Microsoft Security Advisory: Beveiligingsprobleem in Internet Explorer kan leiden tot uitvoering van externe code

INLEIDING

Microsoft heeft een Microsoft security advisory voor IT-professionals over dit probleem uitgebracht. Dit beveiligingsbulletin bevat aanvullende beveiligingsinformatie. Als u wilt het beveiligingsadvies weergeven, gaat u naar de volgende Microsoft-website:

Tijdelijke oplossing

Gebruik een van de volgende methoden om dit probleem te omzeilen.


Opmerking U kunt de opdrachten die worden beschreven in dit artikel als een beheerder moet uitvoeren. In Windows Vista en Windows Server 2008, moet u de opdrachten uitvoeren vanaf een opdrachtprompt. U opent een opdrachtprompt, volg deze stappen:

  1. Klik op Start, typ cmd in het zoekvak en druk vervolgens op ENTER.
  2. In de lijst met resultaten met de rechtermuisknop op cmden klik vervolgens op Als administrator uitvoeren.

Methode 1: Gebruik een System Access Control lijst (SACL) OLEDB32.dll voor minder toepassingen uitschakelen

Deze methode lijkt op het "Gebruik SACL posten OLEDB32.dll uitschakelen" tijdelijke oplossing die verderop in dit artikel wordt beschreven. Deze tijdelijke oplossing is meer selectief over welke toepassingen worden geblokkeerd voor toegang tot OLEDB32. DLL voor Internet Explorer is nog steeds geblokkeerd. De meeste andere toepassingen zijn echter niet. Dit heeft het voordeel van Internet Explorer beschermen tegen aanvallen. Echter nog steeds kunt andere toepassingen die afhankelijk van OLEDB32 zijn. DLL-bestand goed te laten functioneren.

Om dit soort selectieve bescherming, vertrouwt deze tijdelijke oplossing op het feit dat Internet Explorer wordt uitgevoerd met een Protected-modus is standaard ingeschakeld. Dit betekent dat het proces iexplore.exe wordt uitgevoerd op een integriteitsniveau van lage. Ga naar de volgende Microsoft-website voor meer informatie over wat dit betekent en hoe dit werkt:


Het mechanisme integriteit kunt u processen blok schrijven naar beveiligbare objecten, zoals bestanden met een hoger integriteitsniveau. Dit gebeurt door toepassing van de vermelding voor een speciale integriteit op de SACL van een object.


Opmerking Het is ook mogelijk om te blokkeren van een proces kan lezen of uitvoeren beveiligbare objecten op een hoger integriteitsniveau.

Het gebruik van deze tijdelijke oplossing

Opmerkingen
  • Deze oplossing geldt alleen voor Windows Vista en latere versies van Windows.
  • Gebruik deze tijdelijke oplossing, moet Internet Explorer worden uitgevoerd met Protected-modus is ingeschakeld. Dit vereist zowel Protected-modus en Gebruikersaccountbeheer (UAC) zijn ingeschakeld. Dit is de standaardinstelling. Om te bepalen of de beveiligde modus is ingeschakeld, controleert u de statusbalk van Internet Explorer.
Ga als volgt te werk om het gebruik van deze methode:
  1. Sla de volgende tekst in een tijdelijke map:
    • Voor 32-bits systemen
      Sla de volgende tekst naar een tekstbestand met de naam 'BlockAccess_x86.inf':
      [Unicode]Unicode=yes
      [Version]
      signature="$CHICAGO$"
      Revision=1
      [File Security]
      "%ProgramFiles%\Common Files\System\Ole DB\oledb32.dll",2,"S:(ML;;NWNRNX;;;ME)"
    • Voor 64-bits systemen
      Sla de volgende tekst naar een tekstbestand met de naam 'BlockAccess_x86.inf':
       [Unicode]Unicode=yes
      [Version]
      signature="$CHICAGO$"
      Revision=1
      [File Security]
      "%ProgramFiles%\Common Files\System\Ole DB\oledb32.dll",2,"S:(ML;;NWNRNX;;;ME)"
      Sla de volgende tekst naar een tekstbestand met de naam 'BlockAccess_x64.inf':
       [Unicode]Unicode=yes
      [Version]
      signature="$CHICAGO$"
      Revision=1
      [File Security]
      "%ProgramFiles%\Common Files\System\Ole DB\oledb32.dll",2,"S:(ML;;NWNRNX;;;ME)"
  2. Open een opdrachtprompt met verhoogde bevoegdheid beheerder in de tijdelijke map.
  3. Typ de volgende opdracht in de opdrachtprompt en druk vervolgens op ENTER:
    SecEdit, configureren/db BlockAccess.sdb/cfg < INF-bestand >
  4. Nadat de opdracht is voltooid, moet u ontvangt een bericht met de volgende strekking weergegeven:
    De taak is voltooid.
    Zie het bestand %windir%\Security\Logs\Scesrv.log voor meer informatie.

Het valideren van deze tijdelijke oplossing

U kunt de opdracht icacls gebruiken om te bepalen of de tijdelijke oplossing is toegepast. Gebruik hiervoor een van de volgende opties:
  • Voor een 32-bits besturingssysteem
    Typ de volgende opdracht in de opdrachtprompt en druk vervolgens op ENTER:
    icacls "%ProgramFiles%\Common Files\System\Ole DB\oledb32.dll"
  • Voor een 64-bits besturingssysteem
    Typ de volgende opdrachten bij de opdrachtprompt en druk vervolgens op ENTER:
    icacls "%ProgramFiles%\Common Files\System\Ole DB\oledb32.dll"

    icacls "% ProgramFiles (x86) %\Common Files\System\Ole DB\oledb32.dll" 2 "S:(ML;; NWNRNX;; ME)"
Elke keer dat de opdracht icacls Zoek bij de uitvoer naar de volgende regel.
Verplichte Label\Medium verplichte Level:(NW,NR,NX)
Als de regel aanwezig is en het NR- en NX-waarden bevat, is de tijdelijke oplossing is toegepast. Echter, als op de regel ontbreekt of als een van de waarden van NR- of NX ontbreekt, de oplossing is niet toegepast.

Het effect van deze tijdelijke oplossing

Deze oplossing beïnvloedt alleen ADO/OLE DB-toepassingen die worden uitgevoerd in Internet Explorer. Dit is niet normaal. Deze tijdelijke oplossing heeft minimaal effect omdat andere processen die worden uitgevoerd in Gemiddeld of hoger integriteitsniveau nog zou kunnen laden en OLEDB32.dll gebruiken.

Deze tijdelijke oplossing ongedaan maken



Ga als volgt te werk om het ongedaan maken van de tijdelijke oplossing:
  1. Sla de volgende tekst in een tijdelijke map:
    • Voor 32-bits systemen
      Sla de volgende tekst naar een tekstbestand met de naam 'unBlockAccess_x86.inf':
      [Unicode]Unicode=yes
      [Version]
      signature="$CHICAGO$"
      Revision=1
      [File Security]
      "%ProgramFiles%\Common Files\System\Ole DB\oledb32.dll",2,"S:(ML;;NW;;;ME)"
    • Voor 64-bits systemen
      Sla de volgende tekst naar een tekstbestand met de naam 'unBlockAccess_x86.inf':
      [Unicode]Unicode=yes
      [Version]
      signature="$CHICAGO$"
      Revision=1
      [File Security]
      "%ProgramFiles%\Common Files\System\Ole DB\oledb32.dll",2,"S:(ML;;NW;;;ME)"
      Sla de volgende tekst naar een tekstbestand met de naam: 'unBlockAccess_x64.inf':
      [Unicode]Unicode=yes
      [Version]
      signature="$CHICAGO$"
      Revision=1
      [File Security]
      "%ProgramFiles%\Common Files\System\Ole DB\oledb32.dll",2,"S:(ML;;NW;;;ME)"
  2. Open een opdrachtprompt met verhoogde bevoegdheid beheerder in de tijdelijke map.
  3. Typ de volgende opdracht in de opdrachtprompt en druk vervolgens op ENTER:
    SecEdit, configureren/db UnblockAccess.sdb/cfg < INF-bestand >
  4. Nadat de opdracht is voltooid, moet u ontvangt een bericht met de volgende strekking weergegeven:
    De taak is voltooid.
    Zie het bestand %windir%\Security\Logs\Scesrv.log voor meer informatie.
De opdracht icacls gebruiken om te controleren of de tijdelijke oplossing is verwijderd. Vervolgens kunt u de bestanden UnblockAccess.sdb en UnblockAccess.inf veilig verwijderen. Zie de sectie 'Het valideren van deze tijdelijke oplossing' van ' methode 1' voor meer informatie over het gebruik van de opdracht icacls om te controleren of de tijdelijke oplossing is verwijderd.

Methode 2: De functionaliteit "Rijpositie" van OLEDB32.dll uitschakelen

Belangrijk Deze sectie, methode of taak bevat stappen voor het wijzigen van het register. Echter, er kunnen ernstige problemen optreden als u het register onjuist bewerkt. Daarom is het belangrijk de volgende stappen zorgvuldig te volgen. Als extra beveiliging maakt u een back-up van het register voordat u wijzigingen aanbrengt. Vervolgens kunt u het register herstellen als er een probleem optreedt. Voor meer informatie over hoe u een back-up van het register kunt maken en terugzetten, klikt u op het volgende artikel in de Microsoft Knowledge Base:
322756 Back-up maken en terugzetten van het register in Windows
Schakel de functionaliteit "Rijpositie" van OLEDB32.dll rijpositie subsleutel te verwijderen:
HKEY_CLASSES_ROOT\CLSID\{2048EEE6-7FA2-11D0-9E6A-00A0C9138C29}

Het effect van het uitschakelen van de functionaliteit "Rijpositie" van OLEDB32.dll

Alle ADO-toepassingen die gebruikmaken van de RowPosition , eigenschap en de bijbehorende gegevens worden beïnvloed. Alle OLE DB-toepassingen die gebruikmaken van de OLE DB rij positie bibliotheek worden beïnvloed. MSHTML wordt beïnvloed.

Deze tijdelijke oplossing ongedaan maken

Gebruik het volgende registerbestand herstellen de rijpositie register-subsleutel:
Windows Registry Editor Version 5.00[HKEY_CLASSES_ROOT\CLSID\{2048EEE6-7FA2-11D0-9E6A-00A0C9138C29}]
@="Microsoft OLE DB Row Position Library"
[HKEY_CLASSES_ROOT\CLSID\{2048EEE6-7FA2-11D0-9E6A-00A0C9138C29}\InprocServer32]
@="C:\\Program Files\\Common Files\\System\\Ole DB\\oledb32.dll"
"ThreadingModel"="Both"
[HKEY_CLASSES_ROOT\CLSID\{2048EEE6-7FA2-11D0-9E6A-00A0C9138C29}\ProgID]
@="RowPosition.RowPosition.1"
[HKEY_CLASSES_ROOT\CLSID\{2048EEE6-7FA2-11D0-9E6A-00A0C9138C29}\VersionIndependentProgID]
@="RowPosition.RowPosition"

Methode 3: De registratie van OLEDB32.dll

Gebruiken om de registratie van OLEDB32.dll, een van de volgende.

Opmerking U kunt de opdrachten moet uitvoeren als beheerder.
  • Voor ondersteunde versies van Windows 2000, Windows XP, Windows Server 2003, Windows Vista en Windows Server 2008 voor 32-bits systemen
    Typ de volgende opdracht in de opdrachtprompt en druk vervolgens op ENTER:
    Regsvr32.exe/u "Programma Files\Common Files\System\Ole DB\oledb32.dll"
  • Voor ondersteunde versies van Windows XP Professional x64 Edition, editie van Windows Server 2003 x64 Windows Vista x64 Edition, Windows Server 2008 voor x64-systemen en Windows Server 2008 voor Itanium systemen
    Typ de volgende opdrachten bij de opdrachtprompt en druk vervolgens op ENTER:
    Regsvr32.exe/u "Programma Files\Common Files\System\Ole DB\oledb32.dll"

    Regsvr32.exe/u "programma bestanden (x86) \Common Files\System\Ole DB\oledb32.dll"

Het effect van het afmelden van OLEDB32.dll

Toepassingen die van OLE DB data access gebruikmaken werkt niet.

Deze tijdelijke oplossing ongedaan maken

Om deze tijdelijke oplossing ongedaan maken, gebruikt u een van de volgende.

Opmerking U kunt de opdrachten moet uitvoeren als beheerder.
  • Voor ondersteunde versies van Windows 2000, Windows XP, Windows Server 2003, Windows Vista en Windows Server 2008 voor 32-bits systemen
    Typ de volgende opdracht in de opdrachtprompt en druk vervolgens op ENTER:
    Regsvr32.exe "Programma Files\Common Files\System\Ole DB\oledb32.dll"
  • Voor ondersteunde versies van Windows XP Professional x64 Edition, editie van Windows Server 2003 x64 Windows Vista x64 Edition, Windows Server 2008 voor x64-systemen en Windows Server 2008 voor Itanium systemen
    Typ de volgende opdrachten bij de opdrachtprompt en druk vervolgens op ENTER:
    Regsvr32.exe "Programma Files\Common Files\System\Ole DB\oledb32.dll"

    Regsvr32.exe "programma bestanden (x86) \Common Files\System\Ole DB\oledb32.dll"

Methode 4: Gebruik SACL posten OLEDB32.dll uitschakelen

SACL-gegevens kunt u OLEDB32.dll uitschakelen. Gebruik hiervoor een van de volgende.

Opmerking U kunt de opdrachten moet uitvoeren als beheerder.
  • Voor ondersteunde versies van Windows 2000, Windows XP en Windows Server 2003
    Typ de volgende opdracht in de opdrachtprompt en druk vervolgens op ENTER:
    cacls "programma Files\Common Files\System\Ole DB\oledb32.dll"/E/P iedereen: N
  • Voor ondersteunde versies van Windows XP Professional x64 Edition, Windows Server 2003 x64 Edition en Windows Server 2003 voor Itanium-systemen
    Typ de volgende opdrachten bij de opdrachtprompt en druk vervolgens op ENTER:
    cacls "programma Files\Common Files\System\Ole DB\oledb32.dll"/E/P iedereen: N

    cacls "Program Files (x86) \Common Files\System\Ole DB\oledb32.dll"/E/P iedereen: N
  • Voor ondersteunde versies van Windows Vista en Windows Server 2008 voor 32-bits systemen
    Typ de volgende opdrachten bij de opdrachtprompt en druk vervolgens op ENTER:
    takeown/f "Programma Files\Common Files\System\Ole DB\oledb32.dll"

    icacls programma Files\Common Files\System\Ole DB\oledb32.dll"/save %TEMP%\oledb32.32.dll.TXT"

    icacls programma Files\Common Files\System\Ole DB\oledb32.dll"/deny everyone:(F)"
  • Voor ondersteunde versies van Windows Vista x64 Edition, Windows Server 2008 voor x64-systemen en Windows Server 2008 voor Itanium systemen
    Typ de volgende opdrachten bij de opdrachtprompt en druk vervolgens op ENTER:
    takeown/f "Programma Files\Common Files\System\Ole DB\oledb32.dll"

    icacls programma Files\Common Files\System\Ole DB\oledb32.dll"/save %TEMP%\oledb32.32.dll.TXT"

    icacls programma Files\Common Files\System\Ole DB\oledb32.dll"/deny everyone:(F)"

    takeown/f "Program Files (x86) \Common DB\oledb32.dll"

    icacls "Program Files (x86) \Common Files\System\Ole DB\oledb32.dll"/save %TEMP%\oledb32.64.dll.TXT

    icacls "Program Files (x86) \Common Files\System\Ole DB\oledb32.dll"/deny everyone:(F)

Het effect van het afmelden van OLEDB32.dll

Toepassingen die van OLE DB data access gebruikmaken werkt niet.

Deze tijdelijke oplossing ongedaan maken

Om deze tijdelijke oplossing ongedaan maken, gebruikt u een van de volgende:


Opmerking U kunt de opdrachten moet uitvoeren als beheerder.
  • Voor ondersteunde versies van Windows 2000, Windows XP en Windows Server 2003
    Typ de volgende opdracht in de opdrachtprompt en druk vervolgens op ENTER:
    cacls "programma Files\Common Files\System\Ole DB\oledb32.dll"/E/R iedereen
  • Voor ondersteunde versies van Windows XP Professional x64 Edition, Windows Server 2003 x64 Edition en Windows Server 2003 voor Itanium-systemen
    Typ de volgende opdrachten bij de opdrachtprompt en druk vervolgens op ENTER:
    cacls "programma Files\Common Files\System\Ole DB\oledb32.dll"/E/R iedereen

    cacls "Program Files (x86) \Common Files\System\Ole DB\oledb32.dll"/E/R iedereen
  • Voor ondersteunde versies van Windows Vista en Windows Server 2008 voor 32-bits systemen
    Typ de volgende opdracht in de opdrachtprompt en druk vervolgens op ENTER:
    icacls "Program Files\Common Files\System\Ole DB" / restore %TEMP%\oledb32.32.dll.TXT
  • Voor ondersteunde versies van Windows Vista x64 Edition, Windows Server 2008 voor x64-systemen en Windows Server 2008 voor Itanium systemen
    Typ de volgende opdrachten bij de opdrachtprompt en druk vervolgens op ENTER:
    icacls "Program Files\Common Files\System\Ole DB" / restore %TEMP%\oledb32.32.dll.TXT

    icacls "Program Files (x86) \Common DB" / restore %TEMP%\oledb32.64.dll.TXT

Hoe u kunt bepalen of u een 32-bits of een 64-bits editie van Windows

Als u niet zeker weet welke versie van Windows die u uitvoert of een 32-bits of 64-bits versie is, opent u systeeminformatie (Msinfo32.exe) en controleert u de waarde die is vermeld bij Systeemtype. Ga hiervoor als volgt te werk:
  1. Klik op Start, klik op uitvoeren of klik op Zoekopdracht starten.
  2. Typ msinfo32.exe en druk op ENTER.
  3. In Systeeminfo, controleert u de waarde voor het Systeemtype.
    • Voor 32-bits edities van Windows is de waarde van het Systeemtype x 86 gebaseerde PC.
    • De waarde van het Systeemtype is voor 64-bits versies van Windows, x 64-gebaseerde PC.
Voor meer informatie over hoe u kunt bepalen of er een 32-bits of 64-bits editie van Windows wordt uitgevoerd, klikt u op het volgende artikelnummer om het artikel in de Microsoft Knowledge Base:
827218 Hoe u kunt bepalen of uw computer een 32-bits versie of een 64-bits versie van Windows wordt uitgevoerd
Eigenschappen

Artikel-id: 961051 - Laatst bijgewerkt: 15 feb. 2017 - Revisie: 1

Feedback