Lokakuun 2006 tietoturvatiedotteet

Article
10/11/2006

Microsoft on eilen illalla Suomen aikaa (10.10.2006 n. Klo 20.00) julkistanut normaalin kuukausittaisen julkaisuaikataulun mukaisesti kymmenen (10) uutta tietoturvatiedotetta, joista kooste alla. Uusissa tietoturvatiedotteissa on korjattu kaikkiaan 26 haavoittuvuutta Windowsin eri komponenteissa, Officessa sekä .NET Frameworkissa.

=============

1. Yhteenveto

=============

Luokitukseltaan kriittiset (Critical) tietoturvatiedotteet:

MS06-057 Haavoittuvuus Windowsin Explorerissa (923191)

MS06-058 Haavoittuvuuksia PowerPoint-sovelluksessa (924163)

MS06-059 Haavoittuvuuksia Excel-sovelluksessa (924164)

MS06-060 Haavoittuvuuksia Word-sovelluksessa (924554)

MS06-061 Haavoittuvuuksia XML Core Services -komponentissa (924191)

MS06-062 Haavoittuvuuksia Office-ohjelmistossa (922581)

Luokitukseltaan tärkeät (Important) tietoturvatiedotteet:

MS06-063 Haavoittuvuuksia Windowsin Server-palvelussa (923414)

Luokitukseltaan keskitason (Moderate) tietoturvatiedotteet:

MS06-056 Haavoittuvuus .NET Frameworkin ASP.NET-komponentissa (922770)

MS06-065 Haavoittuvuus Windowsin Object Packager -komponentissa (924496)

Luokitukseltaan alhaiset (Low) tietoturvatiedotteet:

MS06-064 Haavoittuvuuksia Ipv6-protokollatoteutuksessa (922819)

Käyttöjärjestelmät, joita tiedotteet koskevat:

=================================================

| | 2000 | XP | 2003 |

-------------------------------------------------

-------------------------------------------------

-------------------------------------------------

-------------------------------------------------

-------------------------------------------------

=================================================

Edellisten lisäksi tiedotteet MS06-058, MS06-059, MS06-060 ja MS06-062 koskevat Office-ohjelmiston ja yksittäisten Office-komponenttien eri versioita, ja tiedote MS06-056 koskee .NET Frameworkin version 2.0 ASP.NET-komponenttia.

Tietoja Microsoftin tietoturvatiedotteisiin liittyvästä tiedottamisesta löytyy osoitteesta https://www.microsoft.com/finland/security/info/. Yleisiä

huomioita tietoturvatiedotteista löytyy osoitteesta https://www.microsoft.com/finland/security/info/bulletins.asp. Ajankohtaista tietoa löytyy myös Suomen Microsoftin tietoturvablogista osoitteessa https://blogs.technet.com/tietoturvan_weblogi/.

========================================

2. Kooste uusista tietoturvatiedotteista

========================================

MS06-056 - Vulnerability in ASP.NET 2.0 Could Allow Information Disclosure (922770)

Luokitus: Keskitaso (Moderate)

Tiedote MS06-056 koskee .NET Framework -ohjelmointinympäristön ASP.NET-komponenttia. Komponentista on löydetty Cross-Site Scripting -tyyppinen haavoittuvuus, joka antaa vihamieliselle hyökkääjälle mahdollisuuden suorittaa haluamaansa skriptikoodia käyttäjän koneella ja päästä näin käsiksi tietoihin, joihin hänellä ei normaalisti pitäisi olla käyttöoikeutta (Information Disclosure -tyyppinen haavoittuvuus). Vihamielinen hyökkääjä voi hyödyntää haavoittuvuutta joko sähköpostin välityksellä tai jonkin Web-sivun välityksellä.

Huomautuksia:

* Koska haavoittuvuus koskee ASP.NET-komponenttia, sitä voidaan hyödyntää ainoastaan, jos koneeseen on asennettu Internet Information Service -Web-palvelin. Korjaus suositellaan kuitenkin asennettavaksi aina, jos koneeseen on asennettu .NET Frameworkin versio 2.0.

• Korjaus ei vaadi järjestelmän uudelleenkäynnistystä asennuksen jälkeen.

• Korjauksen asennuksen voi peruuttaa.

• Korjaus voidaan tunnistaa MBSA-ohjelmiston (Microsoft Baseline Security Analyzer) versiolla 2.0.

• Korjaus voidaan asentaa SMS-ohjelmiston (Systems Management Server) avulla.

• Korjaus voidaan asentaa Windows Update- ja Microsoft Update -sivustojen sekä Software Update Services- ja Windows Server Update Services –palvelujen avulla.

• Korjaus tulee saataville Microsoftin Downloads-sivustoon (https://www.microsoft.com/downloads, linkit yksittäisiin korjauksiin

löytyvät englanninkielisestä tiedotteesta osoitteessa https://www.microsoft.com/technet/security/Bulletin/MS06-056.mspx).

• Tarkempia tietoja asennus- ja tunnistusmahdollisuuksista korjauksen eri versioille on englanninkielisessä tiedotteessa.

Haavoittuvuus koskee seuraavia .NET Frameworkin versioita:

- Microsoft .NET Framework 2.0

Haavoittuvuuteen liittyviä lisätietoja ja linkit korjauksen eri versioihin löytyvät Microsoftin Web-sivustosta seuraavista osoitteista:

https://www.microsoft.com/technet/security/bulletin/ms06-oct.mspx

https://www.microsoft.com/technet/security/Bulletin/MS06-056.mspx

https://support.microsoft.com/kb/922770

------------------------------------------------------------

MS06-057 Vulnerability Vulnerability in Windows Explorer Could Allow Remote Execution (923191)

Luokitus: Kriittinen (Critical)

Tiedote MS06-057 koskee Windows-käyttöjärjestelmän Shell-käyttöliittymäkomponenttia. Komponentista on löydetty haavoittuvuus, joka liittyy komponentin tapaan tarkistaa sille syötettyjä parametreja, jotka on välitetty sille WebViewFolderIcon-ActiveX-komponentin kautta. Haavoittuvuus antaa vihamieliselle hyökkääjälle mahdollisuuden suorittaa haluamaansa ohjelmakoodia kohteena olevassa tietojärjestelmässä (Remote Code Execution -tyyppinen haavoittuvuus). Ohjelmakoodi suoritetaan järjestelmään kirjautuneen käyttäjän käyttöoikeuksilla.

Vihamielinen hyökkääjä voi hyödyntää haavoittuvuutta määrittämällä kyseisen ActiveX-komponentin kutsun jollekin web-sivulle ja sen jälkeen houkuttelemalla käyttäjän avaamaan kyseisen Web-sivun Internet Explorer -selaimessa. Microsoftin on aiemmin julkaissut haavoittuvuudesta Security Advisoryn 926043.

Huomautuksia:

• Haavoittuvuuden aiheuttamaa riskiä voidaan pienentää asettamalla WebViewFolderIcon-ActiveX-komponentille ns. kill bit, jolloin komponenttia ei voida kutsua Internet Explorer -selaimen välityksellä. Lisätietoja on englanninkielisen tiedotteen Workarounds-osiossa.

• Korjaus vaatii järjestelmän uudelleenkäynnistyksen asennuksen jälkeen.

• Korjauksen asennuksen voi peruuttaa.

• Korjaus voidaan tunnistaa MBSA-ohjelmiston (Microsoft Baseline Security Analyzer) versioilla 1.2.1 ja 2.0.

• Korjaus voidaan asentaa SMS-ohjelmiston (Systems Management Server) avulla.

• Korjaus voidaan asentaa Windows Update- ja Microsoft Update -sivustojen sekä Software Update Services- ja Windows Server Update Services –palvelujen avulla.

• Korjaus tulee saataville Microsoftin Downloads-sivustoon (https://www.microsoft.com/downloads, linkit yksittäisiin korjauksiin

löytyvät englanninkielisestä tiedotteesta osoitteessa https://www.microsoft.com/technet/security/Bulletin/MS06-057.mspx).

• Tarkempia tietoja asennus- ja tunnistusmahdollisuuksista korjauksen eri versioille on englanninkielisessä tiedotteessa.

Haavoittuvuus koskee seuraavia käyttöjärjestelmiä:

- Microsoft Windows 2000 (Service Pack 4)

- Microsoft Windows XP (Service Pack 1 ja Service Pack 2)

- Microsoft Windows XP Professional x64 Edition

- Microsoft Windows Server 2003 (alkuperäinen versio ja Service Pack 1)

- Microsoft Windows Server 2003 for Itanium-based Systems (alkuperäinen versio ja Service Pack 1)

- Microsoft Windows Server 2003 x64 Edition

Haavoittuvuuteen liittyviä lisätietoja ja linkit korjauksen eri versioihin löytyvät Microsoftin Web-sivustosta seuraavista osoitteista:

https://www.microsoft.com/technet/security/bulletin/ms06-oct.mspx

https://www.microsoft.com/technet/security/Bulletin/MS06-057.mspx

https://support.microsoft.com/kb/923191

------------------------------------------------------------

MS06-058 Vulnerabilities in Microsoft PowerPoint Could Allow Remote Code Execution (924163)

Luokitus: Kriittinen (Critical)

Tiedote MS06-058 koskee Microsoftin Office-ohjelmiston PowerPoint-esitysgrafiikkasovellusta. Tiedotteessa kuvattu päivitys korjaa PowerPointista neljä haavoittuvuutta, jotka kaikki antavat hyökkääjälle mahdollisuuden suorittaa haluamaansa ohjelmakoodia kohteena olevassa järjestelmässä (Remote Code Execution –tyyppinen haavoittuvuus). Hyökkääjä voi hyödyntää haavoittuvuuksia samalla tavalla, eli houkuttelemalla käyttäjän avaamaan jollain web-sivulla olevan tietyllä tavalla muotoillun PowerPoint-tiedoston tai välittämällä tiedoston käyttäjälle sähköpostin välityksellä. Kun käyttäjä avaa tiedoston, aiheuttaa tiedoston käsitteleminen PowerPointissa muistivirheen tai muistin korruptoitumisen, jolloin hyökkääjä pääsee suorittamaan haluamaansa ohjelmakoodia. Ohjelmakoodi suoritetaan järjestelmään kirjautuneen käyttäjän käyttöoikeuksilla. Lisätietoja haavoittuvuuksista on englanninkielisessä tiedotteessa osoitteessa https://www.microsoft.com/technet/security/bulletin/ms06-058.mspx.

• Korjaus ei vaadi järjestelmän uudelleenkäynnistystä asennuksen jälkeen edellyttäen, että korjattavat komponentit eivät ole käytössä asennuksen aikana. Lisätietoja on Microsoftin Knowledge Base –artikkelissa 887012 osoitteessa https://support.microsoft.com/kb/887012.

• Korjauksen asennuksen voi peruuttaa PowerPoint 2003- ja PowerPoint 2002 –versioissa. Muissa versiossa korjauksen asennusta ei voi peruuttaa.

• Korjaus voidaan tunnistaa MBSA-ohjelmiston (Microsoft Baseline Security Analyzer) versioilla 1.2.1 ja 2.0 osan PowerPoint -versioiden osalta. Lisätietoja on englanninkielisessä tiedotteessa.

• Korjaus voidaan asentaa SMS-ohjelmiston (Systems Management Server) avulla osan PowerPoint-versioiden osalta. Lisätietoja on englanninkielisessä tiedotteessa.

• Korjaus voidaan asentaa Microsoft Update –sivuston sekä Windows Server Update Services –palvelun avulla.

• Korjaus tulee saataville Microsoftin Downloads-sivustoon (https://www.microsoft.com/downloads, linkit yksittäisiin korjauksiin löytyvät englanninkielisestä tiedotteesta osoitteessa https://www.microsoft.com/technet/security/Bulletin/MS06-058.mspx).

Haavoittuvuus koskee seuraavia ohjelmistoja:

- Microsoft Office 2003 (Service Pack 1 ja Service Pack 2)

- Microsoft PowerPoint 2003

- Microsoft Office XP (Service Pack 3)

- Microsoft PowerPoint 2002

- Microsoft Office 2000 (Service Pack 3)

- Microsoft PowerPoint 2000

- Microsoft Office 2004 for Mac

- Microsoft PowerPoint 2004 for Mac

- Microsoft Office v. X for Mac

- Microsoft PowerPoint v. X for Mac

Haavoittuvuus EI koske seuraavia ohjelmistoja:

- Microsoft PowerPoint 2003 Viewer

Haavoittuvuuteen liittyviä lisätietoja ja linkit korjauksen eri versioihin

löytyvät Microsoftin Web-sivustosta seuraavista osoitteista:

https://www.microsoft.com/technet/security/bulletin/ms06-oct.mspx

https://www.microsoft.com/technet/security/Bulletin/MS06-058.mspx

https://support.microsoft.com/kb/924163

------------------------------------------------------------

MS06-059 Vulnerabilities in Microsoft Excel Could Allow Remote Code Execution (924164)

Luokitus: Kriittinen (Critical)

Tiedote MS06-059 koskee Microsoftin Office-ohjelmiston Excel-taulukkolaskentasovellusta. Tiedotteessa kuvattu päivitys korjaa Excelistä neljä haavoittuvuutta, jotka kaikki antavat hyökkääjälle mahdollisuuden suorittaa haluamaansa ohjelmakoodia kohteena olevassa järjestelmässä (Remote Code Execution –tyyppinen haavoittuvuus). Haavoittuvuuksista kolme koskee Excelin tapaa käsitellä avattavia Excel-tiedostoja ja neljäs Excelin tapaa käsitellä Lotus 1-2-3 -muotoisia tiedostoja.

Hyökkääjä voi hyödyntää haavoittuvuuksia samalla tavalla, eli houkuttelemalla käyttäjän avaamaan jollain web-sivulla olevan tietyllä tavalla muotoillun Excel- tai 1-2-3-tiedoston tai välittämällä tiedoston käyttäjälle sähköpostin välityksellä. Kun käyttäjä avaa tiedoston, aiheuttaa tiedoston käsitteleminen Excelissä muistivirheen tai muistin korruptoitumisen, jolloin hyökkääjä pääsee suorittamaan haluamaansa ohjelmakoodia. Ohjelmakoodi suoritetaan järjestelmään kirjautuneen käyttäjän käyttöoikeuksilla. Lisätietoja haavoittuvuuksista on englanninkielisessä tiedotteessa osoitteessa https://www.microsoft.com/technet/security/bulletin/ms06-059.mspx.

• Korjauksen asennuksen voi peruuttaa Excel 2003- ja Excel 2002 –versioissa. Muissa versiossa korjauksen asennusta ei voi peruuttaa.

• Korjaus voidaan tunnistaa MBSA-ohjelmiston (Microsoft Baseline Security Analyzer) versioilla 1.2.1 ja 2.0 osan Excel-versioiden osalta. Lisätietoja on englanninkielisessä tiedotteessa.

• Korjaus voidaan asentaa SMS-ohjelmiston (Systems Management Server) avulla osan Excel-versioiden osalta. Lisätietoja on englanninkielisessä tiedotteessa.

• Korjaus voidaan asentaa Microsoft Update –sivuston sekä Windows Server Update Services –palvelun avulla.

Haavoittuvuus koskee seuraavia ohjelmistoja:

- Microsoft Office 2003 (Service Pack 1 ja Service Pack 2)

- Microsoft Excel 2003

- Microsoft Excel Viewer 2003

- Microsoft Office XP (Service Pack 3)

- Microsoft Excel 2002

- Microsoft Office 2000 (Service Pack 3)

- Microsoft Excel 2000

- Microsoft Office 2004 for Mac

- Microsoft Excel 2004 for Mac

- Microsoft Office v. X for Mac

- Microsoft PowerPoint v. X for Mac

- Microsoft Works Suite versiot 2004, 2005 ja 2006

Haavoittuvuuteen liittyviä lisätietoja ja linkit korjauksen eri versioihin

löytyvät Microsoftin Web-sivustosta seuraavista osoitteista:

https://www.microsoft.com/technet/security/bulletin/ms06-oct.mspx

https://www.microsoft.com/technet/security/Bulletin/MS06-059.mspx

https://support.microsoft.com/kb/924164

------------------------------------------------------------

MS06-060 Vulnerabilities in Microsoft Word Could Allow Remote Code Execution (924554)

Luokitus: Kriittinen (Critical)

Tiedote MS06-060 koskee Microsoftin Office-ohjelmiston Word-tekstinkäsittelysovellusta. Tiedotteessa kuvattu päivitys korjaa Wordista neljä haavoittuvuutta, jotka kaikki antavat hyökkääjälle mahdollisuuden suorittaa haluamaansa ohjelmakoodia kohteena olevassa järjestelmässä (Remote Code Execution –tyyppinen haavoittuvuus). Hyökkääjä voi hyödyntää haavoittuvuuksia samalla tavalla, eli houkuttelemalla käyttäjän avaamaan jollain web-sivulla olevan tietyllä tavalla muotoillun Word- tiedoston tai välittämällä tiedoston käyttäjälle sähköpostin välityksellä. Kun käyttäjä avaa tiedoston, aiheuttaa tiedoston käsitteleminen Wordissa muistivirheen tai muistin korruptoitumisen, jolloin hyökkääjä pääsee suorittamaan haluamaansa ohjelmakoodia. Ohjelmakoodi suoritetaan järjestelmään kirjautuneen käyttäjän käyttöoikeuksilla. Lisätietoja haavoittuvuuksista on englanninkielisessä tiedotteessa osoitteessa https://www.microsoft.com/technet/security/bulletin/ms06-060.mspx.

• Korjauksen asennuksen voi peruuttaa Word 2003- ja Word 2002 –versioissa. Muissa versiossa korjauksen asennusta ei voi peruuttaa.

• Korjaus voidaan tunnistaa MBSA-ohjelmiston (Microsoft Baseline Security Analyzer) versioilla 1.2.1 ja 2.0 osan Word-versioiden osalta. Lisätietoja on englanninkielisessä tiedotteessa.

• Korjaus voidaan asentaa SMS-ohjelmiston (Systems Management Server) avulla osan Word-versioiden osalta. Lisätietoja on englanninkielisessä tiedotteessa.

• Korjaus voidaan asentaa Microsoft Update –sivuston sekä Windows Server Update Services –palvelun avulla.

Haavoittuvuus koskee seuraavia ohjelmistoja:

- Microsoft Office 2003 (Service Pack 1 ja Service Pack 2)

- Microsoft Word 2003

- Microsoft Word Viewer 2003

- Microsoft Office XP (Service Pack 3)

- Microsoft Word 2002

- Microsoft Office 2000 (Service Pack 3)

- Microsoft Word 2000

- Microsoft Office 2004 for Mac

- Microsoft Word 2004 for Mac

- Microsoft Office v. X for Mac

- Microsoft Word v. X for Mac

- Microsoft Works Suite versiot 2004, 2005 ja 2006

Haavoittuvuuteen liittyviä lisätietoja ja linkit korjauksen eri versioihin

löytyvät Microsoftin Web-sivustosta seuraavista osoitteista:

https://www.microsoft.com/technet/security/bulletin/ms06-oct.mspx

https://www.microsoft.com/technet/security/Bulletin/MS06-060.mspx

https://support.microsoft.com/kb/924554

------------------------------------------------------------

MS06-061 Vulnerabilities in Microsoft XML Core Services Could Allow Remote Code Execution (924191)

Luokitus: Kriittinen (Critical)

Tiedote MS06-061 koskee Windowsin XML Core Services -toiminnallisuutta. Toiminnallisuudesta on löydetty kaksi haavoittuvuutta. Ensimmäinen haavoittuvuuksista liittyy XMLHTTP-komponentin tapaan määrittää käyttöoikeuksia Internet Explorer -selaimessa. Haavoittuvuus antaa vihamieliselle hyökkääjälle mahdollisuuden päästä käsiksi tietoihin, joihin hänellä ei normaalisti ole käyttöoikeutta (Information Displocusre -tyyppinen haavoittuvuus). Toinen haavoittuvuus liittyy tapaan, jolla toiminnallisuus käsittelee XSLT-muotoisia (Extensible Stylesheet Language Transformation) tietoja. Haavoittuvuus antaa vihamieliselle hyökkääjälle mahdollisuuden suorittaa haluamaansa ohjelmakoodia kohteena olevassa tietojärjestelmässä (Remote Code Execution -tyyppinen haavoittuvuus. Molempia haavoittuvuuksia voidaan hyödyntää määrittämällä tietyllä tavalla muotoiltu Web-sivu ja sen jälkeen houkuttelemalla käyttäjä avaamaan Web-sivu Internet Explorer -selaimessa.

Huomautuksia:

- Järjestelmässä voi olla asennettuna useita eri versioita XML Core Services -toiminnallisuudesta, jolloin korjaus on asennettava erikseen kuhunkin versioon.

- Edellä kuvattujen haavoittuvuuksien korjausten lisäksi päivityspaketti asettaa ns. kill bitin joillekin XML Core Services -toiminnallisuuden version 2.6 sisältämille ActiveX-komponenteille, jolloin niitä ei voi kutsua Internet Explorer -selaimen kautta.

• Korjaus vaatii järjestelmän uudelleenkäynnistyksen asennuksen jälkeen.

• Korjauksen asennuksen voi peruuttaa.

• Korjaus voidaan tunnistaa MBSA-ohjelmiston (Microsoft Baseline Security Analyzer) versioilla 1.2.1 ja 2.0 osan haavoittuvien komponenttien osalta.

• Korjaus voidaan asentaa SMS-ohjelmiston (Systems Management Server) avulla.

• Korjaus voidaan asentaa Windows Update- ja Microsoft Update -sivustojen sekä Software Update Services- ja Windows Server Update Services –palvelujen avulla.

• Korjaus tulee saataville Microsoftin Downloads-sivustoon (https://www.microsoft.com/downloads, linkit yksittäisiin korjauksiin

löytyvät englanninkielisestä tiedotteesta osoitteessa https://www.microsoft.com/technet/security/Bulletin/MS06-061.mspx).

• Tarkempia tietoja asennus- ja tunnistusmahdollisuuksista korjauksen eri versioille on englanninkielisessä tiedotteessa.

Haavoittuvuus koskee XML Core Services -toiminnallisuuden versioita 2.6, 4.0, 5.0 ja 6.0 seuraavissa käyttöjärjestelmissä:

- Microsoft Windows 2000 (Service Pack 4)

- Microsoft Windows XP (Service Pack 1 ja Service Pack 2)

- Microsoft Windows XP Professional x64 Edition

- Microsoft Windows Server 2003 (alkuperäinen versio ja Service Pack 1)

- Microsoft Windows Server 2003 for Itanium-based Systems (alkuperäinen versio ja Service Pack 1)

- Microsoft Windows Server 2003 x64 Edition

Haavoittuvuuteen liittyviä lisätietoja ja linkit korjauksen eri versioihin löytyvät Microsoftin Web-sivustosta seuraavista osoitteista:

https://www.microsoft.com/technet/security/bulletin/ms06-oct.mspx

https://www.microsoft.com/technet/security/Bulletin/MS06-061.mspx

https://support.microsoft.com/kb/924191

------------------------------------------------------------

MS06-062 Vulnerabilities in Microsoft Office Could Allow Remote Code Execution (922581)

Luokitus: Kriittinen (Critical)

Tiedote MS06-060 koskee Microsoftin Office-ohjelmistoa. Tiedotteessa kuvattu päivitys korjaa Officesta neljä haavoittuvuutta, jotka kaikki antavat hyökkääjälle mahdollisuuden suorittaa haluamaansa ohjelmakoodia kohteena olevassa järjestelmässä (Remote Code Execution –tyyppinen haavoittuvuus). Hyökkääjä voi hyödyntää haavoittuvuuksia samalla tavalla, eli houkuttelemalla käyttäjän avaamaan jollain web-sivulla olevan tietyllä tavalla muotoillun Office-tiedoston tai välittämällä tiedoston käyttäjälle sähköpostin välityksellä. Kun käyttäjä avaa tiedoston, aiheuttaa tiedoston käsitteleminen Office-sovelluksessa muistivirheen tai muistin korruptoitumisen, jolloin hyökkääjä pääsee suorittamaan haluamaansa ohjelmakoodia. Ohjelmakoodi suoritetaan järjestelmään kirjautuneen käyttäjän käyttöoikeuksilla. Lisätietoja haavoittuvuuksista on englanninkielisessä tiedotteessa osoitteessa https://www.microsoft.com/technet/security/bulletin/ms06-062.mspx.

• Korjauksen asennuksen voi peruuttaa Office 2003- ja Office 2002 –versioissa. Muissa versiossa korjauksen asennusta ei voi peruuttaa.

• Korjaus voidaan tunnistaa MBSA-ohjelmiston (Microsoft Baseline Security Analyzer) versioilla 1.2.1 ja 2.0 osan Office-versioiden osalta. Lisätietoja on englanninkielisessä tiedotteessa.

• Korjaus voidaan asentaa SMS-ohjelmiston (Systems Management Server) avulla osan Office-versioiden osalta. Lisätietoja on englanninkielisessä tiedotteessa.

• Korjaus voidaan asentaa Microsoft Update –sivuston sekä Windows Server Update Services –palvelun avulla.

Haavoittuvuus koskee seuraavia ohjelmistoja:

- Microsoft Office 2003 (Service Pack 1 ja Service Pack 2)

- Kaikki Officen komponentit sekä Word Viewer 2003 ja Excel Viewer 2003

- Microsoft Office XP (Service Pack 3)

- Microsoft Office 2000 (Service Pack 3)

- Microsoft Project 2000 (Service Release 1)

- Microsoft Project 2002 (Service Pack 2)

- Microsoft Office 2004 for Mac

- Microsoft Office v. X for Mac

Haavoittuvuus EI koske seuraavia ohjelmistoja:

- Microsoft Office PowerPoint 2003 Viewer

- Microsoft Works Suite versiot 2004, 2005 ja 2006

Haavoittuvuuteen liittyviä lisätietoja ja linkit korjauksen eri versioihin

löytyvät Microsoftin Web-sivustosta seuraavista osoitteista:

https://www.microsoft.com/technet/security/bulletin/ms06-oct.mspx

https://www.microsoft.com/technet/security/Bulletin/MS06-062.mspx

https://support.microsoft.com/kb/922581

------------------------------------------------------------

MS06-063 Vulnerability in Server Service Could Allow Denial of Service (923414)

Luokitus: Tärkeä (Important)

Tiedote MS06-063 koskee Windows Server-palvelua. Palvelusta on löydetty kaksi haavoittuvuutta, jotka liittyvät palvelun tapaan käsitellä vastaanotettuja verkkopaketteja. Vihamielinen hyökkääjä voi haavoittuvuuksia lähettämällä kohteena olevaan tietojärjestelmään tietyllä tavalla muotoillun verkkopaketin, joka aiheuttaa sen, että järjestelmä ei enää vastaa sille annettuihin pyyntöihin (Denial of Service -tyyppinen haavoittuvuus).

Huomautuksia:

- Haavoittuvuuksien aiheuttamaa riskiä voidaan pienentää rajoittamalla liikennettä järjestelmän tiettyihin portteihin. Lisätietoja on englanninkielisen tiedotteen Workarounds-osiossa.

• Korjaus vaatii järjestelmän uudelleenkäynnistyksen asennuksen jälkeen.

• Korjauksen asennuksen voi peruuttaa.

• Korjaus voidaan tunnistaa MBSA-ohjelmiston (Microsoft Baseline Security Analyzer) versioilla 1.2.1 ja 2.0.

• Korjaus voidaan asentaa SMS-ohjelmiston (Systems Management Server) avulla.

• Korjaus voidaan asentaa Windows Update- ja Microsoft Update -sivustojen sekä Software Update Services- ja Windows Server Update Services –palvelujen avulla.

• Korjaus tulee saataville Microsoftin Downloads-sivustoon (https://www.microsoft.com/downloads, linkit yksittäisiin korjauksiin

löytyvät englanninkielisestä tiedotteesta osoitteessa https://www.microsoft.com/technet/security/Bulletin/MS06-063.mspx).

• Tarkempia tietoja asennus- ja tunnistusmahdollisuuksista korjauksen eri versioille on englanninkielisessä tiedotteessa.

Haavoittuvuus koskee seuraavia käyttöjärjestelmiä:

- Microsoft Windows 2000 (Service Pack 4)

- Microsoft Windows XP (Service Pack 1 ja Service Pack 2)

- Microsoft Windows XP Professional x64 Edition

- Microsoft Windows Server 2003 (alkuperäinen versio ja Service Pack 1)

- Microsoft Windows Server 2003 for Itanium-based Systems (alkuperäinen versio ja Service Pack 1)

- Microsoft Windows Server 2003 x64 Edition

Haavoittuvuuteen liittyviä lisätietoja ja linkit korjauksen eri versioihin löytyvät Microsoftin Web-sivustosta seuraavista osoitteista:

https://www.microsoft.com/technet/security/bulletin/ms06-oct.mspx

https://www.microsoft.com/technet/security/Bulletin/MS06-063.mspx

https://support.microsoft.com/kb/923414

------------------------------------------------------------

MS06-064 Vulnerabilities in TCP/IP IPv6 Could Allow Denial of Service (922819)

Luokitus: Alhainen (Low)

Tiedote MS06-064 koskee Microsoftin IPv6-protokollatoteutusta. Tiedotteen mukainen korjauspaketti korjaa protokollatoteutuksesta kolme haavoittuvuutta, jotka koskevat protokollan tapaa käsitellä ICMP- tai TCP-paketteja. Vihamielinen hyökkääjä voi haavoittuvuuksia lähettämällä kohteena olevaan tietojärjestelmään tietyllä tavalla muotoillun verkkopaketin, joka aiheuttaa sen, että järjestelmä ei enää vastaa sille annettuihin pyyntöihin (Denial of Service -tyyppinen haavoittuvuus).

Huomautuksia:

- Ipv6-ptotokollatoteutus ei ole asennettuna oletuksena mihinkään tuetuista Windows-versioista. Jos järjestelmään on asennettu Ipv6-ptotokollatoteutus, voidaan haavoittuvuuksien aiheuttamaa riskiä pienentää poistamalla protokolla järjestelmästä.

• Korjaus vaatii järjestelmän uudelleenkäynnistyksen asennuksen jälkeen.

• Korjauksen asennuksen voi peruuttaa.

• Korjaus voidaan tunnistaa MBSA-ohjelmiston (Microsoft Baseline Security Analyzer) versioilla 1.2.1 ja 2.0.

• Korjaus voidaan asentaa SMS-ohjelmiston (Systems Management Server) avulla.

• Korjaus voidaan asentaa Windows Update- ja Microsoft Update -sivustojen sekä Software Update Services- ja Windows Server Update Services –palvelujen avulla.

• Korjaus tulee saataville Microsoftin Downloads-sivustoon (https://www.microsoft.com/downloads, linkit yksittäisiin korjauksiin

löytyvät englanninkielisestä tiedotteesta osoitteessa https://www.microsoft.com/technet/security/Bulletin/MS06-063.mspx).

• Tarkempia tietoja asennus- ja tunnistusmahdollisuuksista korjauksen eri versioille on englanninkielisessä tiedotteessa.

Haavoittuvuus koskee seuraavia käyttöjärjestelmiä:

- Microsoft Windows XP (Service Pack 1 ja Service Pack 2)

- Microsoft Windows XP Professional x64 Edition

- Microsoft Windows Server 2003 (alkuperäinen versio ja Service Pack 1)

- Microsoft Windows Server 2003 for Itanium-based Systems (alkuperäinen versio ja Service Pack 1)

- Microsoft Windows Server 2003 x64 Edition

Haavoittuvuus EI koske seuraavia käyttöjärjestelmiä:

- Microsoft Windows 2000 (Service Pack 4)

Haavoittuvuuteen liittyviä lisätietoja ja linkit korjauksen eri versioihin löytyvät Microsoftin Web-sivustosta seuraavista osoitteista:

https://www.microsoft.com/technet/security/bulletin/ms06-oct.mspx

https://www.microsoft.com/technet/security/Bulletin/MS06-064.mspx

https://support.microsoft.com/kb/922819

------------------------------------------------------------

MS06-065 Vulnerability in Windows Object Packager Could Allow Remote Execution (924496)

Luokitus: Keskitaso (Moderate)

Tiedote MS06-065 koskee Windowsin Object Packager -komponenttia. Object Packager -komponenttia käytetään paketoimaan jonkinlainen objekti tiedoston sisälle. Haavoittuvuus liittyy Object Packagerin tapaan käsitellä sille välitettyjä tiedostoja ja antaa hyökkääjälle mahdollisuuden suorittaa haluamaansa ohjelmakoodia kohteena olevassa tietojärjestelmässä (Remote Code Execution -tyyppinen haavoittuvuus). Ohjelmakoodi suoritetaan järjestelmään kirjautuneen käyttäjän käyttöoikeuksilla. Hyökkääjä voi hyödyntää haavoittuvuutta välittämällä käyttäjälle tietyllä tavalla muotoillun tiedoston ja sen jälkeen houkuttelemalla käyttäjän ensin avaamaan tiedoston ja sen jälkeen napsauttamaan sen sisältämää objektia.

• Korjaus vaatii järjestelmän uudelleenkäynnistyksen asennuksen jälkeen.

• Korjauksen asennuksen voi peruuttaa.

• Korjaus voidaan tunnistaa MBSA-ohjelmiston (Microsoft Baseline Security Analyzer) versioilla 1.2.1 ja 2.0.

• Korjaus voidaan asentaa SMS-ohjelmiston (Systems Management Server) avulla.

• Korjaus voidaan asentaa ja Microsoft Update –sivuston sekä Windows Server Update Services –palvelun avulla.

Haavoittuvuus koskee seuraavia käyttöjärjestelmän versioita:

- Microsoft Windows XP (Service Pack 1 ja Service Pack 2)

- Microsoft Windows XP Professional x64 Edition

- Microsoft Windows Server 2003 (alkuperäinen versio ja Service Pack 1)

- Microsoft Windows Server 2003 for Itanium-based Systems (alkuperäinen versio ja Service Pack 1)

- Microsoft Windows Server 2003 x64 Edition

Haavoittuvuus EI koske seuraavia käyttöjärjestelmän versioita:

- Microsoft Windows 2000 (Service Pack 4)

Haavoittuvuuteen liittyviä lisätietoja ja linkit korjauksen eri versioihin

löytyvät Microsoftin Web-sivustosta seuraavista osoitteista:

https://www.microsoft.com/technet/security/bulletin/ms06-oct.mspx

https://www.microsoft.com/technet/security/Bulletin/MS06-065.mspx

https://support.microsoft.com/kb/924496

Partager via

Lokakuun 2006 tietoturvatiedotteet

Ressources supplémentaires