Lisähuomio tietoturvatiedotteesta MS11-100

Edellisessä tiedotetta MS11-100 käsittelevässä blogipostauksessa mainitsin päivityksen testaamisesta. Testauksen tärkeyttä ei voi liikaa korostaa – kaikkien vähäänkään kriittisempien webbipalvelimien osalta tämä päivitys on testattava huolella, koska sen asentaminen vaikuttaa mm. käyttäjätunnistuksen toimintaan, erityisesti käytettäessä lomakepohjaista tunnistusta (Forms Based Authentication). Lisäksi kannattaa huomioida myös tiedotteessa haavoittuvuuden CVE-2011-3416 kohdalla mainittu seikka palvelinfarmeista (web-palvelimista, joissa useita palvelimia on…

0

Tietoturvatiedote MS11-100 julkaistu normaalin aikataulun ulkopuolella

Microsoft julkaisi tietoturvatiedotteen MS11-100 normaalista aikataulusta poiketen eilen illalla 29.12.2011 n. klo 20.00 Suomen aikaa. Tietoturvatiedote koskee .NET Frameworkin ASP.NET-kirjastoa ja siinä on korjattu neljä eri haavoittuvuutta, mm. Security Advisoryssä 2659883 kuvattu Hash Table -toiminnallisuuteen liittyvä haavoittuvuus, joka on myös ollut julkisesti tiedossa ennen tiedotteen julkaisemista. Tiedote on luokitukseltaan kriittinen ja Microsoft suosittelee, että se…

1

Security Advisory 2659883 – Haavoittuvuus ASP.NET-kirjastossa

Microsoft on julkaissut uuden Security Advisoryn 2659883 otsikolla Vulnerability in ASP.NET Could Allow Denial of Service. Security Advisory koskee ASP.NET-kirjastoa kaikissa tällä hetkellä tuetuissa .NET Frameworkin versioissa. ASP.NET-kirjastosta on löydetty haavoittuvuus, joka liittyy kirjaston tapaan käsitellä hash table -tietoja web-palvelimessa, jossa jokin web-sivu voi vastaanottaa tietoja ASP.NET-pohjaiselle lomakkeelle HTTP POST -pyynnön välityksellä. Vihamielinen hyökkääjä voi hyödyntää haavoittuvuutta…

0

Security Advisory 2641690 –

Microsoft on hetki sitten julkaissut uuden Security Advisoryn 2641690 otsikolla Fraudulent Digital Certificates Could Allow Spoofing. Security Advisory koskee Malesialaista DigiCert Sdn.Bhd -nimistä varmenteiden myöntäjää, joka on myöntänyt varmenteita, joissa on käytetty kohtuullisen heikkoja salausavaimia. Kyseessä on ns. Intermediate-tason varmentaja, joka on käyttänyt varmenteiden myöntämisessä Entrustin ja GTE Cybertrustin myöntämiä varmenteita. Molemmat ovat peruuttaneet DigiCertille myönnetyt…

0

Muutoksia tietoturvatiedottamisessa marraskuusta 2011 lähtien

Microsoft on julkaissut tietoturvatiedotteita kuukausittain vuoden 2003 syksystä lähtien, ja koko tämän ajan olemme myös tiedottaneet paikallisesti tiedotteiden julkaisusta suomenkielisen koostesähköpostin sekä paikallisen verkkokokouksen kautta. Tämän vuoden marraskuusta lähtien siirrymme hyödyntämään kansainvälistä tiedotuskäytäntöä. Tämä tarkoittaa kahta muutosta tiedotuskäytäntöön: 1. Suomenkielistä sähköpostikoostetta ei enää lähetetä, vaan sen korvaa englanninkielinen sähköpostitse lähetettävä ilmoitus tietoturvatiedotteista. Englanninkielisten tiedotteiden jakelulistalle…

0

Webcast lokakuun 2011 tietoturvatiedotteista

Microsoft julkaisi tiistaina 11.10.2011 normaalin julkaisuaikataulun mukaisesti lokakuun tietoturvatiedotteet, ja aikaisempien kuukausien tapaan järjestämme tiedotteista myös webcastin. Kuten aiemminkin, webcastin agendalla on ensin kunkin yksittäisen tietoturvatiedotteen läpikäynti, sen jälkeen hieman yleisiä tietoja tiedotteista ja niihin liittyvistä tietoturvapäivityksistä, kuten tietoja päivitystarpeen tunnistamisesta ja päivitysten jakelusta, ja lopuksi vielä joitain muita tietoturvaan liittyviä tietoja. Viimeisessä osuudessa on…

0

Webcast syyskuun 2011 tietoturvatiedotteista

Microsoft julkaisi tiistaina 13.9.2011 normaalin julkaisuaikataulun mukaisesti syyskuun tietoturvatiedotteet, ja aikaisempien kuukausien tapaan järjestämme tiedotteista myös webcastin. Kuten aiemminkin, webcastin agendalla on ensin kunkin yksittäisen tietoturvatiedotteen läpikäynti, sen jälkeen hieman yleisiä tietoja tiedotteista ja niihin liittyvistä tietoturvapäivityksistä, kuten tietoja päivitystarpeen tunnistamisesta ja päivitysten jakelusta, ja lopuksi vielä joitain muita tietoturvaan liittyviä tietoja. Viimeisessä osuudessa on…

0

Ennakkotieto syyskuun 2011 tietoturvatiedotteista

Microsoft on eilen illalla julkaissut ennakkotiedon ensi tiistaina 13.9.2011 normaalin aikataulun mukaisesti julkaistavista syyskuun tietoturvatiedotteista. Ennakkotiedon mukaan tulevana tiistaina julkaistaan viisi (5) uutta tietoturvatiedotetta: kaikki viisi tiedotetta ovat luokitukseltaan tärkeitä (Important), kaksi tiedotteista koskee eri Windowsin tuettuja versioita tai jotain Windowsin komponenttia, kolme tiedotteista koskee Office-ohjelmiston eri versioita tai jotain Office-ohjelmiston komponenttia. Tiedotteissa kuvatut päivitykset…

0

Webcast elokuun 2011 tietoturvatiedotteista

Microsoft julkaisi tiistaina 9.8.2011 normaalin julkaisuaikataulun mukaisesti elokuun tietoturvatiedotteet, ja aikaisempien kuukausien tapaan järjestämme tiedotteista myös webcastin. Kuten aiemminkin, webcastin agendalla on ensin kunkin yksittäisen tietoturvatiedotteen läpikäynti, sen jälkeen hieman yleisiä tietoja tiedotteista ja niihin liittyvistä tietoturvapäivityksistä, kuten tietoja päivitystarpeen tunnistamisesta ja päivitysten jakelusta, ja lopuksi vielä joitain muita tietoturvaan liittyviä tietoja. Viimeisessä osuudessa on…

0

Ennakkotieto elokuun 2011 tietoturvatiedotteista

Microsoft on eilen illalla julkaissut ennakkotiedon ensi tiistaina 9.8.2011 normaalin aikataulun mukaisesti julkaistavista elokuun tietoturvatiedotteista. Ennakkotiedon mukaan tulevana tiistaina julkaistaan kolmetoista (13) uutta tietoturvatiedotetta: tiedotteista kaksi on luokitukseltaan kriittisiä (Critical), yhdeksän tiedotteista on luokitukseltaan tärkeitä (Important), kaksi tiedotteista on luokitukseltaan keskitasoa (Moderate), kymmenen tiedotteista koskee eri Windowsin tuettuja versioita tai jotain Windowsin komponenttia, yksi tiedotteista koskee…

0