Microsoftin huhtikuun 2006 tietoturvatiedotteet
=============
1. Yhteenveto
=============
MS06-013 Internet Explorerin kumulatiivinen korjauspäivitys (912812)
Kriittinen (Critical)
MS06-014 Haavoittuvuus MDAC-tietokantatoiminnallisuudessa (911562)
Kriittinen (Critical)
MS06-015 Haavoittuvuus Windows Explorerissa (908531) Kriittinen (Critical)
MS06-016 Outlook Expressin kumulatiivinen korjauspäivitys (911567) Tärkeä
(Important)
MS06-017 Haavoittuvuus FrontPage Server Extensions -toiminnossa (917627)
Keskitaso (Moderate)
Käyttöjärjestelmät, joita tiedotteet koskevat:
===============================================================
| Tiedote | Windows 98, | Windows | Windows | Windows Server |
| | 98SE ja ME | 2000 | XP | 2003 |
---------------------------------------------------------------
| MS06-013 | XXXX | XXXX | XXXX | XXXX |
---------------------------------------------------------------
| MS06-014 | XXXX | XXXX | XXXX | XXXX |
---------------------------------------------------------------
| MS06-015 | XXXX | XXXX | XXXX | XXXX |
---------------------------------------------------------------
| MS06-016 | | XXXX | XXXX | XXXX |
===============================================================
Edellisten lisäksi tiedote MS06-17 koskee FrontPage Server Extensions
-toiminnallisuuden versiota 2002 sekä Microsoft SharePoint Team Services
-komponenttia.
Tietoja Microsoftin tietoturvatiedotteisiin liittyvästä tiedottamisesta
löytyy osoitteesta https://www.microsoft.com/finland/security/info/. Yleisiä
huomioita tietoturvatiedotteista löytyy osoitteesta
https://www.microsoft.com/finland/security/info/bulletins.asp. Ajankohtaista
tietoa löytyy myös Suomen Microsoftin tietoturvablogista osoitteessa
https://blogs.technet.com/tietoturvan_weblogi/.
========================================
2. Kooste uusista tietoturvatiedotteista
========================================
___________________________________________________________________
MS06-013 - Cumulative Security Update for Internet Explorer (912812)
Luokitus: Kriittinen (Critical)
Tiedote MS06-013 koskee Internet Explorer -selainohjelman kumulatiivista
tietoturvapäivitystä. Internet Explorerista on löydetty useita
haavoittuvuuksia, jotka pahimmassa tapauksessa antavat vihamieliselle
hyökkääjälle mahdollisuuden suorittaa haluamaansa ohjelmakoodia kohteena
olevassa tietojärjestelmässä houkuttelemalla käyttäjän avaamaan tietyllä
tavalla muotoillun Web-sivun (Remote Code Execution -tyyppinen
haavoittuvuus). Osa haavoittuvuuksista, mm. createTextRange-kutsun
hyödyntämiseen liittyvä haavoittuvuus, on ollut julkisessa tiedossa jo ennen
korjauksen julkaisua. Lisätietoja yksittäisistä haavoittuvuuksista on
englanninkielisessä tietoturvatiedotteessa osoitteessa
https://www.microsoft.com/technet/security/Bulletin/MS06-013.mspx.
Tiedotteessa käsiteltyyn korjaukseen sisältyy myös ActiveX-komponenttien
käsittelyyn liittyvä toiminnallinen muutos, joka ei liity tietoturvaan.
Muutos on kuvattu Knowledge Base -artikkelissa 912945 osoitteessa
https://support.microsoft.com/kb/912945. Muutos saattaa aiheuttaa ongelmia
erityisesti organisaation sisäverkossa käytettävissä sovelluksissa, joissa
hyödynnetään ActiveX-komponentteja. Lisätietoja ongelmien ratkaisemikseksi
löytyy osoitteesta https://msdn.microsoft.com/ieupdate/. ActiveX-muutos
voidaan myös peruuttaa asentamalla Knowledge Base -artikkelissa 917425
(https://support.microsoft.com/kb/917425) kuvattu yhteensopivuuspäivitys. On
huomattava, että ko. Artikkelissa kuvatun yhteensopivuuspäivityksen
asentaminen peruuttaa ainoastaan ActiveX-muutoksen - sillä ei ole vaikutusta
tietoturvatiedotteessa MS06-013 kuvattuihin tietoturvaan liittyvien
korjausten asennukseen.
* Korjaus vaatii järjestelmän uudelleenkäynnistyksen asennuksen jälkeen.
* Korjauksen asennuksen voi peruuttaa.
* Korjaus voidaan tunnistaa MBSA-ohjelmiston (Microsoft Baseline Security
Analyzer) versioilla 1.2.1 ja 2.0.
* Korjaus voidaan asentaa SMS-ohjelmiston (Systems Management Server)
avulla.
* Korjaus voidaan asentaa Windows Update- ja Microsoft Update -sivustojen
sekä Software Update Services- ja Windows Server Update Services -palvelujen
avulla.
* Korjaus tulee saataville Microsoftin Downloads-sivustoon
(https://www.microsoft.com/downloads, linkit yksittäisiin korjauksiin
löytyvät englanninkielisestä tiedotteesta osoitteessa
https://www.microsoft.com/technet/security/Bulletin/MS06-013.mspx).
Haavoittuvuus koskee seuraavia käyttöjärjestelmän ja selaimen yhdistelmiä:
- Microsoft Windows 2000 (Service Pack 4) - Internet Explorer 5.01 (Service
Pack 4) ja Internet Explorer 6 (Service Pack 1)
- Microsoft Windows XP (Service Pack 1 ja Service Pack 2) - Internet
Explorer 6
- Microsoft Windows XP Professional x64 Edition - Internet Explorer 6
- Microsoft Windows Server 2003 (alkuperäinen versio, Service Pack 1 ja
R2-versio) - Internet Explorer 6
- Microsoft Windows Server 2003 for Itanium-based Systems (alkuperäinen
Versio ja Service Pack 1) - Internet Explorer 6
- Microsoft Windows Server 2003 x64 Edition (alkuperäinen versio ja
R2-versio) - Internet Explorer 6
- Microsoft Windows 98, Microsoft Windows 98 Second Edition (SE) tai
Microsoft Windows Millennium Edition (ME) - Internet Explorer 6
Haavoittuvuuteen liittyviä lisätietoja ja linkit korjauksen eri versioihin
löytyvät Microsoftin Web-sivustosta seuraavista osoitteista:
https://www.microsoft.com/technet/security/bulletin/ms06-apr.mspx
https://www.microsoft.com/technet/security/Bulletin/MS06-013.mspx
https://support.microsoft.com/kb/912812
Korjauksen luokitus on Kriittinen (Critical). Microsoft suosittelee, että
korjaus asennetaan kaikkiin sellaisiin järjestelmiin, joissa on käytössä
jokin edellä mainituista Windows-käyttöjärjestelmän ja Internet Explorer
-selainohjelman versioista.
___________________________________________________________________
MS06-014 - Vulnerability in the Microsoft Data Access Components (MDAC)
Function Could Allow Code Execution (911562)
Luokitus: Kriittinen (Critical)
Tiedote MS06-014 koskee Microsoft Data Access Components
-tietokantatoiminnallisuutta (MDAC). MDAC-toiminnallisuuteen kuuluvasta
RDS.Dataspace ActiveX-komponentista on löytynyt haavoittuvuus, jota
vihamielinen hyökkääjä voi hyödyntää halaumansa ohjelmakoodin suorittamiseen
kohteena olevassa tietojärjestelmässä (Remote Code Execution -tyyppinen
haavoittuvuus). Komponenttia käytetään Web-sivulla tietokantatiedon
lataamiseen ja käsittelemiseen.
* Korjaus ei vaadi järjestelmän uudelleenkäynnistystä asennuksen jälkeen.
* Korjauksen asennus voidaan peruuttaa.
* Korjaus voidaan tunnistaa MBSA-ohjelmiston (Microsoft Baseline Security
Analyzer) versioilla 1.2.1 (ainoastaan Windows XP SP2- ja Windows Server
2003 SP1 -käyttöjärjestelmällä varustetuissa järjestelmissä) ja 2.0.
* Korjaus voidaan asentaa SMS-ohjelmiston (Systems Management Server)
avulla.
* Korjaus voidaan asentaa Windows Update- ja Microsoft Update -sivustojen
sekä Software Update Services- ja Windows Server Update Services -palvelujen
avulla.
* Korjaus tulee saataville Microsoftin Downloads-sivustoon
(https://www.microsoft.com/downloads, linkit yksittäisiin korjauksiin
löytyvät englanninkielisestä tiedotteesta osoitteessa
https://www.microsoft.com/technet/security/Bulletin/MS06-014.mspx).
* Tarkempia tietoja asennus- ja tunnistusmahdollisuuksista korjauksen eri
versioille on englanninkielisessä tiedotteessa.
Haavoittuvuus koskee seuraavia MDAC-versioita:
- Microsoft Data Access Components 2.5 (Service Pack 3)
- Microsoft Data Access Components 2.7 (Service Pack 1)
- Microsoft Data Access Components 2.8 (Alkuperäinen versio, Service Pack 1
ja Service Pack 2)
Haavoittuvuuteen liittyviä lisätietoja ja linkit korjauksen eri versioihin
löytyvät Microsoftin Web-sivustosta seuraavista osoitteista:
https://www.microsoft.com/technet/security/bulletin/ms06-apr.mspx
https://www.microsoft.com/technet/security/Bulletin/MS06-014.mspx
https://support.microsoft.com/kb/911562
Korjauksen luokitus on Kriittinen (Critical). Microsoft suosittelee, että
korjaus asennetaan kaikkiin sellaisiin järjestelmiin, joissa on käytössä
jokin edellä mainituista MDAC-versioista.
___________________________________________________________________
MS06-015 - Vulnerability in Windows Explorer Could Allow Remote Code
Execution (908531)
Luokitus: Kriittinen (Critical)
Tiedote MS06-015 koskee Windows-käyttöjärjestelmän Explorer-sovellusta.
Explorerista on löydetty haavoittuvuus, joka liittyy Explorerin tapaan
käsitellä COM-objekteja. Vihamielinen hyökkääjä voi hyödyntää
haavoittuvuutta luomalla tietynlaisen tiedostopalvelinyhteyden muodostavan
Web-sivun ja houkuttelemalla käyttäjän avaamaan Web-sivun. Tämän jälkeen
hyökkääjä voi suorittaa käyttäjän järjestelmässä haluamaansa ohjelmakoodia
(Remote Code Execution -tyyppinen haavoittuvuus). Ohjelmakoodi suoritetaan
kirjautuneen käyttäjän oikeuksilla.
Huomautuksia:
- Haavoittuvuuden aiheuttamaa riskiä voidaan pienentää poistamalla Web
Client -palvelu käytöstä ja sulkemalla TCP-portit 139 ja 445 palomuurissa
organisaation sisäverkon ja Internetin välillä.
* Korjaus vaatii järjestelmän uudelleenkäynnistyksen asennuksen jälkeen.
* Korjauksen asennuksen voi peruuttaa.
* Korjaus voidaan tunnistaa MBSA-ohjelmiston (Microsoft Baseline Security
Analyzer) versioilla 1.2.1 ja 2.0.
* Korjaus voidaan asentaa SMS-ohjelmiston (Systems Management Server)
avulla.
* Korjaus voidaan asentaa Windows Update- ja Microsoft Update -sivustojen
sekä Software Update Services- ja Windows Server Update Services -palvelujen
avulla.
* Korjaus tulee saataville Microsoftin Downloads-sivustoon
(https://www.microsoft.com/downloads, linkit yksittäisiin korjauksiin
löytyvät englanninkielisestä tiedotteesta osoitteessa
https://www.microsoft.com/technet/security/Bulletin/MS06-015.mspx).
Haavoittuvuus koskee seuraavia käyttöjärjestelmiä:
- Microsoft Windows 2000 (Service Pack 4)
- Microsoft Windows XP (Service Pack 1 ja Service Pack 2)
- Microsoft Windows XP Professional x64 Edition
- Microsoft Windows Server 2003 (alkuperäinen versio, Service Pack 1 ja
R2-versio)
- Microsoft Windows Server 2003 for Itanium-based Systems (alkuperäinen
versio ja Service Pack 1)
- Microsoft Windows Server 2003 x64 Edition (alkuperäinen versio ja
R2-versio)
- Microsoft Windows 98, Microsoft Windows 98 Second Edition (SE) tai
Microsoft Windows Millennium Edition (ME)
Haavoittuvuuteen liittyviä lisätietoja ja linkit korjauksen eri versioihin
löytyvät Microsoftin Web-sivustosta seuraavista osoitteista:
https://www.microsoft.com/technet/security/bulletin/ms06-apr.mspx
https://www.microsoft.com/technet/security/Bulletin/MS06-015.mspx
https://support.microsoft.com/kb/908531
Korjauksen luokitus on Kriittinen (Critical). Microsoft suosittelee, että
korjaus asennetaan kaikkiin sellaisiin järjestelmiin, joissa on käytössä
jokin edellä mainituista Windows-käyttöjärjestelmän versioista.
___________________________________________________________________
MS06-016 - Cumulative Security Update for Outlook Express (911567)
Luokitus: Tärkeä (Important)
Tiedote MS06-016 koskee Windows-käyttöjärjestelmän mukana toimitettavaa
Outlook Express -sovellusta. Outlook Expressistä on löydetty haavoittuvuus,
joka liittyy Outlook Expressin tapaan käsitellä Windows Address Book
-osoitekirjatiedostoja (.wab). Vihamielinen hyökkääjä voi hyödyntää
haavoittuvuutta välittämällä käyttäjälle sähköpostin tai webin välityksellä
tietyllä tavalla muotoillun wab-tiedoston, ja sen jälkeen houkuttelemalla
käyttäjän tallentaamn tiedoston ja avaamaan sen Outlook Expressin avulla.
Tätä kautta hyökkääjä voi suorittaa käyttäjän järjestelmässä haluamaansa
ohjelmakoodia (Remote Code Execution -tyyppinen haavoittuvuus). Ohjelmakoodi
suoritetaan kirjautuneen käyttäjän oikeuksilla.
Huomautuksia:
- Haavoittuvuuden aiheuttamaa riskiä voidaan pienentää poistamalla
.wab-tiedostotyypin yhteys Outlook Express -sovellukseen. Lisätietoja on
englanninkielisen tiedotteen Workarounds-osiossa.
* Korjaus ei vaadi järjestelmän uudelleenkäynnistystä asennuksen jälkeen.
* Korjauksen asennuksen voi peruuttaa.
* Korjaus voidaan tunnistaa MBSA-ohjelmiston (Microsoft Baseline Security
Analyzer) versiolla 2.0.
* Korjaus voidaan asentaa SMS-ohjelmiston (Systems Management Server)
avulla.
* Korjaus voidaan asentaa Windows Update- ja Microsoft Update -sivustojen
sekä Software Update Services- ja Windows Server Update Services -palvelujen
avulla.
* Korjaus tulee saataville Microsoftin Downloads-sivustoon
(https://www.microsoft.com/downloads, linkit yksittäisiin korjauksiin
löytyvät englanninkielisestä tiedotteesta osoitteessa
https://www.microsoft.com/technet/security/Bulletin/MS06-016.mspx).
Haavoittuvuus koskee seuraavia tuotteita:
* Outlook Express 5.5 (Service Pack 2)
- Microsoft Windows 2000 (Service Pack 4)
* Outlook Express 6:
- Microsoft Windows XP (Service Pack 1 ja Service Pack 2)
- Microsoft Windows XP Professional x64 Edition
- Microsoft Windows Server 2003 (alkuperäinen versio, Service Pack 1 ja
R2-versio)
- Microsoft Windows Server 2003 for Itanium-based Systems (alkuperäinen
versio ja Service Pack 1)
- Microsoft Windows Server 2003 x64 Edition (alkuperäinen versio ja
R2-versio)
Haavoittuvuuteen liittyviä lisätietoja ja linkit korjauksen eri versioihin
löytyvät Microsoftin Web-sivustosta seuraavista osoitteista:
https://www.microsoft.com/technet/security/bulletin/ms06-apr.mspx
https://www.microsoft.com/technet/security/Bulletin/MS06-016.mspx
https://support.microsoft.com/kb/911567
Korjauksen luokitus on Tärkeä (Important). Microsoft suosittelee, että
korjaus asennetaan kaikkiin sellaisiin järjestelmiin, joissa on käytössä
jokin edellä mainituista Windows-käyttöjärjestelmän versioista.
___________________________________________________________________
MS06-017 - Vulnerability in Microsoft FrontPage Server Extensions Could
Allow Cross-Site Scripting (917627)
Luokitus: keskitaso (Moderate)
Tiedote MS06-017 koskee FrontPage Server Extensions -komponenttia, joka
voidaan asentaa Internet Information Server -webpalvelimeen ja jonka avulla
palvelinta ja sen sisältöä voidaan hallita ja määrittää. FrontPage Server
Extensions -komponentista on löydetty Cross Site Scripting -tyyppinen
haavoittuvuus, jota vihamielinen hyökkääjä voi hyödyntää haluamansa
script-ohjelmakoodin suorittamiseen käyttäjän selaimessa.
Huomautuksia:
- FrontPage Server Extensions -komponentti ei ole oletuksena käytössä
Windows Server 2003 -käyttöjärjestelmällä varustetussa Web-palvelimessa.
* Korjaus saattaa vaatia järjestelmän uudelleenkäynnistyksen asennuksen
jälkeen.
* Korjauksen asennuksen voi peruuttaa.
* Korjaus voidaan tunnistaa joissakin tapauksissa MBSA-ohjelmiston
(Microsoft Baseline Security Analyzer) versioilla 1.2.1 ja 2.0.
* Korjaus voidaan asentaa SMS-ohjelmiston (Systems Management Server)
avulla.
* Korjaus voidaan asentaa Microsoft Update -sivuston sekä Windows Server
Update Services -palvelun avulla.
* Korjaus tulee saataville Microsoftin Downloads-sivustoon
(https://www.microsoft.com/downloads, linkit yksittäisiin korjauksiin
löytyvät englanninkielisestä tiedotteesta osoitteessa
https://www.microsoft.com/technet/security/Bulletin/MS06-017.mspx).
Haavoittuvuus koskee seuraavia tuotteita:
- Microsoft FrontPage Server Extensions 2002
- Microsoft SharePoint Team Services
Haavoittuvuus EI koske seuraavia tuotteita:
- Microsoft FrontPage 2002
- Microsoft FrontPage Server Extensions 2000
- Microsoft Windows SharePoint Services
Haavoittuvuuteen liittyviä lisätietoja ja linkit korjauksen eri versioihin
löytyvät Microsoftin Web-sivustosta seuraavista osoitteista:
https://www.microsoft.com/technet/security/bulletin/ms06-apr.mspx
https://www.microsoft.com/technet/security/Bulletin/MS06-017.mspx
https://support.microsoft.com/kb/917627
Korjauksen luokitus on Keskitaso (Moderate). Microsoft suosittelee, että
korjaus asennetaan kaikkiin sellaisiin järjestelmiin, joissa on käytössä
jokin edellä mainituista tuoteversioista.
========================================
3. Päivitetty tietoturvatiedote MS06-005
========================================
Tietoturvatiedote MS06-005 julkaistiin helmikuussa 2006 ja se koski Windows
Media Player -sovellusta. Microsoft on julkaissut tiedotteesta päivitetyn
version, joka koskee Windows XP -käyttöjärjestelmällä (Service Pack 1 tai
Service Pack 2) varustettuja järjestelmiä, joihin on asennettu Windows Media
Playerin versio 10. Lisätietoja päivityksestä löytyy osoitteesta
https://www.microsoft.com/technet/security/Bulletin/MS06-005.mspx.
=====================
Tiedote päättyy tähän
=====================