Microsoft-tietoturvan weblogi

Securiy Advisory 977377 - Haavoittuvuus Windowsin TLS/SSL-toteutuksessa

Microsoft on juuri äsken julkaissut uuden Security Advisoryn 977377 otsikolla Vulnerability in TLS/SSL Could Allow Spoofing. Microsoftin Security Advisory koskee Windowsin TLS/SSL-toteutusta, mutta itse haavoittuvuus liittyy TLS- ja SSL-protokollien määritykseen ja koskee näin ollen useita eri toteutuksia, ei pelkästään Windowsin toteutusta. Haavoittuvuus on MSRC:n tutkinnassa, ja siihen on korjaus tekeillä, ja lisäksi MSRC koordinoi korjauksen julkaisemista yhdessä ICASI-organisaation kanssa (Internet Consortium for Advancement of Security on the Internet) sekä muiden valmistajien kanssa. 

Haavoittuvuus koskee tämän hetkisen tiedon mukaan kaikkia tuettuja Windows-versioita ja niiden TLS- (Transport Layer Security) ja SSL-toteutuksia (Secure Sockets Layer). Haavoittuvuus antaa vihamieliselle hyökkääjälle mahdollisuuden puuttuu palvelimen ja työaseman väliseen suojattuun liikenteeseen. On kuitenkin huomattava, että Internet Information Server -palvelimen (IIS) versio 6.0 ja uudemmat versiot eivät oletuskokoonpanossa ole alttiita haavoittuvuudelle. ko. palvelinversiot ovat haavoittuvaisia ainoastaan, jos niissä olevaan sivustoon määritetään käyttöön ns. molemminpuolinen autentikointi (mutual authentication). 

Haavoittuvuuteen ei siis vielä ole korjausta saatavilla - mitä voin tehdä haavoittuvuuden aiheuttaman riskin pienentämiseksi? No, ihan ensimmäisenä kannattaa lukaista itse Advisory - Advisoryn loppuosassa, kohdan Workarounds alla on dokumentoitu keino, jolla haavoittuvuuden aiheuttamaa riskiä voidaan pienentää IIS 6.0 -palvelimissa ja uudemmissa, joissa on käytössä mutual authentication -toiminto.

Lisätietoja löytyy Security Research and Defense -blogista osoitteesta http://blogs.technet.com/srd/archive/2010/02/09/details-on-the-new-tls-advisory.aspx.

Helmikuun 2010 tietoturvatiedotteet

Microsoft on 9.2.2010 n. Klo 20.00 julkistanut normaalin kuukausittaisen julkaisuaikataulun mukaisesti kolmetoista (13) uutta tietoturvatiedotetta, josta kooste alla. Tietoturvatiedotteessa on korjattu kaikkiaan kaksikymmentäkuusi (26) haavoittuvuus Windowsissa ja sen eri komponenteissa sekä Office-sovelluksissa. Englanninkielinen yhteenveto ja varsinaiset tietoturvatiedotteet löytyvät osoitteesta http://www.microsoft.com/technet/security/bulletin/ms10-feb.mspx.

 

Laitan tähän blogiin tilanpuutteen takia ainoastaan lyhyen koosteen tiedotteista. Jos haluat pidemmän suomenkielisen yhteenvedon sähköpostiisi, laita minulle viesti osoitteeseen kimmo.bergius@microsoft.com (laita viestiin mukaan oma nimesi, organisaatiosi tiedot ja sähköpostiosoitteesi).

 

Luokitukseltaan kriittiset (Critical) tietoturvatiedotteet:

MS10-006 Haavoittuvuuksia Windowsin SMB-toteutuksessa (978251)

Tiedote koskee seuraavia käyttöjärjestelmäversioita:

- Microsoft Windows 2000 (Service Pack 4)

- Microsoft Windows XP (Service Pack 2 ja Service Pack 3)

- Microsoft Windows XP Professional x64 Edition (Service Pack 2)

- Microsoft Windows Server 2003 (Service Pack 2)

- Microsoft Windows Server 2003 for Itanium-based Systems (Service Pack 2)

- Microsoft Windows Server 2003 x64 Edition (Service Pack 2)

- Microsoft Windows Vista (alkuperäinen versio, Service Pack 1 ja Service Pack 2)

- Microsoft Windows Vista x64 Edition (alkuperäinen versio, Service Pack 1 ja Service Pack 2)

- Microsoft Windows Server 2008 - kaikki versiot (alkuperäinen versio ja Service Pack 2)

- Microsoft Windows 7 – kaikki versiot

- Microsoft Windows Server 2008 R2 - kaikki versiot 

 

MS10-007 Haavoittuvuus Windowsin Shellissä (975713)

Tiedote koskee seuraavia käyttöjärjestelmäversioita:

- Microsoft Windows 2000 (Service Pack 4)

- Microsoft Windows XP (Service Pack 2 ja Service Pack 3)

- Microsoft Windows XP Professional x64 Edition (Service Pack 2)

- Microsoft Windows Server 2003 (Service Pack 2)

- Microsoft Windows Server 2003 for Itanium-based Systems (Service Pack 2)

- Microsoft Windows Server 2003 x64 Edition (Service Pack 2)

 

MS10-008 Kumulatiivinen ActiveX Kill Bit -tiedote (978262)

Tiedote koskee seuraavia käyttöjärjestelmäversioita:

- Microsoft Windows 2000 (Service Pack 4)

- Microsoft Windows XP (Service Pack 2 ja Service Pack 3)

- Microsoft Windows XP Professional x64 Edition (Service Pack 2)

- Microsoft Windows Server 2003 (Service Pack 2)

- Microsoft Windows Server 2003 for Itanium-based Systems (Service Pack 2)

- Microsoft Windows Server 2003 x64 Edition (Service Pack 2)

- Microsoft Windows Vista (alkuperäinen versio, Service Pack 1 ja Service Pack 2)

- Microsoft Windows Vista x64 Edition (alkuperäinen versio, Service Pack 1 ja Service Pack 2)

- Microsoft Windows Server 2008 - kaikki versiot (alkuperäinen versio ja Service Pack 2)

- Microsoft Windows 7 – kaikki versiot

- Microsoft Windows Server 2008 R2 - kaikki versiot 

 

MS10-009 Haavoittuvuuksia Windowsin TCP/IP-toteutuksessa (974145)

Tiedote koskee seuraavia käyttöjärjestelmäversioita:

- Microsoft Windows 2000 (Service Pack 4)

- Microsoft Windows XP (Service Pack 2 ja Service Pack 3)

- Microsoft Windows XP Professional x64 Edition (Service Pack 2)

- Microsoft Windows Server 2003 (Service Pack 2)

- Microsoft Windows Server 2003 for Itanium-based Systems (Service Pack 2)

- Microsoft Windows Server 2003 x64 Edition (Service Pack 2)

 

MS10-013 Haavoittuvuus DirectShow-komponentissa (977935)

Tiedote koskee seuraavia käyttöjärjestelmiä:

- Microsoft Windows 2000 (Service Pack 4)

- Microsoft Windows XP (Service Pack 2 ja Service Pack 3)

- Microsoft Windows XP Professional x64 Edition (alkuperäinen versio ja Service Pack 2)

- Microsoft Windows Server 2003 (Service Pack 1 ja Service Pack 2)

- Microsoft Windows Server 2003 for Itanium-based Systems (Service Pack 1 ja Service Pack 2)

- Microsoft Windows Server 2003 x64 Edition (alkuperäinen versio ja Service Pack 2)

- Microsoft Windows Vista (alkuperäinen versio ja Service Pack 1)

- Microsoft Windows Vista x64 Edition (alkuperäinen versio ja Service Pack 1)

- Microsoft Windows Server 2008 (kaikki versiot)

 

Luokitukseltaan tärkeät (Important) tietoturvatiedotteet:

MS10-003 Haavoittuvuus Microsoft Officessa (MSO) (978214)

Tiedote koskee seuraavia ohjelmistoja:

- Microsoft Office XP (Service Pack 3)

- Microsoft Office 2004 for Mac

 

MS10-004 Haavoittuvuuksia PowerPoint-sovelluksessa (975416)

Tiedote koskee seuraavia ohjelmistoja:

- Microsoft Office 2000 (Service Pack 3)

- Microsoft Office XP (Service Pack 3)

- Microsoft Office 2004 for Mac

 

MS10-010 Haavoittuvuus Windows Server 2008:n Hyper-V-komponentissa (977894)

Tiedote koskee seuraavia käyttöjärjestelmäversioita:

- Microsoft Windows Server 2008 for x64-based Systems (alkuperäinen versio ja Service Pack 2)

- Microsoft Windows Server 2008 R2 for x64-based Systems 

 

MS10-011 Haavoittuvuus Windowsin CSRSS-komponentissa (978037)

Tiedote koskee seuraavia käyttöjärjestelmäversioita:

- Microsoft Windows 2000 (Service Pack 4)

- Microsoft Windows XP (Service Pack 2 ja Service Pack 3)

- Microsoft Windows XP Professional x64 Edition (Service Pack 2)

- Microsoft Windows Server 2003 (Service Pack 2)

- Microsoft Windows Server 2003 for Itanium-based Systems (Service Pack 2)

- Microsoft Windows Server 2003 x64 Edition (Service Pack 2)

 

MS10-012 Haavoittuvuus Windowsin SMB-palvelinkomponentissa (971468)

Tiedote koskee seuraavia käyttöjärjestelmiä:

- Microsoft Windows 2000 (Service Pack 4)

- Microsoft Windows XP (Service Pack 2 ja Service Pack 3)

- Microsoft Windows XP Professional x64 Edition (alkuperäinen versio ja Service Pack 2)

- Microsoft Windows Server 2003 (Service Pack 1 ja Service Pack 2)

- Microsoft Windows Server 2003 for Itanium-based Systems (Service Pack 1 ja Service Pack 2)

- Microsoft Windows Server 2003 x64 Edition (alkuperäinen versio ja Service Pack 2)

- Microsoft Windows Vista (alkuperäinen versio ja Service Pack 1)

- Microsoft Windows Vista x64 Edition (alkuperäinen versio ja Service Pack 1)

- Microsoft Windows Server 2008 (kaikki versiot)

 

MS10-014 Haavoittuvuus Windowsin Kerberos-toteutuksessa (977290)

Tiedote koskee seuraavia käyttöjärjestelmäversioita:

- Microsoft Windows 2000 (Service Pack 4)

- Microsoft Windows Server 2003 (Service Pack 2)

- Microsoft Windows Server 2003 for Itanium-based Systems (Service Pack 2)

- Microsoft Windows Server 2003 x64 Edition (Service Pack 2)

- Microsoft Windows Server 2008 - kaikki versiot (alkuperäinen versio ja Service Pack 2)

 

MS10-015 Haavoittuvuus Windows Kernelissä (977165)

Tiedote koskee seuraavia käyttöjärjestelmiä:

- Microsoft Windows 2000 (Service Pack 4)

- Microsoft Windows XP (Service Pack 2 ja Service Pack 3)

- Microsoft Windows XP Professional x64 Edition (alkuperäinen versio ja Service Pack 2)

- Microsoft Windows Server 2003 (Service Pack 1 ja Service Pack 2)

- Microsoft Windows Server 2003 for Itanium-based Systems (Service Pack 1 ja Service Pack 2)

- Microsoft Windows Server 2003 x64 Edition (alkuperäinen versio ja Service Pack 2)

- Microsoft Windows Vista (alkuperäinen versio ja Service Pack 1)

- Microsoft Windows Vista x64 Edition (alkuperäinen versio ja Service Pack 1)

- Microsoft Windows Server 2008 (kaikki versiot)

- Windows 7 (32-bittiset versiot)

 

Luokitukseltaan keskitason (Moderate) tietoturvatiedotteet:

MS10-005 Haavoittuvuus Microsoft Paint -sovelluksessa (978706)

Tiedote koskee seuraavia käyttöjärjestelmiä:

- Microsoft Windows 2000 (Service Pack 4)

- Microsoft Windows XP (Service Pack 2 ja Service Pack 3)

- Microsoft Windows XP Professional x64 Edition (Service Pack 2)

- Microsoft Windows Server 2003 (Service Pack 2)

- Microsoft Windows Server 2003 for Itanium-based Systems (Service Pack 2)

- Microsoft Windows Server 2003 x64 Edition (Service Pack 2)

Webcast helmikuun 2010 tietoturvatiedotteista

Microsoft julkaisi torstai-iltana ennakkotiedon tulevana tiistaina julkaistavista tietoturvatiedotteista. Kuten ennakkotiedotteessa todetaan, julkaistaan ensi viikolla normalin julkaisuaikataulun mukaisesti kolmetoista uutta tiedotetta, ja aikaisempien kuukausien tapaan järjestämme tiedotteista myös webcastin. Kuten aiemminkin, webcastin agendalla on ensin kunkin yksittäisen tietoturvatiedotteen läpikäynti, sen jälkeen hieman yleisiä tietoja tiedotteista ja niihin liittyvistä tietoturvapäivityksistä, kuten tietoja päivitystarpeen tunnistamisesta ja päivitysten jakelusta, ja lopuksi vielä joitain muita tietoturvaan liittyviä tietoja. Viimeisessä osuudessa on yleensä käyty nopeasti läpi yleisimmät tuotteet, joiden elinkaari on päättymässä tai päättynyt.

Webcastin tavoitteena on toisaalta antaa nopea yleiskatsaus kuun tiedotejulkaisuun, ja toisaalta vastata kysymyksiin, joita osallistujilla mahdollisesti tiedotteista on herännyt. Kysymyksiä voi esittää webcastin aikana Livemeting-järjestelmän kautta, ja vastaamme kysymyksiin joko Webcastin aikana tai sitten tämän blogin kautta myöhemmin.  

Webcastin järjestetään keskiviikkona 10.2. klo 10.00 alkaen. Webcast ei vaadi ennakkoilmoittautumista ja siihen pääsee mukaan 30 minuuttia ennen lähetyksen alkamista napsauttamalla tätä linkkiä. Webcastiin osallistuminen edellyttää, että työsemaan on asennettu Livemeeting-työasemasofta, joten jos et ole aiemmin käyttänyt Livemeeting-järjestelmää, kannattaa asennusta varten varata vähän aikaa ennen varsinaisen webcastin alkua.

Security Advisory 980088 - haavoittuvuus Internet Explorerissa

Microsoft on julkaissut uuden Security Advisoryn 980088 otsikolla Vulnerability in Internet Explorer Could Allow Information Disclosure. Advisory koskee Internet Exploreria ja saattaa antaa vihamieliselle hyökkääjälle mahdollisuuden nähdä käyttäjän koneelle tallennettuja tiedostoja. Haavoittuvuusraportit ovat MSRC:n tiedossa ja siihen ollaan parhaillaan tekemässä korjausta.

Haavoittuvuus koskee tämän hetkisen tiedon mukaan kaikkia tuettuja Internet Explorerin -versioita, mutta kannatta huomata, että Internet Explorerin versioissa 7 ja 8, kun niitä käytetään joko Windows Vistassa tai Windows 7:ssa, on oletuksena käytössä suojattu tila, eli ns. Protected Mode, joka vaikeuttaa haavoittuvuuden hyödyntämistä. Haavoittuvuus itsessään liittyy siihe, miten Internet Explorer käsittelee paikallisesti tallennettuja tiedostoja. Tietyissä tilanteissa, jos ulkopuolisen hyökkääjän tiedossa on käytttäjän koneelle tallennetun paikallisen tiedoston nimi ja polku, hän voi "kutsua" tiedostoa Internet Explorerissa, jolloin IE mahdollisesti renderöi tiedoston sisällön. Vihamielinen hyökkääjä voi hyödyntää haavoittuvuutta asettamalla jollekin webbisivulle oikealla polulla ja tiedoston nimellä varustetun file://-linkin ja sen jälkeen houkutella käyttäjän kyseiselle sivulle. Tämä saattaa antaa mahdollisuuden hyökkäjälle nähdä tiedoston sisällön. Kyseessä on siis ns. Information Disclosure -tyyppinen haavoittuvuus - haavoittuvuus ei anna hyökkääjälle mahdollisuutta suorittaa haluamaansa ohjelmakoodia kohteena olevassa järjestelmässä.

Kuten edellä mainitsin, Protected Mode -tila Internet Explorerin versioissa 7 ja 8 (Windows Vista ja Windows 7) estää file-tyyppisten linkkien käyttämisen Internet-vyöhykkeessä. Internet Explorerin versiossa 6 ja Windows XP:ssä ei Protected Mode -tilaa ole, mutta sielläkin voidaan file-protokollan käyttö estää, ja tämän määrityksen tekemistä varten on olemassa myös ns. Fix It -linkki.  

Haavoittuvuuteen ei siis vielä ole korjausta saatavilla - mitä voin tehdä haavoittuvuuden aiheuttaman riskin pienentämiseksi? No, ihan ensimmäisenä kannattaa lukaista itse Advisory - Advisoryn loppuosassa, kohdan Workarounds alla on dokumentoitu joitakin keinoja, joilla haavoittuvuuden aiheuttamaa riskiä voidaan pienentää. Keinot liittyvät Internet Explorerin tietoturva-asetusten muuttamiseen tai file-tyyppisten linkkien käytön estämiseen. Tähän on olemassa myös ns. Fix It -toiminto, joka löytyy KB-artikkelista 980088.

Ennakkotieto helmikuun 2010 tietoturvatiedotteista

Microsoft on julkaissut hetki sitten ennakkotiedon ensi tiistaina 9.2.2010. normaalin aikataulun mukaisesti julkaistavista helmikuun tietoturvatiedotteista. Ennakkotiedon mukaan tulevana tiistaina julkaistaan kolmetoista (13) uutta tietoturvatiedotetta: 

• viisi (5) tiedotteista on luokitukseltaan kriittisiä (Critical)
• seitsemän (7) tiedotteista on luokitukseltaan tärkeitä (Important)
• viimeinen tiedotteista on luokitukseltaan keskitason (Moderate) tiedote
• yksitoista (11) tiedotteista koskee eri Windowsin versioita
• kaksi (2) tiedotteista koskee eri Office-ohjelmiston komponentteja.

Ensi viikolla julkaistavat tiedotteet sisältävää korjauksen yhteensä kahteenkymmeneenkuuteen (26) haavoittuvuuteen.  

Tarkempia tietoja tiedotteista ja Windowsin sekä Officen versioista, joita ne koskevat, löytyy englanninkielisestä ennakkotiedotteesta sekä MSRC:n blogista.

Tietoturvatiedotteista tiedotetaan ensi viikolla niiden julkaisun jälkeen normaaliin tapaan. Järjestämme myös ensi viikolla tiedotteita koskevan verkkokokouksen keskiviikkona 10.2.2010 klo 10.00 alkaen.  

Security Advisory 979682 - haavoittuvuus Windowsin ytimessä

Microsoft on juuri äsken julkaissut uuden Security Advisoryn 979682 otsikolla Vulnerability in Windows Kernel Could Allow Elevation of Privilege. Advisory koskee 32-bittisten Windows-versioiden tukea 16-bittisille DOS-sovelluksille. Haavoittuvuusraportit ovat MSRC:n tiedossa ja siihen ollaan parhaillaan tekemässä korjausta.

Haavoittuvuus koskee tämän hetkisen tiedon mukaan kaikkia tuettuja Windows-versioita, mutta ainoastaan 32-bittisiä versioita - 64-bittiset versiot eivät sisällä tukea 16-bittisille DOS-sovelluksille, eivätkä näin ollen ole haavoittuvia. Haavoittuvuus saattaa antaa hyökkääjälle mahdollisuuden korottaa käyttöoikeuksiaan kohteena olevassa järjestelmässä (ns. Elevation of Privilege -tyyppinen haavoittuvuus). Hyökkääjä voi hyödyntää haavoittuvuutta kirjautumalla sisään kohteena olevaan järjestelmään ja suorittamalalla siinä tietyllä tavalla muotoillun sovelluksen. Näin hyökkääjä voi korottaa käyttöoikeuksiaan aina pääkäyttäjäksi asti. Kannattaa kuitenkin huomata, että hyödyntäminen edellyttää, että hyökkääjällä on kelvollinen käyttäjätunnus ja salasana kohteena olevaan järjestelmään, ja lisäksi mahdollisuus kirjautua ko. järjestelmään.

Haavoittuvuuteen ei siis vielä ole korjausta saatavilla - mitä voin tehdä haavoittuvuuden aiheuttaman riskin pienentämiseksi? No, ihan ensimmäisenä kannattaa lukaista itse Advisory - Advisoryn loppuosassa, kohdan Workarounds alla on dokumentoitu joitakin keinoja, joilla haavoittuvuuden aiheuttamaa riskiä voidaan pienentää. Keinot liittyvät lähinnä 16-bittisten DOS-sovellusten tukea toteuttavan NTVDM-alijärjestelmän (NT Virtual Dos Machine) poistamiseen käytöstä. Tähän on olemassa myös ns. Fix It -toiminto, joka löytyy KB-artikkelista 979682. NTVDM-alijärjestelmän poistaminen käytöstä toki tarkoittaa sitä, että järjestelmässä ei voi sen jälkeen suorittaa 16-bittisiä DOS-sovelluksia.

Lisätietoja löytyy MSRC:n blogista osoitteesta http://blogs.technet.com/msrc/archive/2010/01/20/security-advisory-979682-released.aspx

IE-päivitystä koskevan Webcastin tallenne

Pidimme siis aamupäivällä Pohjalan Jannen kanssa webcastin, jossa käytiin läpi eilen julkaistu Internet Explorerin MS10-002-tietoturvatiedote. Vaikka käsiteltäviä tiedotteita ei ollut kuin tuo yksi, onnistuimme kuitenkin jaarittelemaan n. 50 minuutia ajan. Jos joku ei ehtinyt mukaan Webcastiin, löytyy tallenne täältä. Kuten webcastissakin sanoin, saa kysymyksiä ja kommentteja esittää joko täällä blogissa tai sitten sähköpostitse kimmo.bergius@microsoft.com.

Internet Exploreria koskeva tietoturvatiedote julkaistu

Microsoft on eilen 21.1.2010 n. Klo 20.00 julkaissut normaalin kuukausittaisen julkaisuaikataulun ulkopuolella yhden (1) uuden tietoturvatiedotteen, josta kooste alla. Tietoturvatiedote koskee Internet Explorer –selainta ja siinä kuvatussa päivityksessä on korjattu kaikkiaan kahdeksan (8) haavoittuvuutta. Näistä haavoittuvuuksista yksi on julkisuudessa esillä ollut haavoittuvuus, josta Microsoft tiedotti aiemmin Security Advisoryn 979352 (http://www.microsoft.com/technet/security/advisory/979352.mspx ). Tiedote on luokitukseltaan kriittinen. Englanninkielinen yhteenveto ja varsinainen tietoturvatiedote löytyvät osoitteesta http://www.microsoft.com/technet/security/bulletin/ms10-jan.mspx.

Laitan tähän blogiin tilanpuutteen takia ainoastaan lyhyen koosteen tiedotteista. Jos haluat pidemmän suomenkielisen yhteenvedon sähköpostiisi, laita minulle viesti osoitteeseen kimmo.bergius@microsoft.com (laita viestiin mukaan oma nimesi, organisaatiosi tiedot ja sähköpostiosoitteesi).

Luokitukseltaan kriittiset (Critical) tietoturvatiedotteet:

MS10-002 Internet Explorerin kumulatiivinen tietoturvapäivitys (978207)
Tiedote koskee seuraavia tuotteita:
Internet Explorer 5.01 ja Internet Explorer 6: 
- Microsoft Windows 2000 (Service Pack 4)
Internet Explorer 6, Internet Explorer 7 ja Internet Explorer 8:
- Microsoft Windows XP (Service Pack 2 ja Service Pack 3)
- Microsoft Windows XP Professional x64 Edition (Service Pack 2)
- Microsoft Windows Server 2003 (Service Pack 2)
- Microsoft Windows Server 2003 for Itanium-based Systems (Service Pack 2)
- Microsoft Windows Server 2003 x64 Edition (alkuperäinen versio ja Service Pack 2)
Internet Explorer 7 ja Internet Explorer 8:
- Microsoft Windows Vista (Service Pack 1 ja Service Pack 2)
- Microsoft Windows Vista x64 Edition (Service Pack 1 ja Service Pack 2)
- Microsoft Windows Server 2008 - kaikki versiot (alkuperäinen versio ja Service Pack 2)
Internet Explorer 8:
- Microsoft Windows 7 – kaikki versiot
- Microsoft Windows Server 2008 R2 - kaikki versiot

IE-haavoittuvuuden korjaus ulos 21.1. n. klo 20.00

Microsoftin Security Response Center on jokin aika sitten antanut ennakkotiedon Security Advisoryssä 979352 kuvattuun IE-haavoittuvuuteen liittyvän tietoturvapäivityksen julkaisusta: tietoturvatiedote MS10-002 ja siihen liittyvä päivitys julkaistaan 21.1.2010 n. klo 20.00 Suomen aikaa. Tuolloin julkaistava tietoturvatiedote on IE:n kumulatiivinen tietoturvatiedote, joka oli alunperin tarkoitus julkaista helmikuun päivitysten joukossa 9.2. Näin ollen päivitykseen liittyy myös muita korjauksia kuin tuo Advisoryssä 979352 kuvatun haavoittuvuuden korjaus.

Järjestämme perjantaina webcastin, jonka aiheena on tämä tietoturvatiedote ja mita siihen liittyviä aiheita. Webcasti järjestään perjantaina 22.1.2010 klo 11.00 alkaen, ja siitä tulee tarkempi ohje sekä linkki tänne blogiin tämän päivän aikana.

Päivitys: Webcast järjestetään siis perjantaina 22.1. klo 11.00 alkaen. Siihen pääsee mukaan tämän linkin kautta 30 minuuttia ennen lähetyksen alkua. Jos et ole aiemmin osallistunut Livemeeting-verkkokokouksiin, Livemeeting-ohjelma asentuu koneellesi automaattisesti, kun napsautat linkkiä. Ohjelman asennus kestää muutaman minuutin, joten kannataa varautua siihen hyvissä ajoin ennen lähetyksen alkua.  

Korjaus IE-haavoittuvuuteen tulee normaalin aikataulun ulkopuolella

Microsoftin Security Response Center on jokin aika sitten ilmoittanut, että tietoturvapäivitys Security Advisoryssä 979352 kuvattuun IE-haavoittuvuuteen julkaistaan normaalin aikataulun ulkopuolella. Julkaisun tarkkaa aikataulu selviää tämän ja huomisen päivän aikana.

Kuten tuossa MSRC:n blogikirjoituksessakin todetaan, tietoturvatiedotteen ja -päivityksen julkaiseminen normaalin aikataulun ulkopuolella on kohtuullisen harvinaista. Viime vuoden aikana näin tapahtui kerran - heinäkuussa 2009 julkaisimme kaksi korjausta samanaikaisesti liittyen ARL-haavoittuvuuteen, ja sitä edellisen kerran tiedote julkaistiin normaalin aikataulun ulkopuolella juuri ennen joulua vuonna 2008. Tiedämme, että julkaiseminen normaalin aikataulun ulkopuolella aiheuttaa asiakkaillemme, sekä kotikäyttäjille että organisaatioasiakkaillemme, lisätyötä. Päätös julkaisusta normaalin aikataulun ulkopuolella tehdään aina vertailemalla vaakakupeissa monia asioita, tärkeimpinä toisaalta mikä on ulkoinen tarve, eli miten suuren riskin haavoittuvuus ja sen mahdollinen hyödyntäminen aiheuttaa asiakkaillemme, ja toisaalta mikä on tietoturvapäivityksen tilanne testausprosessissamme. Tämänkaltaisen päätöksen tekeminen ei ole koskaan helppoa.

Julkisuudessa, mm. Tietokone-lehden artikkelissa eilen, on myös esitetty epäilyjä tämän haavoittuvuuden suhteen annettujen ohjeiden ja esimerkiksi DEP-suojaustoiminnon pitävyydestä. Todettakoon vielä, että kaikki Microsoftin tiedossa olevat tämän haavoittuvuuden hyödyntämiset ovat kohdistuneet Internet Explorer -selaimen versioon 6. Ohjeet, joita olemme aikaisemmin antaneet käyttöjärjestelmän ja selaimen päivittämisestä sekä DEP-toiminnon käytöstä ovat edelleen paras tapa suojautua haavoittuvuuden aiheuttamalta riskiltä.

Lisätietoja IE-haavoittuvuudesta ja DEPistä

Security Research & Defense -blogissa on uusi artikkeli, jossa kerrotaan DEP-toiminnosta (Data Execution Prevention) ja sitä, kuinka sitä voidaan hyödyntää Internet Explorer -selaimesta löytyneen haavoittuvuuden aiheuttaman riskin pienentämiseen. DEP on siis käyttöjärjestelmän toiminto, joka yhdessä koneen prosessorin kanssa estää ohjelmakoodin suorittamisen muistisivuilla, joita ei ole erityisesti merkitty niin, että ne sisältävät suoritettavaa ohjelmakoodia. Toiminto auttaa suojaamaan mm. Security Advisoryn 979352 mukaiselta IE-haavoittuvuudelta.

DEP-toiminto vaatii ensinnäkin, että käytössä oleva laitteisto tukee sitä. Useimmat nykyisin käytössä olevat tietokonelaitteistot tukevat toimintoa. Lisätietoa tuesta löytyy KB-artikkelista 912923. Toisekseen käyttöjärjestelmän on tuettava toimintoa, mikä tarkoittaa, että käyttöjärjestelmään on asennettava uusin saatavilla oleva Service Pack. Windows XP -käyttöjärjestelmällä varustettuihin järjestelmiin kannattaa siis päivittää Service Pack 3 ja vastaavasti Windows Vista -käyttöjärjestelmällä varustettuihin järjestelmiin kannattaa päivittää Service Pack 2.

Näiden perusvaatimusten lisäksi kannattaa huomata, että DEP on toiminto, joka on käytössä sovelluskohtaisesti. Internet Explorerin version 8 asennus ottaa DEPin käyttöön myös selaimessa automaattisesti. Jos käytössä on jokin aiempi IE-selaimen versio, on DEP otettava erikseen käyttöön. Tämä voidaan tehdä erityisesti Microsoftin tätä varten tarjoaman Fix It -toiminnon avulla. Fix It -toiminto lataa tässä tapauksessa koneelle MSI-tiedoston, jonka avulla DEP otetaan käyttöön IE-selaimessa automaattisesti. Lisätietoja Fix It -toiminnoista löytyy täältä.

Jos siis käytössäsi on vähintään Windows XP ja Service Pack 3, Windows Vista ja Service Pack 2 tai Windows 7 sekä Internet Explorer -selaimen versio 8, DEP on automaattisesti käytössä. Mikäli käytössäsi on jokin aiempi Service Pack -versio tai Internet Explorer -selaimen versio, on tietysti suositeltavaa päivittää tietokoneesi käyttöjärjestelmään uusin Service Pack ja sen lisäksi päivittää selain uusimpaan versioon. Jos tämä ei syystä tai toisesta ole mahdollista, ota DEP käyttöön täältä löytyvien ohjeiden mukaan.

Ja vielä tähän loppuun, Microsoft on tekemässä päivitystä haavoittuvuuteen, ja se julkaistaan heti, kunhan päivityksen testaus on saatu päätökseen. Lisätietoja aiheesta myös MSRC:n uusimmassa blogiartikkelissa.

Security Advisory 979352 - haavoittuvuus Internet Explorerissa

Microsoft on julkaissut uuden Security Advisoryn numeroltaan 979352 ja otsikoltaan "Vulnerability in Internet Explorer Could Allow Remote Code Execution". Advisory koskee Internet Explorer -selainta. Microsoftin Security Response Center (MSRC) on saanut tietoa haavoittuvuudesta, joka koskee Internet Explorer -selaimen versioita 6, 7 ja 8 eri tuetuissa WIndows-käyttöjärjestelmän versioissa, ja jota on jo hyödynnetty kohdistetuissa hyökkäyksissä. Haavoittuvuus on parhaillaan MSRC:n tutkinnassa ja siihen tehdään ja julkaistaan korjaus, mikäli tutkimuksen tulos sille antaa aihetta.

Haavoittuvuus koskee siis Internet Explorerin versioita 6, 7 ja 8. Kannattaa kuitenkin huomata, että tällä hetkellä julkisesti saatavilla oleva hyökkäyskoodi toimii ainoastaan Internet Explorerin versiossa 6. Vaikkakin itse haavoittuvuus esiintyy myös selaimen versioissa 7 ja 8, näiden versioiden parempien suojausominaisuuksien takia haavoittuvuuden hyödyntäminen on vaikeampaa. Ensisijainen menetelmä haavoittuvuuden aiheuttaman riskin pienentämiseksi on DEP-ominaisuuden (Data Execution Prevention) käyttöönotto. Lisätetoja DEPistä ja sen käyttöönotosta, haavoittuvuudesta ja erilaisista keinoista pienentää haavoittuvuuden aiheuttamaa riskiä löytyy sekä Security Advisoryn 979352 Suggested Actions/Workarounds -osiosta että Security Research and Defense -blogista.

Microsoft suosittelee myös Internet Explorer -selaimen päivittämistä uusimpaan versioon viipymättä.

Tallenne tammikuun 2010 tietoturvatiedotteiden webcastistä

Tänä aamuna 12.1. klo 10.00 - 10.30 pidettiin perinteiseen tapaan eilen julkaistuja tammikuun tietoturvatiedotteita käsitellyt webcast. Jos jollakulla jäi tuo aamuinen Live-lähetys näkemättä, ja sen välttämättä haluaisi katsoa, löytyy tallenne napsauttamalla tätä linkkiä. Mulla oli webcastin alussa hieman ongelmia kansainvälisen kuvayhteyden kanssa, joten älkää ihmetelkö, kun n. 10 minuutin kohdalla tallenteessa on parin minuutin katkos. Pahoittelut tuosta.

Jos tiedotteiden tiimoilta tai muuten tulee kysymyksiä mieleen, laittakaa niitä tänne blogiin kommentteina tai mailillä kimmo.bergius@microsoft.com.

 

Security Advisory 979267 - muistutus Adobe Flash Playerin version 6 päivittämisestä

Microsoft on juuri äsken julkaissut uuden Security Advisoryn 979267 otsikolla Vulnerabilities in Adobe Flash Player 6 Provided in Windows XP Could Allow Remote Code Execution. Advisoryssä halutaan muistuttaa siitä, että Adoben Flash Playerin versiossa 6 on havaittu haavoittuvuuksia ja suositellaan sen päivittämistä uusimpaan Flash Playerin versioon sekä version 6 poistamista järjestelmistä.

Miksi Microsoft haluaa muistuttaa Adoben Flash Playerin päivittämisestä uusimpaan versioon? Flash Playerin versio 6 toimitettiin Windows XP:n mukana, ja näin ollen haluamme varmistaa, että haavoittuvuuksia sisältävä versio poistetaan käytöstä kaikissa Windows XP -järjestelmissä. Lisätietoja aiheesta löytyy englanninkielisestä Security Advisorystä sekä Adoben sivuilta. 

Microsoftin tammikuun 2010 tietoturvatiedotteet

Microsoft on tänään 12.1.2010 n. Klo 20.00 julkistanut normaalin kuukausittaisen julkaisuaikataulun mukaisesti yhden (1) uuden tietoturvatiedotteen, josta kooste alla. Tietoturvatiedotteessa on korjattu kaikkiaan yksi (1) haavoittuvuus Windowsin Embedded OpenType -fonttikäsittelyssä. Tiedote on luokitukseltaan kriittinen, tosin kannattaa huomata, ettäö luokitus on kriittinen ainoastaan Windows 2000:ssa. Muissa tuetuissa Windowseissa tiedotteen luokitus on matala (Low). Englanninkielinen yhteenveto ja varsinaiset tietoturvatiedotteet löytyvät osoitteesta http://www.microsoft.com/technet/security/bulletin/ms10-jan.mspx.

Laitan tähän blogiin tilanpuutteen takia ainoastaan lyhyen koosteen tiedotteista. Jos haluat pidemmän suomenkielisen yhteenvedon sähköpostiisi, laita minulle viesti osoitteeseen kimmo.bergius@microsoft.com (laita viestiin mukaan oma nimesi, organisaatiosi tiedot ja sähköpostiosoitteesi).

Luokitukseltaan kriittiset (Critical) tietoturvatiedotteet:
MS10-001 Haavoittuvuus Embedded OpenType -fonttien käsittelyssä (972270)

Tiedote koskee seuraavia tuotteita:
- Microsoft Windows 2000 (Service Pack 4)
- Microsoft Windows XP (Service Pack 2 ja Service Pack 3)
- Microsoft Windows XP Professional x64 Edition (Service Pack 2)
- Microsoft Windows Server 2003 (Service Pack 2)
- Microsoft Windows Server 2003 for Itanium-based Systems (Service Pack 2)
- Microsoft Windows Server 2003 x64 Edition (Service Pack 2)
- Microsoft Windows Vista (Service Pack 1 ja Service Pack 2)
- Microsoft Windows Vista x64 Edition (Service Pack 1 ja Service Pack 2)
- Microsoft Windows Server 2008 - kaikki versiot (alkuperäinen versio ja Service Pack 2)
- Microsoft Windows 7 – kaikki versiot
- Microsoft Windows Server 2008 R2 - kaikki versiot