Tammikuun tietoturvapäivitykset

Torstain ja perjantain välisenä yönä julkistetun WMF-haavoittuvuuden päivityksen lisäksi Microsoft julkisti toissailtana kaksi muuta tietoturvapäivitystä. Toinen päivityksistä koskee Windows-käyttöjärjestelmää ja sulautettuja Web-fontteja (embedded Web font - mikä on sanan embedded oikea käännös?), ja toinen Officea ja Exchange-palvelinta ja TNEF-pakkausmuotoa. Molemmat on luokiteltu kriittisiksi. Alla yhteenveto, joka myöskin sähköpostitse toimitettiin eilen aamulla kaikille sähköpostitiedotteen tilanneille. Tässä kuussa lyhensin tuota sähköpostitiedotetta melkoisesti - nyt sähköpostitse lähtee vain olennainen tieto uusista päivityksistä, ja kaikki toistuvat tiedot on siirretty kahdelle webbisivulle:

https://www.microsoft.com/finland/security/info/ - täältä löytyvät tiedotteen tilaustiedot. https://www.microsoft.com/finland/security/info/bulletins.asp - koko yleisiä huomioita ja työkaluja -osuus aiemmasta tiedotteesta.

 

Ja sitten vielä tähän loppuun - olen tekemässä muutoksia tähän blogiin. Kaikki loppukäyttäjälle tarkoitetut ohjeet siirretään omaan blogiinsa ja tämän blogin sisältää enemmän IT-ylläpitäjien tarvitsemaa tietoa. Muutoksella ei ole tarkoitus jakaa käyttäjiä mitenkään erilaisiin kasteihin - molempiakin blogeja saa lukea ;-> - pikemminkin tarkoituksena on helpottaa oikean tiedon löytämistä (saas nähdä, miten käy). Joka tapauksessa, muutos tapahtuu loppuviikosta. Toistaiseksi otin myös kommentit pois päältä, kunnes muutos on toteutettu. Kommentteja voi ja saa lähettää osoitteeseen kimmo.bergius@microsoft.com.

 

MS06-002 - Vulnerability in Embedded Web Fonts Could Allow Remote Code

Execution (908519)

Luokitus: Kriittinen (Critical)

 

Tiedote MS06-002 koskee sulautettujen Web-fonttien (embedded Web font)

käsittelyä. Sulautettu Web-fontti on räätälöity fonttimääritys, joka ei

kuulu Internet Explorerin tai Windowsin vakiofontteihin, jota käytetään

jollakin Web-sivustolla ja joka määritetään latautumaan Web-sivun lataamisen

yhteydessä. Web-fonttien käsittelyssä on havaittu haavoittuvuus, joka antaa

vihamieliselle hyökkääjälle mahdollisuuden suorittaa haluamaansa

ohjelmakoodia kohteena olevassa järjestelmässä (Remote Code Execution

-tyyppinen haavoittuvuus). Vihamielinen hyökkääjä voi hyödyntää

haavoittuvuutta luomalla tietyllä tavalla muotoillun Web-fonttitiedoston ja

Web-sivun, joka sisältää ja käyttää tätä fonttitiedostoa, ja sen jälkeen

houkuttelemalla käyttäjän avaamaan sivun selaimella, tai luomalla

fonttitiedoston sisältävän HTML-muotoisen sähköpostiviestin, ja lähettämällä

sen käyttäjälle.

 

Huomautuksia:

- Haavoittuvuuksien aiheuttamaa riskiä voidaan pienentää estämällä Internet

Explorer -selainta lataamasta fontteja joko kaikkiin tai tiettyihin

vyöhykkeisiin kuuluvissa sivustoissa. Määritys tehdään Internet Explorerin

suojausasetuksissa.

- Haavoittuvuuden aiheuttamaa riskiä voidaan pienentää myös määrittämällä

Outlook Express- tai Outlook-sähköpostiohjelma näyttämään HTML-muotoiset

sähköpostiviestit pelkkänä tekstinä (asetus voidaan tehdä, jos käytössä on

Outlook 2002 tai uudempi versio tai Outlook Express 6 SP1 tai uudempi

versio).

 

* Korjaus saattaa vaatia järjestelmän uudelleenkäynnistyksen asennuksen

jälkeen, mikäli korvattavat tiedostot ovat käytössä asennuksen aikana.

* Korjauksen asennus voidaan peruuttaa.

* Korjaus voidaan tunnistaa MBSA-ohjelmiston (Microsoft Baseline Security

Analyzer) versioilla 1.2.1 ja 2.0.

* Korjaus voidaan asentaa SMS-ohjelmiston (Systems Management Server)

avulla.

* Korjaus tulee saataville Microsoftin Downloads-sivustoon

(https://www.microsoft.com/downloads, linkit yksittäisiin korjauksiin

löytyvät englanninkielisestä tiedostteesta osoitteessa

https://www.microsoft.com/technet/security/Bulletin/MS06-002.mspx).

* Korjaus voidaan asentaa Windows Update- ja Microsoft Update -sivustojen

sekä Software Update Services- ja Windows Server Update Services -palvelujen

avulla.

 

Haavoittuvuus koskee seuraavia käyttöjärjestelmiä:

- Microsoft Windows 2000 (Service Pack 4)

- Microsoft Windows XP (Service Pack 1 ja Service Pack 2)

- Microsoft Windows XP Professional x64 Edition

- Microsoft Windows Server 2003 (alkuperäinen versio ja Service Pack 1)

- Microsoft Windows Server 2003 for Itanium-based Systems (alkuperäinen

versio ja Service Pack 1)

- Microsoft Windows Server 2003 x64 Edition

- Microsoft Windows 98, Microsoft Windows 98 Second Edition (SE), and

Microsoft Windows Millennium Edition (ME) - Lisätietoja on tiedotteen

FAQ-osiossa.

 

Haavoittuvuuteen liittyviä lisätietoja ja linkit korjauksen eri versioihin

löytyvät Microsoftin Web-sivustosta seuraavista osoitteista:

https://www.microsoft.com/technet/security/bulletin/ms06-jan.mspx

https://www.microsoft.com/technet/security/Bulletin/MS06-002.mspx

https://support.microsoft.com/kb/908519

 

Korjauksen luokitus on Kriittinen (Critical). Microsoft suosittelee, että

korjaus asennetaan kaikkiin sellaisiin järjestelmiin, joissa on käytössä

jokin edellä mainituista Windows-käyttöjärjestelmän versioista.

___________________________________________________________________

MS06-003 - Vulnerability in TNEF Decoding in Microsoft Outlook and Microsoft

Exchange Could Allow Remote Code Execution (902412)

Luokitus: Kriittinen (Critical)

 

Tiedote MS06-003 koskee Exchange-sähköpostipalvelimessa ja

Outlook-sähköpostiohjelmassa käytettävää TNEF-pakkausmuotoa (Transport

Neutral Encapsulation Format). Outlook-ohjelmalla luodut sähköpostiviestit

ovat oletuksena RTF-muotoisia (Rich Text Format). Kun Exchange-palvelin

välittää RTF-muotoisen sanoman ulos järjestelmästä toiseen Microsoftin

sovelluksiin perustuvaan sähköpostijärjestelmään, se pakkaa

RTF-muotoilutiedot TNEF-muodossa sanoman liitteeksi (liitteen nimi on

yleensä winmail.dat) ja sen jälkeen liittää tiedoston sanoman liitteeksi.

 

TNEF-pakkausmuodon käsittelyssä on havaittu haavoittuvuus, joka antaa

vihamieliselle hyökkääjälle mahdollisuuden suorittaa haluamaansa

ohjelmakoodia kohteena olevassa järjestelmässä (Remote Code Execution

-tyyppinen haavoittuvuus). Vihamielinen hyökkääjä voi hyödyntää

haavoittuvuutta luomalla tietyllä tavalla muotoillun TNEF-paketoidun

liitteen, liittämällä sen sähköpostiviestiin ja lähettämällä viestin

kohteena olevaan tietojärjestelmään.

 

Huomautuksia:

- Haavoittuvuuden sisältävä komponentti on käytössä sekä

Exchange-palvelinohjelmistossa että Outlook-sähköpostiohjelmassa, ja korjaus

on asennettava erikseen molempiin näistä.

- Mikäli koneeseen on asennettu Outlook-ohjelman (tai Office-ohjelmiston)

lisäksi myös jokin monikielisyyspaketti, on huomattava, että korjaus on

asennettava erikseen sekä Outlookkiin että monikielisyyspakettiin.

- Haavoittuvuuden aiheuttamaa riskiä voidaan pienentää estämällä

ms-tnef-MIME-tyyppisten liitteiden välittäminen Exchange-palvelimeen.

 

* Korjaus saattaa vaatia järjestelmän uudelleenkäynnistyksen asennuksen

jälkeen, mikäli korvattavat tiedostot ovat käytössä asennuksen aikana.

* Exchange-palvelinohjelmiston korjauksen asennuksen voi peruuttaa. Sen

sijaan Officea koskevan korjauksen asennusta ei voi peruuttaa.

* Korjaus voidaan tunnistaa osittain MBSA-ohjelmiston (Microsoft Baseline

Security Analyzer) versioilla 1.2.1 ja 2.0. Kumpikaan MBSA_ohjelmiston

versioista ei kuitenkaan tunnista korjausta kaikissa haavoittuvuuden

sisältämissä järjestelmissä

* Korjaus voidaan asentaa SMS-ohjelmiston (Systems Management Server)

avulla. On kuitenkin huomattava, että SMS-ohjelmisto käyttää korjauksen

tunnistamiseen MBSA-ohjelmistoa, joten sitä koskevat samat rajoitukset kuin

MBSA-ohjelmistoa yleensä.

* Korjaus tulee saataville Microsoftin Downloads-sivustoon

(https://www.microsoft.com/downloads, linkit yksittäisiin korjauksiin

löytyvät englanninkielisestä tiedotteesta osoitteessa

https://www.microsoft.com/technet/security/Bulletin/MS06-003.mspx).

* Jotkin korjausversiot voidaan asentaa Microsoft Update -sivuston sekä

Windows Server Update Services -palvelujen avulla.

* tarkempia tietoja asennus- ja tunnistusmahdollisuuksista korjauksen eri

versioille on englanninkielisessä tiedotteessa.

 

Haavoittuvuus koskee seuraavia tuotteita:

- Microsoft Exchange 2000 (Service Pack 3 varustettuna Exchange 2000

Post-Service Pack 3 Update Rollup -paketilla)

- Microsoft Exchange 5.5 (Service Pack 4)

- Microsoft Exchange 5.0 (Service Pack 3)

- Microsoft Office 2000 (Service Pack 3)

 - On huomattava, että korjauksesta on erillinen versio Microsoft

  Outlook 2000 -ohjelmistolle, sekä ympäristöille, joissa on

  käytössä Office 2000:n MultiLanguage Pack tai Outlook 2000:n

  English MultiLanguage Pack. Lisätietoja on englanninkielisessä

  tiedotteessa.

- Microsoft Office XP (Service Pack 3)

  - On huomattava, että korjauksesta on erillinen versio Microsoft

  Outlook 2002 -ohjelmistolle sekä ympäristöille, joissa on

  käytössä Office XP:n MultiLanguage Pack. Lisätietoja on

  englanninkielisessä tiedotteessa.

- Microsoft Office 2003 (Service Pack 1 tai Service Pack 2)

  - On huomattava, että korjauksesta on erillinen versio Microsoft

  Outlook 2003 -ohjelmistolle, sekä ympäristöille, joissa on

  käytössä Office 2003:n MultiLanguage Pack tai Language

  Interface Pack. Lisätietoja on englanninkielisessä tiedotteessa.

 

Haavoittuvuus EI koske seuravia tuotteita:

- Microsoft Exchange 2003 (Service Pack 1 tai Service Pack 2)

 

Haavoittuvuuteen liittyviä lisätietoja ja linkit korjauksen eri versioihin

löytyvät Microsoftin Web-sivustosta seuraavista osoitteista:

https://www.microsoft.com/technet/security/bulletin/ms06-jan.mspx

https://www.microsoft.com/technet/security/Bulletin/MS06-003.mspx

https://support.microsoft.com/kb/902412

 

Korjauksen luokitus on Kriittinen (Critical). Microsoft suosittelee, että

korjaus asennetaan kaikkiin sellaisiin järjestelmiin, joissa on käytössä

jokin edellä mainituista Exchange-sähköpostipalvelinohjelmiston tai

Outlook-sähköpostiohjelman versioista.