Microsoft-beveiligingsbulletin MS16-118 - Kritiek
Cumulatieve beveiligingsupdate voor Internet Explorer (3192887)
Gepubliceerd: 11 oktober 2016 | Bijgewerkt: 13 december 2016
Versie: 2.0
Samenvatting
Met deze beveiligingsupdate worden beveiligingsproblemen in Internet Explorer opgelost. De ernstigste beveiligingsproblemen kunnen externe code-uitvoering toestaan als een gebruiker een speciaal gemaakte webpagina bekijkt met Behulp van Internet Explorer. Een aanvaller die misbruik heeft gemaakt van de beveiligingsproblemen, kan dezelfde gebruikersrechten krijgen als de huidige gebruiker. Als de huidige gebruiker is aangemeld met beheerdersrechten, kan een aanvaller de controle overnemen over een beïnvloed systeem. Een aanvaller kan vervolgens programma's installeren; gegevens weergeven, wijzigen of verwijderen; of maak nieuwe accounts met volledige gebruikersrechten.
Deze beveiligingsupdate wordt beoordeeld als kritiek voor Internet Explorer 9 (IE 9) en Internet Explorer 11 (IE 11) op betrokken Windows-clients en Gemiddeld voor Internet Explorer 9 (IE 9), Internet Explorer 10 (IE 10) en Internet Explorer 11 (IE 11) op betrokken Windows-servers. Zie de sectie Beïnvloede software voor meer informatie.
Met de update worden de beveiligingsproblemen opgelost door te corrigeren hoe Internet Explorer werkt:
- objecten in het geheugen
- naamruimtegrenzen
Zie de sectie Informatie over beveiligingsproblemen voor meer informatie over de beveiligingsproblemen.
Zie het Microsoft Knowledge Base-artikel 3192887 voor meer informatie over deze update.
Betrokken software
De volgende softwareversies of -edities worden beïnvloed. Versies of edities die niet worden vermeld, vallen na de levenscyclus van de ondersteuning of worden niet beïnvloed. Zie Microsoft Ondersteuning Levenscyclus om de levenscyclus van de ondersteuning voor uw softwareversie of -editie te bepalen.
| Besturingssysteem | Onderdeel | Maximale beveiligingsimpact | Classificatie voor cumulatieve ernst | Updates vervangen* |
|---|---|---|---|---|
| Internet Explorer 9 | ||||
| Windows Vista Service Pack 2 | Internet Explorer 9 (3191492) | Uitvoering van externe code | Kritiek | 3185319 in MS16-104 |
| Windows Vista x64 Edition Service Pack 2 | Internet Explorer 9 (3191492) | Uitvoering van externe code | Kritiek | 3185319 in MS16-104 |
| Windows Server 2008 voor 32-bits systemen Service Pack 2 | Internet Explorer 9 (3191492) | Uitvoering van externe code | Matig | 3185319 in MS16-104 |
| Windows Server 2008 voor x64-systemen Service Pack 2 | Internet Explorer 9 (3191492) | Uitvoering van externe code | Matig | 3185319 in MS16-104 |
| Internet Explorer 10 | ||||
| Alleen windows Server 2012-beveiliging[4] | Internet Explorer 10[1] (3192393) | Uitvoering van externe code | Matig | 3185319 in MS16-104 |
| Maandelijks roll-up van Windows Server 2012[4] | Internet Explorer 10[1] (3185332) | Uitvoering van externe code | Matig | 3185319 in MS16-104 |
| Internet Explorer 11 | ||||
| Windows 7 voor 32-bits systemen Service Pack 1 Alleen beveiliging[4] | Internet Explorer 11 (3192391) | Uitvoering van externe code | Kritiek | 3185319 in MS16-104 |
| Windows 7 voor 32-bits systemen Service Pack 1 Maandelijks samenrollen[4] | Internet Explorer 11 (3185330) | Uitvoering van externe code | Kritiek | 3185319 in MS16-104 |
| Windows 7 voor op x64 gebaseerde systemen Service Pack 1 Alleen beveiliging[4] | Internet Explorer 11 (3192391) | Uitvoering van externe code | Kritiek | 3185319 in MS16-104 |
| Windows 7 voor op x64 gebaseerde systemen Service Pack 1 Maandelijks roll-up[4] | Internet Explorer 11 (3185330) | Uitvoering van externe code | Kritiek | 3185319 in MS16-104 |
| Windows Server 2008 R2 voor op x64 gebaseerde systemen Service Pack 1 Alleen beveiliging[4] | Internet Explorer 11[1] (3192391) | Uitvoering van externe code | Matig | 3185319 in MS16-104 |
| Windows Server 2008 R2 voor x64-systemen Service Pack 1 Maandelijks samendraaien[4] | Internet Explorer 11[1] (3185330) | Uitvoering van externe code | Matig | 3185319 in MS16-104 |
| Windows 8.1 voor 32-bits systemen alleen beveiliging[4] | Internet Explorer 11 (3192392) | Uitvoering van externe code | Kritiek | 3185319 in MS16-104 |
| Windows 8.1 voor 32-bits systemen maandelijks roll-up[4] | Internet Explorer 11 (3185331) | Uitvoering van externe code | Kritiek | 3185319 in MS16-104 |
| Windows 8.1 voor alleen op x64 gebaseerde systemenbeveiliging[4] | Internet Explorer 11 (3192392) | Uitvoering van externe code | Kritiek | 3185319 in MS16-104 |
| Windows 8.1 voor maandelijkse roll-up van x64-systemen[4] | Internet Explorer 11 (3185331) | Uitvoering van externe code | Kritiek | 3185319 in MS16-104 |
| Alleen Windows Server 2012 R2-beveiliging[4] | Internet Explorer 11 (3192392) | Uitvoering van externe code | Matig | 3185319 in MS16-104 |
| Maandelijkse roll-up van Windows Server 2012 R2[4] | Internet Explorer 11 (3185331) | Uitvoering van externe code | Matig | 3185319 in MS16-104 |
| Maandelijkse roll-up van Windows RT 8.1[4] | Internet Explorer 11[1][2](3185331) | Uitvoering van externe code | Kritiek | 3185319 in MS16-104 |
| Windows 10 voor 32-bits systemen[3](3192440) | Internet Explorer 11 | Uitvoering van externe code | Kritiek | 3185611 |
| Windows 10 voor x64-systemen[3](3192440) | Internet Explorer 11 | Uitvoering van externe code | Kritiek | 3185611 |
| Windows 10 versie 1511 voor 32-bits systemen[3](3192441) | Internet Explorer 11 | Uitvoering van externe code | Kritiek | 3185614 |
| Windows 10 versie 1511 voor op x64 gebaseerde systemen[3](3192441) | Internet Explorer 11 | Uitvoering van externe code | Kritiek | 3185614 |
| Windows 10 versie 1607 voor 32-bits systemen[3](3194798) | Internet Explorer 11 | Uitvoering van externe code | Kritiek | 3189866 |
| Windows 10 versie 1607 voor op x64 gebaseerde systemen[3](3194798) | Internet Explorer 11 | Uitvoering van externe code | Kritiek | 3189866 |
[1]Zie Microsoft Ondersteuning levenscyclus voor informatie over wijzigingen in de ondersteuning voor Internet Explorer vanaf 12 januari 2016.
[2]Deze update is beschikbaar via Windows Update.
[3]Windows 10-updates zijn cumulatief. De maandelijkse beveiligingsrelease bevat alle beveiligingsoplossingen voor beveiligingsproblemen die van invloed zijn op Windows 10, naast niet-beveiligingsupdates. De updates zijn beschikbaar via de Microsoft Update-catalogus.
[4]Vanaf de release van oktober 2016 wijzigt Microsoft het updateservicemodel voor Windows 7, Windows Server 2008 R2, Windows 8.1, Windows Server 2012 en Windows Server 2012 R2. Raadpleeg dit Microsoft TechNet-artikel voor meer informatie.
Opmerking De beveiligingsproblemen die in dit bulletin worden besproken, zijn van invloed op Windows Server 2016 Technical Preview 5. Om te worden beschermd tegen de beveiligingsproblemen, raadt Microsoft aan dat klanten die dit besturingssysteem uitvoeren, de huidige update toepassen, die exclusief beschikbaar is via Windows Update.
*De kolom Updates vervangen toont alleen de meest recente update in een keten van vervangen updates. Voor een uitgebreide lijst met updates die zijn vervangen, gaat u naar de Microsoft Update-catalogus, zoekt u naar het KB-nummer van de update en bekijkt u de updategegevens (informatie over de vervangen updates vindt u op het tabblad Pakketdetails).
Veelgestelde vragen over bijwerken
Naast het installeren van deze update zijn er verdere stappen die ik moet uitvoeren om te worden beschermd tegen een van de beveiligingsproblemen die in dit bulletin worden besproken?
Ja. Voor Vista- en Windows Server 2008-besturingssystemen die de cumulatieve update van 3191492 zelf installeren, biedt geen volledige bescherming tegen CVE-2016-3298. U moet ook beveiligingsupdates installeren 3193515 in MS16-126 om volledig te worden beschermd tegen het beveiligingsprobleem.
Bevat deze update aanvullende beveiligingsgerelateerde wijzigingen in functionaliteit?
Ja. Naast de wijzigingen die worden vermeld voor de beveiligingsproblemen die in dit bulletin worden beschreven, bevat deze update diepgaande updates ter verbetering van beveiligingsfuncties.
Ernstclassificaties en id's voor beveiligingsproblemen
Bij de volgende ernstclassificaties wordt uitgegaan van de mogelijke maximale impact van het beveiligingsprobleem. Voor informatie over de waarschijnlijkheid, binnen 30 dagen na de release van dit beveiligingsbulletin, van de misbruikbaarheid van het beveiligingsprobleem ten opzichte van de ernstclassificatie en beveiligingsimpact, raadpleegt u de Index exploitability in het overzicht van het bulletin van oktober.
Waar opgegeven in de tabel Ernstbeoordelingen en Impact, Kritieke, Belangrijke en Gemiddelde waarden, geven ernstclassificaties aan. Zie Beveiligingsbulletin Ernstbeoordelingssysteem voor meer informatie. Raadpleeg de volgende sleutel voor de afkortingen die in de tabel worden gebruikt om de maximale impact aan te geven:
| Afkorting | Maximale impact |
|---|---|
| RCE | Uitvoering van externe code |
| Eop | Verhoging van bevoegdheden |
| Id | Openbaarmaking van informatie |
| SFB | Bypass van beveiligingsfuncties |
| Ernstclassificaties en impact van beveiligingsproblemen | |||||
|---|---|---|---|---|---|
| CVE-nummer | Titel van beveiligingsprobleem | Internet Explorer 9 | Internet Explorer 10 | Internet Explorer 11 | Internet Explorer 11op Windows 10 |
| CVE-2016-3267 | Beveiligingsprobleem met openbaarmaking van Microsoft-browsergegevens | Windows-clients: gemiddeld/id Windows-servers: laag/id | Windows-clients: gemiddeld/id Windows-servers: laag/id | Windows-clients: gemiddeld/id Windows-servers: laag/id | Windows-clients: Belangrijk / ID Windows-servers: laag / id |
| CVE-2016-3298 | Beveiligingsprobleem met betrekking tot openbaarmaking van informatie in Internet Explorer | Windows-clients: gemiddeld/id Windows-servers: laag/id | Windows-clients: gemiddeld/id Windows-servers: laag/id | Windows-clients: gemiddeld/id Windows-servers: laag/id | Windows-clients: gemiddeld/id Windows-servers: laag/id |
| CVE-2016-3331 | Beveiligingsprobleem met geheugenbeschadiging in Microsoft Browser | Niet van toepassing | Niet van toepassing | Niet van toepassing | Windows-clients: kritiek /RCE Windows-servers: gemiddeld / RCE (Win 10 1607 wordt niet beïnvloed) |
| CVE-2016-3382 | Beveiligingsprobleem met geheugenbeschadiging van scriptengine | Windows-clients: kritiek / RCE Windows-servers: gemiddeld / RCE | Windows-clients: kritiek / RCE Windows-servers: gemiddeld / RCE | Windows-clients: kritiek / RCE Windows-servers: gemiddeld / RCE | Windows-clients: kritiek / RCE Windows-servers: gemiddeld / RCE |
| CVE-2016-3383 | Beveiligingsprobleem met geheugenbeschadiging in Internet Explorer | Niet van toepassing | Windows-clients: kritiek / RCE Windows-servers: gemiddeld / RCE | Windows-clients: kritiek / RCE Windows-servers: gemiddeld / RCE | Niet van toepassing |
| CVE-2016-3384 | Beveiligingsprobleem met geheugenbeschadiging in Internet Explorer | Windows-clients: kritiek / RCE Windows-servers: gemiddeld / RCE | Windows-clients: kritiek / RCE Windows-servers: gemiddeld / RCE | Windows-clients: kritiek / RCE Windows-servers: gemiddeld / RCE | Windows-clients: kritiek / RCE Windows-servers: gemiddeld / RCE |
| CVE-2016-3385 | Beveiligingsprobleem met geheugenbeschadiging van scriptengine | Windows-clients: kritiek / RCE Windows-servers: gemiddeld / RCE | Windows-clients: kritiek / RCE Windows-servers: gemiddeld / RCE | Windows-clients: kritiek / RCE Windows-servers: gemiddeld / RCE | Windows-clients: kritiek / RCE Windows-servers: gemiddeld / RCE |
| CVE-2016-3387 | Beveiligingsprobleem met uitbreiding van bevoegdheden in Microsoft Browser | Niet van toepassing | Windows-clients: belangrijk / EOP Windows-servers: laag / EOP | Windows-clients: belangrijk / EOP Windows-servers: laag / EOP | Windows-clients: belangrijk / EOP Windows-servers: laag / EOP |
| CVE-2016-3388 | Beveiligingsprobleem met uitbreiding van bevoegdheden in Microsoft Browser | Niet van toepassing | Windows-clients: belangrijk / EOP Windows-servers: laag / EOP | Windows-clients: belangrijk / EOP Windows-servers: laag / EOP | Windows-clients: belangrijk / EOP Windows-servers: laag / EOP |
| CVE-2016-3390 | Beveiligingsprobleem met geheugenbeschadiging van scriptengine | Niet van toepassing | Niet van toepassing | Windows-clients: kritiek / RCE Windows-servers: gemiddeld / RCE | Windows-clients: kritiek / RCE Windows-servers: gemiddeld / RCE |
| CVE-2016-3391 | Beveiligingsprobleem met openbaarmaking van Microsoft-browsergegevens | Windows-clients: gemiddeld/id Windows-servers: laag/id | Windows-clients: gemiddeld/id Windows-servers: laag/id | Windows-clients: gemiddeld/id Windows-servers: laag/id | Windows-clients: gemiddeld/id Windows-servers: laag/id |
Informatie over het beveiligingsprobleem
Meerdere beveiligingsproblemen met geheugenbeschadiging in Microsoft Internet Explorer
Er bestaan meerdere beveiligingsproblemen met uitvoering van externe code op de manier waarop Internet Explorer toegang heeft tot objecten in het geheugen. De beveiligingsproblemen kunnen geheugen beschadigen op een manier waardoor een aanvaller willekeurige code kan uitvoeren in de context van de huidige gebruiker. Een aanvaller die misbruik heeft gemaakt van de beveiligingsproblemen, kan dezelfde gebruikersrechten krijgen als de huidige gebruiker. Als de huidige gebruiker is aangemeld met beheerdersrechten, kan de aanvaller de controle over een beïnvloed systeem overnemen. Een aanvaller kan vervolgens programma's installeren; gegevens weergeven, wijzigen of verwijderen; of maak nieuwe accounts met volledige gebruikersrechten.
Een aanvaller kan een speciaal gemaakte website hosten die is ontworpen om misbruik te maken van de beveiligingsproblemen via Internet Explorer en vervolgens een gebruiker overtuigen om de website te bekijken. De aanvaller kan ook profiteren van gecompromitteerde websites of websites die door de gebruiker geleverde inhoud of advertenties accepteren of hosten, door speciaal gemaakte inhoud toe te voegen die misbruik kan maken van de beveiligingsproblemen. In alle gevallen zou een aanvaller echter geen manier hebben om gebruikers te dwingen om de door de aanvaller beheerde inhoud te bekijken. In plaats daarvan moet een aanvaller gebruikers overtuigen om actie te ondernemen, meestal via een verleiding in e-mail of chatbericht, of door hen een e-mailbijlage te laten openen.
Met de update worden de beveiligingsproblemen opgelost door te wijzigen hoe Internet Explorer objecten in het geheugen verwerkt.
De volgende tabel bevat koppelingen naar de standaardvermelding voor elk beveiligingsprobleem in de lijst algemene beveiligingsproblemen en blootstellingen:
| Titel van beveiligingsprobleem | CVE-nummer | Openbaar gemaakt | Benut |
|---|---|---|---|
| Beveiligingsprobleem met geheugenbeschadiging in Microsoft Browser | CVE-2016-3331 | Nee | Nr. |
| Beveiligingsprobleem met geheugenbeschadiging in Microsoft Browser | CVE-2016-3383 | Nee | Nr. |
| Beveiligingsprobleem met geheugenbeschadiging in Internet Explorer | CVE-2016-3384 | Nee | Nr. |
Factoren beperken
Microsoft heeft geen beperkende factoren geïdentificeerd voor deze beveiligingsproblemen.
Tijdelijke oplossingen
Microsoft heeft geen tijdelijke oplossingen voor deze beveiligingsproblemen geïdentificeerd.
Veelgestelde vragen
Ik voer Internet Explorer uit op Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 of Windows Server 2012 R2. Verhelpt dit deze beveiligingsproblemen?
Ja. Internet Explorer in Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 en Windows Server 2012 R2 wordt standaard uitgevoerd in een beperkte modus die verbeterde beveiligingsconfiguratie wordt genoemd. Verbeterde beveiligingsconfiguratie is een groep vooraf geconfigureerde instellingen in Internet Explorer waarmee de kans kan worden beperkt dat een gebruiker of beheerder speciaal gemaakte webinhoud op een server downloadt en uitvoert. Dit is een beperkingsfactor voor websites die u niet hebt toegevoegd aan de zone Vertrouwde websites van Internet Explorer.
Kan EMET helpen bij het beperken van aanvallen die proberen deze beveiligingsproblemen te misbruiken?
Ja. Met de Enhanced Mitigation Experience Toolkit (EMET) kunnen gebruikers beveiligingsbeperkingstechnologieën beheren die het lastiger maken voor aanvallers om beveiligingsproblemen in een bepaald stukje software te misbruiken. EMET kan helpen aanvallen te beperken die proberen deze beveiligingsproblemen in Internet Explorer te misbruiken op systemen waarop EMET is geïnstalleerd en geconfigureerd voor gebruik met Internet Explorer.
Zie de Enhanced Mitigation Experience Toolkit voor meer informatie over EMET.
Beveiligingsproblemen met meerdere scripting-enginegeheugenbeschadiging
Er bestaan meerdere beveiligingsproblemen met de uitvoering van externe code op de manier waarop de Scripting Engine wordt weergegeven bij het verwerken van objecten in het geheugen in Microsoft-browsers. De beveiligingsproblemen kunnen geheugen beschadigen op een zodanige manier dat een aanvaller willekeurige code kan uitvoeren in de context van de huidige gebruiker.
In een scenario met webaanvallen kan een aanvaller een speciaal gemaakte website hosten die is ontworpen om de beveiligingsproblemen te misbruiken via Internet Explorer of Edge en vervolgens een gebruiker overtuigen om de website te bekijken. Een aanvaller kan ook een ActiveX-besturingselement insluiten dat is gemarkeerd als 'veilig voor initialisatie' in een toepassing of Microsoft Office-document dat als host fungeert voor de engine voor het genereren van scripts. De aanvaller kan ook profiteren van gecompromitteerde websites en websites die door de gebruiker geleverde inhoud of advertenties accepteren of hosten. Deze websites kunnen speciaal gemaakte inhoud bevatten die misbruik kan maken van de beveiligingsproblemen.
De update lost de beveiligingsproblemen op door te wijzigen hoe de Scripting Engine objecten in het geheugen verwerkt.
De volgende tabel bevat koppelingen naar de standaardvermelding voor elk van de beveiligingsproblemen in de lijst met veelvoorkomende beveiligingsproblemen en blootstellingen:
| Titel van beveiligingsprobleem | CVE-nummer | Openbaar gemaakt | Benut |
|---|---|---|---|
| Beveiligingsprobleem met geheugenbeschadiging van scriptengine | CVE-2016-3382 | Nee | Nr. |
| Beveiligingsprobleem met geheugenbeschadiging van scriptengine | CVE-2016-3385 | Nee | Nr. |
| Beveiligingsprobleem met geheugenbeschadiging van scriptengine | CVE-2016-3390 | Nee | Nr. |
Factoren beperken
Microsoft heeft geen beperkende factoren geïdentificeerd voor deze beveiligingsproblemen.
Tijdelijke oplossingen
Microsoft heeft geen tijdelijke oplossingen voor deze beveiligingsproblemen geïdentificeerd.
Veelgestelde vragen
Ik voer Internet Explorer uit op Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 of Windows Server 2012 R2. Verhelpt dit deze beveiligingsproblemen?
Ja. Internet Explorer in Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 en Windows Server 2012 R2 wordt standaard uitgevoerd in een beperkte modus die verbeterde beveiligingsconfiguratie wordt genoemd. Verbeterde beveiligingsconfiguratie is een groep vooraf geconfigureerde instellingen in Internet Explorer waarmee de kans kan worden beperkt dat een gebruiker of beheerder speciaal gemaakte webinhoud op een server downloadt en uitvoert. Dit is een beperkingsfactor voor websites die u niet hebt toegevoegd aan de zone Vertrouwde websites van Internet Explorer.
Kan EMET helpen bij het beperken van aanvallen die proberen deze beveiligingsproblemen te misbruiken?
Ja. Met de Enhanced Mitigation Experience Toolkit (EMET) kunnen gebruikers beveiligingsbeperkingstechnologieën beheren die het lastiger maken voor aanvallers om beveiligingsproblemen in een bepaald stukje software te misbruiken. EMET kan helpen aanvallen te beperken die proberen deze beveiligingsproblemen in Internet Explorer te misbruiken op systemen waarop EMET is geïnstalleerd en geconfigureerd voor gebruik met Internet Explorer.
Zie de Enhanced Mitigation Experience Toolkit voor meer informatie over EMET.
Meerdere beveiligingsproblemen met onrechtmatige uitbreiding van bevoegdheden in Internet Explorer
Er bestaan meerdere beveiligingsproblemen met bevoegdheden wanneer Internet Explorer of Edge privénaamruimte niet goed kan beveiligen. Een aanvaller die dit beveiligingsprobleem heeft misbruikt, kan verhoogde machtigingen krijgen voor de naamruimtemap van een kwetsbaar systeem en verhoogde bevoegdheden krijgen.
De beveiligingsproblemen op zichzelf staan niet toe dat willekeurige code wordt uitgevoerd. Deze beveiligingsproblemen kunnen echter worden gebruikt in combinatie met een of meer andere beveiligingsproblemen (bijvoorbeeld een beveiligingsprobleem met het uitvoeren van externe code en een andere uitbreiding van bevoegdheden) die kunnen profiteren van de verhoogde bevoegdheden bij het uitvoeren.
Met de update worden de beveiligingsproblemen opgelost door te corrigeren hoe Microsoft-browsers de grenzen van naamruimten verwerken.
De volgende tabel bevat koppelingen naar de standaardvermelding voor elk beveiligingsprobleem in de lijst algemene beveiligingsproblemen en blootstellingen:
| Titel van beveiligingsprobleem | CVE-nummer | Openbaar gemaakt | Benut |
|---|---|---|---|
| Beveiligingsprobleem met uitbreiding van bevoegdheden in Microsoft Browser | CVE-2016-3387 | Nee | Nr. |
| Beveiligingsprobleem met uitbreiding van bevoegdheden in Microsoft Browser | CVE-2016-3388 | Nee | Nr. |
Factoren beperken
Microsoft heeft geen beperkende factoren geïdentificeerd voor deze beveiligingsproblemen.
Tijdelijke oplossingen
Microsoft heeft geen tijdelijke oplossingen voor deze beveiligingsproblemen geïdentificeerd.
Microsoft Browser Information Disclosure Vulnerability CVE-2016-3267
Er bestaat een beveiligingsprobleem met betrekking tot openbaarmaking van informatie wanneer Internet Explorer of Edge objecten in het geheugen niet goed verwerkt. Met het beveiligingsprobleem kan een aanvaller specifieke bestanden op de computer van de gebruiker detecteren. In een aanvalsscenario op internet kan een aanvaller een website hosten die wordt gebruikt om misbruik te maken van het beveiligingsprobleem.
Bovendien kunnen gecompromitteerde websites en websites die door de gebruiker gegenereerde inhoud accepteren of hosten, speciaal gemaakte inhoud bevatten die misbruik kan maken van het beveiligingsprobleem. In alle gevallen zou een aanvaller echter geen manier hebben om een gebruiker te dwingen om de door de aanvaller beheerde inhoud te bekijken. In plaats daarvan moet een aanvaller gebruikers overtuigen om actie te ondernemen. Een aanvaller kan bijvoorbeeld gebruikers misleiden om te klikken op een koppeling waarmee ze naar de site van de aanvaller worden gebracht.
Een aanvaller die het beveiligingsprobleem heeft misbruikt, kan mogelijk gegevens lezen die niet bedoeld zijn om openbaar te worden gemaakt. Houd er rekening mee dat het beveiligingsprobleem een aanvaller niet toestaat om code uit te voeren of de rechten van een gebruiker rechtstreeks te verhogen, maar het beveiligingsprobleem kan worden gebruikt om informatie te verkrijgen in een poging om de betrokken browsers verder in gevaar te brengen. Met de update wordt het beveiligingsprobleem opgelost door te helpen beperken welke informatie wordt geretourneerd naar Internet Explorer.
De volgende tabel bevat koppelingen naar de standaardvermelding voor elk beveiligingsprobleem in de lijst algemene beveiligingsproblemen en blootstellingen:
| Titel van beveiligingsprobleem | CVE-nummer | Openbaar gemaakt | Benut |
|---|---|---|---|
| Beveiligingsprobleem met openbaarmaking van Microsoft-browsergegevens | CVE-2016-3267 | Nee | Nr. |
Factoren beperken
Microsoft heeft geen beperkende factoren voor dit beveiligingsprobleem geïdentificeerd.
Tijdelijke oplossingen
Microsoft heeft geen tijdelijke oplossingen voor dit beveiligingsprobleem geïdentificeerd.
Microsoft Browser Information Disclosure Vulnerability CVE-2016-3391
Er bestaat een beveiligingsprobleem met betrekking tot openbaarmaking van informatie wanneer Microsoft-browsers referentiegegevens in het geheugen achterlaten. Een aanvaller die dit beveiligingsprobleem heeft misbruikt, kan referenties verzamelen uit een geheugendump van het browserproces. Een aanvaller heeft toegang nodig tot een dump van het geheugen van het betreffende systeem.
Met de update wordt het beveiligingsprobleem opgelost door de manier te wijzigen waarop Microsoft-browsers referenties opslaan in het geheugen.
De volgende tabel bevat koppelingen naar de standaardvermelding voor elk beveiligingsprobleem in de lijst algemene beveiligingsproblemen en blootstellingen:
| Titel van beveiligingsprobleem | CVE-nummer | Openbaar gemaakt | Benut |
|---|---|---|---|
| Beveiligingsprobleem met openbaarmaking van Microsoft-browsergegevens | CVE-2016-3391 | Nee | Nr. |
Factoren beperken
Microsoft heeft geen beperkende factoren voor dit beveiligingsprobleem geïdentificeerd.
Tijdelijke oplossingen
Microsoft heeft geen tijdelijke oplossingen voor dit beveiligingsprobleem geïdentificeerd.
Beveiligingsprobleem met betrekking tot openbaarmaking van informatie in Internet Explorer CVE-2016-3298
Er bestaat een beveiligingsprobleem met betrekking tot openbaarmaking van informatie wanneer Internet Explorer objecten in het geheugen onjuist verwerkt. Een aanvaller die dit beveiligingsprobleem heeft misbruikt, kan testen op de aanwezigheid van bestanden op schijf. Als een aanval succesvol is, moet een aanvaller een gebruiker overtuigen een schadelijke website te openen.
Met de update wordt het beveiligingsprobleem opgelost door de manier te wijzigen waarop Internet Explorer objecten in het geheugen verwerkt.
De volgende tabel bevat koppelingen naar de standaardvermelding voor elk beveiligingsprobleem in de lijst algemene beveiligingsproblemen en blootstellingen:
| Titel van beveiligingsprobleem | CVE-nummer | Openbaar gemaakt | Benut |
|---|---|---|---|
| Beveiligingsprobleem met betrekking tot openbaarmaking van informatie in Internet Explorer | CVE-2016-3298 | Nr. | Ja |
Factoren beperken
Microsoft heeft geen beperkende factoren voor dit beveiligingsprobleem geïdentificeerd.
Tijdelijke oplossingen
Microsoft heeft geen tijdelijke oplossingen voor dit beveiligingsprobleem geïdentificeerd.
Implementatie van beveiligingsupdates
Zie het Microsoft Knowledge Base-artikel waarnaar wordt verwezen in het executive-overzicht voor informatie over de implementatie van beveiligingsupdates.
Erkenningen
Microsoft herkent de inspanningen van degenen in de beveiligingscommunity die ons helpen klanten te beschermen via gecoördineerde openbaarmaking van beveiligingsproblemen. Zie Bevestigingen voor meer informatie.
Vrijwaring
De informatie in de Microsoft Knowledge Base wordt geleverd zonder enige garantie. Microsoft wijst alle garanties af, hetzij uitdrukkelijk of impliciet, met inbegrip van de garanties van verkoopbaarheid en geschiktheid voor een bepaald doel. In geen geval is Microsoft Corporation of haar leveranciers aansprakelijk voor enige schade, waaronder directe, indirecte, incidentele, gevolgschade, verlies van bedrijfswinst of speciale schade, zelfs als Microsoft Corporation of haar leveranciers op de hoogte zijn gesteld van de mogelijkheid van dergelijke schade. Sommige staten staan de uitsluiting of beperking van aansprakelijkheid voor gevolgschade of incidentele schade niet toe, zodat de voorgaande beperking mogelijk niet van toepassing is.
Revisies
V1.0 oktober 11, 2016: Bulletin gepubliceerd.
V2.0 (13 december 2016): Herzien bulletin om de volgende updates aan te kondigen, zijn opnieuw uitgebracht met een detectiewijziging waarmee een vervangingsprobleem wordt opgelost dat bepaalde klanten ondervinden bij het installeren van de updates voor alleen beveiliging van oktober.
- Beveiligingsupdate alleen 3192391 voor alle ondersteunde versies van Windows 7 en Windows Server 2008 R2. Zie het Microsoft Knowledge Base-artikel 3192391 voor meer informatie.
- Alleen beveiligingsupdate 3192393 voor Windows Server 2012. Zie het Microsoft Knowledge Base-artikel 3192393 voor meer informatie.
- Alleen beveiligingsupdate 3192392 voor Windows 8.1 en Windows Server 2012 R2. Zie het Microsoft Knowledge Base-artikel 3192392 voor meer informatie.
Dit zijn alleen detectiewijzigingen. De updatebestanden zijn niet gewijzigd. Klanten die al een van deze updates hebben geïnstalleerd, hoeven geen actie te ondernemen. Zie het Microsoft Knowledge Base-artikel voor de betreffende update voor meer informatie.
Pagina gegenereerd 2016-12-12 10:58-08:00.