Tammikuun tietoturvapäivitykset


Torstain ja perjantain välisenä yönä julkistetun WMF-haavoittuvuuden päivityksen lisäksi Microsoft julkisti toissailtana kaksi muuta tietoturvapäivitystä. Toinen päivityksistä koskee Windows-käyttöjärjestelmää ja sulautettuja Web-fontteja (embedded Web font – mikä on sanan embedded oikea käännös?), ja toinen Officea ja Exchange-palvelinta ja TNEF-pakkausmuotoa. Molemmat on luokiteltu kriittisiksi. Alla yhteenveto, joka myöskin sähköpostitse toimitettiin eilen aamulla kaikille sähköpostitiedotteen tilanneille. Tässä kuussa lyhensin tuota sähköpostitiedotetta melkoisesti – nyt sähköpostitse lähtee vain olennainen tieto uusista päivityksistä, ja kaikki toistuvat tiedot on siirretty kahdelle webbisivulle:


http://www.microsoft.com/finland/security/info/ – täältä löytyvät tiedotteen tilaustiedot. http://www.microsoft.com/finland/security/info/bulletins.asp – koko yleisiä huomioita ja työkaluja -osuus aiemmasta tiedotteesta.


 


Ja sitten vielä tähän loppuun – olen tekemässä muutoksia tähän blogiin. Kaikki loppukäyttäjälle tarkoitetut ohjeet siirretään omaan blogiinsa ja tämän blogin sisältää enemmän IT-ylläpitäjien tarvitsemaa tietoa. Muutoksella ei ole tarkoitus jakaa käyttäjiä mitenkään erilaisiin kasteihin – molempiakin blogeja saa lukea ;-> – pikemminkin tarkoituksena on helpottaa oikean tiedon löytämistä (saas nähdä, miten käy). Joka tapauksessa, muutos tapahtuu loppuviikosta. Toistaiseksi otin myös kommentit pois päältä, kunnes muutos on toteutettu. Kommentteja voi ja saa lähettää osoitteeseen kimmo.bergius@microsoft.com.


 


MS06-002 – Vulnerability in Embedded Web Fonts Could Allow Remote Code


Execution (908519)


Luokitus: Kriittinen (Critical)


 


Tiedote MS06-002 koskee sulautettujen Web-fonttien (embedded Web font)


käsittelyä. Sulautettu Web-fontti on räätälöity fonttimääritys, joka ei


kuulu Internet Explorerin tai Windowsin vakiofontteihin, jota käytetään


jollakin Web-sivustolla ja joka määritetään latautumaan Web-sivun lataamisen


yhteydessä. Web-fonttien käsittelyssä on havaittu haavoittuvuus, joka antaa


vihamieliselle hyökkääjälle mahdollisuuden suorittaa haluamaansa


ohjelmakoodia kohteena olevassa järjestelmässä (Remote Code Execution


-tyyppinen haavoittuvuus). Vihamielinen hyökkääjä voi hyödyntää


haavoittuvuutta luomalla tietyllä tavalla muotoillun Web-fonttitiedoston ja


Web-sivun, joka sisältää ja käyttää tätä fonttitiedostoa, ja sen jälkeen


houkuttelemalla käyttäjän avaamaan sivun selaimella, tai luomalla


fonttitiedoston sisältävän HTML-muotoisen sähköpostiviestin, ja lähettämällä


sen käyttäjälle.


 


Huomautuksia:


– Haavoittuvuuksien aiheuttamaa riskiä voidaan pienentää estämällä Internet


Explorer -selainta lataamasta fontteja joko kaikkiin tai tiettyihin


vyöhykkeisiin kuuluvissa sivustoissa. Määritys tehdään Internet Explorerin


suojausasetuksissa.


– Haavoittuvuuden aiheuttamaa riskiä voidaan pienentää myös määrittämällä


Outlook Express- tai Outlook-sähköpostiohjelma näyttämään HTML-muotoiset


sähköpostiviestit pelkkänä tekstinä (asetus voidaan tehdä, jos käytössä on


Outlook 2002 tai uudempi versio tai Outlook Express 6 SP1 tai uudempi


versio).


 


* Korjaus saattaa vaatia järjestelmän uudelleenkäynnistyksen asennuksen


jälkeen, mikäli korvattavat tiedostot ovat käytössä asennuksen aikana.


* Korjauksen asennus voidaan peruuttaa.


* Korjaus voidaan tunnistaa MBSA-ohjelmiston (Microsoft Baseline Security


Analyzer) versioilla 1.2.1 ja 2.0.


* Korjaus voidaan asentaa SMS-ohjelmiston (Systems Management Server)


avulla.


* Korjaus tulee saataville Microsoftin Downloads-sivustoon


(http://www.microsoft.com/downloads, linkit yksittäisiin korjauksiin


löytyvät englanninkielisestä tiedostteesta osoitteessa


http://www.microsoft.com/technet/security/Bulletin/MS06-002.mspx).


* Korjaus voidaan asentaa Windows Update- ja Microsoft Update -sivustojen


sekä Software Update Services- ja Windows Server Update Services -palvelujen


avulla.


 


Haavoittuvuus koskee seuraavia käyttöjärjestelmiä:


– Microsoft Windows 2000 (Service Pack 4)


– Microsoft Windows XP (Service Pack 1 ja Service Pack 2)


– Microsoft Windows XP Professional x64 Edition


– Microsoft Windows Server 2003 (alkuperäinen versio ja Service Pack 1)


– Microsoft Windows Server 2003 for Itanium-based Systems (alkuperäinen


versio ja Service Pack 1)


– Microsoft Windows Server 2003 x64 Edition


– Microsoft Windows 98, Microsoft Windows 98 Second Edition (SE), and


Microsoft Windows Millennium Edition (ME) – Lisätietoja on tiedotteen


FAQ-osiossa.


 


Haavoittuvuuteen liittyviä lisätietoja ja linkit korjauksen eri versioihin


löytyvät Microsoftin Web-sivustosta seuraavista osoitteista:


http://www.microsoft.com/technet/security/bulletin/ms06-jan.mspx


http://www.microsoft.com/technet/security/Bulletin/MS06-002.mspx


http://support.microsoft.com/kb/908519


 


Korjauksen luokitus on Kriittinen (Critical). Microsoft suosittelee, että


korjaus asennetaan kaikkiin sellaisiin järjestelmiin, joissa on käytössä


jokin edellä mainituista Windows-käyttöjärjestelmän versioista.


___________________________________________________________________


MS06-003 – Vulnerability in TNEF Decoding in Microsoft Outlook and Microsoft


Exchange Could Allow Remote Code Execution (902412)


Luokitus: Kriittinen (Critical)


 


Tiedote MS06-003 koskee Exchange-sähköpostipalvelimessa ja


Outlook-sähköpostiohjelmassa käytettävää TNEF-pakkausmuotoa (Transport


Neutral Encapsulation Format). Outlook-ohjelmalla luodut sähköpostiviestit


ovat oletuksena RTF-muotoisia (Rich Text Format). Kun Exchange-palvelin


välittää RTF-muotoisen sanoman ulos järjestelmästä toiseen Microsoftin


sovelluksiin perustuvaan sähköpostijärjestelmään, se pakkaa


RTF-muotoilutiedot TNEF-muodossa sanoman liitteeksi (liitteen nimi on


yleensä winmail.dat) ja sen jälkeen liittää tiedoston sanoman liitteeksi.


 


TNEF-pakkausmuodon käsittelyssä on havaittu haavoittuvuus, joka antaa


vihamieliselle hyökkääjälle mahdollisuuden suorittaa haluamaansa


ohjelmakoodia kohteena olevassa järjestelmässä (Remote Code Execution


-tyyppinen haavoittuvuus). Vihamielinen hyökkääjä voi hyödyntää


haavoittuvuutta luomalla tietyllä tavalla muotoillun TNEF-paketoidun


liitteen, liittämällä sen sähköpostiviestiin ja lähettämällä viestin


kohteena olevaan tietojärjestelmään.


 


Huomautuksia:


– Haavoittuvuuden sisältävä komponentti on käytössä sekä


Exchange-palvelinohjelmistossa että Outlook-sähköpostiohjelmassa, ja korjaus


on asennettava erikseen molempiin näistä.


– Mikäli koneeseen on asennettu Outlook-ohjelman (tai Office-ohjelmiston)


lisäksi myös jokin monikielisyyspaketti, on huomattava, että korjaus on


asennettava erikseen sekä Outlookkiin että monikielisyyspakettiin.


– Haavoittuvuuden aiheuttamaa riskiä voidaan pienentää estämällä


ms-tnef-MIME-tyyppisten liitteiden välittäminen Exchange-palvelimeen.


 


* Korjaus saattaa vaatia järjestelmän uudelleenkäynnistyksen asennuksen


jälkeen, mikäli korvattavat tiedostot ovat käytössä asennuksen aikana.


* Exchange-palvelinohjelmiston korjauksen asennuksen voi peruuttaa. Sen


sijaan Officea koskevan korjauksen asennusta ei voi peruuttaa.


* Korjaus voidaan tunnistaa osittain MBSA-ohjelmiston (Microsoft Baseline


Security Analyzer) versioilla 1.2.1 ja 2.0. Kumpikaan MBSA_ohjelmiston


versioista ei kuitenkaan tunnista korjausta kaikissa haavoittuvuuden


sisältämissä järjestelmissä


* Korjaus voidaan asentaa SMS-ohjelmiston (Systems Management Server)


avulla. On kuitenkin huomattava, että SMS-ohjelmisto käyttää korjauksen


tunnistamiseen MBSA-ohjelmistoa, joten sitä koskevat samat rajoitukset kuin


MBSA-ohjelmistoa yleensä.


* Korjaus tulee saataville Microsoftin Downloads-sivustoon


(http://www.microsoft.com/downloads, linkit yksittäisiin korjauksiin


löytyvät englanninkielisestä tiedotteesta osoitteessa


http://www.microsoft.com/technet/security/Bulletin/MS06-003.mspx).


* Jotkin korjausversiot voidaan asentaa Microsoft Update -sivuston sekä


Windows Server Update Services -palvelujen avulla.


* tarkempia tietoja asennus- ja tunnistusmahdollisuuksista korjauksen eri


versioille on englanninkielisessä tiedotteessa.


 


Haavoittuvuus koskee seuraavia tuotteita:


– Microsoft Exchange 2000 (Service Pack 3 varustettuna Exchange 2000


Post-Service Pack 3 Update Rollup -paketilla)


– Microsoft Exchange 5.5 (Service Pack 4)


– Microsoft Exchange 5.0 (Service Pack 3)


– Microsoft Office 2000 (Service Pack 3)


 – On huomattava, että korjauksesta on erillinen versio Microsoft


  Outlook 2000 -ohjelmistolle, sekä ympäristöille, joissa on


  käytössä Office 2000:n MultiLanguage Pack tai Outlook 2000:n


  English MultiLanguage Pack. Lisätietoja on englanninkielisessä


  tiedotteessa.


– Microsoft Office XP (Service Pack 3)


  – On huomattava, että korjauksesta on erillinen versio Microsoft


  Outlook 2002 -ohjelmistolle sekä ympäristöille, joissa on


  käytössä Office XP:n MultiLanguage Pack. Lisätietoja on


  englanninkielisessä tiedotteessa.


– Microsoft Office 2003 (Service Pack 1 tai Service Pack 2)


  – On huomattava, että korjauksesta on erillinen versio Microsoft


  Outlook 2003 -ohjelmistolle, sekä ympäristöille, joissa on


  käytössä Office 2003:n MultiLanguage Pack tai Language


  Interface Pack. Lisätietoja on englanninkielisessä tiedotteessa.


 


Haavoittuvuus EI koske seuravia tuotteita:


– Microsoft Exchange 2003 (Service Pack 1 tai Service Pack 2)


 


Haavoittuvuuteen liittyviä lisätietoja ja linkit korjauksen eri versioihin


löytyvät Microsoftin Web-sivustosta seuraavista osoitteista:


http://www.microsoft.com/technet/security/bulletin/ms06-jan.mspx


http://www.microsoft.com/technet/security/Bulletin/MS06-003.mspx


http://support.microsoft.com/kb/902412


 


Korjauksen luokitus on Kriittinen (Critical). Microsoft suosittelee, että


korjaus asennetaan kaikkiin sellaisiin järjestelmiin, joissa on käytössä


jokin edellä mainituista Exchange-sähköpostipalvelinohjelmiston tai


Outlook-sähköpostiohjelman versioista.


 

Comments (0)