Technet tietoturva

Microsoftin turvatiedotteiden yhteenveto, maaliskuu 2006

Julkaistu: 14. maaliskuu 2006

Versio: 1.0

Tämän tiedotteen käyttäjille tarkoitetut tiedot ovat seuraavassa Web-sivustossa.

Suojaa tietokoneesi Seuraavissa sivustoissa on Microsoftin julkaisemia tietokoneen suojaamista käsitteleviä tietoja:

Peruskäyttäjille: Kotikäyttäjän tietoturva - Suojaa tietokoneesi.

IT-alan ammattilaisille: Security Guidance Center -Web-sivusto.  

Korjaustiedostojen hallintastrategiat:Patch Management, Security Updates, and Downloads -Web-sivustossa on lisätietoja Microsoftin suosittelemista korjaustiedostojen käsittelemiseen liittyvistä toimista

IT Pro Security Zone -yhteisö: Opi uusia tietoturvatekniikoita IT-infrastruktuurisi turvallisuuden parantamiseksi ja keskustele tietoturvaan liittyvistä aiheista muiden IT-alan ammattilaisten kanssa IT Pro Security Zone -Web-sivustossa.

Microsoft Security Notification Service -palvelu: Tilaamalla Microsoft Security Notification Service -palvelun saat automaattisen ilmoituksen sähköpostitse aina, kun Microsoft julkaisee uuden tietoturvatiedotteen.

Yhteenveto

Tässä tiedotteessa on tietoja hiljattain havaittuja haavoittuvuuksia korjaavista päivityksistä. Näiden haavoittuvuuksien vakavuusasteet:

Kriittinen (1)

Tiedotteen numeroMicrosoftin tietoturvatiedote MS06-012

Tiedotteen otsikko

Microsoft Officen haavoittuvuus saattaa sallia koodin suorittamisen etäyhteyden välityksellä (905413)

Yhteenveto

Microsoft Officessa on haavoittuvuus, joka saattaa sallia koodin suorittamisen etäyhteyden välityksellä

Päivityksen tärkeys

Kriittinen

Haavoittuvuuden vaikutus

Koodin suorittaminen etäyhteyden välityksellä

Ohjelmistot, joita haavoittuvuus koskee

Office. Lisätietoja on tämän tietoturvatiedotteen kohdassa Ohjelmistot, joita haavoittuvuus koskee, ja lataussivustot

Top of sectionTop of section

Tärkeä (1)

Tiedotteen numeroMicrosoftin tietoturvatiedote MS06-011

Tiedotteen otsikko

Windows-palvelujen väljät DACL-luettelot voivat sallia käyttöoikeuksien laajentamisen (914798)

Yhteenveto

Käyttöoikeuksien laajentamiseen liittyvä haavoittuvuus voi sallia kelvollisilla käyttöoikeuksilla kirjautuvan käyttäjän ottavan hallintaansa koko järjestelmän.

Päivityksen tärkeys

Tärkeä

Haavoittuvuuden vaikutus

Käyttöoikeuksien laajentuminen

Ohjelmistot, joita haavoittuvuus koskee

Windows. Lisätietoja on tämän tietoturvatiedotteen kohdassa Ohjelmistot, joita haavoittuvuus koskee, ja lataussivustot

Top of sectionTop of section

Ohjelmistot, joita haavoittuvuus koskee, ja lataussivustot

Kuinka taulukkoa käytetään?

Tämän taulukon avulla voit selvittää, mitä tietoturvapäivityksiä järjestelmääsi on ehkä asennettava. Katso, sisältääkö taulukko käyttämäsi ohjelman tai osan ja edellyttääkö se tietoturvapäivityksen asentamista. Kunkin mainitun ohjelman tai osan yhteydessä näkyy haavoittuvuuden vaikutus ja linkki saatavana oleviin ohjelmistopäivityksiin.

Taulukon merkintä [x] ilmaisee, että aiheeseen liittyy lisätietoja. Lisätiedot ovat taulukon alapuolella.

Huomautus Yksittäinen haavoittuvuus saattaa edellyttää usean tietoturvapäivityksen asentamista. Voit tarkistaa järjestelmääsi asennettujen ohjelmien tai osien tarvitsemat päivitykset lukemalla kutakin tietoturvatiedotteen numeroa koskevat täydelliset tiedot.

Esimerkiksi tietoturvatiedote MS06-012 sisältää useita tietoturvapäivityksiä, joita järjestelmään on ehkä asennettava sen perusteella, mitä haavoittuvuuden sisältäviä ohjelmia tai osia järjestelmässä on asennettuna.

Ohjelmistot, joita haavoittuvuus koskee, ja lataussivustot

 Tiedot        Tiedot        

Tiedotteen numero

MS06-011

MS06-012

Päivityksen tärkeys

Tärkeä

Kriittinen

 

Windows-käyttöjärjestelmät, joita haavoittuvuus koskee:

 

 

Windows Server 2003

Keskitaso

 

Windows Server 2003 Service Pack 1

 

 

Server 2003 x64 Edition

 

 

Itanium-järjestelmien Windows Server 2003

Keskitaso

 

Itanium-järjestelmien Windows Server 2003 ja SP1

Tärkeä

 

Windows XP Service Pack 1

 

 

Windows XP Service Pack 2

 

 

Windows XP Professional x64 Edition

 

 

Windows 2000 Service Pack 4

 

 

Windows Millennium Edition (Me)

 

 

Windows 98 Second Edition (SE)

 

 

Windows 98

 

 

 

 

 

 

Office-ohjelmistot, joita haavoittuvuus koskee:

 

 

Excel 2003

 

Tärkeä

Excel 2003 Viewer

 

Tärkeä

Word 2002

 

Tärkeä

Excel 2002

 

Tärkeä

Outlook 2002

 

Tärkeä

PowerPoint 2002

 

Tärkeä

Office XP Multilingual User Interface Packit

 

Tärkeä

Word 2000

 

Kriittinen

Excel 2000

 

Kriittinen

Outlook 2000

 

Kriittinen

PowerPoint 2000

 

Kriittinen

Office 2000 MultiLanguage Packit

 

Kriittinen

Works Suite 2000

 

Kriittinen

Works Suite 2001

 

Kriittinen

Works Suite 2002

 

Tärkeä

Works Suite 2003

 

Tärkeä

Works Suite 2004

 

Tärkeä

Excel X for Mac

 

Tärkeä

Excel 2004 for Mac

 

Tärkeä

Top of sectionTop of section

Käyttöönotto

Software Update Services:

Microsoft Software Update Services (SUS) -palvelun avulla järjestelmänvalvojat voivat ottaa käyttöön uusimmat kriittiset päivitykset ja tietoturvapäivitykset nopeasti ja luotettavasti Windows 2000- ja Windows Server 2003 -pohjaisissa palvelimissa sekä työasemissa, joissa on Windows 2000 Professional- tai Windows XP Professional -käyttöjärjestelmä.

Lisätietoja tämän tietoturvapäivityksen ottamisesta käyttöön Software Update Services -palvelun avulla on Software Update Services -Web-sivustossa.

Windows Server Update Services:

Käyttämällä WSUS (Windows Server Update Services) -palvelua järjestelmänvalvojat voivat ottaa nopeasti ja luotettavasti käyttöön uusimmat kriittiset päivitykset ja tietoturvapäivitykset seuraavissa järjestelmissä: Windows 2000 ja sitä uudemmat, Office XP ja sitä uudemmat, Exchange Server 2003, SQL Server 2000 (Windows 2000 ja sitä uudemmat käyttöjärjestelmät).

Lisätietoja tämän tietoturvapäivityksen käyttöönottamisesta WSUS-palvelun avulla on Windows Server Update Services -Web-sivustossa

Systems Management Server:

Microsoft Systems Management Server (SMS) tarjoaa monipuolisesti määritettävän yritysratkaisun päivitysten hallintaan. SMS:n avulla järjestelmänvalvojat voivat tunnistaa tietoturvapäivityksiä tarvitsevat Windows-järjestelmät ja suorittaa hallitun päivitysten asennuksen koko yrityksessä niin, että käyttäjien työt keskeytyvät mahdollisimman vähän. Lisätietoja siitä,miten järjestelmänvalvojat voivat käyttää SMS 2003:a tietoturvapäivitysten asentamiseen, on SMS 2003 Security Patch Management -Web-sivustossa. SMS 2.0:n käyttäjät voivat asentaa tietoturvapäivityksiä myös Software Updates Service Feature Packin avulla. Lisätietoja SMS-palvelimesta on SMS-Web-sivustossa.

Huomautus SMS hyödyntää Microsoft Baseline Security Analyzer -työkalua ja Microsoft Office -työkalua laajan tietoturvapäivityksien tunnistamiseen ja asennukseen liittyvän tuen tarjoamiseksi. Nämä työkalut eivät ehkä tunnista joitakin päivityksiä. Järjestelmänvalvojat voivat käyttää SMS:n analysointiominaisuuksia päivitysten kohdentamiseen tiettyihin järjestelmiin. Lisätietoja tästä proseduurista on seuraavassa Web-sivustossa. Jotkin tietoturvapäivitykset saattavat edellyttää järjestelmänvalvojan oikeuksia, kun järjestelmä on käynnistetty uudelleen. Järjestelmänvalvojat voivat käyttää Elevated Rights Deployment Tool -työkalua (sisältyy SMS 2003 Administration Feature Packiin ja SMS 2.0 Administration Feature Packiin) päivitysten asentamisessa.

QChain.exe ja Update.exe:

Microsoft on julkistanut komentorivityökalun nimeltä QChain.exe, jonka avulla järjestelmänvalvojat voivat ketjuttaa eli asentaa turvallisesti useita tietoturvapäivityksiä. Ketjutusta käytettäessä tietokonetta ei tarvitse käynnistää uudelleen asennusten välissä. Tässä tiedotteessa mainituissa päivityksissä käytettävässä Update.exe-tiedostossa on sisäinen ketjutusominaisuus. Käyttäjät, jotka käyttävät Windows 2000 Service Pack 2:ta tai uudempaa, Windows XP:tä tai Windows Server 2003:a, eivät tarvitse Qchain.exe-tiedostoa näiden päivitysten ketjuttamiseen. Qchain.exe kuitenkin tukee näiden Windows Update -päivitysten ketjuttamista, joten järjestelmänvalvojat voivat luoda yhdenmukaisia käyttöönottokomentosarjoja eri ympäristöjä varten. Lisätietoja Qchain-ohjelmasta on seuraavassa Web-sivustossa.

Microsoft Baseline Security Analyzer:

MBSA (Microsoft Baseline Security Analyzer) -työkalulla järjestelmänvalvojat voivat tarkistaa sekä paikallisista järjestelmistä että etäjärjestelmistä, puuttuuko niistä tietoturvapäivityksiä ja onko niissä muita yleisiä tietoturvapuutteita. Lisätietoja MBSA-työkalusta on Microsoft Baseline Security Analyzer -Web-sivustossa.

Tunnistus- ja käyttöönotto-ohjeet:

Microsoft on laatinut tunnistus- ja käyttöönotto-ohjeet tässä kuussa julkaistuille tietoturvapäivityksille. Näiden ohjeiden avulla myös IT-alan ammattilaiset osaavat käyttää erilaisia työkaluja tietoturvapäivitysten käyttöönottamiseen. Näitä työkaluja ovat esimerkiksi Windows Update, Microsoft Update, Office Update, MBSA (Microsoft Baseline Security Analyzer), Office-tunnistustyökalu, MSM (Microsoft Systems Management) -palvelin, laajennettu Inventory-työkalu ja Enterprise Update Scan (EST) -työkalu. Lisätietoja on Microsoft Knowledge Base -artikkelissa 910723.

Top of sectionTop of section
Top of sectionTop of section

Muita tietoja:

Kiitokset

Microsoft kiittää yhteistyöstä seuraavia tahoja, joiden ansiosta asiakkaiden turvallisuutta on parannettu:

Andres Tarasco (SIA Group) teki yhteistyötä kanssamme tietoturvatiedotteessa MS06-011 kuvatun ongelman selvittämisessä.

Ollie Whitehouse (Symantec) ilmoitti tietoturvatiedotteessa MS06-012 kuvatun ongelman.

FelicioX teki yhteistyötä kanssamme tietoturvatiedottessa MS06-012 kuvatun ongelman selvittämisessä.

Peter Winter-Smith (NGS Software) ilmotti tietoturvatiedotteessa MS06-012 kuvatun ongelman.

Dejun (Fortinet Security Response Team) ilmoitti tietoturvatiedotteessa MS06-012 kuvatun ongelman.

TippingPoint ja Zero Day Initiative ilmoittivat tietoturvatiedotteessa MS06-012 kuvatun ongelman.

Eyas (XFOCUS Security Team) ilmoitti tietoturvatiedotteessa MS06-012 kuvatun ongelman.

Muiden tietoturvapäivitysten hankkiminen:

Muita tietoturvapäivityksiä on saatavilla seuraavista sivustoista:

Tietoturvapäivityksiä voi ladata Microsoft Download Centeristä. Päivitysten etsiminen on helpointa hakusanahaun ja hakusanan security_patch avulla.

Kuluttajille suunnattujen ympäristöjen päivityksiä voi ladata Microsoft Update -sivustosta.

Tuki:

Tuotetukea Yhdysvalloissa ja Kanadassa tarjoaa Microsoftin tuotetukipalvelut, jonka puhelinnumero on 1-866-PCSAFETY. Tietoturvapäivityksiin liittyvät tukipuhelut ovat maksuttomia.

Muissa maissa asiakkaat saavat tukea paikallisista Microsoftin tytäryhtiöistä. Tietoturvapäivityksiin liittyvä tuki on maksutonta. Lisätietoja yhteyden ottamisesta Microsoft-tukeen on International Support -Web-sivustossa.

Tietoturvaresurssit:

Microsoft TechNet Security -Web-sivustossa on lisätietoja Microsoft-tuotteiden tietoturvasta.

Microsoft Software Update Services

Microsoft Windows Server Update Services

Microsoft Baseline Security Analyzer (MBSA)

Windows Update

Microsoft Update

Windows Update Catalog: Lisätietoja Windows Update Catalogista on Microsoft Knowledge Base -artikkelissa 323166.

Office Update 

Vastuuvapauslauseke:

Microsoft Knowledge Base -tietokannan sisältämät tiedot toimitetaan "sellaisenaan" ilman minkäänlaista takuuta. Microsoft kiistää kaikki nimenomaiset ilmaistut tai epäsuorat takuut, mukaan lukien takuut tuotteen soveltuvuudesta kaupankäynnin kohteeksi ja sopivuudesta tiettyyn tarkoitukseen. Microsoft Corporation tai sen toimittajat eivät missään tapauksessa ole vastuussa vahingoista mukaan lukien suorat, satunnaiset, epäsuorat ja välilliset vahingot, liikevoiton menetys sekä erityiset vahingot, vaikka Microsoft Corporationille tai sen toimittajille olisi ilmoitettu vahinkojen mahdollisuudesta. Koska jotkin valtiot eivät salli välillisten tai satunnaisten vahinkojen vahingonkorvausvastuun poissulkemista tai rajoittamista, edellä mainittu rajoitus ei koske kaikkia asiakkaita.

Versiot:

V1.0 (14.3.2006): Tiedote julkaistu.

Top of sectionTop of section

Sivun alkuunSivun alkuun