MS01-058: Bestand beveiligingspatch voor Internet Explorer 5. 5 en Internet Explorer 6

Vertaalde artikelen Vertaalde artikelen
Artikel ID: 313675 - Bekijk de producten waarop dit artikel van toepassing is.
Dit artikel is gearchiveerd. Het wordt aangeboden in de huidige vorm en wordt niet meer bijgewerkt.
Alles uitklappen | Alles samenvouwen

Op deze pagina

Symptomen

In dit artikel wordt beschreven van een beveiligings lek in Internet Explorer-bestand en geeft informatie over het verkrijgen van een patch voor het oplossen van het beveiligings lek. Houd er rekening mee dat deze problemen hebben gevolgen voor beide versies van Internet Explorer 5. 5 en 6, tenzij anders aangegeven.

Het eerste beveiligings lek heeft betrekking op een fout in de afhandeling van de Content-Disposition en Content-Type header-velden in een stream HTML (HyperText Markup Language). Deze velden, de hosting URL (Uniform Resource Locator) en het updatebestand gegevens bepalen hoe een bestand wordt verwerkt bij het downloaden in Internet Explorer. Er bestaat een beveiligings probleem omdat, als een aanvaller de HTML-headerinformatie op een bepaalde manier wordt gewijzigd, kan het zijn mogelijk om Internet Explorer worden geïnterpreteerd dat een uitvoerbaar bestand (. exe) bestand eigenlijk een ander type bestand dat dient te worden geopend is zonder dat de gebruiker om bevestiging wordt gevraagd. Hierdoor kan de aanvaller een webpagina of HTML-e-mailbericht maken dat, wanneer geopend, een exe-bestand op de computer van de gebruiker automatisch wordt uitgevoerd.

Het tweede beveiligings lek is een variant van het beveiligings probleem 'Frame Domain die wordt beschreven in Microsoft Security Bulletin MS01-015. Het beveiligings lek kan een kwaad will ende website-operator twee browservensters openen, één in het domein van de website en de andere op het lokale bestandssysteem van de gebruiker, en gegevens uit deze doorgeven aan de eerstgenoemde. Hierdoor kan de website-operator alle bestanden op de lokale computer van de gebruiker die kan worden geopend in een browservenster gelezen (maar niet wijzigen).

Het derde beveiligings lek betrekking heeft een fout met betrekking tot de weergave van bestandsnamen in deDownloaden van bestandhet dialoog venster. Wanneer het downloaden van een bestand wordt gestart, geeft een dialoog venster de naam van het bestand. In sommige gevallen, zou het wel mogelijk dat een aanvaller de naam van het bestand in het dialoog venster gaten. Dit kan worden aangeroepen vanuit een webpagina of HTML-e-mailbericht in een poging om slag gebruikers in het accepteren van onveilige bestandstypen uit een vertrouwde bron.

Beveiligings lek in bestand

Dit beveiligings lek kan niet worden misbruikt als bestandsdownloads zijn uitgeschakeld in de beveiligingszone waarin het bestand wordt ontvangen. Bij de meeste pogingen om met kwade bedoelingen misbruik maken van dit beveiligings lek, zou het bestand vanuit de zone Internet of Intranet worden ontvangen. Hierdoor kunt u uitschakelen bestand downloaden in deze zones om bescherming te bieden. Dit is echter niet de standaard instelling van deze zones. Dit geldt Internet Explorer 6. 0 alleen.

Frame domein verificatie Variant

Het beveiligings lek kan alleen worden gebruikt om bestanden te bekijken. Het kan niet worden gebruikt voor het maken, verwijderen, wijzigen en uitvoeren. Het zou alleen een aanvaller bestanden kunnen worden geopend in een browservenster zoals afbeeldingsbestanden, HTML-bestanden en tekstbestanden lezen. Andere bestandstypen, zoals binaire bestanden, exe-bestanden, Microsoft Word-documenten, enzovoort, kunnen niet worden gelezen. De aanvaller moet kennis hebben van de exacte bestandsnaam en locatie voor het lezen van het bestand op de lokale computer is.

Bestands naam Spoofing-beveiligingslek

De bepaling over het downloaden van een bestand uit een internetsite accepteren kiezen dient altijd gebaseerd op de betrouwbaarheid van de bron en niet op het bestandstype. Bestandsdownloads moeten vanuit een niet-vertrouwde bron, ongeacht hoe onschuldig het type kan lijken nooit worden geaccepteerd.

Oplossing

Naast de beveiligings lekken die in dit artikel besproken, elimineert deze update alle bekende beveiligings problemen in Internet Explorer 5. 5 Service Pack 2 (SP2) en Internet Explorer 6.

Nadat u deze update toepast, wordt ASP cookies worden geblokkeerd als de server naam tekens niet door DNS worden ondersteund in het heeft. Klanten die momenteel met ActiveX-besturingselementen in line gegevensstromen zijn de volgende opties:
  • Internet Explorer-beveiligingspatch MS01-058 en her schrijven van toepassingen met Inline gegevensstromen. Dit is de veiligste optie.
  • Installeer de patch en werken met uw technisch accountmanager (TAM) of Microsoft Customer Support op 1-866-727-2338 (1-866-PCSafety) Inline gegevensstromen inschakelen en configureer de instellingen voor beveiligings Zones.

    WAARSCHUWING: De registersleutel inschakelen brengt een van de beveiligings correcties in Q313675, dus zorg ervoor dat u de juiste Zone-instellingen om uw risico te verminderen.

Internet Explorer 6

Dit probleem kunt oplossen, verkrijgen van het meest recente servicepack voor Internet Explorer 6. Voor meer informatie klikt u op het volgende artikelnummer om het artikel in de Microsoft Knowledge Base:
328548Het meest recente servicepack voor Internet Explorer 6 ophalen
De 'Security Update, December 13, 2001' patch is vervangen door de volgende patch:
316059MS02-005: 11 februari 2002 Cumulatieve Patch voor Internet Explorer
De 'Security Update, December 13, 2001' patch is beschikbaar op de volgende Microsoft-website:
http://www.Microsoft.com/Windows/IE/downloads/critical/q313675/default.asp (Engelstalig)

Internet Explorer 5. 5

Een ondersteunde correctie is nu beschikbaar bij Microsoft, maar is alleen bedoeld voor het probleem dat in dit artikel wordt beschreven. Deze alleen van toepassing op computers waarvoor het gevaar van een aanval. Evalueer de fysieke toegankelijkheid van uw computer, net werk en Internet-verbinding en andere factoren om vast te stellen de mate van risico voor uw computer. Zie de bijbehorendeMicrosoft-beveiligingsbulletinom te bepalen van de risico graad. Deze correctie moet wellicht extra worden getest. Als uw computer voldoende voor risico is, raadt Microsoft u aan deze correctie nu te passen. Anders, wachten op de volgende Internet Explorer 5. 5 waarin deze correctie is opgenomen.

Dit probleem onmiddellijk wilt verhelpen, downloadt u de oplossing door de aanwijzingen verderop in dit artikel te volgen of neem contact op met Microsoft Product Support Services om de correctie te verkrijgen. Een volledige lijst met telefoon nummers van Microsoft Product Support Services en informatie over kosten van ondersteuning vindt u op de volgende Microsoft-website:
http://support.Microsoft.com/default.aspx?scid=fh;EN-US;CNTACTMS
OPMERKING: In bijzondere gevallen worden kosten die normaal verbonden zijn aan ondersteunings oproepen, geannuleerd als een medewerker van Microsoft product ondersteuning van mening is dat een specifieke update de oplossing van uw probleem. De normale ondersteunings kosten blijven gelden voor extra ondersteunings vragen die niet in aanmerking voor de specifieke update in kwestie komen.

De 'Security Update, December 13, 2001' patch is vervangen door de volgende patch:
316059MS02-005: 11 februari 2002 Cumulatieve Patch voor Internet Explorer
De 'Security Update, December 13, 2001' patch is beschikbaar op de volgende Microsoft-website:
http://www.Microsoft.com/Windows/IE/downloads/critical/q313675/default.asp (Engelstalig)
OPMERKING: U moet Internet Explorer 5. 5 Service Pack 2 (SP2) te installeren van deze patch worden uitgevoerd.Voor meer informatie over het verkrijgen van Internet Explorer 5. 5 SP2, klikt u op het volgende artikelnummer in de Microsoft Knowledge Base:
276369Het verkrijgen van het meest recente servicepack voor Internet Explorer 5. 5

Status

Internet Explorer 6

Microsoft heeft bevestigd dat dit probleem een beveiligings lek in Internet Explorer 6 veroorzaken kan.Internet Explorer 6 Service Pack 1 werd voor het eerst een correctie aangebracht voor dit probleem.

Internet Explorer 5. 5

Microsoft heeft bevestigd dat dit probleem een beveiligings lek in Internet Explorer 5. 5 veroorzaken kan.

Meer informatie

Voor meer informatie over de beschikbare schakel opties voor de installatie van deze update, klikt u op het volgende artikelnummer in de Microsoft Knowledge Base:
200007Internet Explorer Batch Setup-schakelopties
Zie de volgende Microsoft-website voor meer informatie over dit beveiligings lek:
http://www.Microsoft.com/technet/security/bulletin/MS01-058.mspx

Eigenschappen

Artikel ID: 313675 - Laatste beoordeling: maandag 24 februari 2014 - Wijziging: 2.0
De informatie in dit artikel is van toepassing op:
  • Microsoft Internet Explorer 6.0 op de volgende platformen
    • Microsoft Windows XP Home Edition
    • Microsoft Windows XP Professional
    • Microsoft Windows XP Media Center Edition 2005 Update Rollup 2
    • Microsoft Windows XP Tablet PC Edition
    • Microsoft Windows 2000 Advanced Server
    • Microsoft Windows 2000 Professional Edition
    • Microsoft Windows® 2000 Server
    • Microsoft Windows NT Server 4.0 Standard Edition
    • Microsoft Windows NT Workstation 4.0 Developer Edition
Trefwoorden: 
kbnosurvey kbarchive kbbug kbenv kbfix kbie550presp3fix kbie600presp1fix kbsecurity kbie600sp1fix kbmt KB313675 KbMtnl
Automatisch vertaald artikel
BELANGRIJK: Dit artikel is vertaald door de vertaalmachine software van Microsoft in plaats van door een professionele vertaler. Microsoft biedt u professioneel vertaalde artikelen en artikelen vertaald door de vertaalmachine, zodat u toegang heeft tot al onze knowledge base artikelen in uw eigen taal. Artikelen vertaald door de vertaalmachine zijn niet altijd perfect vertaald. Deze artikelen kunnen fouten bevatten in de vocabulaire, zinsopbouw en grammatica en kunnen lijken op hoe een anderstalige de taal spreekt en schrijft. Microsoft is niet verantwoordelijk voor onnauwkeurigheden, fouten en schade ontstaan door een incorrecte vertaling van de content of het gebruik ervan door onze klanten. Microsoft past continue de kwaliteit van de vertaalmachine software aan door deze te updaten.
De Engelstalige versie van dit artikel is de volgende:313675

Geef ons feedback

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com