MS02-052: Fout in Microsoft VM JDBC-klassen kan zorgen dat code wordt uitgevoerd

Vertaalde artikelen Vertaalde artikelen
Artikel ID: 329077 - Bekijk de producten waarop dit artikel van toepassing is.
Alles uitklappen | Alles samenvouwen

Symptomen

Microsoft Virtual Machine (VM) is een virtuele machine voor 32-bits versies van Microsoft Windows. Microsoft VM is opgenomen in de meeste Windows-versies en in de meeste versies van Microsoft Internet Explorer. Er is een nieuwe patch beschikbaar voor Microsoft VM. Deze patch lost drie beveiligingsproblemen op. De beveiligingsproblemen ontstaan waarschijnlijk op dezelfde manier. Een kwaadwillende gebruiker kan een webpagina maken en de webpagina hosten op een server of verzenden als een e-mailbericht.

Het eerste probleem heeft te maken met de JDBA-klassen (Java Database Connectivity), die functies leveren waardoor een Java-toepassing verbinding kan maken met en gegevens kan gebruiken uit verschillende gegevensbronnen. Deze bronnen variëren van alle bestanden in een map tot Microsoft SQL Server-databases. Het probleem treedt op vanwege een fout in de manier waarop klassen een verzoek tegenhouden om een DLL te laden en uit te voeren op de computer van een gebruiker. Hoewel klassen controles uitvoeren die ervoor moeten zorgen dat alleen geverifieerde programma's zulke verzoeken kunnen doen, kan deze controle worden vervalst door het verzoek opzettelijk onjuist op te stellen. Een kwaadwillende gebruiker kan hierdoor elke DLL uitvoeren op de computer van een gebruiker.

Het tweede probleem heeft ook te maken met de JDBC-klassen en treedt op omdat bepaalde functies in de klassen de ingangen die als invoer worden aangeboden, niet juist controleren. Een manier om gebruik te maken van deze fout is het leveren van gegevens die niet geldig zijn in plaats van een echte ingang wanneer een dergelijke functie wordt aangeroepen. Microsoft heeft bevestigd dat Internet Explorer in dat geval niet meer functioneert. Tevens kan de fout een kwaadwillende gebruiker in staat stellen gegevens te leveren waardoor code wordt uitgevoerd in de beveiligingscontext van de gebruiker.

Het derde probleem heeft te maken met een klasse die ondersteuning levert voor het gebruiken van XML door Java-toepassingen. Deze klasse heeft een aantal methoden. Een aantal van deze methoden is geschikt voor gebruik met een willekeurige toepassing, maar een aantal andere methoden is alleen geschikt voor gebruik met vertrouwde toepassingen. De klasse maakt echter niet op de juiste wijze onderscheid tussen deze gevallen en maakt daarom alle methoden beschikbaar voor alle toepassingen. De functies die vanwege deze fout kunnen worden misbruikt zijn onder andere functies die een toepassing toestaan bijna elke bewerking uit te voeren op de computer van een gebruiker.

Oplossing

U kunt dit probleem oplossen door de patch te installeren die in het volgende artikel in de Microsoft Knowledge Base wordt beschreven:
810030 MS02-069: Fout in Microsoft VM leidt tot problemen in Windows
De beveiligingsupdate voor 329077 is vervangen door de update voor 810030.

Met deze update worden de volgende wijzigingen in het register aangebracht:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{DBB3C81D-3C91-4a1e-BDDF-905B61C7CEDF}
="Beveiligingsupdate voor de Microsoft VM"
"ComponentID"="JAVAVM"
"IsInstalled"=hex:01,00,00,00
"KeyFileName"="C:\\WINDOWS\\System32\\msjava.dll"
"Version"="5,00,3807,0"
Opmerking Ongeacht het versienummer dat wordt weergegeven in Jview, moet de eerder beschreven registersleutel de bepalende factor zijn voor de juiste installatie van deze patch. Het bestand Msjava.dll blijft versie 5.00.3805.0000 als u deze patch installeert.

De Engelse versie van deze correctie heeft de bestandskenmerken die in de volgende tabel worden weergegeven (of recentere kenmerken). De datums en tijden voor deze bestanden worden weergegeven in UTC-notatie (Coordinated Universal Time). Wanneer u de bestandsinformatie weergeeft, wordt deze naar lokale tijd geconverteerd. Als u het verschil tussen UTC en lokale tijd wilt bepalen, gebruikt u het tabblad Tijdzone van het onderdeel Datum en tijd in het Configuratiescherm.
   Datum         Tijd    Grootte   Bestandsnaam
   --------------------------------------------
   18-feb-2002   07:38     2.678   Msjdbc.cer
   21-aug-2002   17:28   137.282   Msjdbc.zip
   16-aug-2002   09:57    10.957   Osp.zip
				
Deze bestanden worden geïnstalleerd in de map %Windir%\Java\Classes. De ZIP-bestanden bevatten de volgende Java-klassen:
   21-aug-2002   17:28   24,824  Jdbcodbc.class
   21-aug-2002   17:28      800  Jdbcodbcboundcol.class
   21-aug-2002   17:28    1,119  Jdbcodbcboundparam.class
   21-aug-2002   17:28      848  Jdbcodbcbusyflag.class
   21-aug-2002   17:28    5,193  Jdbcodbccallablestatement.class
   21-aug-2002   17:28    8,347  Jdbcodbcconnection.class
   21-aug-2002   17:28      447  Jdbcodbcconnectioninterface.class
   21-aug-2002   17:28   28,036  Jdbcodbcdatabasemetadata.class
   21-aug-2002   17:28      710  Jdbcodbcdecimal.class
   21-aug-2002   17:28    6,096  Jdbcodbcdriver.class
   21-aug-2002   17:28      308  Jdbcodbcdriverattribute.class
   21-aug-2002   17:28      415  Jdbcodbcdriverinterface.class
   21-aug-2002   17:28    2,990  Jdbcodbcinputstream.class
   21-aug-2002   17:28      611  Jdbcodbclimits.class
   21-aug-2002   17:28    2,339  Jdbcodbcobject.class
   21-aug-2002   17:28    8,063  Jdbcodbcpreparedstatement.class
   21-aug-2002   17:28      912  Jdbcodbcpseudocol.class
   21-aug-2002   17:28   12,865  Jdbcodbcresultset.class
   21-aug-2002   17:28      615  Jdbcodbcresultsetinterface.class
   21-aug-2002   17:28    5,503  Jdbcodbcresultsetmetadata.class
   21-aug-2002   17:28      523  Jdbcodbcsqlwarning.class
   21-aug-2002   17:28    6,116  Jdbcodbcstatement.class
   21-aug-2002   17:28    1,451  Jdbcodbctimestamp.class
   21-aug-2002   17:28      566  Jdbcodbctypeinfo.class
   21-aug-2002   17:28   13,595  Odbcdef.class
   28-jul-1997   13:15      247  Accessdeniedexception.class
   28-jul-1997   13:15      243  Conversionexception.class
   28-jul-1997   13:15    1,033  Datasource.class
   28-jul-1997   13:15      746  Datasourcelistener.class
   28-jul-1997   13:15      253  Illegalargumentexception.class
   28-jul-1997   13:15      251  Notimplementedexception.class
   28-jul-1997   13:15    1,736  Oledbsimpleprovider.class
   28-jul-1997   13:15    1,123  Oledbsimpleproviderlistener.class
   28-jul-1997   13:15      384  Ospcomp.class
   28-jul-1997   13:15      261  Ospexception.class
   28-jul-1997   13:15      264  Ospfind.class
   28-jul-1997   13:15      304  Ospformat.class
   28-jul-1997   13:15      912  Ospmrshl.class
   28-jul-1997   13:15      286  Osprw.class
   28-jul-1997   13:15      260  Ospxfer.class
   28-jul-1997   13:15      368  __MIDL___MIDL_ITF_SIMPDATA_0000_0001.CLASS
				

Status

Microsoft heeft bevestigd dat dit probleem de beveiliging van Microsoft VM kan verminderen.

Meer informatie

Als u meer informatie wilt over dit beveiligingslek, gaat u naar de volgende Microsoft-websites:
http://www.microsoft.com/technet/security/bulletin/MS02-052.asp
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-011.asp

Eigenschappen

Artikel ID: 329077 - Laatste beoordeling: maandag 4 oktober 2004 - Wijziging: 8.1
De informatie in dit artikel is van toepassing op:
  • Microsoft Virtual Machine for Java
  • Microsoft Virtual Machine for Java op de volgende platformen
    • Microsoft Windows Millennium Edition
    • Microsoft Windows 2000 Standard Edition
    • Microsoft Windows NT 4.0
    • Microsoft Windows 98 Second Edition
    • Microsoft Windows 98 Standard Edition
Trefwoorden: 
kbbug kbfix kbsecvulnerability kbsecurity kbsecbulletin KB329077

Geef ons feedback

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com