Microsoft-tietoturvan weblogi

Webcast marraskuun 2009 tietoturvatiedotteista

2009-11-09T06:23:00Z

Aikaisempien kuukausien tapaan järjestämme webcastin marraskuussa 2009 julkaistuista tietoturvatiedotteista. Kuten aiemminkin, webcastin agendalla on ensin kunkin yksittäisen tietoturvatiedotteen läpikäynti, sen jälkeen hieman yleisiä tietoja tiedotteista ja niihin liittyvistä tietoturvapäivityksistä, kuten tietoja päivitystarpeen tunnistamisesta ja päivitysten jakelusta, ja lopuksi vielä joitain muita tietoturvaan liittyviä tietoja. Viimeisessä osuudessa on yleensä käyty nopeasti läpi yleisimmät tuotteet, joiden elinkaari on päättymässä tai päättynyt. Webcastin tavoitteena on toisaalta antaa nopea yleiskatsaus kuun tiedotejulkaisuun, ja toisaalta vastata kysymyksiin, joita osallistujilla mahdollisesti tiedotteista on herännyt. Kysymyksiä voi esittää webcastin aikana Livemeting-järjestelmän kautta, ja vastaamme kysymyksiin joko Webcastin aikana tai sitten tämän blogin kautta.

Webcastin järjestetään keskiviikkona 11.11. klo 10.30 aamusella - huomaa poikkeuksellinen aika; aloitetaan 10.30, puoli tuntia normaaliajankohtaa myöhemmin. Webcast ei vaadi ennakkoilmoittautumista ja siihen pääsee mukaan 30 minuuttia ennen lähetyksen alkamista napsauttamalla tätä linkkiä. Webcastiin osallistuminen edellyttää, että työsemaan on asennettu Livemeeting-työasemasofta, joten jos et ole aiemmin käyttänyt Livemeeting-järjestelmää, kannattaa asennusta varten varata vähän aikaa ennen varsinaisen webcastin alkua.

Ennakkotieto marraskuun 2009 tietoturvatiedotteista

2009-11-06T16:53:00Z

Microsoft on julkaissut hetki sitten ennakkotiedon ensi tiistaina 10.11. normaalin aikataulun mukaisesti julkaistavista lokakuun tietoturvatiedotteista. Ennakkotiedon mukaan tulevana tiistaina julkaistaan kuusi (6) uutta tietoturvatiedotetta, joista:

kolme (3) on luokitukseltaan kriittisiä (Critical)
kolme (3) on luokitukseltaan tärkeitä (Important)
kaksi koskevat Officen eri versioita
neljä koskevat Windowsin eri versioita.

Ensi viikolla julkaistavat tiedotteet sisältävät korjauksen kaiken kaikkiaan 15 haavoittuvuuteen.

Tarkempia tietoja tiedotteista ja Windowsin versioita, joita ne koskevat, löytyy englanninkielisestä ennakkotiedotteesta sekä MSRC:n blogista.

Tietoturvatiedotteista tiedotetaan ensi viikolla niiden julkaisun jälkeen normaaliin tapaan. Järjestämme myös ensi viikolla tiedotteita koskevan verkkokokouksen. Verkkokokous järjestetään keskiviikkona 11.11. klo 10.30 alkaen. Tarkempia tietoja verkkokokouksesta tulee tänne blogiin.

MS09-056 ja Office Communications Server

2009-10-26T06:13:00Z

Kirjoitin aiemmassa blogipostauksessa ongelmasta, joka tuli esille liittyen tietoturvatiedotteen MS09-056 mukaiseen päivitykseen ja Office Communications Server- tai LIve Communications Server -palvelimeen:

"Jos palvelimeen on asennettu Live Communications Serverin versio 2005 tai Office Communications Serverin versio 2007 tai 2007 R2, aiheuttaa tiedotteen MS09-056 päivityksen asentaminen sen, että LCS/OCS-palvelin ei enää käynnisty, ja Windowsin Event Vieweriin tulee virhe "The evaluation period has expired after installing...". Ongelma on tuen ja tuoteryhmän tiedossa, ja he etsivät siihen parhaillaan ratkaisua. Suositus tällä hetkellä on jättää MS09-056-päivitys asentamatta järjestelmiin, joihin on asennettu jokin em. palvelintuotteista."

Tähän ongelmaan on nyt olemassa ratkaisu - lisätietoja aiheesta ja linkki korjaukseen löytyy KB-artikkelista 974571.

Ja vielä yksi postaus - hyviä artikkeleita SRD-blogissa

2009-10-14T15:02:00Z

Vielä yhden postauksen rohkenen laittaa eilisiin tietoturvatiedotteisiin liittyen - kannattaa käydä vilkaisemassa Security Research and Defense -blogia. Siellä on taasen ansiokas joukko artikkeleita, jotka antavat lisä- ja taustatietoa eilen julkaistuista tietoturvatiedotteista. Blogista löytyy artikkeli mm. tiedotteiden riskin arvioinnista ja lisätietoa tiedotteista 050, 051, 054, 056 ja 061.

Nostaisin myös erikseen esille tiedotteeseen 062 ja GDI+-komponenttiin liittyvän artikkelin, jossa kerrotaan, kuinka GDI+:ssa voidaan rekisteriasetuksin määrittää, että esimerkiksi EMF- ja WMF-tiedostojen (eli ns. metatiedostoja), GIF-tiedostojen tai BMP-tiedostojen käsittely voidaan kokonaan estää GDI-komponentissa. Toiminnallisuutta on kaivattu aina kauan sitten vuoden 2005 joulun ja uudenvuoden välipäivinä julkitulleen WMF-haavoittuvuuden. Kannattaa tutustua ja testata!

Muutama huomio lokakuun 2009 tietoturvatiedotteista

2009-10-14T13:57:00Z

Tämän aamun tietoturvatiedotteiden webcastin aikana tuli kysymys liittyen tiedotteeseen MS09-052:

Kysymys: "Jos asennan Windows Media Playerin version 6.4 päälle WMP:n uudemman version, jäävätkö 6.4:n tiedostot edelleen järjestelmään?"
Vastaus: Windows 2000 -käyttöjärjestelmällä varustetuissa järjestelmissä ei, mutta uudemmissa, Windows XP- ja Windows Server 2003 -käyttöjärjestelmällä varustetuissa järjestelmissä kyllä jäävät, eli näissä asennukset ovat rinnakkaisia. Käsitykseni edelleen kuitenkin on, että haavoittuvuutta ei tästä huolimatta pysty hyödyntämään, koska ASF-tiedostojen (ja muiden media-tiedostojen) tiedostokytkentä siirtyy uudemmalle Media Playerille. Kannattaa kuitenkin varmuuden vuoksi asentaa korjaus myös WMP:n osalta päivitettyihin järjestelmiin.

Samoten päivän mittaan on tullut yksi ongelmatilanne esiin:
Jos palvelimeen on asennettu Live Communications Serverin versio 2005 tai Office Communications Serverin versio 2007 tai 2007 R2, aiheuttaa tiedotteen MS09-056 päivityksen asentaminen sen, että LCS/OCS-palvelin ei enää käynnisty, ja Windowsin Event Vieweriin tulee virhe "The evaluation period has expired after installing...". Ongelma on tuen ja tuoteryhmän tiedossa, ja he etsivät siihen parhaillaan ratkaisua. Suositus tällä hetkellä on jättää MS09-056-päivitys asentamatta järjestelmiin, joihin on asennettu jokin em. palvelintuotteista. Lisätietoja löytyy KB-artikkelista 974571, johon myös tulee tieto, kunhan ongelmaan saadaan korjaus.

Pari huomiota tiedotteista MS09-061 ja MS09-062:

MS09-061:n tapauksessa kannattaa huomata, että samassa koneessa voi olla asennettuna useita eri .NET Frameworkin versioita rinnakkain, jolloin on hyvin tärkeää, että kaikki versiot tunnistetaan oikein ja kaikkiin niihin asennetaan korjaus. Hyviä vinkkejä löytyy mm. englanninkielisen tiedotteen FAQ-osiosta osoitteessa http://www.microsoft.com/technet/security/bulletin/MS09-061.mspx.

On huomattava, että .NET Frameworkin version 1.0 korjaus koskee ainoastaan Windows XP -järejstelmiä, joihin on asennettu joko käyttöjärjestelmän Media Center Edition 2005- tai Tablet PC Edition 2005 -versio.
Varsinainen haavoittuvuus on .NET Frameworkin versioissa 1.1 ja 2.0. On kuitenkin huomattava, että .NET Frameworkin versio 3.5 pitää sisällään joitakin komponentteja sekä versiosta 2.0 että versiosta 3.0, ja sen vuoksi sille on omat korjauksensa. Joissakin käyttöjärjestelmissä on asennettava korjaus erikseen versioon 2.0 ja versioon 3.5, jos molemmat ovat asennettuina.

MS09-062:n tapauksessa kannattaa huomata, että haavoittuvuudet sisältävä gdiplus.dll-tiedosto toimitetaan hyvin monien Microsoftin tuotteiden kanssa (täysi tuoteluettelo löytyy KB-artikkelista 957488 osoitteessa http://support.microsoft.com/kb/957488), joista saattaa olla asennettuna useita tuotteita samassa järjestelmässä. Tämän vuoksi on hyvin mahdollista, että samaan järjestelmään on asennettava useita korjauksia. Lisäksi kannattaa huomata, että tiedosto voidaan toimittaa myös kolmansien osapuolten tuotteiden mukana, ja näiden osalta Microsoftin tunnistusmenetelmat eivät niitä tunnista tai korjaa, vaan nämä on tunnistettava ja korjattava erikseen.
Hyvä perussääntö on molempien yllämainittujen tiedotteiden tapauksessa - ja myös kaikkien muiden tiedotteiden kyseessä ollessa - on käyttää esimerkiksi MBSA-työkalua (Microsoft Baseline Security Analyzer, http://www.microsoft.com/mbsa) muutamassa testityöasemassa, ja työkalun avulla tutkia ennen päivitysten asennusta, mitä päivityksiä tarvitaan, ja asennuksen jälkeen varmistaa vielä uudella ajolla, että kaikki päivitykset on tulleet asennetuiksi. MBSAa voi käyttää, vaikka varsinaiseen tunnistamiseen ja jakelemiseen käyttäisikin jotain ihan muuta järjestelmää. Valitettavasti MBSA:kaan ei kuitenkaan ratkaise tuota mainitsemaani ongelmaa liittyen kolmansien osapuolten tuottedien mukana toimitettaviin DLL-tiedostoihin.

Kuten jo webcastissakin mainitsin, jos tiedotteisiin tai niihin liittyviin päivityksiin liittyen tulee kysymyksiä, laittakaa kommenttia tänne blogiin tai sähköpostiini kimmo.bergius@microsoft.com.

Lokakuun 2009 tietoturvatiedotteiden webcastin tallenne

2009-10-14T13:50:00Z

Tänä aamuna 14.10. klo 10.30 - 11.30 pidettiin perinteiseen tapaan eilen julkaistuja lokakuun tietoturvatiedotteita käsitellyt webcast. Jos jollakulla jäi tuo aamuinen Live-lähetys näkemättä, ja sen välttämättä haluaisi katsoa, löytyy tallenne napsauttamalla tätä linkkiä.

Lokakuun 2009 tietoturvatiedotteet

2009-10-14T13:41:00Z

Microsoft on eilen 13.10.2009 n. Klo 20.00 julkistanut normaalin kuukausittaisen julkaisuaikataulun mukaisesti kolmetoista (13) uutta tietoturvatiedotetta, joista kooste alla. Tietoturvatiedotteessa on korjattu kaikkiaan kolmekymmentäneljä (34) haavoittuvuutta Windowsissa ja sen eri komponenteissa, Internet Explorerissa, Officessa, .NET-kirjastoissa sekä Visual Studio -ohjelmointiympäristössä, SQL Server -tietokantapalvelimessa sekä ForeFront Client Security -tietoturvatuotteessa. Tiedotteista kahdeksan on luokitukseltaan kriittisiä ja viisi luokitukseltaan tärkeitä. Englanninkielinen yhteenveto ja varsinaiset tietoturvatiedotteet löytyvät osoitteesta http://www.microsoft.com/technet/security/bulletin/ms09-oct.mspx.

Laitan tähän blogiin tilanpuutteen takia ainoastaan lyhyen koosteen tiedotteista. Jos haluat pidemmän suomenkielisen yhteenvedon sähköpostiisi, laita minulle viesti osoitteeseen kimmo.bergius@microsoft.com (laita viestiin mukaan oma nimesi, organisaatiosi tiedot ja sähköpostiosoitteesi).

Luokitukseltaan kriittiset (Critical) tietoturvatiedotteet:

MS09-050 Haavoittuvuuksia Windowsin SMB-protokollatoteutuksessa (975517)
Tiedote koskee seuraavia tuotteita:
- Microsoft Windows Vista - kaikki versiot (Service Pack 1 ja Service Pack 2)
- Microsoft Windows Server 2008 - kaikki versiot (alkuperäinen versio ja Service Pack 2)

MS09-051 Haavoittuvuuksia Windowsin Media-komponenteissa (975682)
Tiedote koskee seuraavia tuotteita:
- Microsoft Windows 2000 (Service Pack 4)
- Microsoft Windows XP (Service Pack 2 ja Service Pack 3)
- Microsoft Windows XP Professional x64 Edition (Service Pack 2)
- Microsoft Windows Server 2003 (Service Pack 2)
- Microsoft Windows Server 2003 x64 Edition (Service Pack 2)
- Microsoft Windows Vista - kaikki versiot (Service Pack 1 ja Service Pack 2)
- Microsoft Windows Server 2008 - kaikki versiot lukuunottamatta Itanium-pohjaisia järjestelmiä (alkuperäinen versio ja Service Pack 2)

MS09-052 Haavoittuvuus Windowsin Media Player -komponentissa (974112)
Tiedote koskee seuraavia tuotteita:
- Microsoft Windows 2000 (Service Pack 4)
- Microsoft Windows XP (Service Pack 2 ja Service Pack 3)
- Microsoft Windows XP Professional x64 Edition (Service Pack 2)
- Microsoft Windows Server 2003 (Service Pack 2)
- Microsoft Windows Server 2003 x64 Edition (Service Pack 2)

MS09-054 Internet Explorerin kumulatiivinen tietoturvapäivitys (974455)
Tiedote koskee seuraavia tuotteita:
Internet Explorer 5.01 ja Internet Explorer 6:
- Microsoft Windows 2000 (Service Pack 4)
Internet Explorer 6, Internet Explorer 7 ja Internet Explorer 8:
- Microsoft Windows XP (Service Pack 2 ja Service Pack 3)
- Microsoft Windows XP Professional x64 Edition (Service Pack 2)
- Microsoft Windows Server 2003 (Service Pack 2)
- Microsoft Windows Server 2003 for Itanium-based Systems (Service Pack 2)
- Microsoft Windows Server 2003 x64 Edition (alkuperäinen versio ja Service Pack 2)
Internet Explorer 7 ja Internet Explorer 8:
- Microsoft Windows Vista (Service Pack 1 ja Service Pack 2)
- Microsoft Windows Vista x64 Edition (Service Pack 1 ja Service Pack 2)
- Microsoft Windows Server 2008 - kaikki versiot (alkuperäinen versio ja Service Pack 2)
Internet Explorer 8:
- Microsoft Windows 7 – kaikki versiot
- Microsoft Windows Server 2008 R2 - kaikki versiot

MS09-055 Internet Explorerin kumulatiivinen ActiveX kill bit -päivitys (973525)
Tiedote koskee seuraavia tuotteita:
Internet Explorer 5.01 ja Internet Explorer 6:
- Microsoft Windows 2000 (Service Pack 4)
Internet Explorer 6, Internet Explorer 7 ja Internet Explorer 8:
- Microsoft Windows XP (Service Pack 2 ja Service Pack 3)
- Microsoft Windows XP Professional x64 Edition (Service Pack 2)
- Microsoft Windows Server 2003 (Service Pack 2)
- Microsoft Windows Server 2003 for Itanium-based Systems (Service Pack 2)
- Microsoft Windows Server 2003 x64 Edition (alkuperäinen versio ja Service Pack 2)
Internet Explorer 7 ja Internet Explorer 8:
- Microsoft Windows Vista (Service Pack 1 ja Service Pack 2)
- Microsoft Windows Vista x64 Edition (Service Pack 1 ja Service Pack 2)
- Microsoft Windows Server 2008 - kaikki versiot (alkuperäinen versio ja Service Pack 2)
Internet Explorer 8:
- Microsoft Windows 7 – kaikki versiot
- Microsoft Windows Server 2008 R2 - kaikki versiot

MS09-060 Haavoittuvuuksia Microsoft Officessa (973965)
Tiedote koskee seuraavia tuotteita:
- Microsoft Office XP (Service Pack 3)
                           - Microsoft Outlook 2002
- Microsoft Office 2003 (Service Pack 3)
                           - Microsoft Outlook 2003
- Microsoft Office 2007 (Service Pack 1 ja Service Pack 2)
                           - Microsoft Outlook 2007
- Microsoft Office Visio 2002 Viewer
- Microsoft Office Visio 2003 Viewer
- Microsoft Office Visio 2007 Viewer (Service Pack 1 ja Service Pack 2)

MS09-061 Haavoittuvuuksia .NET Frameworkissä (974378)
Tiedote koskee seuraavia tuotteita:
- Microsoft .NET Framework 1.0 (Service Pack 3)
- Microsoft .NET Framework 1.1 (Service Pack 1)
- Microsoft .NET Framework 2.0 (Service Pack 1 ja Service Pack 2)
- Microsoft .NET Framework 3.5 (alkuperäinen versio ja Service Pack 1)
- Microsoft Silverlight 2

MS09-062 Haavoittuvuuksia Windowsin GDI+-komponentissa (957488)
Tarkat tiedot eri Microsoftin tuotteista ja niiden versioista, joita haavoittuvuus koskee, löytyvät englanninkielisestä tiedotteesta osoitteessa http://www.microsoft.com/technet/security/Bulletin/MS09-062.mspx.

Luokitukseltaan tärkeät (Important) tietoturvatiedotteet:

MS09-053 Haavoittuvuuksia Windowsin FTP-palvelussa (975254)
Tiedote koskee seuraavia tuotteita:
- Microsoft Windows 2000 (Service Pack 4)
- Microsoft Windows XP (Service Pack 2 ja Service Pack 3)
- Microsoft Windows XP Professional x64 Edition (Service Pack 2)
- Microsoft Windows Server 2003 (Service Pack 2)
- Microsoft Windows Server 2003 for Itanium-based Systems (Service Pack 2)
- Microsoft Windows Server 2003 x64 Edition (Service Pack 2)
- Microsoft Windows Vista - kaikki versiot (Service Pack 1 ja Service Pack 2)
- Microsoft Windows Server 2008 - kaikki versiot (alkuperäinen versio ja Service Pack 2)

MS09-056 Haavoittuvuuksia Windowsin CryptoAPI-toteutuksessa (974571)
Tiedote koskee seuraavia tuotteita:
- Microsoft Windows 2000 (Service Pack 4)
- Microsoft Windows XP (Service Pack 2 ja Service Pack 3)
- Microsoft Windows XP Professional x64 Edition (Service Pack 2)
- Microsoft Windows Server 2003 (Service Pack 2)
- Microsoft Windows Server 2003 for Itanium-based Systems (Service Pack 2)
- Microsoft Windows Server 2003 x64 Edition (Service Pack 2)
- Microsoft Windows Vista (Service Pack 1 ja Service Pack 2)
- Microsoft Windows Vista x64 Edition (Service Pack 1 ja Service Pack 2)
- Microsoft Windows Server 2008 - kaikki versiot (alkuperäinen versio ja Service Pack 2)
- Microsoft Windows 7 – kaikki versiot
- Microsoft Windows Server 2008 R2 - kaikki versiot

MS09-057 Haavoittuvuus Windowsin Indexing-palvelussa (969059)
Tiedote koskee seuraavia tuotteita:
- Microsoft Windows 2000 (Service Pack 4)
- Microsoft Windows XP (Service Pack 2 ja Service Pack 3)
- Microsoft Windows XP Professional x64 Edition (Service Pack 2)
- Microsoft Windows Server 2003 (Service Pack 2)
- Microsoft Windows Server 2003 for Itanium-based Systems (Service Pack 2)
- Microsoft Windows Server 2003 x64 Edition (Service Pack 2)

MS09-058 Haavoittuvuuksia Windowsin Kernelissä (971486)
Tiedote koskee seuraavia tuotteita:
- Microsoft Windows 2000 (Service Pack 4)
- Microsoft Windows XP (Service Pack 2 ja Service Pack 3)
- Microsoft Windows XP Professional x64 Edition (Service Pack 2)
- Microsoft Windows Server 2003 (Service Pack 2)
- Microsoft Windows Server 2003 for Itanium-based Systems (Service Pack 2)
- Microsoft Windows Server 2003 x64 Edition (Service Pack 2)
- Microsoft Windows Vista (Service Pack 1)
- Microsoft Windows Vista x64 Edition (Service Pack 1)
- Microsoft Windows Server 2008 - kaikki versiot (alkuperäinen versio)

MS09-059 Haavoittuvuus Windowsin LSASS-palvelussa (975467)
Tiedote koskee seuraavia tuotteita:
- Microsoft Windows XP (Service Pack 2 ja Service Pack 3)
- Microsoft Windows XP Professional x64 Edition (Service Pack 2)
- Microsoft Windows Server 2003 (Service Pack 2)
- Microsoft Windows Server 2003 for Itanium-based Systems (Service Pack 2)
- Microsoft Windows Server 2003 x64 Edition (Service Pack 2)
- Microsoft Windows Vista (Service Pack 1 ja Service Pack 2)
- Microsoft Windows Vista x64 Edition (Service Pack 1 ja Service Pack 2)
- Microsoft Windows Server 2008 - kaikki versiot (alkuperäinen versio ja Service Pack 2)
- Microsoft Windows 7 – kaikki versiot
- Microsoft Windows Server 2008 R2 - kaikki versiot

Webcast lokakuun 2009 tietoturvatiedotteista

2009-10-13T22:28:00Z

Aikaisempien kuukausien tapaan järjestämme webcastin lokakuussa 2009 julkaistuista tietoturvatiedotteista. Kuten aiemminkin, webcastin agendalla on ensin kunkin yksittäisen tietoturvatiedotteen läpikäynti, sen jälkeen hieman yleisiä tietoja tiedotteista ja niihin liittyvistä tietoturvapäivityksistä, kuten tietoja päivitystarpeen tunnistamisesta ja päivitysten jakelusta, ja lopuksi vielä joitain muita tietoturvaan liittyviä tietoja. Viimeisessä osuudessa on yleensä käyty nopeasti läpi yleisimmät tuotteet, joiden elinkaari on päättymässä tai päättynyt. Webcastin tavoitteena on toisaalta antaa nopea yleiskatsaus kuun tiedotejulkaisuun, ja toisaalta vastata kysymyksiin, joita osallistujilla mahdollisesti tiedotteista on herännyt.

Webcastin järjestetään keskiviikkona 14.10. klo 10.30 aamusella - huomaa poikkeuksellinen aika; aloitetaan 10.30, puoli tuntia normaaliajankohtaa myöhemmin. Webcast ei vaadi ennakkoilmoittautumista ja siihen pääsee mukaan 30 minuuttia ennen lähetyksen alkamista napsauttamalla tätä linkkiä. Webcastiin osallistuminen edellyttää, että työsemaan on asennettu Livemeeting-työasemasofta, joten jos et ole aiemmin käyttänyt Livemeeting-järjestelmää, kannattaa asennusta varten varata vähän aikaa ennen varsinaisen webcastin alkua.

Ennakkotieto lokakuun 2009 tietoturvatiedotteista

2009-10-09T03:14:00Z

Microsoft on julkaissut hetki sitten ennakkotiedon ensi tiistaina 13.10. normaalin aikataulun mukaisesti julkaistavista lokakuun tietoturvatiedotteista. Ennakkotiedon mukaan tulevana tiistaina julkaistaan kolmetoista (13) uutta tietoturvatiedotetta, joista:

kahdeksan (8) on luokitukseltaan kriittisiä (Critical)
viisi (5) on luokitukseltaan tärkeitä (Important)
yksi koskee Outlook- ja Visio-sovelluksia
yksi koskee Internet Explorerin eri versioita eri Windows-käyttöjärjestelmissä
yksi koskee Windowsia, Officea, SQL Serveriä, Microsoftin kehitystyökaluja sekä Forefront-tuoteperhettä
loput kymmenen koskevat Windowsin eri versioita.

Kymmenen Windowsia koskevan tietoturvatiedotteen joukossa on myös korjaukset SMB-protokollaa ja FTP-palvelinta koskeviin haavoittuvuuksiin, joista olemme aiemmin julkaisseet Security Advisoryt. Ensi viikolla julkaistavat 13 tiedotetta sisältävät korjauksen kaiken kaikkiaan 34 haavoittuvuuteen.

Tarkempia tietoja tiedotteista ja Windowsin versioita, joita ne koskevat, löytyy englanninkielisestä ennakkotiedotteesta sekä MSRC:n blogista.

Tietoturvatiedotteista tiedotetaan ensi viikolla niiden julkaisun jälkeen normaaliin tapaan. Järjestämme myös ensi viikolla tiedotteita koskevan verkkokokouksen. Verkkokokous järjestetään keskiviikkona 14.10. klo 10.00 alkaen. Tarkempia tietoja verkkokokouksesta tulee tänne blogiin.

Päivitys Security Advisoryyn 975497

2009-09-18T22:47:00Z

Microsoft julkaisi reilu viikko sitten SMB-protokollatoteutusta koskevan Security Advisoryn 975497. Advisorya on nyt päivitetty kahden asian tiimoilta:

Advisoryn FAQ-osuuteen on lisätty tietoja SMBv2-protokollasta. Advisoryssä kuvattu haavoittuvuus koskee nimenomaan SMB-protokollan versiota 2.0, joka on käytössä ainoastaan Windows Vista- ja Windows Server 2008 -käyttöjärjestelmillä ja uudemmilla versioilla, ja ainoastaan silloin, kun yhteyden molemmat päät on varustettu em. käyttöjärjestelmäversioilla. Käytettävä SMB-protokollaversio sovitaan yhteyden muodostamisen yhteydessä, ja mikäli jompikumpi yhteyttä muodostavista järjetselmistä ei sitä tue, siirrytään käyttämään SMB:n versiota 1. Näin ollen SMB:n versio 2 voidaan tarvittaessa poistaa käytöstä ja näin vähentää haavoittuvuuden aiheuttamaa riskiä.
Workarounds-osioon on lisätty tietoja ns. Fix It -korjauksesta. SMBv2-protokolla voidaan nopeasti poistaa käytöstä KB-artikkelissa 975497 olevan Fix It -linkin kautta.

Syyskuun 2009 tietoturvatiedotteiden webcastin tallenne

2009-09-09T21:56:00Z

Tänä aamuna 9.9. klo 10.00 - 11.00 pidettiin perinteiseen tapaan eilen julkaistuja syyskuun tietoturvatiedotteita käsitellyt webcast. Jos jollakulla jäi tuo aamuinen Live-lähetys näkemättä, ja sen välttämättä haluaisi katsoa, löytyy tallenne napsauttamalla tätä linkkiä.

Security Advisory 975497 - haavoittuvuus Windowsin SMB-protokollatoteutuksessa

2009-09-09T06:16:00Z

Microsoft on juuri äsken julkaissut uuden Security Advisoryn 975497 otsikolla Vulnerabilities in SMB Could Allow Remote Code Execution. Advisory koskee SMB-protokollatoteutusta joissakin Windowsin versioissa. Haavoittuvuusraportit ovat MSRC:n tiedossa ja siihen ollaan parhaillaan tekemässä korjausta.

Haavoittuvuus koskee tämän hetkisen tiedon mukaan seuraavia Windows-käyttöjärjestelmän versioita:

Windows Vista - kaikki versiot (service pack 1 ja service pack 2)
Windows Server 2008 - kaikki versiot (service pack 2)
Edellä mainittujen lisäksi haavoittuvuus näyttäisi koskevan myös Windows 7 -käyttöjärjestelmää, mutta ainoastaan toukokuussa julkaistua Release Candidate -versiota, ei siis Windows 7:n lopullista versiota.

Haavoittuvuuteen ei siis vielä ole korjausta saatavilla - mitä voin tehdä haavoittuvuuden aiheuttaman riskin pienentämiseksi? No, ihan ensimmäisenä kannattaa lukaista itse Advisory - Advisoryn loppuosassa, kohdan Workarounds alla on dokumentoitu joitakin keinoja, joilla haavoittuvuuden aiheuttamaa riskiä voidaan pienentää - keinot liittyvät SMB v2 -protokollan poistamiseen käytöstä tai palomuurien käyttämiseen järjestelmän suojaamiseen.

Lisätietoja löytyy mm. seuraavista paikoista:

MSRC:n blogi - http://blogs.technet.com/msrc/archive/2009/09/08/microsoft-security-advisory-975497-released.aspx
Päivitys: lisätietoja myös SDL-blogissa http://blogs.technet.com/srd/archive/2009/09/18/update-on-the-smb-vulnerability.aspx

Syyskuun 2009 tietoturvatiedotteet

2009-09-09T06:07:00Z

Microsoft on eilen 8.9.2009 n. Klo 20.00 julkistanut normaalin kuukausittaisen julkaisuaikataulun mukaisesti viisi (5) uutta tietoturvatiedotetta, joista kooste alla. Tietoturvatiedotteessa on korjattu kaikkiaan kahdeksan (8) haavoittuvuutta Windowsissa ja sen eri komponenteissa. Kaikki viisi tiedotetta ovat luokitukseltaan kriittisiä. Englanninkielinen yhteenveto ja varsinaiset tietoturvatiedotteet löytyvät osoitteesta http://www.microsoft.com/technet/security/bulletin/ms09-sep.mspx.

Luokitukseltaan kriittiset (Critical) tietoturvatiedotteet:

MS09-045 Haavoittuvuus Windowsin Jscript-komentotulkissa (971961)
Tiedote koskee seuraavia käyttöjärjestelmiä:
- Microsoft Windows 2000 (Service Pack 4)
- Microsoft Windows XP (Service Pack 2 ja Service Pack 3)
- Microsoft Windows XP Professional x64 Edition (Service Pack 2)
- Microsoft Windows Server 2003 (Service Pack 2)
- Microsoft Windows Server 2003 for Itanium-based Systems (Service Pack 2)
- Microsoft Windows Server 2003 x64 Edition (Service Pack 2)
- Microsoft Windows Vista - kaikki versiot (Service Pack 1 ja Service Pack 2)
- Microsoft Windows Server 2008 - kaikki versiot (Service Pack 2)

MS09-046 Haavoittuvuus DHTML-tiedostojen editointiin tarkoitetussa ActiveX-komponentissa (956844)
Tiedote koskee seuraavia käyttöjärjestelmiä:
- Microsoft Windows 2000 (Service Pack 4)
- Microsoft Windows XP (Service Pack 2 ja Service Pack 3)
- Microsoft Windows XP Professional x64 Edition (Service Pack 2)
- Microsoft Windows Server 2003 (Service Pack 2)
- Microsoft Windows Server 2003 for Itanium-based Systems (Service Pack 2)
- Microsoft Windows Server 2003 x64 Edition (Service Pack 2)

MS09-047 Haavoittuvuuksia Windowsin Media-komponenteissa (973812)
Tiedote koskee seuraavia käyttöjärjestelmiä:
- Microsoft Windows 2000 (Service Pack 4)
- Microsoft Windows XP (Service Pack 2 ja Service Pack 3)
- Microsoft Windows XP Professional x64 Edition (Service Pack 2)
- Microsoft Windows Server 2003 (Service Pack 2)
- Microsoft Windows Server 2003 for Itanium-based Systems (Service Pack 2)
- Microsoft Windows Server 2003 x64 Edition (Service Pack 2)
- Microsoft Windows Vista - kaikki versiot (Service Pack 1 ja Service Pack 2)
- Microsoft Windows Server 2008 - kaikki versiot lukuunottamatta Itanium-versioita (Service Pack 2)

MS09-048 Haavoittuvuuksia Windowsin TCP/IP-protokollatoteutuksessa (967723)
Tiedote koskee seuraavia käyttöjärjestelmiä:
- Microsoft Windows 2000 (Service Pack 4)
- Microsoft Windows Server 2003 (Service Pack 2)
- Microsoft Windows Server 2003 for Itanium-based Systems (Service Pack 2)
- Microsoft Windows Server 2003 x64 Edition (Service Pack 2)
- Microsoft Windows Vista - kaikki versiot (Service Pack 1 ja Service Pack 2)
- Microsoft Windows Server 2008 - kaikki versiot (Service Pack 2)

MS09-049 Haavoittuvuus Windowsin langattoman lähiverkon määrityksessä (970710)
Tiedote koskee seuraavia käyttöjärjestelmiä:
- Microsoft Windows Vista - kaikki versiot (Service Pack 1 ja Service Pack 2)
- Microsoft Windows Server 2008 - kaikki versiot lukuunottamatta Itanium-versioita (Service Pack 2)

Päivitys Security Advisoryyn 975191

2009-09-04T09:55:00Z

Microsoft julkaisi pari päivää sitten IIS-palvelimen FTP-palvelua koskevan Security Advisoryn 975191. Advisoryssä kerrottiin FTP-palvelusta löytyneen haavoittuvuuden koskevan IIS-palvelun versioita 5.0., 5.1 ja 6.0, ja nyt listaan on päivitetty myös IISin versio 7.0. Eli haavoittuvuus koskee myös tuota, Windows Vistan ja Windows Server 2008:n mukana toimitettavan IIS-version FTP-palvelua. IIS-palvelimen version 7.0 tapauksessa ongelman voi kuitenkin korjata päivittämällä järjestelmään uuden version FTP-toiminnallisuudesta, jonka voi ladata Microsoftin downloads-palvelusta: versio x86-järjestelmiin ja versio x64-järjestelmiin.

Lisätietoja englanninkielisessä Advisoryssä.

Päivitys: Lisätietoja eri FTP-palvelun versioista ja FTP-palvelun haavoittuvuuksista myös IIS-palvelun tietoturvablogissa.

Webcast syyskuun 2009 tietoturvatiedotteista

2009-09-04T02:51:00Z

Aikaisempien kuukausien tapaan järjestämme webcastin syyskuussa 2009 julkaistavista tietoturvatiedotteista. Kuten aiemminkin, webcastin agendalla on ensin kunkin yksittäisen tietoturvatiedotteen läpikäynti, sen jälkeen hieman yleisiä tietoja tiedotteista ja niihin liittyvistä tietoturvapäivityksistä, kuten tietoja päivitystarpeen tunnistamisesta ja päivitysten jakelusta, ja lopuksi vielä joitain muita tietoturvaan liittyviä tietoja. Viimeisessä osuudessa on yleensä käyty nopeasti läpi yleisimmät tuotteet, joiden elinkaari on päättymässä tai päättynyt. Webcastin tavoitteena on toisaalta antaa nopea yleiskatsaus kuun tiedotejulkaisuun, ja toisaalta vastata kysymyksiin, joita osallistujilla mahdollisesti tiedotteista on herännyt.

Webcastin järjestetään keskiviikkona 9.9. klo 10.00 aamusella. Webcast ei vaadi ennakkoilmoittautumista ja siihen pääsee mukaan 30 minuuttia ennen lähetyksen alkamista napsauttamalla tätä linkkiä. Webcastiin osallistuminen edellyttää, että työsemaan on asennettu Livemeeting-työasemasofta, joten jos et ole aiemmin käyttänyt Livemeeting-järjestelmää, kannattaa asennusta varten varata vähän aikaa ennen varsinaisen webcastin alkua.