Technet tietoturva

Microsoftin turvatiedotteiden yhteenveto, huhtikuu 2007

Julkaistu: 3. huhtikuu 2007 | Päivitetty: 10. huhtikuu 2007

Versio: 2.0

Tässä tietoturvatiedotteiden yhteenvedossa on luettelo huhtikuussa 2007 julkaistuista tietoturvatiedotteista.

 

Tietoturvakeskus: Seuraavilla sivustoilla on Microsoftin julkaisemia tietokoneen suojaamista käsitteleviä tietoja:

Kotikäyttäjät voivat tutustua näihin tietoihin Kodin tietoturva -sivustolla.

IT-asiantuntijat saavat lisätietoja englanninkielisestä TechNet Security Centeristä.


Päivitysten hallinta: Security Guidance for Patch Management -sivustolla on lisätietoja Microsoftin suosittelemista tietoturvapäivitysten jakelutavoista. (englanninkielinen)

IT Pro Security Zone Community: Opi uusia tietoturvatekniikoita IT-infrastruktuurisi turvallisuuden parantamiseksi ja keskustele tietoturvaan liittyvistä aiheista muiden IT-alan ammattilaisten kanssa IT Pro Security Community -sivustolla. (englanninkielinen)

Microsoft Security Notification Service -palvelu: Saat automaattisen ilmoituksen sähköpostitse aina Microsoftin julkaistessa uuden tietoturvatiedotteen, kun tilaat Microsoft Technical Security Notification -palvelun. (englanninkielinen)

 

Yhteenveto

Tässä tietoturvatiedotteiden yhteenvedossa on tietoja äskettäin julkaistuista tietoturvapäivityksistä. Niihin liittyvät seuraavat tietoturvatiedotteet (luokittelujärjestyksessä):

Kriittinen (5)

 

Tiedotteen numeroMicrosoftin tietoturvatiedote MS07-017

Tiedotteen otsikko

GDI:n haavoittuvuudet saattavat sallia koodin suorittamisen verkon välityksellä (925902)

Yhteenveto

Tämä päivitys korjaa GDI:n haavoittuvuuksia, jotka saattavat sallia koodin suorittamisen etäyhteyden välityksellä.

Korkein luokitustaso

Kriittinen

Haavoittuvuuden vaikutus

Koodin suorittaminen verkon välityksellä

Tunnistus

Microsoft Baseline Security Analyzer tunnistaa, tarvitseeko tietokone tätä päivitystä. Tietokone on ehkä käynnistettävä uudelleen päivityksen jälkeen.

Ohjelmistot, joita haavoittuvuus koskee

Windows. Lisätietoja on tämän tietoturvatiedotteen kohdassa Ohjelmistot, joita haavoittuvuus koskee, ja lataussivustot

 

Tiedotteen numeroMicrosoftin tietoturvatiedote MS07-018

Tiedotteen otsikko

Microsoft Content Management Serverin haavoittuvuudet saattavat sallia koodin suorittamisen verkon välityksellä (925939)

Yhteenveto

Tämä päivitys ratkaisee Microsoft Content Management Serverin haavoittuvuuksia, jotka saattavat sallia koodin suorittamisen verkon välityksellä.

Korkein luokitustaso

Kriittinen

Haavoittuvuuden vaikutus

Koodin suorittaminen etäyhteyden välityksellä

Tunnistus

Microsoft Baseline Security Analyzer tunnistaa, tarvitseeko tietokone tätä päivitystä. Tietokone on ehkä käynnistettävä uudelleen päivityksen jälkeen.

Ohjelmistot, joita haavoittuvuus koskee

Content Management Server. Lisätietoja on tämän tietoturvatiedotteen kohdassa Ohjelmistot, joita haavoittuvuus koskee, ja lataussivustot

 

Tiedotteen numeroMicrosoftin tietoturvatiedote MS07-019

Tiedotteen otsikko

Universal Plug and Play -ominaisuuden haavoittuvuus saattaa sallia koodin suorittamisen verkon välityksellä (931261)

Yhteenveto

Tämä päivitys korjaa Universal Plug and Play -ominaisuuden haavoittuvuuden, joka saattaa sallia koodin suorittamisen verkon välityksellä.

Korkein luokitustaso

Kriittinen

Haavoittuvuuden vaikutus

Koodin suorittaminen verkon välityksellä

Tunnistus

Microsoft Baseline Security Analyzer tunnistaa, tarvitseeko tietokone tätä päivitystä. Tietokone on ehkä käynnistettävä uudelleen päivityksen jälkeen.

Ohjelmistot, joita haavoittuvuus koskee

Windows. Lisätietoja on tämän tietoturvatiedotteen kohdassa Ohjelmistot, joita haavoittuvuus koskee, ja lataussivustot

 

Tiedotteen numeroMicrosoftin tietoturvatiedote MS07-020

Tiedotteen otsikko

Microsoft Agentin haavoittuvuus saattaa sallia koodin suorittamisen verkon välityksellä (932168)

Yhteenveto

Tämä päivitys korjaa Microsoft Agentin haavoittuvuuden, joka saattaa sallia koodin suorittamisen verkon välityksellä.

Korkein luokitustaso

Kriittinen

Haavoittuvuuden vaikutus

Koodin suorittaminen verkon välityksellä

Tunnistus

Microsoft Baseline Security Analyzer tunnistaa, tarvitseeko tietokone tätä päivitystä. Tietokone on ehkä käynnistettävä uudelleen päivityksen jälkeen.

Ohjelmistot, joita haavoittuvuus koskee

Windows. Lisätietoja on tämän tietoturvatiedotteen kohdassa Ohjelmistot, joita haavoittuvuus koskee, ja lataussivustot

 

Tiedotteen numeroMicrosoftin tietoturvatiedote MS07-021

Tiedotteen otsikko

CSRSS:n haavoittuvuudet saattavat sallia koodin suorittamisen verkon välityksellä (930178)

Yhteenveto

Tämä päivitys korjaa CSRSS:n (Windows Client/Server Run-time Subsystem) haavoittuvuudet, jotka saattavat sallia koodin suorittamisen verkon välityksellä.

Korkein luokitustaso

Kriittinen

Haavoittuvuuden vaikutus

Koodin suorittaminen verkon välityksellä

Tunnistus

Microsoft Baseline Security Analyzer tunnistaa, tarvitseeko tietokone tätä päivitystä. Tietokone on ehkä käynnistettävä uudelleen päivityksen jälkeen.

Ohjelmistot, joita haavoittuvuus koskee

Windows. Lisätietoja on tämän tietoturvatiedotteen kohdassa Ohjelmistot, joita haavoittuvuus koskee, ja lataussivustot

Top of sectionTop of section

Tärkeä (1)

 

Tiedotteen numeroMicrosoftin tietoturvatiedote MS07-022

Tiedotteen otsikko

Windows-ytimen haavoittuvuus saattaa aiheuttaa käyttöoikeuksien korottamisen (931784)

Yhteenveto

Tämä päivitys ratkaisee Windows-ytimen haavoittuvuuden, joka saattaa sallia käyttöoikeuksien korottamisen.

Korkein luokitustaso

Tärkeä

Haavoittuvuuden vaikutus

Käyttöoikeuksien korottaminen

Tunnistus

Microsoft Baseline Security Analyzer tunnistaa, tarvitseeko tietokone tätä päivitystä. Tietokone on ehkä käynnistettävä uudelleen päivityksen jälkeen.

Ohjelmistot, joita haavoittuvuus koskee

Windows. Lisätietoja on tämän tietoturvatiedotteen kohdassa Ohjelmistot, joita haavoittuvuus koskee, ja lataussivustot

Top of sectionTop of section

Ohjelmistot, joita haavoittuvuus koskee, ja lataussivustot

Miten taulukkoa käytetään?

Tämän taulukon avulla voit selvittää, mitä tietoturvapäivityksiä järjestelmääsi on asennettava. Katso, sisältääkö taulukko käyttämäsi ohjelman tai osan ja edellyttääkö se tietoturvapäivityksen asentamista. Kunkin mainitun ohjelman tai osan yhteydessä näkyy haavoittuvuuden vaikutus ja linkki saatavana oleviin ohjelmistopäivityksiin.

Ohjelmistot, joita haavoittuvuus koskee, ja lataussivustot

 Tiedot        Tiedot        Tiedot        Tiedot        Tiedot        Tiedot        

Tiedotteen numero

MS07-017

MS07-018

MS07-019

MS07-020

MS07-021

MS07-022

Korkein luokitustaso

Kriittinen

Kriittinen

Kriittinen

Kriittinen

Kriittinen

Tärkeä

 

Windows-käyttöjärjestelmät, joita haavoittuvuus koskee:

 

 

 

 

 

 

Windows 2000 Service Pack 4

Kriittinen

 

 

Kriittinen

Kriittinen

Tärkeä

Windows XP Service Pack 2

Kriittinen

 

Kriittinen

Kriittinen

Kriittinen

Tärkeä

Windows XP Professional x64 Edition

Kriittinen

 

Kriittinen

Keskitaso

Kriittinen

 

Windows XP Professional x64 Edition Service Pack 2

Kriittinen

 

Kriittinen

Keskitaso

Kriittinen

 

Windows Server 2003

Kriittinen

 

 

Keskitaso

Kriittinen

Tärkeä

Windows Server 2003 Service Pack 1

Kriittinen

 

 

Keskitaso

Kriittinen

Tärkeä

Windows Server 2003 Service Pack 2

Kriittinen

 

 

Keskitaso

Kriittinen

Tärkeä

Windows Server 2003 for Itanium-based Systems

Kriittinen

 

 

Keskitaso

Kriittinen

 

Windows Server 2003 with SP1 for Itanium-based Systems

Kriittinen

 

 

Keskitaso

Kriittinen

 

Windows Server 2003 with SP2 for Itanium-based Systems

Kriittinen

 

 

Keskitaso

Kriittinen

 

Server 2003 x64 Edition

Kriittinen

 

 

Keskitaso

Kriittinen

 

Windows Server 2003 x64 Edition Service Pack 2

Kriittinen

 

 

Keskitaso

Kriittinen

 

Windows Vista

Kriittinen

 

 

 

Kriittinen

 

Windows Vista x64 Edition

Kriittinen

 

 

 

Kriittinen

 

 

Muut Microsoft-ohjelmistot, joita haavoittuvuus koskee:

 

 

 

 

 

 

Content Management Server 2001 Service Pack 1

 

Kriittinen

 

 

 

 

Content Management Server 2002 Service Pack 2

 

Kriittinen

 

 

 

 

Top of sectionTop of section

Käyttöönotto

Software Update Services:

Microsoft Software Update Services (SUS) -palvelun avulla järjestelmänvalvojat voivat ottaa käyttöön uusimmat kriittiset päivitykset ja tietoturvapäivitykset nopeasti ja luotettavasti Windows 2000- ja Windows Server 2003 -pohjaisissa palvelimissa sekä työasemissa, joissa on Windows 2000 Professional- tai Windows XP Professional -käyttöjärjestelmä.

Lisätietoja tämän tietoturvapäivityksen ottamisesta käyttöön Software Update Services -palvelun avulla on Software Update Services -sivustolla.

Windows Server Update Services:

Käyttämällä WSUS (Windows Server Update Services) -palvelua järjestelmänvalvojat voivat ottaa nopeasti ja luotettavasti käyttöön uusimmat kriittiset päivitykset ja tietoturvapäivitykset seuraavissa järjestelmissä: Windows 2000 ja sitä uudemmat, Office XP ja sitä uudemmat, Exchange Server 2003, SQL Server 2000 (Windows 2000 ja sitä uudemmat käyttöjärjestelmät).

Lisätietoja tämän tietoturvapäivityksen käyttöönottamisesta WSUS-palvelun avulla on Windows Server Update Services -sivustossa.

Systems Management Server:

Microsoft Systems Management Server (SMS) tarjoaa monipuolisesti määritettävän yritysratkaisun päivitysten hallintaan. SMS:n avulla järjestelmänvalvojat voivat tunnistaa tietoturvapäivityksiä tarvitsevat Windows-järjestelmät ja suorittaa hallitun päivitysten asennuksen koko yrityksessä niin, että käyttäjien työt keskeytyvät mahdollisimman vähän. Lisätietoja siitä, kuinka järjestelmänvalvojat voivat käyttää SMS 2003:a tietoturvapäivitysten asentamiseen, on SMS 2003 Security Patch Management -sivustossa. SMS 2.0:n käyttäjät voivat asentaa tietoturvapäivityksiä myös Software Updates Services Feature Packin avulla. Lisätietoja SMS:stä on Microsoft Systems Management Server -sivustossa.

Huomautus SMS hyödyntää laaja-alaisesti Microsoft Baseline Security Analyzer- ja Microsoft Office Detectioin Tool -työkalua tietoturvapäivityksien tunnistamiseen ja asennukseen liittyvän tuen tarjoamiseen. Nämä työkalut eivät ehkä tunnista joitakin päivityksiä. Järjestelmänvalvojat voivat käyttää SMS:n analysointiominaisuuksia päivitysten kohdentamiseen tiettyihin järjestelmiin. Lisätietoja tämän tekemisestä on Deploying Software Updates Using the SMS Software Distribution Feature -sivustossa. Jotkin tietoturvapäivitykset saattavat edellyttää järjestelmänvalvojan oikeuksia, kun järjestelmä on käynnistetty uudelleen. Järjestelmänvalvojat voivat käyttää Elevated Rights Deployment Tool -työkalua (sisältyy SMS 2003 Administration Feature Packiin ja SMS 2.0 Administration Feature Packiin) päivitysten asentamisessa.

QChain.exe ja Update.exe:

Microsoft on julkistanut komentorivityökalun nimeltä QChain.exe, jonka avulla järjestelmänvalvojat voivat ketjuttaa eli asentaa turvallisesti useita tietoturvapäivityksiä. Ketjutusta käytettäessä tietokonetta ei tarvitse käynnistää uudelleen asennusten välissä. Tässä tiedotteessa mainituissa päivityksissä käytettävässä Update.exe-tiedostossa on sisäinen ketjutusominaisuus. Käyttäjät, jotka käyttävät Windows 2000 Service Pack 2:ta tai uudempaa, Windows XP:tä tai Windows Server 2003:a, eivät tarvitse Qchain.exe-tiedostoa näiden päivitysten ketjuttamiseen. Qchain.exe kuitenkin tukee näiden Windows Update -päivitysten ketjuttamista, joten järjestelmänvalvojat voivat luoda yhdenmukaisia käyttöönottokomentosarjoja eri ympäristöjä varten. Lisätietoja Qchain-ohjelmasta on seuraavalla web-sivustolla.

Microsoft Baseline Security Analyzer:

MBSA (Microsoft Baseline Security Analyzer) -työkalulla järjestelmänvalvojat voivat tarkistaa sekä paikallisista järjestelmistä että etäjärjestelmistä, puuttuuko niistä tietoturvapäivityksiä ja onko niissä muita yleisiä tietoturvapuutteita. Lisätietoja MBSA-työkalusta on Microsoft Baseline Security Analyzer -sivustossa.

Tunnistus- ja käyttöönotto-ohjeet:

Microsoft on laatinut lisäohjeita tietoturvapäivitysten tunnistamiseen ja käyttöönottamiseen. Näiden ohjeiden avulla myös IT-asiantuntijat osaavat käyttää erilaisia työkaluja tietoturvapäivitysten käyttöönottamiseen. Näitä työkaluja ovat esimerkiksi Windows Update, Microsoft Update, Office Update, MBSA (Microsoft Baseline Security Analyzer), Office-tunnistustyökalu, MSM (Microsoft Systems Management) -palvelin, laajennettu Inventory-työkalu ja Enterprise Update Scan (EST) -työkalu. Lisätietoja on Microsoft Knowledge Base -artikkelissa 910723.

Top of sectionTop of section
Top of sectionTop of section

 

Muita tietoja:

Kiitokset:

Microsoft kiittää yhteistyöstä seuraavia tahoja, joiden ansiosta asiakkaiden turvallisuutta on parannettu:

Alexander Sotirov (Determina Security Research) ilmoitti haavoittuvuudesta, joka on kuvattu tietoturvatiedotteessa MS07-017.

McAfee teki yhteistyötä kanssamme selvittääkseen haavoittuvuuden, joka on kuvattu tietoturvatiedotteessa MS07-017.

iDefense Labs ilmoitti haavoittuvuudesta, joka on kuvattu tietoturvatiedotteessa MS07-017.

Shaun Coley (NGS Software) ilmoitti haavoittuvuudesta, joka on kuvattu tietoturvatiedotteessa MS07-017.

Thomas Phinney (Adobe Systems) ilmoitti haavoittuvuudesta, joka on kuvattu tietoturvatiedotteessa MS07-017.

Sergey Svinolobov ilmoitti haavoittuvuudesta, joka on kuvattu tietoturvatiedotteessa MS07-017.

Martyn Tovey (Netcraft) ilmoitti haavoittuvuudesta, joka on kuvattu tietoturvatiedotteessa MS07-018.

Greg MacManus (IDefense Labs) ilmoitti haavoittuvuudesta, joka on kuvattu tietoturvatiedotteessa MS07-019.

JJ Reyes ja Carsten Eiram (Secunia) ilmoittivat haavoittuvuudesta, joka on kuvattu tietoturvatiedotteessa MS07-020.

Tim Garnett (Determina Security Research) ilmoitti haavoittuvuudesta, joka on kuvattu tietoturvatiedotteessa MS07-021.

eEye ilmoitti haavoittuvuudesta, joka on kuvattu tietoturvatiedotteessa MS07-021.

eEye ilmoitti haavoittuvuudesta, joka on kuvattu tietoturvatiedotteessa MS07-022.

Windowsin haittaohjelmien poistotyökalu:

Microsoft on julkaissut päivitetyn version Microsoft Windowsin haittaohjelmien poistotyökalusta seuraavissa sivustoissa:  Windows Update, Microsoft Update, Windows Server Update Services ja Download Center.

Huomaa, että tätä työkalua ei jaeta Software Update Services (SUS) -palvelun kautta.

Tärkeät, muut kuin tietoturvapäivitykset MU-, WU-, WSUS- ja SUS-sivustoissa

Microsoft on julkaissut neljä tärkeää päivitystä, jotka eivät kuitenkaan ole tietoturvapäivityksiä, MU (Microsoft Update) -sivustolla ja WSUS (Windows Server Update Services) -palvelussa.

Microsoft on julkaissut kaksi Windows-päivitystä, jotka eivät kuitenkaan ole tietoturvapäivityksiä, WU (Windows Update) -sivustolla ja SUS (Software Update Services) -palvelussa.

Huomaa, että nämä tiedot koskevat vain sellaisia tärkeitä päivityksiä, jotka eivät ole tietoturvapäivityksiä ja jotka julkaistaan saman päivänä kuin tietoturvatiedotteiden yhteenveto Microsoft Update-, Windows Update-, Windows Server Update Services- ja Software Update Services -sivustoissa. Tietoja ei julkaista muina päivinä julkaistavista päivityksistä, jotka eivät ole tietoturvapäivityksiä.

Muiden tietoturvapäivitysten hankkiminen:

Muita tietoturvapäivityksiä on saatavilla seuraavista sivustoista:

Tietoturvapäivityksiä voi ladata Microsoft Download Centeristä. Päivitysten etsiminen on helpointa hakusanahaun ja hakusanan security_patch avulla.

Kotikäyttäjille suunnattujen ympäristöjen päivityksiä voi ladata Microsoft Update -sivustosta.

Voit hankkia tämän kuun Windows Update -tietoturvapäivitykset Security and Critical Releases ISO Image -vedostiedostona Microsoft Download Centeristä. Lisätietoja on Microsoft Knowledge Base -artikkelissa 913086.

Tuki:

Tuotetukea Yhdysvalloissa ja Kanadassa tarjoaa Microsoftin tuotetukipalvelut, jonka puhelinnumero on 1-866-PCSAFETY. Tietoturvapäivityksiin liittyvät tukipuhelut ovat maksuttomia.

Muissa maissa asiakkaat saavat tukea paikallisista Microsoftin tytäryhtiöistä. Tietoturvapäivityksiin liittyvä tuki on maksutonta. Lisätietoja yhteyden ottamisesta Microsoft-tukeen on International Help and Support -sivustossa.

Tietoturvaresurssit:

TechNet Security Centerissä on lisätietoja Microsoft-tuotteiden suojausominaisuuksista.

Microsoft Software Update Services

Microsoft Windows Server Update Services

Microsoft Baseline Security Analyzer (MBSA)

Microsoft Update

Windows Update

Windows Update Catalog: Lisätietoja Windows Update Catalogista on Microsoft Knowledge Base -artikkelissa 323166.

Office Update 

Vastuuvapauslauseke:

Microsoft Knowledge Base -tietokannan sisältämät tiedot toimitetaan "sellaisenaan" ilman minkäänlaista takuuta. Microsoft kiistää kaikki nimenomaiset ilmaistut tai epäsuorat takuut, mukaan lukien takuut tuotteen soveltuvuudesta kaupankäynnin kohteeksi ja sopivuudesta tiettyyn tarkoitukseen. Microsoft Corporation tai sen toimittajat eivät missään tapauksessa ole vastuussa vahingoista mukaan lukien suorat, satunnaiset, epäsuorat ja välilliset vahingot, liikevoiton menetys sekä erityiset vahingot, vaikka Microsoft Corporationille tai sen toimittajille olisi ilmoitettu vahinkojen mahdollisuudesta. Koska jotkin valtiot eivät salli välillisten tai satunnaisten vahinkojen vahingonkorvausvastuun poissulkemista tai rajoittamista, edellä mainittu rajoitus ei koske kaikkia asiakkaita.

Versiot:

V1.0 (3. huhtikuuta 2007): Tietoturvatiedotteen yhteenveto julkaistiin tietoturvatiedotetta MS07-17 varten.

V2.0 (10. huhtikuuta 2007): Päivitetty tietoturvatiedotteen yhteenveto julkaistiin tietoturvatiedotteiden MS07-018, MS07-019, MS07-020, MS07-021 ja MS07-022 julkaisun yhteydessä.

Top of sectionTop of section

Sivun alkuunSivun alkuun