Welcome to TechNet Blogs Sign in | Join | Help
Friday, April 18, 2008 8:08 AM

Security Advisory 951306 - haavoittuvuus Windowsissa

Microsoft on julkaissut uuden Security Advisoryn numeroltaan 951306 ja otsikoltaan Vulnerability in Windows Could Allow Elevation of Privilege. Advisory koskee Windowsissa ja siinä suoritettavissa palveluissa raportoitua haavoittuvuutta. Haavoittuvuus on parhaillaan Microsoft Security Response Centerin tutkinnassa ja siihen tehdään ja julkaistaan korjaus, mikäli tutkimuksen tulos sille antaa aihetta. 

Tämän hetkisen tiedon mukaan haavoittuvuus koskee kaikkia tällä hetkellä tuettuja Windowsin versioita: 

- Windows XP Professional Service Pack 2

- Windows Server 2003 Service Pack 1 and Windows Server 2003 Service Pack 2

- Windows Server 2003 x64 Edition and Windows Server 2003 x64 Edition Service Pack 2

- Windows Server 2003 with SP1 for Itanium-based Systems and Windows Server 2003 with SP2 for Itanium based Systems

- Windows Vista and Windows Vista Service Pack 1

- Windows Vista x64 Edition and Windows Vista x64 Edition Service Pack 1

- Windows Server 2008 for 32-bit Systems

- Windows Server 2008 for x64-based Systems

- Windows Server 2008 for Itanium-based Systems

Haavoittuvuus littyy em. Windowsin versioissa suoritettaviin palveluihin, joita suoritetaan NetworkService- tai LocalService-tunnusten turvin. Jos ulkopuolinen hyökkääjä pääsee lisäämään omaa ohjelmakoodiaan tällaisiin palveluihin, esimerkiksi Internet Information Service -palveluun, on sitä kauttaa mahdollisuus päästä käsiksi muiden saman käyttäjätunnuksen turvin suoritettvien palvelujen resursseihin, ja sitä kauttaa mahdollisesti päästä korottamaan käyttöoikeuksia aina LocalSystem-tasolle. 

Haavoittuvuuteen ei siis ole korjausta vielä olemassa - mitä voin tehdä haavoittuvuuden aiheuttaman riskin pienentämiseksi?
Advisoryssä on ohjeita esim. IIS-palvelujen muuttamisesta niin, että niitä ei enää suoriteta oletuksena käytettävän NetworkService-tunnuksen turvin, vaan palvelua varten määritetään jokin toinen käyttäjätunnus. Kannattaa myös tarkistaa muut palvelut, joihin on mahdollisuus lisätä suoritettavaa ohjelmakoodia ja joita suoritetaan joko NetworkService- tai LocalService-tunnuksen turvin, ja tutkia, onko mahdollista muuttaa käyttäjätunnus, jonka turvin palvelua suoritetaan, joksikin muuksi tunnukseksi.

Posted by KimmoB | 0 Comments
Wednesday, March 12, 2008 11:48 AM

Maaliskuun 2008 tietoturvatiedotteet

Microsoft on eilen 11.3.2008 n. Klo 20.00 julkistanut normaalin kuukausittaisen julkaisuaikataulun mukaisesti neljä (4) uutta tietoturvatiedotetta, joista kooste alla. Tietoturvatiedotteissa on korjattu kaikkiaan 12 haavoittuvuutta Office-sovelluksissa ja niihin liittyvissä komponenteissa. Englanninkielinen yhteenveto ja varsinaiset tietoturvatiedotteet löytyvät osoitteesta http://www.microsoft.com/technet/security/bulletin/ms08-mar.mspx.

 

Tässä kuussa järjestämme jälleen tietoturvatiedotteita koskevan webcastin. Webcast järjestetään keskiviikkona 12.3.2008 poikkeuksellisesti klo 13.00. Webcastiin voi ilmoittautua osoitteessa http://www.microsoft.fi/events.

 

Luokitukseltaan kriittiset (Critical) tietoturvatiedotteet:

MS08-014 Haavoittuvuuksia Microsoft Excel -taulukkolaskentasovelluksessa (949029)

Tiedote koskee seuraavia tuotteita:

-        Microsoft Office 2000 (Service Pack 3)

-        Microsoft Office XP (Service Pack 3)

-        Microsoft Office 2003 (Service Pack 2)

-        Microsoft Office System 2007

-        Microsoft Excel 2003 Viewer

-        Microsoft Office 2004 for Mac

-        Microsoft Office 2008 for Mac

 

MS08-015 Haavoittuvuus Microsoft Outlook -sähköpostisovelluksessa (949031)

-        Microsoft Office 2000 (Service Pack 3)

-        Microsoft Office XP (Service Pack 3)

-        Microsoft Office 2003 (Service Pack 2 ja Service Pack 3)

-        Microsoft Office 2007

 

MS08-016 Haavoittuvuuksia Microsoft Office -ohjelmistossa (949030)

-        Microsoft Office 2000 (Service Pack 3)

-        Microsoft Office XP (Service Pack 3)

-        Microsoft Office 2003 (Service Pack 2)

-        Microsoft Excel 2003 Viewer

-        Microsoft Office 2004 for Mac

 

MS08-017 Haavoittuvuuksia Microsoft Office Web Components -toiminnoissa (933103)

-        Microsoft Office 2000 (Service Pack 3)

-        Microsoft Office XP (Service Pack 3)

-        Visual Studio .NET 2002 (Service Pack 1)

-        Visual Studio .NET 2003 (Service Pack 1)

-        Microsoft BizTalk Server 2000

-        Microsoft BizTalk Server 2002

-        Microsoft Commerce Server 2000 (alkuperäinen versio)

-        Internet Security and Acceleration Server 2000 (Service Pack 2)

Posted by KimmoB | 0 Comments
Saturday, February 16, 2008 10:14 AM

Muutoksia ActiveX-komponenttien käytössä IE:ssä

Huhtikuussa 2006 Microsoft teki muutoksen tapaan, jolla web-sivulla oleva ActiveX-komponentti ladattiin ja aktivoitiin Internet Explorer -selaimessa. Muutos näkyi käyttäjälle niin, että kun hän vei hiiren osoittimen sivulla olevan ActiveX-komponentin kohdalle, näkyviin tuli teksti "Click to activate" ja käyttäjän piti napsauttaa sivulla olevaa ActiveX-komponenttia kerran ennen sen käyttämistä. Microsoft on nyt lisensoinut Eolakselta joukon teknologioita, minkä johdosta "Click to activate" -toiminnallisuutta ei enää tarvita.

Näin ollen tarkoituksena on, että ActiveX-komponenttien käyttötapa palautetaan samaksi, mitä se oli ennen huhtikuussa 2006 tehtyä muutosta. Tämä muutos on tarkoitus jaella huhtikuussa 2008 julkaistavan IE:n kumulatiivisen tietoturvapäivityksen mukana. Muutoksesta on kuitenkin olemassa jo esiversio, jota webbisivujen tekijät ja sovelluskehittäjät voivat käyttää testatakseen muutoksen vaikutuksen omilla sivuillaan ja sivuilla käytettävien ActiveX-komponenttien kanssa.

Lisätietoja löytyy seuraavista osoitteista:
IE Automatic Component Activation
IE Automatic Component Activation Preview #2 is now available
KB-artikkeli 947518
Information for Developers about Internet Explorer

Posted by KimmoB | 0 Comments
Thursday, February 14, 2008 1:58 PM

Windows Vistan Service Pack 1

Windows Vistan ensimmäinen suurempi päivityspaketti, Service Pack 1, valmistui viime viikon maanantaina, 4. helmikuuta. Monet ovat sen jälkeen kyselleet, että koskas sen nyt sitten oikeasti saa käyttöön. Seuraavassa lyhyt vastaus aiheeseen: 

Ensimmäkin, Vistan SP1 on jaettu kahteen kieliversioon: 
1. Ensimmäinen, viime maanantaina valmistunut kieliversio kattaa seuraavat kielet: englanti, japani, saksa, ranska ja espanja.
2. Toinen kieliversio, joka kattaa loput Windowsin tukemat kieliversiot, mukaan luettuna suomenkielisen version, valmistuu huhtikuun aikana.

On tärkeää erottaa nämä kaksi kieliversiota, koska ensimmäinen versio asentuu ainoastaan järjestelmiin, joissa Vistan kieli on jokin edellä mainituista viidestä kielestä, eikä siihen ole myöskään asennettu minkään muun kielistä kielipakettia. Eli jos käytössäsi on englanninkielinen Vista-kone, johon on asennettu suomenkielinen kielipaketti, et voi asentaa siihen tuota jo valmistunutta SP1-versiota (tai voit, mutta asennus edellyttää sitä, että ensin poistat suomenkielisen kielipaketin).

Toisekseen, jakelusta: vaikkakin SP1:n ensimmäinen kielipaketti valmistui viime viikolla, ei se ole vielä julkisessa jakelussa. Jakelu alkaa ensi kuun puolenvälin tietämillä Windows Update –palvelun ja Microsoftin lataussivuston kautta. Windows Updaten kautta päivityspakettia vain tarjotaan ensimmäisessä vaiheessa käyttäjille asennettavaksi, ja vasta huhtikuun aikana se tulee mukaan automaattijakeluun. Suomenkielisen version jakelusta ilmoitetaan tarkemmin huhtikuun aikana, kunhan SP1:n toinen kieliversio ensin valmistuu.

Lisätietoja jakelusta löytyy mm. kahdesta Vista-tuoteryhmän blogissa olevasta kirjoituksesta:

Announcing the RTM of Windows Vista SP1
Windows Vista SP1 availability for technical customers

Lataussivustosta löytyy jo useampikin SP1:tä käsittelevä dokumentti ja työkalupaketti:

Overview of Windows Vista SP1
Notable Changes in Windows Vista SP1
Release Notes for Windows Vista Service Pack 1
Windows Vista SP1 Guides for IT Professionals
Automated Installation Kit (AIK) for Windows Vista SP1 and Windows Server 2008

Lisätietoja löytyy myös Windows Vista Technical Library -sivustosta.

Posted by KimmoB | 0 Comments
Filed under: ,
Thursday, February 14, 2008 1:13 PM

Muutama kommentti tiistain tietoturvatiedotteisiin

MS08-013 / MS08-012 - jonkin verran kysymyksiä on tullut siitä, miksi päivitystä tarjotaan myös Office 2003 + Service Pack 3 -yhdistelmälle, vaikka se ei olekaan haavoittuvuuden sisältävien ohjelmistojen listalla. Syynä tähän on se, että päivityksen sisältämä VBE6.DLL-tiedosto on versionumeroltaan uudempi kuin SP3:n sisältämä versio. Tästä huolimatta päivitystä EI tarvitse asentaa Office 2003:een, johon on jo asennettu SP3.

MS08-011 - tämä tiedote koskee Worksin tiedostomuunninta, ja kysymyksiä onkin herännyt siitä, miksi päivitystä tarjotaan myös jäjestelmiin, joihin ei ole asennettu mitään Worksin versiota. Syynä tähän on se, että ko. tiedostomuunnin on myös osa Office 2003:a, ja Office 2003 + Service Pack 2 -yhdistelmä on näin ollen haavoittuvuuden sisältävien ohjelmistojen listalla ja päivitystä tarjotaan Office 2003 -versiolla ja Service Pack 2:lla varustetuille järjestelmille. Jos Office 2003:een on jo asennettu Service Pack 3, ei päivitystä enää tarvita tai tarjota.

MS08-003 - Windows 2000 Professional mainitaan tiedotteessa niiden käyttöjärjestelmäversioiden listalla, jotka eivät sisällä haavoittuvuutta. Päivitystä kuitenkin tarjotaan myös Professional-versiolle - miksi? Tämä johtuu siitä, että myös Professionalissa ja itse asiassa myös Windows 2000 Member Server -palvelimissa on mukana osa niistä tiedostoista, jotka tulevat päivityksessä mukana. Haavoittuvuus kuitenkin ilmenee ainoastan Windows 2000 -palvelimissa, jotka on määritetty Active Directory -hakemistopalvelimiksi.

Posted by KimmoB | 0 Comments
Thursday, February 14, 2008 12:17 PM

Tietolähteet, uusi blogi ja kill bitit

Yksi useimmiten esitettyjä kysymyksiä tietoturvatiedotteisiin ja -päivityksiin liittyen on "mistä näistä saa lisätietoja?". Tiedotteiden suhteen ensimmäinen tietolähde on tietysti Tecnetin tietoturvasivusto, josta löytyvät itse tiedotteet, security advisoryt sekä paljon muuta tietoa Microsoftin tuotteiden tietoturvasta. Toinen mainio tietolähde, jota kannattaa seurata, on Microsoftin Security Response Centerin (MSRC) blogi, jossa kerrotaan ajankohtaista muustakin kuin pelkästään päivityksistä.  

Uusin tietolähde on Security Vulnerability Research & Defense -blogi, jossa on hyödyllistä taustatietoa mm. tiedotteiden taustalla olevista haavoittuvuuksista. Uusimpana blogissa on kolmiosainen tarina kill biteistä, joihin törmää monesti Internet Exploreria koskevissa titotuvatiedotteissa. Kannattaa lukea!

Posted by KimmoB | 0 Comments
Wednesday, February 13, 2008 7:57 PM

Helmikuun 2008 tietoturvapäivitykset

Microsoft on eilen 12.2.2008 n. Klo 20.00 julkistanut normaalin kuukausittaisen julkaisuaikataulun mukaisesti yksitoista (11) uutta tietoturvatiedotetta, joista kooste alla. Tietoturvatiedotteissa on korjattu kaikkiaan 17 haavoittuvuutta Windowsissa ja sen eri komponenteissa sekä Office- ja Works-ohjelmistoissa. Englanninkielinen yhteenveto ja varsinaiset tietoturvatiedotteet löytyvät osoitteesta http://www.microsoft.com/technet/security/bulletin/ms08-feb.mspx.

 

Luokitukseltaan kriittiset (Critical) tietoturvatiedotteet:
MS08-007 Haavoittuvuus WebDAV-komponentissa (946026)
-        Tiedote koskee seuraavia käyttöjärjestelmiä:

o   Microsoft Windows XP Professional (Service Pack 2)

o   Microsoft Windows XP Professional x64 Edition (alkuperäinen versio ja Service Pack 2)

o   Microsoft Windows Server 2003 (Service Pack 1 ja Service Pack 2)

o   Microsoft Windows Server 2003 for Itanium-based Systems (Service Pack 1 ja Service Pack 2)

o   Microsoft Windows Server 2003 x64 Edition (alkuperäinen versio ja Service Pack 2)

 

MS08-008 Haavoittuvuus OLE Automation -komponentissa (947890)

-        Tiedote koskee seuraavia käyttöjärjestelmiä ja ohjelmistoja:

o   Microsoft Windows 2000 (Service Pack 4)

o   Microsoft Windows XP Professional (Service Pack 2)

o   Microsoft Windows XP Professional x64 Edition (alkuperäinen versio ja Service Pack 2)

o   Microsoft Windows Server 2003 (Service Pack 1 ja Service Pack 2)

o   Microsoft Windows Server 2003 for Itanium-based Systems (Service Pack 1 ja Service Pack 2)

o   Microsoft Windows Server 2003 x64 Edition (alkuperäinen versio ja Service Pack 2)

o   Microsoft Windows Vista (alkuperäinen versio)

o   Microsoft Windows Vista x64 Edition (alkuperäinen versio)

o   Microsoft Office 2004 for Mac

o   Microsoft Visual Basic 6.0 (Service Pack 6)

 

MS08-009 Haavoittuvuus Microsoft Word -ohjelmistossa (947077)

-        Tiedote koskee seuraavia ohjelmistoja:

o   Microsoft Office XP (Service Pack 3)

§  Microsoft Word 2002

o   Microsoft Office 2000 (Service Pack 3)

§  Microsoft Word 2000

o   Microsoft Office 2003 (Service Pack 2)

§  Microsoft Word 2003

§  Microsoft Word Viewer 2003

 

MS08-010 Internet Explorer -selaimen kumulatiivinen päivitys (944533)

-        Tiedote koskee seuraavia käyttöjärjestelmiä:

o   Microsoft Windows 2000 (Service Pack 4)

o   Microsoft Windows XP (Service Pack 2)

o   Microsoft Windows XP Professional x64 Edition (alkuperäinen versio ja Service Pack 2)

o   Microsoft Windows Server 2003 (Service Pack 1 ja Service Pack 2)

o   Microsoft Windows Server 2003 for Itanium-based Systems (Service Pack 1 ja Service Pack 2)

o   Microsoft Windows Server 2003 x64 Edition (alkuperäinen versio ja Service Pack 2)

o   Microsoft Windows Vista

o   Microsoft Windows Vista x64 Edition

 

MS08-012 Haavoittuvuuksia Microsoft Office Publisher -ohjelmistossa (947085)

-        Tiedote koskee seuraavia ohjelmistoja:

o   Microsoft Office 2003 (Service Pack 2)

§  Office Publisher 2003

o   Microsoft Office XP (Service Pack 3)

§  Office Publisher 2002

o   Microsoft Office 2000 (Service Pack 3)

§  Office Publisher 2000

 

MS08-013 Haavoittuvuus Microsoft Office -ohjelmistossa (947108)

-        Tiedote koskee seuraavia ohjelmistoja:

-        Microsoft Office 2000 (Service Pack 3)

-        Microsoft Office XP (Service Pack 3)

-        Microsoft Office 2003 (Service Pack 2)

-        Microsoft Office 2004 for Mac

 

Luokitukseltaan tärkeät (Important) tietoturvatiedotteet:

MS08-003 Haavoittuvuus Active Directory -palvelussa (946538)

-        Tiedote koskee seuraavia käyttöjärjestelmiä:

o   Microsoft Windows 2000 (Service Pack 4) - Huom: ainoastaan palvelinversiot

o   Microsoft Windows XP Professional (Service Pack 2) – Huom: Ainoastaan, jos järjestelmään on asennettu ADAM-hakemistopalvelu

o   Microsoft Windows XP Professional x64 Edition (alkuperäinen versio ja Service Pack 2) – Huom: Ainoastaan, jos järjestelmään on asennettu ADAM-hakemistopalvelu

o   Microsoft Windows Server 2003 (Service Pack 1 ja Service Pack 2)

o   Microsoft Windows Server 2003 for Itanium-based Systems (Service Pack 1 ja Service Pack 2)

o   Microsoft Windows Server 2003 x64 Edition (alkuperäinen versio ja Service Pack 2)

 

MS08-004 Haavoittuvuus TCP/IP-protokollatoteutuksessa (946456)

-        Tiedote koskee seuraavia käyttöjärjestelmiä:

o   Microsoft Windows Vista (alkuperäinen versio)

o   Microsoft Windows Vista x64 Edition (alkuperäinen versio)

 

MS08-005 Haavoittuvuus Internet Information Services -palvelussa (942831)

-        Tiedote koskee seuraavia käyttöjärjestelmiä:

o   Microsoft Windows 2000 (Service Pack 4)

o   Microsoft Windows XP Professional (Service Pack 2)

o   Microsoft Windows XP Professional x64 Edition (alkuperäinen versio ja Service Pack 2)

o   Microsoft Windows Server 2003 (Service Pack 1 ja Service Pack 2)

o   Microsoft Windows Server 2003 for Itanium-based Systems (Service Pack 1 ja Service Pack 2)

o   Microsoft Windows Server 2003 x64 Edition (alkuperäinen versio ja Service Pack 2)

o   Microsoft Windows Vista (alkuperäinen versio)

o   Microsoft Windows Vista x64 Edition (alkuperäinen versio)

 

MS08-006 Haavoittuvuus Internet Information Services -palvelussa (942830)

-        Tiedote koskee seuraavia käyttöjärjestelmiä:

o   Microsoft Windows XP Professional (Service Pack 2)

o   Microsoft Windows XP Professional x64 Edition (alkuperäinen versio ja Service Pack 2)

o   Microsoft Windows Server 2003 (Service Pack 1 ja Service Pack 2)

o   Microsoft Windows Server 2003 for Itanium-based Systems (Service Pack 1 ja Service Pack 2)

o   Microsoft Windows Server 2003 x64 Edition (alkuperäinen versio ja Service Pack 2)

 

MS08-011 Haavoittuvuuksia Microsoft Works -tiedostomuuntimessa (947081)

-        Tiedote koskee seuraavia ohjelmistoja:

o   Microsoft Office 2003 (Service Pack 2 ja Service Pack 3)

o   Microsoft Works 8.0

o   Microsoft Works Suite 2005

Posted by KimmoB | 0 Comments
Friday, February 08, 2008 3:44 PM

Webcast helmikuun tietoturvatiedotteista

Ensi tiistaina julkaistaan siis helmikuun tietoturvapäivitykset. Osana normalia tiedotusta keskiviikkona, 13.2. järjestetään jälleen Webcast, jonka aiheena on nuo edellisenä iltana julkaistut tietoturvatiedotteet. Ajankohtahan on perinteinen klo 10.00 aamupäivällä. Webcastistä löytyy lisätietoja ja siihen pääse ilmoittautumaan osoitteessa http://www.microsoft.fi/events.  
Posted by KimmoB | 0 Comments
Friday, February 08, 2008 2:50 PM

Ennakkotieto helmikuun 2008 tietoturvatiedotteista

Normaalin kuukausittaisen julkaisuaikataulun mukaisesti ensi tiistaina 12.2.2008 klo 20.00 Suomen aikaa Microsoft julkistaa tämän hetkisen tiedon mukaan kaksitoista (12) uutta tietoturvatiedotetta:

 

- Ensimmäinen tiedote koskee Active Directory- ja ADAM-palveluja Windows-käyttöjärjestelmän eri versioissa. Tiedotteen korkein luokitustaso on tärkeä (Important). Tiedotteessa kuvatut haavoittuvuudet antavat mahdollisuuden palvelunestohyökkäyksen toteuttamiseen. Tiedotteessa kuvatut päivitykset ovat tunnistettavissa MBSA-sovelluksen (Microsoft Baseline Security Analyzer) avulla. Päivitys vaatii järjestelmän uudelleenkäynnistyksen asennuksen jälkeen.

 

- Toinen tiedote koskee Windows Vista -käyttöjärjestelmän eri versioita.  Tiedotteen korkein luokitustaso on tärkeä (Important). Tiedotteessa kuvatut haavoittuvuudet antavat mahdollisuuden palvelunestohyökkäyksen toteuttamiseen. Tiedotteessa kuvatut päivitykset ovat tunnistettavissa MBSA-sovelluksen (Microsoft Baseline Security Analyzer) avulla. Päivitys vaatii järjestelmän uudelleenkäynnistyksen asennuksen jälkeen.

 

- Kolmas tiedote koskee Internet Information Service -palvelua Windows-käyttöjärjestelmän eri versioissa. Tiedotteen korkein luokitustaso on tärkeä (Important). Tiedotteessa kuvatut haavoittuvuudet antavat mahdollisuuden käyttöoikeuksien korottamiseen. Tiedotteessa kuvatut päivitykset ovat tunnistettavissa MBSA-sovelluksen (Microsoft Baseline Security Analyzer) avulla. Päivitys vaatii järjestelmän uudelleenkäynnistyksen asennuksen jälkeen.

 

- Neljäs tiedote koskee Internet Information Service -palvelua Windows-käyttöjärjestelmän eri versioissa. Tiedotteen korkein luokitustaso on tärkeä (Important). Tiedotteessa kuvatut haavoittuvuudet antavat mahdollisuuden hyökkääjän haluaman ohjelmakoodin suorittamiseen verkon välityksellä. Tiedotteessa kuvatut päivitykset ovat tunnistettavissa MBSA-sovelluksen (Microsoft Baseline Security Analyzer) avulla. Päivitys ei vaadi järjestelmän uudelleenkäynnistystä asennuksen jälkeen.

 

- Viides tiedote koskee Windows-käyttöjärjestelmän eri versioita. Tiedotteen korkein luokitustaso on kriittinen (Critical). Tiedotteessa kuvatut haavoittuvuudet antavat mahdollisuuden hyökkääjän haluaman ohjelmakoodin suorittamiseen verkon välityksellä. Tiedotteessa kuvatut päivitykset ovat tunnistettavissa MBSA-sovelluksen (Microsoft Baseline Security Analyzer) avulla. Päivitys vaatii järjestelmän uudelleenkäynnistyksen asennuksen jälkeen.

 

- Kuudes tiedote koskee Windows-käyttöjärjestelmän ja Office-sovelluksen sekä Visual Basic -ohjelmointikielen eri versioita. Tiedotteen korkein luokitustaso on kriittinen (Critical). Tiedotteessa kuvatut haavoittuvuudet antavat mahdollisuuden hyökkääjän haluaman ohjelmakoodin suorittamiseen verkon välityksellä. Tiedotteessa kuvatut päivitykset ovat tunnistettavissa MBSA-sovelluksen (Microsoft Baseline Security Analyzer) avulla. Päivitys vaatii järjestelmän uudelleenkäynnistyksen asennuksen jälkeen.

 

- Seitsemäs tiedote koskee Windows-käyttöjärjestelmän eri versioita sekä VBSCript- ja Jscript-ohjelmointikieliä. Tiedotteen korkein luokitustaso on kriittinen (Critical). Tiedotteessa kuvatut haavoittuvuudet antavat mahdollisuuden hyökkääjän haluaman ohjelmakoodin suorittamiseen verkon välityksellä. Tiedotteessa kuvatut päivitykset ovat tunnistettavissa MBSA-sovelluksen (Microsoft Baseline Security Analyzer) avulla. Päivitys vaatii järjestelmän uudelleenkäynnistyksen asennuksen jälkeen.

 

- Kahdeksas tiedote koskee Windows-käyttöjärjestelmän ja Internet Explorer- selaimen eri versioita. Tiedotteen korkein luokitustaso on kriittinen (Critical). Tiedotteessa kuvatut haavoittuvuudet antavat mahdollisuuden hyökkääjän haluaman ohjelmakoodin suorittamiseen verkon välityksellä. Tiedotteessa kuvatut päivitykset ovat tunnistettavissa MBSA-sovelluksen (Microsoft Baseline Security Analyzer) avulla. Päivitys vaatii järjestelmän uudelleenkäynnistyksen asennuksen jälkeen.

 

- Yhdeksäs tiedote koskee Office-, Works- ja Works Suite -ohjelmistojen eri versioita. Tiedotteen korkein luokitustaso on tärkeä (Important). Tiedotteessa kuvatut haavoittuvuudet antavat mahdollisuuden hyökkääjän haluaman ohjelmakoodin suorittamiseen verkon välityksellä. Tiedotteessa kuvatut päivitykset ovat tunnistettavissa MBSA-sovelluksen (Microsoft Baseline Security Analyzer) avulla. Päivitys ei vaadi järjestelmän uudelleenkäynnistystä asennuksen jälkeen.

 

- Kymmenes tiedote koskee Office Publisher -ohjelmiston eri versioita. Tiedotteen korkein luokitustaso on kriittinen (Critical). Tiedotteessa kuvatut haavoittuvuudet antavat mahdollisuuden hyökkääjän haluaman ohjelmakoodin suorittamiseen verkon välityksellä. Tiedotteessa kuvatut päivitykset ovat tunnistettavissa MBSA-sovelluksen (Microsoft Baseline Security Analyzer) avulla. Päivitys ei vaadi järjestelmän uudelleenkäynnistystä asennuksen jälkeen.

 

- Yhdestoista tiedote koskee Office-ohjelmiston eri versioita. Tiedotteen korkein luokitustaso on kriittinen (Critical). Tiedotteessa kuvatut haavoittuvuudet antavat mahdollisuuden hyökkääjän haluaman ohjelmakoodin suorittamiseen verkon välityksellä. Tiedotteessa kuvatut päivitykset ovat tunnistettavissa MBSA-sovelluksen (Microsoft Baseline Security Analyzer) avulla. Päivitys ei vaadi järjestelmän uudelleenkäynnistystä asennuksen jälkeen.

 

- Kahdestoista tiedote koskee Office-ohjelmiston eri versioita. Tiedotteen korkein luokitustaso on kriittinen (Critical). Tiedotteessa kuvatut haavoittuvuudet antavat mahdollisuuden hyökkääjän haluaman ohjelmakoodin suorittamiseen verkon välityksellä. Tiedotteessa kuvatut päivitykset ovat tunnistettavissa MBSA-sovelluksen (Microsoft Baseline Security Analyzer) avulla. Päivitys ei vaadi järjestelmän uudelleenkäynnistystä asennuksen jälkeen.

 

Tietoturvatiedotteissa kuvattujen päivitysten lisäksi Microsoft julkaisee seitsemän (7) muuhun kuin tietoturvaan liittyvää päivitystä Microsoft Update (MU) -sivuston ja Windows Server Update Services (WSUS) -palvelun kautta sekä kaksi (2) muuhun kuin tietoturvaan liittyvää päivitystä Windows Update (WU) -sivuston ja Software Update Services (SUS) –palvelun kautta.

 

Edellä mainittujen päivitysten lisäksi Microsoft julkaisee päivitetyn version Malicious Software Removal Tool -työkalusta.

 

Ennakkotiedon tavoitteena on helpottaa ja parantaa tietoturvapäivitysten testauksen ja jakelun suunnittelua ja toteutusta. Tiedotteista lähetetään myös normaali koosteviesti n. 12 tunnin kuluessa tiedotteiden julkaisemisen jälkeen.

 

Ennakkotieto löytyy myös Webistä osoitteesta http://www.microsoft.com/technet/security/bulletin/ms08-feb.mspx.

Posted by KimmoB | 0 Comments
Friday, January 18, 2008 7:53 AM

Internet Explorer 7 jakeluun WSUS-palvelun kautta

Helmikuun tietoturvatiedotteiden julkaisun yhteydessä (12.2.2008) Microsoft julkaisee Internet Explorer 7 -selaimen Installation and Availability -päivityspaketin Windows Server Update Services -palvelun (WSUS) kautta. Paketti sisältää koko Internet Explorer 7 -selaimen ja päivittää sen käytöön työasemissa ja palvelimissa, joissa on käytössä joko Windows XP -käyttöjärjestelmä varustettuna Service Pack 2 -päivityksellä tai Windows Server 2003 -käyttöjärjestelmä varustettuna Service Pack 1 -päivityksellä. Päivityspaketti on ns. Update Rollup -tyyppinen päivityspaketti.

Miksi tämä on tärkeää huomioida? Jos käytössä on WSUS-palvelin ja se on määritetty hyväksymään automaattisesti (auto-approve) Update Rollup -tyyppiset päivitykset, helmikuun 12. päivä WSUS päivittää automaattisesti kaikki em. käyttöjärjestelmillä varustettuihin järjestelmiin, jotka ovat WSUS-palvelun piirissä, Internet Explorer 7 -selaimen. Joten jos et halua, että näin tapahtuu, katso lisätietoja KB-artikkelista 946202.

Posted by KimmoB | 0 Comments
Wednesday, January 16, 2008 6:10 AM

Security Advisory 947563 - haavoittuvuus Excel-taulukkolaskentaohjelmassa

Microsoft on julkaissut uuden Security Advisoryn numeroltaan 947563 ja otsikoltaan Vulnerability in Microsoft Excel Could Allow Remote Code Execution. Advisory koskee Excel-taulukkolaskentaohjelmassa raportoitua haavoittuvuutta. Haavoittuvuus on parhaillaan Microsoft Security Response Centerin tutkinnassa ja siihen tehdään ja julkaistaan korjaus, mikäli tutkimuksen tulos sille antaa aihetta. 

Tämän hetkisen tiedon mukaan haavoittuvuus koskee seuraavia Excelin versioita: 
- Microsoft Office Excel 2003 Service Pack 2
- Microsoft Office Excel Viewer 2003
- Microsoft Office Excel 2002
- Microsoft Office Excel 2000
- Microsoft Excel 2004 for Mac

Tämän hetkisen tiedon mukaan haavoittuvuus EI koske seuraavia versioita:
- Microsoft Office Excel 2003 Service Pack 3
- Microsoft Office Excel 2007
- Microsoft Office Excel 2007 Service Pack 1
- Microsoft Excel 2008 for Mac

Hyökkääjä voi hyödyntää haavoittuvuutta houkuttelemalla käyttäjän avaamaan tietyllä tavalla muotoillun Excel-tiedoston joko selaimen tai sähköpostin välityksellä. Tästä aiheutuu muistin korruptoituminen, mikä antaa hyökkääjälle mahdollisuuden suorittaa haluamaansa ohjelmakoodia järjestelmässä. Ohjelmakoodi suoritetaan järjestelmään kirjautuneen käyttäjän oikeuksilla.

Haavoittuvuuteen ei siis ole korjausta vielä olemassa - mitä voin tehdä haavoittuvuuden aiheuttaman riskin pienentämiseksi?

  1. Jos käytössä on Excelin versio 2003 ja siinä Service Pack 2, kannattaa asentaa Service Pack 3.Jos tämä ei syystä tai toisesta ole mahdollista, riskiä voidaan pienentää myös asentamalla Officeen tehty Isolated Conversion Environment eli MOICE.
  2. Jos käytössä on Office 2000, Lisäksi kannattaa myös tutustua täältä löytyvään Office 2000:n lisäkomponenttiin, jonka asennuksen jälkeen mm. Excel kysyy käyttäjältä vahvistuksen tiedoston avaukselle. Tämä ei suojaa kokonaan haavoittuvuuden hyödyntämiseltä, mutta estää esim. webbisivuston kautta tapahtuvan tiedoston avaamisen ilman, että käyttäjälle huomautetaan asiasta.
  3. Kannattaa ohjeistaa käyttäjille, että tuntemattomista lähteistä peräisin olevia, sähköpostin välityksellä vastaanotettuja Excel-tiedostoja ei saa avata, tai vähintäänkin ne kannattaa ensin tallentaa koneen levylle, jolloin virustorjuntaohjelma mahdollisesti tunnistaa haavoittuvuuden hyödyntämisen.
  4. Lisäksi kannattaa muistaa, että haavoittuvuuden kautta suoritettava ohjelmakoodi suoritetaan kirjautuneen käyttäjän oikeuksilla, eli kannattaa varmistaa, että käyttäjällä on mahdollisimman vähän oikeuksia käytössään.
Posted by KimmoB | 0 Comments
Wednesday, January 09, 2008 4:39 AM

Security Advisory 943411 - päivitys Windows Vistan Sidebar-toiminnon tietoturvaan

Microsoft on julkaissut uuden Security Advisoryn 943411 otsikolla Update to Improve Windows Sidebar Protection. Advisoryssä kerrotaan päivityksestä, joka on saatavilla Windows Vista -käyttöjärjestelmään ja jonka tavoitteena on parantaa Vistan Sidebar-toiminnon tietoturvaa. Lisätietoja päivityksestä on edellä mainitussa Advisoryssä sekä Knowledge Base -artikkeleissa 943411 ja 941411.
Posted by KimmoB | 0 Comments
Wednesday, January 09, 2008 4:25 AM

Tammikuun 2008 tietoturvatiedotteet

Microsoft on eilen 8.1.2008 n. Klo 20.00 julkistanut normaalin kuukausittaisen julkaisuaikataulun mukaisesti kaksi (2) uutta tietoturvatiedotetta, joista kooste alla. Tietoturvatiedotteissa on korjattu kaikkiaan 3 haavoittuvuutta Windowsissa ja sen eri komponenteissa. Englanninkielinen yhteenveto ja varsinaiset tietoturvatiedotteet löytyvät osoitteesta http://www.microsoft.com/technet/security/bulletin/ms08-jan.mspx.

 

Tässä kuussa järjestämme jälleen tietoturvatiedotteita koskevan webcastin. Webcast järjestetään keskiviikkona 9.1.2008 klo 10.00. Webcastiin voi ilmoittautua osoitteessa http://www.microsoft.fi/events.
 

Luokitukseltaan kriittiset (Critical) tietoturvatiedotteet:
MS08-001 Haavoittuvuuksia Windowsin TCP/IP-protokollatoteutuksessa (941644)
-         Tiedote koskee Windows 2000-, Windows XP-, Windows Server 2003- ja Windows Vista –käyttöjärjestelmällä varustettuja järjestelmiä.