtuigen een bezoek te brengen aan de website. In de meeste gevallen doet de aanvaller dat door de gebruiker ertoe te bewegen op een koppeling in een e-mailbericht of een verzoek in een expresbericht te klikken waarmee de gebruiker naar de website van de aanvaller gaat.

Open geen Office-bestanden die u van niet-vertrouwde bronnen ontvangt of onverwachts van vertrouwde bronnen ontvangt

Dit beveiligingslek kan worden misbruikt wanneer een gebruiker een speciaal gemaakt bestand opent.

E-mailberichten in de indeling voor tekst zonder opmaak lezen

Om uzelf te beschermen tegen vectoraanvallen via e-mail moet u de e-mailberichten als tekst zonder opmaak lezen.

Gebruikers van Microsoft Office Outlook 2002 die Office XP Service Pack 1 of hoger hebben geïnstalleerd, en gebruikers van Microsoft Office Outlook Express 6 die Internet Explorer 6 Service Pack 1 hebben geïnstalleerd, kunnen deze instelling inschakelen om alle niet-digitaal ondertekende e-mailberichten of niet-gecodeerde e-mailberichten alleen als tekst zonder opmaak te lezen.

Digitaal ondertekende e-mailberichten of gecodeerde e-mailberichten worden niet door deze instelling beïnvloed en kunnen in hun oorspronkelijke indeling worden gelezen. Zie Microsoft Knowledge Base-artikel 307594 voor meer informatie over het inschakelen van deze instelling in Outlook 2002.

Zie Microsoft Knowledge Base-artikel 291387 voor meer informatie over deze instelling in Outlook Express 6.

Gevolgen van de tijdelijke oplossing: E-mailberichten die u in de indeling tekst zonder opmaak bekijkt, kunnen geen afbeeldingen, bijzondere lettertypen, animaties of andere inhoud met opmaak bevatten. Bovendien geldt het volgende: