Microsoftin toukokuun 2006 tietoturvatiedotteet
Microsoft on eilen illalla julkistanut kolme uutta tietoturvatiedotetta, joista kooste ohessa:
=============
1. Yhteenveto
=============
Luokitukseltaan kriittiset (Critical) tietoturvatiedotteet:
MS06-019 Haavoittuvuus Microsoft Exchange -sähköpostipalvelimessa (916803)
MS06-020 Haavoittuvuuksia Adoben Macromedia Flash Player -komponentissa (913433)
Luokitukseltaan keskitason (Moderate) tietoturvatiedotteet:
MS06-018 Haavoittuvuuksia Microsoftin DTC-palvelussa (913580)
Käyttöjärjestelmät, joita tiedotteet koskevat:
- Tiedote MS06-018 koskee Windows 2000-, Windows XP- ja Windows Server 2003 -käyttöjärjestelmiä.
- Tiedote MS06-019 koskee Exchange-palvelimen versioita 2000 ja 2003.
- Tiedote MS06-020 koskee Windows 98-, 98SE-, ME- ja XP-käyttöjärjestelmiä.
Tietoja Microsoftin tietoturvatiedotteisiin liittyvästä tiedottamisesta löytyy osoitteesta
https://www.microsoft.com/finland/security/info/. Yleisiä huomioita tietoturvatiedotteista löytyy osoitteesta https://www.microsoft.com/finland/security/info/bulletins.asp.
========================================
2. Kooste uusista tietoturvatiedotteista
========================================
MS06-018 - Vulnerability in Microsoft Distributed Transaction Coordinator Could Allow Denial of Service (913580)
Luokitus: Keskitaso (Moderate)
Tiedote MS06-018 koskee Microsoftin Distributed Transaction Coordinator -palvelua (DTC). Palvelusta on löytynyt kaksi haavoittuvuutta, jotka molemmat liittyvät DTC-palvelussa oleviin muistinkäsittelyvirheisiin. Vihamielinen hyökkääjä voi hyödyntää haavoittuvuuksia lähettämällä kohteena olevalle tietojärjestelmälle tietyllä tavalla muotoillun paketin verkon välityksellä, ja näin aiheuttaa palvelun jumiutumisen, eli palvelu lopettaa vastaamisen sille lähetettyihin pyyntöihin (Denial of Service -yyppinen haavoittuvuus). Palvelun jumiutuminen ei aiheuta häiriöitä järjestelmän muussa toiminnassa, eikä haavoittuvuuden kautta voida myöskään suorittaa ohjelmakoodia kohteena olevassa järjestelmässä.
Huomautuksia:
- Haavoittuvuuden aiheuttamaa riskiä voidaan pienentää poistamalla DTC-palvelu käytöstä järjestelmissä, joissa sitä ei tarvita, estämällä palvelun käyttö verkon välityksellä tai rajoittamalla liikennöintiä palvelun portteihin palomuurien avulla. Lisätietoja näistä keinoista on englanninkielisen tiedotteen Workarounds-osiossa.
* Päivitys saattaa vaatia järjestelmän uudelleenkäynnistyksen asennuksen jälkeen, mikäli päivitettävät komponentit ovat käytössä.
* Päivityksen asennuksen voi peruuttaa.
* Päivitys voidaan tunnistaa MBSA-ohjelmiston (Microsoft Baseline Security Analyzer) versioilla 1.2.1 ja 2.0.
* Päivitys voidaan asentaa SMS-ohjelmiston (Systems Management Server) avulla.
* Päivitys voidaan asentaa Windows Update- ja Microsoft Update -sivustojen sekä Software Update Services- ja Windows Server Update Services -palvelujen avulla.
* Päivitys tulee saataville Microsoftin Downloads-sivustoon (
https://www.microsoft.com/downloads, linkit yksittäisiin korjauksiin löytyvät englanninkielisestä tiedotteesta osoitteessa https://www.microsoft.com/technet/security/Bulletin/MS06-018.mspx).
Haavoittuvuus koskee seuraavia käyttöjärjestelmän versioita:
- Microsoft Windows 2000 (Service Pack 4)
- Microsoft Windows XP (Service Pack 1 ja Service Pack 2)
- Microsoft Windows Server 2003 (alkuperäinen versio)
- Microsoft Windows Server 2003 for Itanium-based Systems (alkuperäinen versio)
Haavoittuvuus EI koske seuraavia käyttöjärjestelmän versioita:
- Microsoft Windows XP Professional x64 Edition
- Microsoft Windows Server 2003 (Service Pack 1)
- Microsoft Windows Server 2003 for Itanium-based Systems (Service Pack 1)
- Microsoft Windows Server 2003 x64 Edition
- Microsoft Windows 98, Microsoft Windows 98 Second Edition (SE) tai Microsoft Windows Millennium Edition (ME)
Haavoittuvuuteen liittyviä lisätietoja ja linkit päivityksen eri versioihin löytyvät Microsoftin Web-sivustosta seuraavista osoitteista:
https://www.microsoft.com/technet/security/bulletin/ms06-may.mspx
https://www.microsoft.com/technet/security/Bulletin/MS06-018.mspx
https://support.microsoft.com/kb/913580
Päivityksen luokitus on Keskitaso (Moderate). Microsoft suosittelee, että päivitys asennetaan kaikkiin sellaisiin järjestelmiin, joissa on käytössä jokin edellä mainituista Windows-käyttöjärjestelmän versioista.
___________________________________________________________________
MS06-019 - Vulnerability in Microsoft Exchange Could Allow Remote Code Execution (916803)
Luokitus: Kriittinen (Critical)
Tiedote MS06-019 koskee Microsoftin Exchange-sähköpostipalvelinta. Haavoittuvuus liittyy tapaan, jolla Exchange-palvelimen mukana tulevat Collaboration Data Objects -komponentit (EXCDO ja CDOEX) käsittelevät palvelimelle välitettyjä iCal- (Internet Calendar) tai vCal-muotoisia (Virtual Calendar) kalenteritietoja. Näitä tietomuotoja käytetään välitettäessä kalenteriin liittyviä sanomia, esimerkiksi kokouskutsuja Exchange-palvelimien välillä. Vihamielinen hyökkääjä voi hyödyntää haavoittuvuutta lähettämällä Exchange-palvelimelle esimerkiksi SMTP-protokollan välityksellä viestin, joka sisältää tietyllä tavalla muotoillun iCal- tai vCal-sisällön. Tätä kautta hyökkääjä voi suorittaa haluamaansa ohjelmakoodia kohteena olevassa Exchange-palvelimessa (Remote Code Execution -tyyppinen haavoittuvuus).
Huomautuksia:
- Haavoittuvuuden aiheuttamaa riskiä voidaan pienentää estämällä iCal- ja vCal-muotoisen tiedon välittäminen Exchange-palvelimelle SMTP-protokollan välityksellä esimerkiksi käyttämällä ISA Server -palvelimen SMTP Filter- ja Message Screener -toimintoja.
- Tietoturvatiedotteessa kuvattu tietoturvapäivitys sisältää myös toiminnallisen muutoksen Exchange-palvelimen käyttöoikeuksiin. Muutos koskee "Full Mailbox Access" -oikeutta ja sen alaisia oikeuksia. Muutoksen jälkeen "Send As" -oikeutta ei enää automaattisesti anneta käyttäjälle, jolle myönnetään "Full Mailbox Access" jonkun toisen käyttäjän postilaatikkoon, vaan "Send As" -oikeus on määritettävä erikseen. Muutos vaikuttaa esimerkiksi mobiilisähköpostijärjestelmiin, jotka välittävät lähetettäviä viestejä laitteesta Exchange-palvelimeen ja sen jälkeen lähettävät ne käyttäjän nimissä, sekä tilanteisiin, joissa käyttäjälle on postilaatikon asetuksissa annettu oikeus käsitellä ja lähettää toisen käyttäjän puolesta. Lisätietoja muutoksesta ja sen vaatimista toimista on KB-artikkelissa 912918 osoitteessa
https://support.microsoft.com/kb/912918 sekä tässä blogissa osoitteessa https://blogs.technet.com/tietoturvan_weblogi/archive/2006/05/08/427520.aspx.
* Päivitys ei vaadi järjestelmän uudelleenkäynnistystä asennuksen jälkeen.
* Päivityksen asennus voidaan peruuttaa.
* Päivitys voidaan tunnistaa MBSA-ohjelmiston (Microsoft Baseline Security Analyzer) versioilla 1.2.1 ja 2.0.
* Päivitys voidaan asentaa SMS-ohjelmiston (Systems Management Server) avulla.
* Päivitys voidaan asentaa Microsoft Update -sivuston sekä Windows Server Update Services -palvelun avulla.
* Päivitys tulee saataville Microsoftin Downloads-sivustoon (
https://www.microsoft.com/downloads, linkit yksittäisiin päivityspaketteihin löytyvät englanninkielisestä tiedotteesta osoitteessa https://www.microsoft.com/technet/security/Bulletin/MS06-019.mspx).
* Tarkempia tietoja asennus- ja tunnistusmahdollisuuksista päivityksen eri versioille on englanninkielisessä tiedotteessa.
Haavoittuvuus koskee seuraavia Exchange-palvelimen versioita:
- Microsoft Exchange Server 2000 varustettuna Exchange 2000 Post-Service Pack 3 Update Rollup of August 2004 -päivityspaketilla (lisätietoja on KB-artikkelissa 870540 osoitteessa
https://support.microsoft.com/kb/870540)
- Microsoft Exchange Server 2003 (Service Pack 1 tai Service Pack 2)
Haavoittuvuuteen liittyviä lisätietoja ja linkit päivityksen eri versioihin löytyvät Microsoftin Web-sivustosta seuraavista osoitteista:
https://www.microsoft.com/technet/security/bulletin/ms06-may.mspx
https://www.microsoft.com/technet/security/Bulletin/MS06-019.mspx
https://support.microsoft.com/kb/916803
Korjauksen luokitus on Kriittinen (Critical). Microsoft suosittelee, että korjaus asennetaan kaikkiin sellaisiin järjestelmiin, joissa on käytössä jokin edellä mainituista Exchange-palvelimen versioista.
___________________________________________________________________
MS06-020 - Vulnerabilities in Macromedia Flash Player from Adobe Could Allow Remote Code Execution (913433)
Luokitus: Kriittinen (Critical)
Tiedote MS06-020 koskee Windows-käyttöjärjestelmän mukana toimitettavaa Adoben Macromedia Flash Player -komponenttia. Komponentista on löytynyt kaksi haavoittuvuutta, jotka liittyvät SWF-tiedostojen käsittelyyn. Vihamielinen hyökkääjä voi hyödyntää haavoittuvuuksia sijoittamalla tietyllä tavalla muotoillun SWF-tiedoston webbisivulle ja houkuttelemalla käyttäjän avaamaan sivun selaimessa. Haavoittuvuudet antavat vihamieliselle hyökkääjälle mahdollisuuden suorittaa haluamaansa ohjelmakoodia kohteena olevassa järjestelmässä (Remote Code Execution -tyyppinen haavoittuvuus). Ohjelmakoodi suoritetaan järjestelmään kirjautuneen käyttäjän oikeuksilla.
Huomautuksia:
- Microsoft toimittaa päivityksen ainoastaan Flash Playerin versioille 5.xx ja 6.xx, joka toimitetaan Windows-käyttöjärjestelmän ja/tai Internet Explorer -selaimen joidenkin versioiden mukana. Jos järjestelmään on asennettu jokin uudempi Flash Player -komponentin versio, on syytä lukea lisätietoja Adoben tietoturvatiedotteesta APSB06-03 osoitteesta
https://www.adobe.com/devnet/security/security_zone/apsb06-03.html.
- Haavoittuvuuden aiheuttamaa riskiä voidaan pienentää poistamalla Flash-komponentti järjestelmästä tai estämällä tai rajoittamalla sen käyttöä Internet Explorerissa. Lisätietoja on englanninkielisen tiedotteen Workarounds-osiossa.
* Päivitys ei vaadi järjestelmän uudelleenkäynnistystä asennuksen jälkeen.
* Päivityksen asennuksen voi peruuttaa.
* Päivitys voidaan tunnistaa MBSA-ohjelmiston (Microsoft Baseline Security Analyzer) versiolla 2.0.
* Päivitys voidaan asentaa SMS-ohjelmiston (Systems Management Server) avulla.
* Päivitys voidaan asentaa Windows Update- ja Microsoft Update -sivustojen sekä Software Update Services- ja Windows Server Update Services -palvelujen avulla.
* Päivitys tulee saataville Microsoftin Downloads-sivustoon (
https://www.microsoft.com/downloads, linkit yksittäisiin päivityksiin löytyvät englanninkielisestä tiedotteesta osoitteessa https://www.microsoft.com/technet/security/Bulletin/MS06-020.mspx).
Haavoittuvuus koskee seuraavia käyttöjärjestelmiä:
- Microsoft Windows XP (Service Pack 1 ja Service Pack 2)
- Microsoft Windows 98, Microsoft Windows 98 Second Edition (SE) tai Microsoft Windows Millennium Edition (ME)
Haavoittuvuus EI koske seuraavia käyttöjärjestelmiä:
- Microsoft Windows 2000 (Service Pack 4)
- Microsoft Windows Server 2003 (alkuperäinen versio, Service Pack 1 ja R2-versio)
- Microsoft Windows Server 2003 for Itanium-based Systems (alkuperäinen versio ja Service Pack 1)
- Microsoft Windows Server 2003 x64 Edition
- Microsoft Windows XP Professional x64 Edition
Haavoittuvuuteen liittyviä lisätietoja ja linkit päivityksen eri versioihin löytyvät Microsoftin Web-sivustosta seuraavista osoitteista:
https://www.microsoft.com/technet/security/bulletin/ms06-may.mspx
https://www.microsoft.com/technet/security/Bulletin/MS06-020.mspx
https://support.microsoft.com/kb/913433
Lisätietoja löytyy Adoben Web-sivustosta osoitteesta
https://www.adobe.com/devnet/security/security_zone/apsb06-03.html.
Päivityksen luokitus on Kriittinen (Critical). Microsoft suosittelee, että päivitys asennetaan kaikkiin sellaisiin järjestelmiin, joissa on käytössä jokin edellä mainituista Windows-käyttöjärjestelmän versioista.