Bulletin zabezpečení společnosti Microsoft MS07-054 – důležitý

Jak bude tento upgrade distribuován?  
Po přihlášení ke službě MSN Messenger budou uživatelé programů MSN Messenger 6.2 a MSN Messenger 7.0 v podporovaných vydáních operačního systému Windows dříve než u systému Windows XP vyzváni mechanismem pro nasazení klientů ve službě MSN Messenger k přijetí nabídky upgradu na program MSN Messenger 7.0.0820.

Zákazníci, kteří chtějí ihned stáhnout upgrade na verzi MSN Messenger 7.0.0820, mohou využít odkaz na centrum pro stahování Download Center uvedený v tomto bulletinu zabezpečení v části Software obsahující tuto chybu. Týká se to pouze uživatelů služby MSN Messenger 6.2 a MSN Messenger 7.0 v podporovaných vydáních systému Microsoft Windows 2000 Service Pack 4.

Po přihlášení ke službě MSN Messenger nebo Windows Live Messenger budou uživatelé programů MSN Messenger 6.2, MSN Messenger 7.0, MSN Messenger 7.5 a Windows Live Messenger 8.0 v podporovaných vydáních systému Windows XP a novějších vyzváni mechanismem pro nasazení klientů ve službě MSN Messenger nebo Windows Live Messenger k přijetí nabídky upgradu na program Windows Live Messenger 8.1.

Zákazníci, kteří chtějí ihned stáhnout upgrade na verzi Windows Live Messenger 8.1, mohou využít odkaz na centrum pro stahování Download Center uvedený v tomto bulletinu zabezpečení v části Software obsahující tuto chybu. Týká se to pouze uživatelů služby MSN Messenger 6.2, MSN Messenger 7.0, MSN Messenger 7.5 a Windows Live Messenger 8.0 v podporovaných vydáních systémů vyšších než Microsoft Windows 2000 Service Pack 4.

Uživatelům používajícím verze klientů MSN Messenger nebo Windows Live Messenger s chybou zabezpečení nemusí být povoleno připojení ke službě MSN Messenger nebo Windows Live Messenger.

Proč společnost Microsoft vydává tento upgrade přes službu MSN Messenger nebo Windows Live Messenger a zároveň poskytuje soubory ke stažení?  
Společnost Microsoft vydává upgrady klientů MSN Messenger nebo Windows Live Messenger prostřednictvím služby MSN Messenger nebo Windows Live Messenger, protože tyto online služby mají svůj vlastní mechanismus pro nasazení klientů. Pro některé klienty služby MSN Messenger a Windows Live Messenger spuštěné na platformách uvedených v tabulce Software obsahující tuto chybu jsou však dostupné také odkazy centra pro stahován, protože uživatelé mohou chtít stáhnout upgrade okamžitě.

Pokud se jedná o upgrade, jak mohu zjistit, zda mám verzi programu MSN Messenger nebo Windows Live Messenger, která tuto chybu zabezpečení obsahuje?  
Pokud se pokusíte přihlásit ke službě MSN Messenger nebo Windows Live Messenger, mechanismus pro nasazení klientů automaticky zjistí aktuální verzi klienta a platformy a v případě potřeby doporučí příslušný upgrade. Verzi klienta služby MSN Messenger nebo Windows Live Messenger můžete také ověřit klepnutím na tlačítko Nápověda a položku O programu.

Co se stane, pokud neprovedu upgrade na verzi MSN Messenger 7.0.0820 nebo Windows Live Messenger 8.1?  
Pokud neprovedete upgrade na verzi klienta MSN Messenger nebo Windows Live Messenger (v závislosti na vaší platformě) neobsahující tuto chybu, budete při každém pokusu o přihlášení na tento upgrade upozorněni. Pokud upgrade neakceptujete, může vám být odepřen přístup ke službě MSN Messenger nebo Windows Live Messenger. Podrobnosti o platformách a upgradovaných verzích klientů MSN Messenger a Windows Live Messenger naleznete v této sekci v tabulce Software neobsahující tuto chybu.

Jsou touto chybou zabezpečení postiženy také další aplikace Microsoft pro spolupráci v reálném čase, například Windows Messenger nebo Office Communicator?  
Ne. Jiné aplikace pro zasílání zpráv nejsou postiženy, neboť neobsahují žádnou postiženou součást.

V programech MSN Messenger 6.2, MSN Messenger 7.0, MSN Messenger 7.5 a Windows Live Messenger 8.0 existuje chyba zabezpečení umožňující vzdálené spuštění kódu. Tato chyba zabezpečení umožňuje vzdálené spuštění kódu, pokud se uživatel rozhodne přijmout pozvání k relaci webové kamery nebo video konverzaci od útočníka. Útočník, který by tuto chybu zabezpečení zneužil, může získat úplnou kontrolu nad ohroženým systémem. Uživatelé, jejichž účty jsou konfigurovány tak, aby měli v systému méně uživatelských práv, by byli vystaveni menšímu riziku než uživatelé s uživatelskými právy správce.

Tuto chybu zabezpečení lze zobrazit jako standardní položku v seznamu známých chyb zabezpečení a ohrožení pod číslem CVE-2007-2931.

Snížení rizika se týká nastavení, běžné konfigurace nebo obecného osvědčeného postupu existujícího ve výchozím stavu, který by mohl snížit závažnost zneužití chyby zabezpečení. V dané situaci mohou být užitečné následující faktory snížení rizika:

•	Aby útočník tuto chybu zabezpečení zneužil, musel by uživatele přesvědčit k přijetí pozvání k relaci webové kamery nebo k video konverzaci ve zprávě programu MSN Messenger nebo Windows Live Messenger. Útočník nemůže uživatele k přijetí takového pozvání nijak přinutit. Namísto toho by útočník musel uživatele přesvědčit, aby pozvání k relaci webové kamery nebo video konverzaci přijali.
•	Útočník, který by úspěšně zneužil tuto chybu zabezpečení, by mohl získat stejná uživatelská práva, jako má místní uživatel. Uživatelé, jejichž účty jsou konfigurovány tak, aby měli v systému méně uživatelských práv, by byli vystaveni menšímu riziku než uživatelé s uživatelskými právy správce.
•	Uživatelé programu Windows Live Messenger 8.1, vydaného v lednu 2007, již jsou před touto chybou zabezpečení chráněni. Uživatelé nedávno vydané verze MSN Messenger 7.0.0820 jsou před touto chybou zabezpečení také chráněni.

Na začátek sekce

Alternativní řešení se týká nastavení nebo změny konfigurace, která nevyřeší základní problém, ale pomůže před provedením upgradu zablokovat známé útoky. Společnost Microsoft testovala následující alternativní řešení a v popisu uvádí, zda dané řešení omezuje funkčnost:

•	Zablokujte komunikaci programu MSN Messenger nebo Windows Live Messenger pomocí serveru ISA. Viz článek 925120 znalostní báze Microsoft Knowledge Base. Dopad zástupného řešení. Zabráníte tak přenosu dat programu MSN Messenger nebo Windows Live Messenger traffic do podniku nebo z něj.
•	Zablokujte vybrané síťové porty pro program MSN Messenger nebo Windows Live Messenger. Viz článek 927847 znalostní báze Microsoft Knowledge Base. Dopad zástupného řešení. Umožňuje správcům výběrově zablokovat relace webové kamery a video konverzace namísto úplného zablokování přenosu dat programů MSN Messenger nebo Windows Live Messenger.

Na začátek sekce

Jaký je rozsah této chyby zabezpečení?  
Jedná se o chybu zabezpečení umožňující vzdálené spuštění kódu. Útočník, který by tuto chybu zabezpečení zneužil, by mohl získat úplnou kontrolu nad postiženým systémem. Útočník by tak mohl instalovat programy a zobrazovat, měnit či odstraňovat data či vytvářet nové účty s úplnými uživatelskými právy. Uživatelé, jejichž účty jsou konfigurovány tak, aby měli v systému méně uživatelských práv, by byli vystaveni menšímu riziku než uživatelé s uživatelskými právy správce.

Co tuto chybu zabezpečení způsobuje?  
Chyba zabezpečení spočívá ve způsobu, jakým program MSN Messenger nebo Windows Live zpracovává speciálně vytvořené relace webové kamery nebo video konverzace. Může způsobit poškození paměti takovým způsobem, že by útočník mohl spustit libovolný kód v kontextu zabezpečení přihlášeného uživatele.

K čemu by mohl útočník tuto chybu zabezpečení zneužít?  
Útočník, který by tuto chybu zabezpečení zneužil, by mohl získat úplnou kontrolu nad postiženým systémem. Útočník by tak mohl instalovat programy a zobrazovat, měnit či odstraňovat data či vytvářet nové účty s úplnými uživatelskými právy. Uživatelé, jejichž účty jsou konfigurovány tak, aby měli v systému méně uživatelských práv, by byli vystaveni menšímu riziku než uživatelé s uživatelskými právy správce.

Jak by mohl útočník tuto chybu zabezpečení zneužít?  
Útočník by mohl uživateli odeslat zprávu a pozvat ho k připojení ke speciálně vytvořené relaci webové kamery nebo video konverzace, která zneužívá tuto chybu zabezpečení. Útočník však nemůže žádným způsobem přinutit uživatele k návštěvě takových relací webové kamery nebo video konverzací. Namísto toho by útočník musel uživatele přesvědčit, aby pozvání k relaci webové kamery nebo video konverzaci přijali.

Které systémy jsou touto chybou ohroženy nejvíce?  
Aby tato chyba zabezpečení mohla být zneužita, musí se uživatel přihlásit ke službě MSN Messenger nebo Windows Live Messenger a přijmout pozvání k relaci webové kamery nebo video konverzaci. Všechny systémy, ve kterých se používá program MSN Messenger 6.2, MSN Messenger 7.0, MSN Messenger 7.5 nebo Windows Live Messenger 8.0, například pracovní stanice či servery, jsou proto touto chybou zabezpečení ohroženy.

Co je podstatou této aktualizace?  
Programy MSN Messenger 7.0.0820 a Windows Live Messenger 8.1 byly aktualizovány tak, aby správně obsluhovaly relace webové kamery nebo video konverzace.

Nepoužívám webovou kameru. Potřebuji přesto upgrade?  
Ano. Při přihlášení vás služba MSN Messenger nebo Windows Live Messenger upozorní na potřebu upgradu na příslušného klienta MSN Messenger nebo Windows Live Messenger pro vaši platformu, pokud jste dosud neupgradovali.

Byla v době zveřejnění tohoto bulletinu uvedená chyba zabezpečení veřejně známá?  
Ano. Tato chyba zabezpečení je veřejně známá. Bylo jí přiřazeno číslo v seznamu známých chyb zabezpečení a ohrožení CVE-2007-2931.

Měla v době zveřejnění tohoto bulletinu společnost Microsoft nějaké informace o tom, že tato chyba zabezpečení byla zneužita?  
Ne. Společnost Microsoft sice zaznamenala publikované příklady kódu, ale nemá žádné informace, které by naznačovaly, že tato chyba zabezpečení byla v době zveřejnění tohoto bulletinu zneužita k útoku na zákazníky.

Na začátek sekce

Software obsahující tuto chybu

Informace o konkrétní aktualizaci zabezpečení pro software obsahující tuto chybu získáte klepnutím na příslušný odkaz:

Referenční tabulka

Následující tabulka obsahuje informace pro upgrade na verzi MSN Messenger 7.0.0820:

Požadavky	MSN Messenger 6.2 v systému Microsoft Windows 2000 Service Pack 4 MSN Messenger 7.0 v systému Windows 2000 Service Pack 4
Instalace	Při přihlášení ke službě MSN Messenger povolte upgrade na verzi MSN Messenger 7.0.0820. Zákazníci, kteří chtějí ihned stáhnout upgrade na verzi MSN Messenger 7.0.0820, mohou využít odkaz na centrum pro stahování Download Center uvedený v tomto bulletinu zabezpečení v části Software obsahující tuto chybu. Týká se to pouze uživatelů služby MSN Messenger 6.2 a MSN Messenger 7.0 v podporovaných vydáních systému Microsoft Windows 2000 Service Pack 4.
Požadavek na restartování	Ano, v případě, že máte v systému v průběhu upgradu aktivní uživatele s více relacemi programu MSN Messenger, může být po dokončení upgradu vyžadováno restartování
Informace o odinstalaci	Použijte panel Přidat nebo Odebrat programy v Ovládacích panelech.
Ověření upgradu	V programu MSN Messenger klepněte na nabídku Nápověda a na příkaz O programu. Zkontrolujte, zda je číslo verze 7.0.0820.

Na začátek sekce

Referenční tabulka

Následující tabulka obsahuje informace o upgradu na verzi Windows Live Messenger 8.1:

Požadavky	MSN Messenger 6.2 v systému Windows XP Service Pack 2 MSN Messenger 7.0 v systému Windows XP Service Pack 2 MSN Messenger  7.5 v systému Windows XP Service Pack 2 Windows Live Messenger 8.0 v systému Windows XP Service Pack 2 MSN Messenger 6.2 v systému Windows XP Professional x64 Edition MSN Messenger 7.0 v systému Windows XP Professional x64 Edition MSN Messenger 7.5 v systému Windows XP Professional x64 Edition Windows Live Messenger 8.0 v systému Windows XP Professional x64 Edition MSN Messenger 6.2 v systému Windows  XP Professional x64 Edition Service Pack 2 MSN Messenger 7.0 v systému Windows XP Professional x64 Edition Service Pack 2 MSN Messenger 7.5 v systému Windows XP Professional x64 Edition Service Pack 2 Windows Live Messenger 8.0 v systému Windows XP Professional x64 Edition Service Pack 2 MSN Messenger 6.2 v systému Windows Server 2003 Service Pack 1 a Windows Server 2003 Service Pack 2 MSN Messenger 7.0 v systému Windows Server 2003 Service Pack 1 a Windows Server 2003 Service Pack 2 MSN Messenger 7.5 v systému Windows Server 2003 Service Pack 1 a Windows Server 2003 Service Pack 2 Windows Live Messenger 8.0 v systému Windows Server 2003 Service Pack 1 a Windows Server 2003 Service Pack 2 MSN Messenger 6.2 v systému Windows Server 2003 x64 Edition MSN Messenger 7.0 v systému Windows Server 2003 x64 Edition MSN Messenger 7.5 v systému Windows Server 2003 x64 Edition Windows Live Messenger 8.0 v systému Windows Server 2003 x64 Edition MSN Messenger 6.2 v systému Windows Server 2003 x64 Edition Service Pack 2 MSN Messenger 7.0 v systému Windows Server 2003 x64 Edition Service Pack 2 MSN Messenger 7.5 v systému Windows Server 2003 x64 Edition Service Pack 2 Windows Live Messenger 8.0 v systému Windows Server 2003 x64 Edition Service Pack  2 MSN Messenger 6.2 v systému Windows Vista MSN Messenger 7.0 v systému Windows Vista MSN Messenger 7.5 v systému Windows Vista Windows Live Messenger 8.0 v systému Windows Vista MSN Messenger 6.2 v systému Windows Vista x64 Edition MSN Messenger 7.0 v systému Windows Vista x64 Edition MSN Messenger 7.5 v systému Windows Vista x64 Edition Windows Live Messenger 8.0 v systému Windows Vista x64 Edition
Instalace	Při přihlašování ke službě MSN Messenger nebo Windows Live Messenger povolte upgrade na verzi Windows Live Messenger 8.1. Zákazníci, kteří chtějí ihned stáhnout upgrade na verzi Windows Live Messenger 8.1, mohou využít odkaz na centrum pro stahování Download Center uvedený v tomto bulletinu zabezpečení v části Software obsahující tuto chybu. Týká se to pouze uživatelů služby MSN Messenger 6.2, MSN Messenger 7.0, MSN Messenger 7.5 a Windows Live Messenger 8.0 v podporovaných vydáních systémů vyšších než Microsoft Windows 2000 Service Pack 4.
Požadavek na restartování	Ano, v případě, že máte v systému v průběhu upgradu aktivní uživatele s více relacemi programu MSN Messenger nebo Windows Live Messenger, může být po dokončení upgradu vyžadováno restartování
Informace o odinstalaci	Použijte panel Přidat nebo Odebrat programy v Ovládacích panelech.
Ověření upgradu	V programu Windows Live Messenger klepněte na nabídku Nápověda a na příkaz O programu. Zkontrolujte, zda je číslo verze 8.1.0178.00.

Na začátek sekce