Beveiligingsbulletin
Microsoft-beveiligingsbulletin MS06-056 - Gemiddeld
Beveiligingsprobleem in ASP.NET 2.0 kan openbaarmaking van informatie toestaan (922770)
Gepubliceerd: 10 oktober 2006 | Bijgewerkt: 29 november 2006
Versie: 1.3
Samenvatting
Wie moet dit document lezen: Klanten die Microsoft Windows .NET Framework 2.0 gebruiken
Impact van beveiligingsprobleem: openbaarmaking van informatie
Maximale ernstclassificatie: gemiddeld
Aanbeveling: Klanten moeten overwegen de beveiligingsupdate toe te passen
Vervanging van beveiligingsupdate: geen
Opmerkingen: Microsoft Knowledge Base-artikel 922770 documenteert de momenteel bekende problemen die klanten kunnen ondervinden bij het installeren van deze beveiligingsupdate. In het artikel worden ook aanbevolen oplossingen voor deze problemen beschreven. Zie Microsoft Knowledge Base-artikel 922770 voor meer informatie.
Geteste downloadlocaties voor software en beveiligingsupdates:
Betrokken software:
Microsoft .NET Framework 2.0 voor de volgende besturingssysteemversies: Download de update
- Microsoft Windows 2000 Service Pack 4
- Microsoft Windows XP Service Pack 1 of Windows XP Service Pack 2
- Microsoft Windows XP Professional x64 Edition
- Microsoft Windows XP Tablet PC Edition
- Microsoft Windows XP Media Center Edition
- Microsoft Windows Server 2003 of Microsoft Windows Server 2003 Service Pack 1
- Windows Server 2003 met Service Pack 1 voor Itanium-systemen
- Microsoft Windows Server 2003 x64 Edition
Niet-beïnvloede software:
- Microsoft Windows Server 2003 voor op Itanium gebaseerde systemen
Geteste Microsoft Windows-onderdelen:
Betrokken onderdelen:
- Microsoft .NET Framework 2.0
Niet-beïnvloede onderdelen:
- Microsoft .NET Framework 1.0
- Microsoft .NET Framework 1.1
De software in deze lijst is getest om te bepalen of de versies worden beïnvloed. Andere versies bevatten geen ondersteuning voor beveiligingsupdates meer of worden mogelijk niet beïnvloed. Als u de levenscyclus van de ondersteuning voor uw product en versie wilt bepalen, gaat u naar de website Microsoft Ondersteuning Levenscyclus.
Opmerking De beveiligingsupdates voor Microsoft Windows Server 2003, Windows Server 2003 Service Pack 1 en Windows Server 2003 x64 Edition zijn ook van toepassing op Windows Server 2003 R2.
Algemene gegevens
Samenvatting
Samenvatting:
Met deze update wordt een nieuw gedetecteerd, privé gerapporteerd beveiligingsprobleem opgelost. Het beveiligingsprobleem wordt beschreven in de sectie Details van beveiligingsproblemen van dit bulletin.
Met het beveiligingsprobleem kan een aanvaller onbevoegde toegang krijgen tot informatie. Houd er rekening mee dat met dit beveiligingsprobleem een aanvaller geen code kan uitvoeren om de gebruikersrechten rechtstreeks uit te breiden, maar het kan worden gebruikt om informatie te verkrijgen die kan worden gebruikt om het getroffen systeem verder in gevaar te brengen.
We raden klanten aan om de beveiligingsupdate toe te passen.
Ernstclassificaties en id's voor beveiligingsproblemen:
| Id's voor beveiligingsproblemen | Impact van beveiligingsprobleem | .NET Framework 2.0 |
|---|---|---|
| .NET Framework 2.0 Cross-Site Scripting Vulnerability - CVE-2006-3436 | Openbaarmaking van informatie | Matig |
Veelgestelde vragen (FAQ) met betrekking tot deze beveiligingsupdate
Waarom wordt Microsoft Windows Server 2003 voor Itanium-systemen vermeld in de sectie Niet-beïnvloede software?
Microsoft .NET Framework 2.0 wordt niet geïnstalleerd op Microsoft Windows Server 2003 voor op Itanium gebaseerde systemen.
Waarom wordt Microsoft .NET Framework 2.0 niet geïnstalleerd op Microsoft Windows Server 2003 voor Op Itanium gebaseerde systemen?
Windows Installer 3.1 wordt niet ondersteund op Microsoft Windows Server 2003 voor Itanium-systemen. Windows Installer 3.1 wordt alleen ondersteund op Windows Server 2003 met Service Pack 1 voor Itanium-systemen.
Wat zijn de bekende problemen die klanten kunnen ondervinden wanneer ze deze beveiligingsupdate installeren?
Microsoft Knowledge Base-artikel 922770documenteerde de momenteel bekende problemen die klanten kunnen ondervinden bij het installeren van deze beveiligingsupdate. In het artikel worden ook aanbevolen oplossingen voor deze problemen beschreven. Zie Microsoft Knowledge Base-artikel 922770 voor meer informatie.
- Microsoft Knowledge Base-artikel 923100 : U kunt de beveiligingsupdate die ms06-056 beschrijft, niet installeren of u ontvangt mogelijk de foutcode '0x643'.
- Microsoft Knowledge Base-artikel 923101 : Foutbericht wanneer u probeert beveiligingsupdates te installeren 917283 op een computer met Windows Server 2003: 'Fout 1324. De map Program Files bevat een ongeldig teken
- Microsoft Knowledge Base-artikel 929110 : Een bestandssysteem dat hoofdlettergevoelig was, wordt niet hoofdlettergevoelig nadat u een update voor .NET Framework 2.0 (929110) hebt geïnstalleerd
Uitgebreide beveiligingsupdateondersteuning voor Microsoft Windows NT Workstation 4.0 Service Pack 6a en Windows 2000 Service Pack 2 is beëindigd op 30 juni 2004. Uitgebreide beveiligingsupdateondersteuning voor Microsoft Windows NT Server 4.0 Service Pack 6a is beëindigd op 31 december 2004. Uitgebreide beveiligingsupdateondersteuning voor Microsoft Windows 2000 Service Pack 3 is beëindigd op 30 juni 2005. Ik gebruik nog steeds een van deze besturingssystemen, wat moet ik doen?
Windows NT Workstation 4.0 Service Pack 6a, Windows NT Server 4.0 Service Pack 6a, Windows 2000 Service Pack 2 en Windows 2000 Service Pack 3 hebben het einde van hun levenscyclus bereikt. Het moet een prioriteit zijn voor klanten die deze besturingssysteemversies hebben om te migreren naar ondersteunde versies om potentiële blootstelling aan beveiligingsproblemen te voorkomen. Ga voor meer informatie over de levenscyclus van Windows-producten naar de volgende website Microsoft Ondersteuning Levenscyclus. Ga naar de website van Microsoft Product Support Services voor meer informatie over de uitgebreide ondersteuningsperiode voor beveiligingsupdates voor deze besturingssysteemversies.
Klanten die aangepaste ondersteuning voor deze producten nodig hebben, moeten contact opnemen met hun vertegenwoordiger van het Microsoft-accountteam, de technische accountmanager of de juiste Microsoft-partnervertegenwoordiger voor aangepaste ondersteuningsopties. Klanten zonder een Alliance, Premier of Authorized Contract kunnen contact opnemen met hun lokale Microsoft-verkoopkantoor. Voor contactgegevens gaat u naar de website Microsoft Worldwide Information, selecteert u het land en klikt u op Ga om een lijst met telefoonnummers weer te geven. Wanneer u belt, vraagt u om te spreken met de lokale Premier Support-verkoopmanager. Zie de veelgestelde vragen over de levenscyclus van productondersteuning voor Windows-besturingssystemen voor meer informatie.
Kan ik de Microsoft Baseline Security Analyzer (MBSA) gebruiken om te bepalen of deze update vereist is?
De volgende tabel bevat de MBSA-detectiesamenvatting voor deze beveiligingsupdate.
| Product | MBSA 1.2.1 | Enterprise Update Scan Tool (EST) | MBSA 2.0 |
|---|---|---|---|
| .NET Framework 2.0 | Nr. | Ja | Ja |
Ga naar de MBSA-website voor meer informatie over MBSA. Zie Microsoft Knowledge Base-artikel 895660 voor meer informatie over de programma's die momenteel niet worden gedetecteerd door Microsoft Update en MBSA 2.0.
Zie het Microsoft Knowledge Base-artikel 910723 voor meer informatie.
Wat is hethulpprogramma EnterpriseUpdate Scan (EST)?
Als onderdeel van een doorlopende toezegging om detectiehulpprogramma's te bieden voor beveiligingsupdates van bulletinklasse, biedt Microsoft een zelfstandig detectieprogramma wanneer microsoft Baseline Security Analyzer (MBSA) en het Office Detection Tool (ODT) niet kunnen detecteren of de update vereist is voor een MSRC-releasecyclus. Dit zelfstandige hulpprogramma wordt het hulpprogramma Enterprise Update Scan Tool (EST) genoemd en is ontworpen voor ondernemingsbeheerders. Wanneer een versie van het hulpprogramma voor het scannen van enterprise-updates wordt gemaakt voor een specifiek bulletin, kunnen klanten het hulpprogramma uitvoeren vanuit een opdrachtregelinterface (CLI) en de resultaten van het XML-uitvoerbestand bekijken. Om klanten te helpen het hulpprogramma beter te gebruiken, wordt gedetailleerde documentatie geleverd met het hulpprogramma. Er is ook een versie van het hulpprogramma dat een geïntegreerde ervaring biedt voor SMS-beheerders.
Kan ik een versie van enterpriseupdate scan tool (EST) gebruiken om te bepalen of deze update is vereist?
Ja. Microsoft heeft een versie van EST gemaakt die bepaalt of u deze update moet toepassen. Zie het Microsoft Knowledge Base-artikel 894193 voor downloadkoppelingen en meer informatie over de versie van de EST die deze maand wordt uitgebracht. SMS-klanten moeten de veelgestelde vragen raadplegen: "Kan ik Systems Management Server (SMS) gebruiken om te bepalen of deze update vereist is?" voor meer informatie over SMS en EST.
Kan ik SYSTEMS Management Server (SMS) gebruiken om te bepalen of deze update vereist is?
De volgende tabel bevat het overzicht van sms-detectie voor deze beveiligingsupdate.
| Product | SMS 2.0 | SMS 2003 |
|---|---|---|
| .NET Framework 2.0 | Ja (met de EST) | Ja |
SMS maakt gebruik van MBSA voor detectie. Sms heeft daarom dezelfde beperking die eerder in dit bulletin wordt vermeld met betrekking tot programma's die MBSA niet detecteert.
Voor SMS 2.0 kan het SMS SUS Feature Pack, dat het hulpprogramma voor beveiligingsupdates bevat, door sms worden gebruikt om beveiligingsupdates te detecteren. SMS SUIT maakt gebruik van de MBSA 1.2.1-engine voor detectie. Ga naar de volgende Microsoft-website voor meer informatie over het hulpprogramma Voor inventaris van beveiligingsupdates. Zie Microsoft Knowledge Base-artikel 306460 voor meer informatie over de beperkingen van het hulpprogramma Voor beveiligingsupdates. Het SMS SUS Feature Pack bevat ook het Microsoft Office Inventory Tool voor het detecteren van vereiste updates voor Microsoft Office-app licaties.
Voor SMS 2003 kan het hulpprogramma voor inventaris van SMS 2003 voor Microsoft-updates worden gebruikt door SMS om beveiligingsupdates te detecteren die worden aangeboden door Microsoft Update en die worden ondersteund door Windows Server Update Services. Ga naar de volgende Microsoft-website voor meer informatie over het hulpprogramma voor inventaris van SMS 2003 voor Microsoft Updates. SMS 2003 kan ook het Microsoft Office Inventory Tool gebruiken om vereiste updates voor Microsoft Office-app lications te detecteren.
Ga naar de sms-website voor meer informatie over sms.
Zie het Microsoft Knowledge Base-artikel 910723 voor meer informatie.
Details van beveiligingsproblemen
.NET Framework 2.0 Cross-Site Scripting Vulnerability - CVE-2006-3436:
Er bestaat een beveiligingsprobleem met scripts op meerdere sites op een server waarop een kwetsbare versie van .Net Framework 2.0 wordt uitgevoerd die een script aan de clientzijde kan injecteren in de browser van de gebruiker. Het script kan inhoud spoofen, informatie vrijgeven of actie ondernemen die de gebruiker kan uitvoeren op de betreffende website. Voor pogingen om dit beveiligingsprobleem te misbruiken, is gebruikersinteractie vereist.
Beperkende factoren voor .NET Framework 2.0 Scriptproblemen tussen sites - CVE-2006-3436:
- In een aanvalsscenario op het web kan een aanvaller een script aan de clientzijde injecteren in de browser van de gebruiker. Het script kan inhoud spoofen, informatie vrijgeven of actie ondernemen die de gebruiker kan uitvoeren op de betreffende website. Voor pogingen om dit beveiligingsprobleem te misbruiken, is gebruikersinteractie vereist.
- Standaard stellen .NET Framework 2.0-besturingselementen de eigenschap AutoPostBack niet in op 'true'.
Tijdelijke oplossingen voor .NET Framework 2.0 Cross-Site Scripting Vulnerability - CVE-2006-3436:
Microsoft heeft de volgende tijdelijke oplossingen getest. Hoewel deze tijdelijke oplossingen het onderliggende beveiligingsprobleem niet corrigeren, helpen ze bekende aanvalsvectoren te blokkeren. Wanneer een tijdelijke oplossing de functionaliteit vermindert, wordt deze geïdentificeerd in de volgende sectie.
- Stel op computers met .NET Framework 2.0 de eigenschap AutoPostBack niet in voor besturingselementen op een pagina op 'true': - Op computers met .NET Framework 2.0 AutoPostBack is een eigenschap van besturingselementen in een WebForm. De eigenschap AutoPostBack is standaard ingesteld op false. ZieKnowledge Base-artikel 328923 voor meer informatie.
Veelgestelde vragen over .NET Framework 2.0 Cross-Site Scripting Vulnerability - CVE-2006-3436:
Wat is het bereik van het beveiligingsprobleem?
Er kan een beveiligingsprobleem met scripts op meerdere sites bestaan op een server waarop een kwetsbare versie van .Net Framework 2.0 wordt uitgevoerd die een script aan de clientzijde kan injecteren in de browser van de gebruiker. Het beveiligingsprobleem bevindt zich binnen ASP.NET besturingselementen waarmee de eigenschap AutoPostBack is ingesteld op 'true'. In een aanvalsscenario op internet kan een gecompromitteerde website inhoud of advertenties van gebruikers accepteren of hosten die speciaal gemaakte inhoud kunnen bevatten die misbruik kan maken van dit beveiligingsprobleem.
Het script kan namens de gebruiker actie ondernemen die de website mag uitvoeren. Dit kan zijn onder andere het bewaken van de websessie en het doorsturen van informatie naar een derde partij, het uitvoeren van andere code op het systeem van de gebruiker en het lezen of schrijven van cookies.
Wat veroorzaakt het beveiligingsprobleem?
Een XSS-beveiligingsprobleem (cross-site scripting) resulteert in de manier waarop .NET Framework 2.0 de waarde van een HTTP-aanvraag valideert.
Wat is ASP.NET?
ASP.NET is een verzameling technologieën binnen the.NET Framework waarmee ontwikkelaars webtoepassingen en XML-webservices kunnen bouwen.
In tegenstelling tot traditionele webpagina's, die gebruikmaken van een combinatie van statische HTML en scripting, maakt ASP.NET gebruik van gecompileerde, gebeurtenisgestuurde pagina's. Hierdoor kunnen ontwikkelaars webtoepassingen bouwen met dezelfde rijkdom en functionaliteit die meestal zijn gekoppeld aan toepassingen die zijn gebouwd in talen zoals Visual Basic of Visual C++. Omdat ASP.NET een webtoepassingsomgeving is, is een onderliggende webserver vereist om eenvoudige HTTP-functionaliteit te bieden. Daarom wordt ASP.NET uitgevoerd op Internet Information Services (IIS) 5.0 op Windows 2000, IIS 5.1 op Windows XP en IIS 6.0 op Windows Server 2003.
Wat is AutoPostBack?
AutoPostBack is een eigenschap die wordt ondersteund door besturingselementen in een formulier. Formulieren die gebruikmaken van een besturingselement dat deze eigenschap ondersteunt, kunnen de waarde van deze eigenschap instellen op waar (de standaardwaarde is onwaar), wat resulteert in het terugsturen van besturingselementen naar de server telkens wanneer een gebruiker met het besturingselement communiceert.
Wat is scripts op meerdere sites?
Cross-site scripting (XSS) is een beveiligingsprobleemklasse waarmee een aanvaller scriptcode kan 'injecteren' in de sessie van een gebruiker met een website. Het beveiligingsprobleem kan van invloed zijn op webservers die dynamisch HTML-pagina's genereren. Als deze servers browserinvoer insluiten in de dynamische pagina's die ze naar de browser verzenden, kunnen deze servers worden gemanipuleerd om kwaadwillende inhoud op de dynamische pagina's op te nemen. Hierdoor kan schadelijk script worden uitgevoerd. Webbrowsers kunnen dit probleem bestendigen via hun aannames van 'vertrouwde' sites en het gebruik van cookies om de permanente status te behouden met de Websites die ze vaak gebruiken. Een XSS-aanval wijzigt de inhoud van de website niet. In plaats daarvan wordt een nieuw, schadelijk script ingevoegd dat in de browser kan worden uitgevoerd in de context die is gekoppeld aan een vertrouwde server.
Hoe werkt het uitvoeren van scripts op meerdere sites?
Webpagina's bevatten tekst en HTML-markeringen. Tekst- en HTML-markeringen worden gegenereerd door de server en worden geïnterpreteerd door de client. Als niet-vertrouwde inhoud wordt geïntroduceerd op een dynamische pagina, beschikt noch de server noch de client over voldoende informatie om te herkennen dat deze injectie heeft plaatsgevonden en om beschermende maatregelen te nemen.
Wat kan een aanvaller doen met het beveiligingsprobleem?
Een aanvaller die dit beveiligingsprobleem heeft misbruikt op een server waarop een kwetsbare versie van .Net Framework 2.0 wordt uitgevoerd, kan een script aan de clientzijde injecteren in de browser van de gebruiker. Het script kan inhoud spoofen, informatie vrijgeven of actie ondernemen die de gebruiker kan uitvoeren op de betreffende website. Voor pogingen om dit beveiligingsprobleem te misbruiken, is gebruikersinteractie vereist.
Wie kan misbruik maken van het beveiligingsprobleem?
In een e-mailaanval kan een aanvaller misbruik maken van het beveiligingsprobleem door een speciaal ontworpen e-mailbericht te verzenden naar een gebruiker van een server waarop een betrokken softwaretoepassing wordt uitgevoerd. De aanvaller kan de gebruiker vervolgens overtuigen om op een koppeling in het e-mailbericht te klikken.
In een aanvalsscenario op internet kan een aanvaller een script aan de clientzijde injecteren in de browser van de gebruiker. Het script kan inhoud spoofen, informatie vrijgeven of actie ondernemen die de gebruiker kan uitvoeren op de betreffende website. Voor pogingen om dit beveiligingsprobleem te misbruiken, is gebruikersinteractie vereist.
Welke systemen lopen voornamelijk risico op het beveiligingsprobleem?
Internetgerichte systemen lopen voornamelijk risico op dit beveiligingsprobleem. Daarnaast kunnen interne websites die gebruikmaken van ASP.NET om gevoelige gegevens te hosten, risico lopen op dit beveiligingsprobleem.
Kan het beveiligingsprobleem worden misbruikt via internet?
Ja. Een aanvaller kan proberen dit beveiligingsprobleem via internet te misbruiken.
Wat doet de update?
De update verwijdert het beveiligingsprobleem door de manier te wijzigen waarop .ASP.NET de waarde van een HTTP-aanvraag valideert.
Wanneer dit beveiligingsbulletin werd uitgegeven, werd dit beveiligingsprobleem openbaar gemaakt?
Nee Microsoft heeft informatie ontvangen over dit beveiligingsprobleem via verantwoordelijke openbaarmaking. Microsoft had geen informatie ontvangen om aan te geven dat dit beveiligingsprobleem openbaar was gemaakt toen dit beveiligingsbulletin oorspronkelijk werd uitgegeven.
Toen dit beveiligingsbulletin werd uitgegeven, kreeg Microsoft eventuele meldingen dat dit beveiligingsprobleem werd misbruikt?
Nee Microsoft had geen informatie ontvangen om aan te geven dat dit beveiligingsprobleem openbaar was gebruikt om klanten aan te vallen en geen voorbeelden van proof-of-conceptcode had gezien die werd gepubliceerd toen dit beveiligingsbulletin oorspronkelijk werd uitgegeven.
Informatie over beveiligingsupdates
Betrokken software:
Klik op de juiste koppeling voor informatie over de specifieke beveiligingsupdate voor uw betreffende software:
Microsoft .NET Framework versie 2.0
Vereisten voor deze beveiligingsupdate is Microsoft .NET Framework versie 2.0 vereist.
Microsoft Windows Installer 3.1 moet zijn geïnstalleerd. Als u de nieuwste versie van Windows Installer wilt installeren, gaat u naar de volgende Microsoft-website:
Windows Installer 3.1 Herdistribueerbaar (v2)
Opname in toekomstige servicepacks: de update voor dit probleem wordt opgenomen in een toekomstig servicepack.
Installatiegegevens
Deze beveiligingsupdate ondersteunt de volgende installatieswitches.
| Switch | Beschrijving | ||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| /Help | Geeft de opdrachtregelopties weer. | ||||||||||||||
| Instellingsmodi | |||||||||||||||
| **/q[n | b | r | f]** | Hiermee stelt u het niveau van de gebruikersinterface in. n - Geen gebruikersinteractie b - Basisgebruikersinteractie r - Beperkte gebruikersinteractie f - Volledige gebruikersinteractie (standaard) | |||||||||||
| Installatieopties | |||||||||||||||
| /extract [directory] | Pak het pakket uit naar de opgegeven map. | ||||||||||||||
| Opties voor opnieuw opstarten | |||||||||||||||
| /norestart | Start niet opnieuw op wanneer de installatie is voltooid. | ||||||||||||||
| /forcerestart | Start de computer na de installatie opnieuw op en dwingt andere toepassingen af te sluiten zonder eerst geopende bestanden op te slaan. | ||||||||||||||
| /promptrestart | Geef een dialoogvenster weer waarin de lokale gebruiker wordt gevraagd om opnieuw opstarten toe te staan. | ||||||||||||||
| Opties voor logboekregistratie | |||||||||||||||
| **/l[i | w | e | a | r | u | c | m | o | nm | v | x | + | ! | *] <LogFile>** | i - Statusberichten w - Niet-fatale waarschuwingen e - Alle foutberichten a - Opstarten van acties r - Actiespecifieke records u - Gebruikersaanvragen c - Initiële UI-parameters m - Informatie over onvoldoende geheugen of onherstelbare afsluitinformatie o - Out-of-disk-space messages p - Terminal properties v - Uitgebreide uitvoer x - Extra foutopsporingsinformatie + - Toevoegen aan bestaand logboekbestand! - Elke regel naar het logboek leegmaken * - Alle gegevens vastleggen, met uitzondering van v- en x-opties |
| /log <LogFile> | Equivalent van /l* <LogFile> |
Opmerking U kunt deze schakelopties combineren tot één opdracht. Zie het Microsoft Knowledge Base-artikel 824687 voor meer informatie over de ondersteunde installatieswitches. Ga naar de MSDN-website van Windows Installer voor meer informatie over Windows Installer.
Implementatiegegevens
Als u de beveiligingsupdate wilt installeren zonder tussenkomst van de gebruiker, gebruikt u de volgende opdracht bij een opdrachtprompt:
NDP20-KB922770-x86.exe /qn
NDP20-KB922770-x64.exe /qn
NDP20-KB922770-ia64.exe /qn
Opmerking Het gebruik van de schakeloptie /qn onderdrukt alle berichten. Dit omvat het onderdrukken van foutberichten. Beheer istrators moeten een van de ondersteunde methoden gebruiken om te controleren of de installatie is geslaagd wanneer ze de /qn-switch gebruiken.
Als u de beveiligingsupdate wilt installeren zonder dat het systeem opnieuw moet worden opgestart, gebruikt u de volgende toepasselijke opdracht bij een opdrachtprompt:
NDP20-KB922770-x86.exe /norestart
NDP20-KB922770-x64.exe /norestart
NDP20-KB922770-ia64.exe /norestart
Ga naar de website Software Update Services voor informatie over het implementeren van deze beveiligingsupdate met software-updateservices. Ga naar de website van Windows Server Update Services voor meer informatie over het implementeren van deze beveiligingsupdate met Windows Server Update Services. Deze beveiligingsupdate is ook beschikbaar via de Website van Microsoft Update.
Vereiste voor opnieuw opstarten Deze update vereist geen herstart. Het installatieprogramma stopt de vereiste services, past de update toe en start de services opnieuw op. Als de vereiste services echter om welke reden dan ook niet kunnen worden gestopt of als vereiste bestanden worden gebruikt, moet deze update opnieuw worden opgestart. Als dit gedrag zich voordoet, wordt er een bericht weergegeven dat u adviseert om opnieuw op te starten.
Als u de kans wilt verminderen dat opnieuw opstarten vereist is, stopt u alle betrokken services en sluit u alle toepassingen die de betrokken bestanden kunnen gebruiken voordat u de beveiligingsupdate installeert. Zie het Microsoft Knowledge Base-artikel 887012 voor meer informatie over de redenen waarom u mogelijk wordt gevraagd uw computer opnieuw op te starten.
Verwijderinformatie Om deze update te verwijderen, gebruikt u het hulpprogramma Programma's toevoegen of verwijderen in Configuratiescherm.
Bestandsinformatie De Engelse versie van deze update heeft de bestandskenmerken (of hoger) die worden vermeld in de volgende tabel. De datums en tijden voor deze bestanden worden vermeld in gecoördineerde universele tijd (UTC). Wanneer u de bestandsgegevens bekijkt, wordt deze geconverteerd naar lokale tijd. Als u het verschil tussen UTC en lokale tijd wilt vinden, gebruikt u het tabblad Tijdzone in het hulpmiddel Datum en tijd in Configuratiescherm.
Microsoft .NET Framework versie 2.0
| Bestandsnaam | Versie | Datum | Tijd | Tekengrootte |
|---|---|---|---|---|
| Aspnet_wp.exe | 2.0.50727.210 | 13-sep-2006 | 00:10 | 23,040 |
| webengine.dll | 2.0.50727.210 | 13-sep-2006 | 00:10 | 300,032 |
| System.web.dll | 2.0.50727.210 | 13-sep-2006 | 00:11 | 5,029,888 |
Microsoft .NET Framework versie 2.0 op Windows Server, 2003 Enterprise Edition voor Itanium-systemen; Windows Server 2003, Datacenter Edition voor Itanium-systemen; Windows Server 2003, Enterprise Edition met SP1 voor Op Itanium gebaseerde systemen; en Windows Server 2003, Datacenter Edition met SP1 voor op Itanium gebaseerde systemen:
| Bestandsnaam | Versie | Datum | Tijd | Tekengrootte |
|---|---|---|---|---|
| Aspnet_wp.exe | 2.0.50727.210 | 12-sep-2006 | 04:18 | 73,728 |
| Aspnet_wp.exe | 2.0.50727.210 | 13-sep-2006 | 00:10 | 23,040 |
| webengine.dll | 2.0.50727.210 | 12-sep-2006 | 04:18 | 868,864 |
| webengine.dll | 2.0.50727.210 | 13-sep-2006 | 00:10 | 300,032 |
| System.web.dll | 2.0.50727.210 | 12-sep-2006 | 08:24 | 4,599,808 |
| System.web.dll | 2.0.50727.210 | 13-sep-2006 | 00:11 | 5,029,888 |
Microsoft .NET Framework versie 2.0 voor Windows Server 2003, Standard x64 Edition; Windows Server 2003, Enterprise x64 Edition; en Windows Server 2003, Datacenter x64 Edition; Windows Server 2003 R2, Standard x64 Edition; Windows Server 2003 R2, Enterprise x64 Edition; en Windows Server 2003 R2, Datacenter x64 Edition:
| Bestandsnaam | Versie | Datum | Tijd | Tekengrootte |
|---|---|---|---|---|
| Aspnet_wp.exe | 2.0.50727.210 | 12-sep-2006 | 04:11 | 34,816 |
| Aspnet_wp.exe | 2.0.50727.210 | 13-sep-2006 | 00:10 | 23,040 |
| webengine.dll | 2.0.50727.210 | 12-sep-2006 | 04:11 | 540,672 |
| webengine.dll | 2.0.50727.210 | 13-sep-2006 | 00:10 | 300,032 |
| System.web.dll | 2.0.50727.210 | 12-sep-2006 | 07:32 | 4,964,352 |
| System.web.dll | 2.0.50727.210 | 13-sep-2006 | 00:11 | 5,029,888 |
Installatie van update controleren
Informatie over bestandsversie
Opmerking Omdat er verschillende versies van Microsoft Windows zijn, kunnen de volgende stappen afwijken op uw computer. Als dat het zo is, raadpleegt u de productdocumentatie om deze stappen uit te voeren.
Klik op Start en klik vervolgens op Zoeken.
Klik in het deelvenster Zoekresultaten op Alle bestanden en mappen onder Zoekassistent.
Typ in het vak Alle of een deel van de bestandsnaam een bestandsnaam uit de juiste tabel met bestandsinformatie en klik vervolgens op Zoeken.
Klik in de lijst met bestanden met de rechtermuisknop op een bestandsnaam uit de juiste tabel met bestandsinformatie en klik vervolgens op Eigenschappen.
Bepaal op het tabblad Versie de versie van het bestand dat op uw computer is geïnstalleerd door deze te vergelijken met de versie die wordt beschreven in de juiste tabel met bestandsinformatie.
Opmerking Kenmerken die niet de bestandsversie zijn, kunnen tijdens de installatie worden gewijzigd. Het vergelijken van andere bestandskenmerken met de informatie in de tabel met bestandsinformatie is geen ondersteunde methode voor het controleren van de installatie van de update. In bepaalde gevallen kan de naam van bestanden ook tijdens de installatie worden gewijzigd. Als het bestand of de versiegegevens niet aanwezig zijn, gebruikt u een van de andere beschikbare methoden om de installatie van de update te controleren.
Overige informatie
Bevestigingen
Microsoft bedankt voor het werken met ons om klanten te beschermen:
- Jaswinder Hayre van Ernst & Young's Advanced Security Center voor het rapporteren van het .NET Framework 2.0 Cross-Site Scripting Vulnerability - CVE-2006-3436.
Andere beveiligingsupdates verkrijgen:
Updates voor andere beveiligingsproblemen zijn beschikbaar op de volgende locaties:
- Beveiligingsupdates zijn beschikbaar in het Microsoft Downloadcentrum. U kunt ze het gemakkelijkst vinden door een trefwoord te zoeken naar 'security_patch'.
- Updates voor consumentenplatforms zijn beschikbaar op de website van Microsoft Update.
Ondersteuning:
- Klanten in de VS en Canada kunnen technische ondersteuning ontvangen van Microsoft Product Support Services op 1-866-PCSAFETY. Er worden geen kosten in rekening gebracht voor ondersteuningsaanvragen die zijn gekoppeld aan beveiligingsupdates.
- Internationale klanten kunnen ondersteuning krijgen van hun lokale Microsoft-dochterondernemingen. Er worden geen kosten in rekening gebracht voor ondersteuning die is gekoppeld aan beveiligingsupdates. Ga naar de website voor internationale ondersteuning voor meer informatie over hoe u contact kunt opnemen met Microsoft voor ondersteuningsproblemen.
Beveiligingsbronnen:
- De website Microsoft TechNet Security biedt aanvullende informatie over beveiliging in Microsoft-producten.
- TechNet Update Management Center
- Microsoft Software Update Services
- Microsoft Windows Server Update Services
- Microsoft Baseline Security Analyzer (MBSA)
- Windows Update
- Microsoft Update
- Windows Update-catalogus: Zie het Microsoft Knowledge Base-artikel 323166 voor meer informatie over de Windows Update-catalogus.
- Office Update
Software-updateservices:
Met Behulp van Microsoft Software Update Services (SUS) kunnen beheerders snel en betrouwbaar de meest recente essentiële updates en beveiligingsupdates implementeren op Windows 2000- en Windows Server 2003-servers en op desktopsystemen waarop Windows 2000 Professional of Windows XP Professional wordt uitgevoerd.
Ga naar de website software-updateservices voor meer informatie over het implementeren van beveiligingsupdates met software-updateservices.
Windows Server Update Services:
Met behulp van Windows Server Update Services (WSUS) kunnen beheerders snel en betrouwbaar de meest recente essentiële updates en beveiligingsupdates implementeren voor Windows 2000-besturingssystemen en hoger, Office XP en hoger, Exchange Server 2003 en SQL Server 2000 op Windows 2000- en hogerbesturingssystemen.
Ga naar de website van Windows Server Update Services voor meer informatie over het implementeren van beveiligingsupdates met Windows Server Update Services.
Systeembeheerserver:
Microsoft Systems Management Server (SMS) biedt een zeer configureerbare bedrijfsoplossing voor het beheren van updates. Met sms kunnen beheerders Windows-systemen identificeren die beveiligingsupdates vereisen en gecontroleerde implementatie van deze updates in de hele onderneming kunnen uitvoeren, met minimale onderbreking van eindgebruikers. Voor meer informatie over hoe beheerders SMS 2003 kunnen gebruiken om beveiligingsupdates te implementeren, gaat u naar de website van SMS 2003 Security Patch Management. SMS 2.0-gebruikers kunnen ook Software Updates Service Feature Pack gebruiken om beveiligingsupdates te implementeren. Ga naar de sms-website voor informatie over sms.
Opmerking SMS maakt gebruik van Microsoft Baseline Security Analyzer, het Microsoft Office-detectieprogramma en het hulpprogramma voor het scannen van enterprise-updates om uitgebreide ondersteuning te bieden voor detectie en implementatie van beveiligingsbulletins. Sommige software-updates worden mogelijk niet gedetecteerd door deze hulpprogramma's. Beheer istrators kunnen in deze gevallen gebruikmaken van de inventarismogelijkheden van de SMS om updates voor specifieke systemen te richten. Ga naar de volgende website voor meer informatie over deze procedure. Voor sommige beveiligingsupdates zijn beheerdersrechten vereist na het opnieuw opstarten van het systeem. Beheer istrators kunnen het hulpprogramma voor implementatie van verhoogde rechten (beschikbaar in het functiepakket voor sms 2003 Beheer istration en in het functiepakket sms 2.0 Beheer istration) gebruiken om deze updates te installeren.
Disclaimer:
De informatie in de Microsoft Knowledge Base wordt geleverd zonder enige garantie. Microsoft wijst alle garanties af, hetzij uitdrukkelijk of impliciet, met inbegrip van de garanties van verkoopbaarheid en geschiktheid voor een bepaald doel. In geen geval is Microsoft Corporation of haar leveranciers aansprakelijk voor enige schade, waaronder directe, indirecte, incidentele, gevolgschade, verlies van bedrijfswinst of speciale schade, zelfs als Microsoft Corporation of haar leveranciers op de hoogte zijn gesteld van de mogelijkheid van dergelijke schade. Sommige staten staan de uitsluiting of beperking van aansprakelijkheid voor gevolgschade of incidentele schade niet toe, zodat de voorgaande beperking mogelijk niet van toepassing is.
Revisies:
- V1.0 (10 oktober 2006): Bulletin gepubliceerd.
- V1.1 (11 oktober 2006): De sectie 'Opmerkingen' is bijgewerkt en 'Wat zijn de bekende problemen die klanten kunnen ondervinden bij het installeren van deze beveiligingsupdate?' onder de sectie Veelgestelde vragen (FAQ) met betrekking tot deze beveiligingsupdate.
- V1.2 (25 oktober 2006): Bulletin bijgewerkt "Niet-beïnvloede software" voor Microsoft Windows Server 2003 voor Op Itanium gebaseerde systemen. "Waarom wordt Microsoft Windows Server 2003 voor Itanium-systemen vermeld in de sectie Niet-beïnvloede software?" en 'Waarom wordt Microsoft .NET Framework 2.0 niet geïnstalleerd op Microsoft Windows Server 2003 voor Itanium-systemen?' onder de sectie Veelgestelde vragen (FAQ) met betrekking tot deze beveiligingsupdate.
- V1.3 (29 november 2006): Het bulletin heeft sectie 'Opmerkingen' bijgewerkt en 'Wat zijn de bekende problemen die klanten kunnen ondervinden bij het installeren van deze beveiligingsupdate?' onder de sectie Veelgestelde vragen (FAQ) met betrekking tot deze beveiligingsupdate.
Gebouwd op 2014-04-18T13:49:36Z-07:00