Kysymyksiä ja vastauksia
Pitkästä aikaa taasen blogin kimpussa - seuraavassa on joitain kysymyksiä, joita on tullut esille mm. webcastien aikana, ja vastauksia niihin.
Kysymys: Voiko 2003 R2:een olla erillisiä patcheja vai sisältyykö ne aina 2003 SP1 patcheihin?
Vastaus: Windows Server 2003:n R2-versio perustuu Sp1:n koodipohjaan, joten korjaukset ovat yleensä aina samat SP1:lle ja R2:lle.
Kysymys: Mites W2K3x64? Onko aina samat korjaukset kuin x86?
Vastaus: Windows Server 2003:n x86- ja x64-versiot perustuvat samaan koodipohjaan, joten yleensä näille alustoille löytyy korjaukset samoista tiedotteista, toki kummallekin versiolle oma korjauspakettinsa. Eroja saattaa tulla jonkin verran johtuen siitä, että x86- ja x64-versiot eivät täysin vastaa toisiaan ominaisuuksiltaan.
Windows XP –puolella taas homma ei ole näin yksinkertainen – 64-bittinen Windows XP –versio perustuu Windows Server 2003:n koodipohjaan, ja on aika eri tasolla kuin alkuperäinen Windows XP – tästä syystä mm. Service Packit ovat eri tasolla. Näin ollen on paljon eroja siinä, missä tiedotteessa on korjaus 32-bittiselle ja missä 64-bittiselle Windows XP:lle.
Kysymys: MS06-071 "928088" miksi käytetään tällaista harhaanjohtavaa Q/kb numeroa kun ei sillä mitään patchejä löydy? Lähinnä mitä virkaa tuolla numerolla on, kun itse "security issue" löytyy ja tunnetaan tuolla bulletin ID:llä MS06-071 ja patchit tunnetaan KB927978 ja KB927977 nimillä?
Vastaus: Jokaisella tietoturvatiedotteella on aina a) tiedotteen numero, esimerkiksi MS06-071 ja b) siihen liittyvä KB-artikkelin numero, 928088. Tämän lisäksi yksittäisillä korjausversioilla voi vielä olla oma KB-artikkelin numero. Tämä johtuu siitä, että tuota tiedotteeseen liittyvää KB-artikkelin numeroa käytetään koko tiedotetta ja kaikkia sen korjauksia koskevan tiedon, esim. ongelmien dokumentoimiseen, ja yksittäisiä korjausten KB-artikkeleita taas ko. yksittäisissä korjauksissa olevien tietojen dokumentoimiseen.
Kysymys: Voitko lyhyesti kertoa "kill bit" -toiminnallisuudesta?
Vastaus: Lyhyesti – kill bitin avulla voidaan johonkin ActiveX-komponenttiin määrittää, että sitä ei voi kutsua Internet Explorerin välityksellä, eli siis estää Internet Exploreria lataamasta ja suorittamasta ko. komponenttia.
Windowsin ja monien muiden tuotteiden mukana toimitetaan monia ActiveX-komponentteja, joista suurinta osaa ei ole koskaan tarkoitettu käytettäviksi Web-sivun osana. Jos nyt sitten jostain ActiveX-komponentista löydetään haavoittuvuus, on kill bit nopea tapa estää komponentin käyttö ja sitä kautta haavoittuvuuden hyödyntäminen IE:n, eli kaikkein todennäköisimmän hyökkäysvektorin kautta. Tällöin komponenttia voidaan edelleen käyttää muilla tavoin – kill bit estää sen käytön ainoastan Internet Explorerissa.
Yleisiä tietoja kill bitistä löytyy mm. KB-artikkelista 240797.
Kysymyksiä voi jatkossakin esittää tiedotteista tai muista tietoturvaan liittyvistä jutuista mm. tietoturvatiedotteiden webcasteissa (seuraava ensi viikon keskiviikkona 13.12. klo 15.00) tai sitten laittamalla mailia esim. osoitteeseen kimmo.bergius@microsoft.com.
