Tammikuun 2007 tietoturvatiedotteet

Article
01/10/2007

=============

1. Yhteenveto

=============

Luokitukseltaan kriittiset (Critical) tietoturvatiedotteet:

MS07-002 Haavoittuvuuksia Microsoft Excel -taulukkolaskentaohjelmassa (927198)

MS07-003 Haavoittuvuuksia Microsoft Outlook -sähköpostiohjelmassa (925938)

MS07-004 Haavoittuvuus Windowsin VML-toteutuksessa (929969)

Luokitukseltaan tärkeät (Important) tietoturvatiedotteet:

MS07-001 Haavoittuvuus Office 2003:n brasilianportugalinkielisessä oikoluvussa (921585)

Käyttöjärjestelmät, joita tiedotteet koskevat:

===========================================================

| | 2000 | XP | 2003 | Vista |

-----------------------------------------------------------

===========================================================

Edellisen lisäksi tiedote MS07-001 koskee Officen 2003-versiota ja tiedotteet MS07-002 ja MS07-003 koskevat kaikkia tällä hetkellä tuettuja Officen versioita lukuunottamatta versiota 2007.

Tietoja Microsoftin tietoturvatiedotteisiin liittyvästä tiedottamisesta löytyy osoitteesta https://www.microsoft.com/finland/security/info/. Yleisiä huomioita tietoturvatiedotteista löytyy osoitteesta https://www.microsoft.com/finland/security/info/bulletins.asp. Ajankohtaista tietoa löytyy myös Suomen Microsoftin tietoturvablogista osoitteessa https://blogs.technet.com/tietoturvan_weblogi/.

========================================

2. Kooste uusista tietoturvatiedotteista

========================================

MS07-001 Vulnerability in Microsoft Office 2003 Brazilian Portuguese Grammar Checker Could Allow Remote Code Execution (921585)

Luokitus: Tärkeä (Important)

Tiedote MS07-001 koskee Microsoftin Office-toimisto-ohjelmiston version 2003 brasilianportugalinkielistä oikolukutoimintoa. Toiminnosta on löydetty haavoittuvuus, joka liittyy sen tapaan tehdä tarvittavia tarkistuksia Office-tiedostoon tiedoston avaamisen yhteydessä. Haavoittuvuus antaa antavat vihamieliselle hyökkääjälle mahdollisuuden suorittaa haluamaansa ohjelmakoodia kohteena olevassa järjestelmässä (Remote Code Execution -tyyppinen haavoittuvuus. Ohjelmakoodi suoritetaan järjestelmään kirjautuneen käyttäjän käyttöoikeuksilla.

* Korjaus ei vaadi järjestelmän uudelleenkäynnistystä asennuksen jälkeen edellyttäen, että korjattavat komponentit eivät ole käytössä asennuksen aikana. Lisätietoja on Microsoftin Knowledge Base –artikkelissa 887012 osoitteessa https://support.microsoft.com/kb/887012.

* Korjauksen asennuksen voi peruuttaa.

* Korjaus voidaan tunnistaa MBSA-ohjelmiston (Microsoft Baseline Security Analyzer) versioilla 1.2.1 ja 2.0.

* Korjaus voidaan asentaa SMS-ohjelmiston (Systems Management Server) avulla.

* Korjaus voidaan asentaa Microsoft Update –sivuston sekä Windows Server Update Services –palvelun avulla.

* Korjaus tulee saataville Microsoftin Downloads-sivustoon (https://www.microsoft.com/downloads, linkit yksittäisiin korjauksiin löytyvät englanninkielisestä tiedotteesta osoitteessa https://www.microsoft.com/technet/security/Bulletin/MS07-001.mspx).

Haavoittuvuus koskee seuraavia ohjelmistoversioita:

- Microsoft Office 2003 (Service Pack 2)

Huomautus: Haavoittuvuus koskee ainoastaan brasilianportugalinkielistä Office 2003 –versiota, tai englanninkielistä, johon on asennettu brasilianportugalinkielinen oikoluku tai brasilianportugalinkielinen MUI-kielipaketti.

Haavoittuvuus EI koske seuraavia ohjelmistoversioita:

- Microsoft Office 2000

- Microsoft Office XP

- Microsoft Office 2007

- Microsoft Office v.X for Mac

- Microsoft Office 2004 for Mac

Haavoittuvuuteen liittyviä lisätietoja ja linkit korjauksen eri versioihin löytyvät Microsoftin Web-sivustosta seuraavista osoitteista:

https://www.microsoft.com/technet/security/bulletin/ms07-jan.mspx

https://www.microsoft.com/technet/security/Bulletin/MS07-001.mspx

https://support.microsoft.com/kb/921585

------------------------------------------------------------

MS07-002 - Vulnerabilities in Microsoft Excel Could Allow Remote Code Execution (927198)

Luokitus: Kriittinen (Critical)

Tiedote MS07-002 koskee Microsoftin Office-ohjelmiston Excel-taulukkolaskentasovellusta. Tiedotteessa kuvattu päivitys korjaa Excelistä viisi haavoittuvuutta, jotka kaikki antavat hyökkääjälle mahdollisuuden suorittaa haluamaansa ohjelmakoodia kohteena olevassa järjestelmässä (Remote Code Execution –tyyppinen haavoittuvuus). Kaikki viisi haavoittuvuutta liittyvät Excelin tapaan tarkistaa avattavan tiedoston sisältö tiedostoa avattaessa.

Hyökkääjä voi hyödyntää haavoittuvuuksia samalla tavalla, eli houkuttelemalla käyttäjän avaamaan jollain web-sivulla olevan tietyllä tavalla muotoillun Excel-tiedoston tai välittämällä tiedoston käyttäjälle sähköpostin välityksellä. Kun käyttäjä avaa tiedoston, aiheuttaa tiedoston käsitteleminen Excelissä muistin korruptoitumisen, jolloin hyökkääjä pääsee suorittamaan haluamaansa ohjelmakoodia. Ohjelmakoodi suoritetaan järjestelmään kirjautuneen käyttäjän käyttöoikeuksilla. Lisätietoja haavoittuvuuksista on englanninkielisessä tiedotteessa osoitteessa https://www.microsoft.com/technet/security/bulletin/ms07-002.mspx.

* Korjauksen asennuksen voi peruuttaa.

* Korjaus voidaan tunnistaa MBSA-ohjelmiston (Microsoft Baseline Security Analyzer) versioilla 1.2.1 ja 2.0.

* Korjaus voidaan asentaa SMS-ohjelmiston (Systems Management Server) avulla.

* Korjaus voidaan asentaa Microsoft Update -sivuston sekä Windows Server Update Services –palvelun avulla.

* Korjaus tulee saataville Microsoftin Downloads-sivustoon (https://www.microsoft.com/downloads, linkit yksittäisiin korjauksiin

löytyvät englanninkielisestä tiedotteesta osoitteessa https://www.microsoft.com/technet/security/Bulletin/MS07-002.mspx).

* Tarkempia tietoja asennus- ja tunnistusmahdollisuuksista korjauksen eri versioille on englanninkielisessä tiedotteessa.

Haavoittuvuus koskee seuraavia ohjelmistoja:

- Microsoft Office 2003 (Service Pack 2)

- Microsoft Excel 2003

- Microsoft Excel Viewer 2003

- Microsoft Office XP (Service Pack 3)

- Microsoft Excel 2002

- Microsoft Office 2000 (Service Pack 3)

- Microsoft Excel 2000

- Microsoft Office 2004 for Mac

- Microsoft Office v. X for Mac

- Microsoft Works Suite versiot 2004 ja 2005

Haavoittuvuus EI koske seuraavia ohjelmistoja:

- 2007 Microsoft Office System

- Microsoft Excel 2007

- Microsoft Works Suite versio 2006

Haavoittuvuuteen liittyviä lisätietoja ja linkit korjauksen eri versioihin löytyvät Microsoftin Web-sivustosta seuraavista osoitteista:

https://www.microsoft.com/technet/security/bulletin/ms07-jan.mspx

https://www.microsoft.com/technet/security/Bulletin/MS07-002.mspx

https://support.microsoft.com/kb/927198

------------------------------------------------------------

MS07-003 Vulnerabilities in Microsoft Outlook Could Allow Remote Code Execution (925938)

Luokitus: Kriittinen (Critical)

Tiedote MS07-003 koskee Microsoftin Office-ohjelmiston Outlook-sähköpostisovellusta. Outlookista on löydetty kolme haavoittuvuutta, joista kaksi ensimmäistä liittyy Outlookin tapaan käsitellä iCAL-tiedostoja (.ICS-tiedostoja) sekä tallennettuja hakutiedostoja (.OSS-tiedostoja). Nämä kaksi haavoittuvuutta antavat vihamieliselle hyökkääjälle mahdollisuuden suorittaa haluamaansa ohjelmakoodia kohtena olevassa järjestelmässä (Remote Code Execution -tyyppinen haavoittuvuus). Vihamielinen hyökkääjä voi hyödyntää haavoittuvuuksia houkuttelemalla käyttäjän avaamaan jollain web-sivulla olevan tietyllä tavalla muotoillun ICS- tai OSS-tiedoston tai välittämällä tiedoston käyttäjälle sähköpostin välityksellä. Kun käyttäjä avaa tiedoston, aiheuttaa tiedoston käsitteleminen Outlookissa muistin korruptoitumisen, jolloin hyökkääjä pääsee suorittamaan haluamaansa ohjelmakoodia. Ohjelmakoodi suoritetaan järjestelmään kirjautuneen käyttäjän käyttöoikeuksilla. Lisätietoja haavoittuvuuksista on englanninkielisessä tiedotteessa osoitteessa https://www.microsoft.com/technet/security/bulletin/ms07-003.mspx.

Kolmas haavoittuvuus antaa vihamieliselle hyökkääjälle mahdollisuuden suorittaa palvelunestohyökkäyksen kohteena olevaan järjestelmään (Denial Of Service -tyyppinen haavoittuvuus). Hyökkääjä voi suorittaa hyökkäyksen lähettämällä kohteena olevalle järjestelmälle tietyllä tavalla muotoillun sähköpostiviestin.

Huomautuksia:

- ICS-tiedostojen käsittelyyn liittyvän haavoittuvuuden aiheuttamaa riskiä voidaan pienentää muuttamalla MapiCvt-luokan määrityksiä rekisterissä. Lisätietoja on englanninkielisen tiedotteen Workarounds-osiossa.

- ICS-tiedostojen käsittelyyn liittyvää haavoittuvuutta ei voida hyödyntää, jos käytössä on Exchange-palvelin ja yhteys Outlookin ja Exchange-palvelimen välillä toteutetaan MAPI-yhteytenä. Tämä johtuu Exchange-palvelimen tavasta käsitellä sanoman osana tai liitteenä olevia iCal-tietoja.

* Korjauksen asennuksen voi peruuttaa.

* Korjaus voidaan tunnistaa MBSA-ohjelmiston (Microsoft Baseline Security Analyzer) versioilla 1.2.1 ja 2.0.

* Korjaus voidaan asentaa SMS-ohjelmiston (Systems Management Server) avulla.

* Korjaus voidaan asentaa Microsoft Update -sivuston sekä Windows Server Update Services –palvelun avulla.

* Korjaus tulee saataville Microsoftin Downloads-sivustoon (https://www.microsoft.com/downloads, linkit yksittäisiin korjauksiin

löytyvät englanninkielisestä tiedotteesta osoitteessa https://www.microsoft.com/technet/security/Bulletin/MS07-003.mspx).

* Tarkempia tietoja asennus- ja tunnistusmahdollisuuksista korjauksen eri versioille on englanninkielisessä tiedotteessa.

Haavoittuvuus koskee seuraavia ohjelmistoja:

- Microsoft Office 2003 (Service Pack 2)

- Microsoft Outlook 2003

- Microsoft Office XP (Service Pack 3)

- Microsoft Outlook 2002

- Microsoft Office 2000 (Service Pack 3)

- Microsoft Outlook 2000

Haavoittuvuus EI koske seuraavia ohjelmistoja:

- Microsoft Office 2007

- Microsoft Outlook 2007

Haavoittuvuuteen liittyviä lisätietoja ja linkit korjauksen eri versioihin löytyvät Microsoftin Web-sivustosta seuraavista osoitteista:

https://www.microsoft.com/technet/security/bulletin/ms07-jan.mspx

https://www.microsoft.com/technet/security/Bulletin/MS07-003.mspx

https://support.microsoft.com/kb/925938

------------------------------------------------------------------------------------------------------------------------

MS07-004 Vulnerability in Vector Markup Language Could Allow Remote Code Execution (929969)

Luokitus: Kriittinen (Critical)

Tiedote MS07-004 koskee Windowsin VML-tiedostojen (Vector Markup Language) käsittelytoimintoa. Toiminnosta on löydetty haavoittuvuus, joka liittyy toiminnon tapaan käsitellä tietyllä tavalla muotoiltuja VML-tiedostoja. VML-tiedosto on XML-muotoinen kuvatiedosto, jonka avulla voidaan välittää vektorimuotoista kuvainformaatiota.

Vihamielinen hyökkääjä voi hyödyntää haavoittuvuutta luomalla tietyllä tavalla muotoillun, VML-tietoa sisältävän web-sivun, ja houkuttelemalla käyttäjän avamaan sivun Internet Explorer -selaimessa, tai välittämällä kuvan käyttäjälle sähköpostin välityksellä, jolloin kuvan avaaminen tai esikatselu voi aiheuttaa puskuriylivuodon VML-tiedostoja käsittelevässä VGX.DLL-komponentissa. Haavoittuvuus antaa hyökkääjälle mahdollisuuden suorittaa haluamaansa ohjelmakoodia kohteena olevassa järjestelmässä (Remote Code Execution –tyyppinen haavoittuvuus). Ohjelmakoodi suoritetaan järjestelmään kirjautuneen käyttäjän käyttöoikeuksilla.

Huomautuksia:

- Haavoittuvuuden aiheuttamaa riskiä voidaan pienentää poistamalla VGX.DLL-tiedoston rekisteröinti tai muuttamalla tiedoston käyttöoikeuksia. Lisätietoja on englanninkielisen tiedotteen Workarounds-osiossa.

* Korjaus vaatii yleensä järjestelmän uudelleenkäynnistyksen asennuksen jälkeen.

* Korjaus voidaan tunnistaa MBSA-ohjelmiston (Microsoft Baseline Security Analyzer) versiolla 2.0.

* Korjaus voidaan asentaa SMS-ohjelmiston (Systems Management Server) avulla.

* Korjaus voidaan asentaa Windows Update- ja Microsoft Update -sivustojen sekä Software Update Services- ja Windows Server Update Services –palvelujen avulla.

* Korjaus tulee saataville Microsoftin Downloads-sivustoon (https://www.microsoft.com/downloads, linkit yksittäisiin korjauksiin

löytyvät englanninkielisestä tiedotteesta osoitteessa https://www.microsoft.com/technet/security/Bulletin/MS07-004.mspx).

* Tarkempia tietoja asennus- ja tunnistusmahdollisuuksista korjauksen eri versioille on englanninkielisessä tiedotteessa.

Haavoittuvuus koskee seuraavia käyttöjärjestelmiä:

- Microsoft Windows 2000 (Service Pack 4)

- Microsoft Windows XP (Service Pack 2)

- Microsoft Windows XP Professional x64 Edition

- Microsoft Windows Server 2003 (alkuperäinen versio ja Service Pack 1)

- Microsoft Windows Server 2003 for Itanium-based Systems (alkuperäinen versio ja Service Pack 1)

- Microsoft Windows Server 2003 x64 Edition

Haavoittuvuus EI koske seuraavia käyttöjärjestelmiä:

- Microsoft Windows Vista

Haavoittuvuuteen liittyviä lisätietoja ja linkit korjauksen eri versioihin löytyvät Microsoftin Web-sivustosta seuraavista osoitteista:

https://www.microsoft.com/technet/security/bulletin/ms07-jan.mspx

https://www.microsoft.com/technet/security/Bulletin/MS07-001.mspx

https://support.microsoft.com/kb/929969

Partager via

Tammikuun 2007 tietoturvatiedotteet

Ressources supplémentaires