Microsoftin tietoturvatiedotteiden yhteenveto, elokuu 2007

Julkaistu: 14. elokuu 2007 | Päivitetty: 9. tammikuu 2008

Versio: 3.0

Tässä tietoturvatiedotteiden yhteenvedossa on luettelo elokuussa 2007 julkaistuista tietoturvatiedotteista.

Tämä tietoturvatiedotteiden yhteenveto korvaa tietoturvatiedotteiden ennakkoilmoituksen, joka julkaistiin 9. elokuuta 2007. Lisätietoja tietoturvatiedotteiden ennakkoilmoituspalvelusta on Microsoft Security Bulletin Advance Notification -sivulla (englanninkielinen).

Katso lisätietoja, kuinka voit saada automaattisen ilmoituksen, kun Microsoftin tietoturvatiedote julkaistaan: Microsoft Technical Security Notifications (englanninkielinen).

Microsoft isännöi 15.8.2007 klo 21 Suomen aikaa (klo 11.00 Tyynenmeren aikaa) web-lähetystä, jossa käsitellään asiakkaiden esittämiä näihin tiedotteisiin liittyviä kysymyksiä. Rekisteröidy nyt elokuun tietoturvatiedotteen web-lähetykseen. Tämän päivämäärän jälkeen webcast-lähetyksestä voi katsoa tallenteen, lisätietoja on Microsoftin tietoturvatiedotteista ja webcast-lähetyksistä kertovassa englanninkielisessä sivustossa.

Microsoft antaa myös tietoja, joiden avulla asiakkaat voivat luokitella kerran kuukaudessa julkaistavat tietoturvapäivitykset ja tärkeät muut tietoturvapäivitykset, jotka julkaistaan samana päivänä. Lisätietoja on kohdassa Muita tietoja.

Tietoturvatiedot

Yhteenveto

Tässä julkaistavat tietoturvatiedotteet luokittelujärjestyksessä:

Kriittinen (6)

Tiedotteen numero	Microsoftin tietoturvatiedote MS07-042
Tiedotteen otsikko	Microsoft XML Core Services -osan haavoittuvuus saattaa sallia koodin suorittamisen verkon välityksellä (936227)
Yhteenveto	Tämä kriittinen tietoturvapäivitys korjaa yksityishenkilön ilmoittaman haavoittuvuuden. Tämä haavoittuvuus saattaa sallia koodin suorittamisen etäkäytön avulla, jos käyttäjä tarkastelee tietyllä tavalla muodostettua web-sivua Internet Explorerilla. Haavoittuvuutta voidaan käyttää hyväksi Microsoft XML Core Services -osaan kohdistuvilla hyökkäyksillä. Käyttäjät, joiden tilit on määritetty niin, että heillä on järjestelmään vain rajoitetut käyttöoikeudet, eivät ole niin alttiina tälle hyökkäykselle kuin järjestelmänvalvojan käyttöoikeuksin toimivat käyttäjät.
Luokitus	Kriittinen
Haavoittuvuuden vaikutus	Koodin suorittaminen verkon välityksellä
Tunnistus	Microsoft Baseline Security Analyzer tunnistaa, tarvitseeko tietokone tätä päivitystä. Tietokone on käynnistettävä uudelleen päivityksen jälkeen.
Ohjelmistot, joita haavoittuvuus koskee	Windows, XML Core Services. Lisätietoja on tämän tietoturvatiedotteen kohdassa Ohjelmistot, joita haavoittuvuus koskee, ja lataussivustot

Tiedotteen numero	Microsoftin tietoturvatiedote MS07-043
Tiedotteen otsikko	OLE-automaation haavoittuvuus saattaa sallia koodin suorittamisen verkon välityksellä (921503)
Yhteenveto	Tämä kriittinen tietoturvapäivitys korjaa yksityishenkilön ilmoittaman haavoittuvuuden. Tämä haavoittuvuus saattaa sallia koodin suorittamisen verkon avulla, jos käyttäjä tarkastelee tietyllä tavalla muodostettua web-sivua. Haavoittuvuutta voidaan käyttää hyväksi OLE (Object Linking and Embedding) -tekniikkaan kohdistuvilla hyökkäyksillä. Käyttäjät, joiden tilit on määritetty niin, että heillä on järjestelmään vain rajoitetut käyttöoikeudet, eivät ole niin alttiina tälle hyökkäykselle kuin järjestelmänvalvojan käyttöoikeuksin toimivat käyttäjät.
Luokitus	Kriittinen
Haavoittuvuuden vaikutus	Koodin suorittaminen verkon välityksellä
Tunnistus	Microsoft Baseline Security Analyzer tunnistaa, tarvitseeko tietokone tätä päivitystä. Tietokone on käynnistettävä uudelleen päivityksen jälkeen.
Ohjelmistot, joita haavoittuvuus koskee	Windows, Visual Basic, Office for Mac. Lisätietoja on tämän tietoturvatiedotteen kohdassa Ohjelmistot, joita haavoittuvuus koskee, ja lataussivustot

Tiedotteen numero	Microsoftin tietoturvatiedote MS07-044
Tiedotteen otsikko	Microsoft Excelin haavoittuvuus saattaa sallia koodin suorittamisen verkon välityksellä (940965)
Yhteenveto	Tämä tietoturvapäivitys korjaa yksityishenkilön ilmoittaman haavoittuvuuden sekä muita tietoturvaongelmia, jotka havaittiin tutkinnan aikana. Nämä haavoittuvuudet saattavat sallia koodin suorittamisen verkon välityksellä, jos käyttäjä avaa erityisesti muodostetun Excel-tiedoston. Käyttäjät, joiden tilit on määritetty niin, että heillä on järjestelmään vain rajoitetut käyttöoikeudet, eivät ole niin alttiina tälle hyökkäykselle kuin järjestelmänvalvojan käyttöoikeuksin toimivat käyttäjät.
Luokitus	Kriittinen
Haavoittuvuuden vaikutus	Koodin suorittaminen verkon välityksellä
Tunnistus	Microsoft Baseline Security Analyzer tunnistaa, tarvitseeko tietokone tätä päivitystä. Tämä päivitys ei edellytä järjestelmän käynnistämistä uudelleen.
Ohjelmistot, joita haavoittuvuus koskee	Office. Lisätietoja on tämän tietoturvatiedotteen kohdassa Ohjelmistot, joita haavoittuvuus koskee, ja lataussivustot

Tiedotteen numero	Microsoftin tietoturvatiedote MS07-045
Tiedotteen otsikko	Internet Explorerin kumulatiivinen tietoturvapäivitys (937143)
Yhteenveto	Tämä tärkeä tietoturvapäivitys korjaa kolme yksityishenkilön ilmoittamaa haavoittuvuutta. Nämä haavoittuvuudet saattavat sallia koodin suorittamisen verkon avulla, jos käyttäjä tarkastelee tietyllä tavalla muodostettua web-sivua Internet Explorerilla. Käyttäjät, joiden tilit on määritetty niin, että heillä on järjestelmään vain rajoitetut käyttöoikeudet, eivät ole niin alttiina tälle hyökkäykselle kuin järjestelmänvalvojan käyttöoikeuksin toimivat käyttäjät.
Luokitus	Kriittinen
Haavoittuvuuden vaikutus	Koodin suorittaminen verkon välityksellä
Tunnistus	Microsoft Baseline Security Analyzer tunnistaa, tarvitseeko tietokone tätä päivitystä. Tietokone on käynnistettävä uudelleen päivityksen jälkeen.
Ohjelmistot, joita haavoittuvuus koskee	Windows, Internet Explorer. Lisätietoja on tämän tietoturvatiedotteen kohdassa Ohjelmistot, joita haavoittuvuus koskee, ja lataussivustot

Tiedotteen numero	Microsoftin tietoturvatiedote MS07-046
Tiedotteen otsikko	GDI:n haavoittuvuus saattaa sallia koodin suorittamisen verkon välityksellä (938829)
Yhteenveto	Tämä kriittinen tietoturvapäivitys korjaa yksityishenkilön ilmoittaman haavoittuvuuden. Grafiikanmuodostusohjelmassa on koodin etäsuorittamisen haavoittuvuus. Tämä haavoittuvuus on tavassa, jolla se käsittelee erityisesti muotoiltuja kuvia. Hyökkääjä voi hyödyntää tätä haavoittuvuutta luomalla erityisesti muotoillun kuvan, joka saattaa sallia koodin suorittamisen verkon avulla, mikäli käyttäjä avaa haitallisen sähköpostin liitetiedoston. Hyödyntämällä tätä haavoittuvuutta onnistuneesti hyökkääjä voi saada kokonaan hallintaansa haavoittuvuuden sisältävän järjestelmän.
Luokitus	Kriittinen
Haavoittuvuuden vaikutus	Koodin suorittaminen verkon välityksellä
Tunnistus	Microsoft Baseline Security Analyzer tunnistaa, tarvitseeko tietokone tätä päivitystä. Tietokone on käynnistettävä uudelleen päivityksen jälkeen.
Ohjelmistot, joita haavoittuvuus koskee	Windows. Lisätietoja on tämän tietoturvatiedotteen kohdassa Ohjelmistot, joita haavoittuvuus koskee, ja lataussivustot

Tiedotteen numero	Microsoftin tietoturvatiedote MS07-050
Tiedotteen otsikko	VML (Vector Markup Language) -kielen haavoittuvuus saattaa sallia koodin suorittamisen verkon avulla (938127)
Yhteenveto	Tämä tietoturvapäivitys korjaa yksityishenkilön ilmoittaman haavoittuvuuden, joka esiintyy kun VML (Vector Markup Language) -kieltä käytetään Windowsissa. Tämä haavoittuvuus saattaa sallia koodin suorittamisen verkon avulla, jos käyttäjä tarkastelee tietyllä tavalla muodostettua web-sivua Internet Explorerilla. Käyttäjät, joiden tilit on määritetty niin, että heillä on järjestelmään vain rajoitetut käyttöoikeudet, eivät ole niin alttiina tälle hyökkäykselle kuin järjestelmänvalvojan käyttöoikeuksin toimivat käyttäjät.
Luokitus	Kriittinen
Haavoittuvuuden vaikutus	Koodin suorittaminen verkon välityksellä
Tunnistus	Microsoft Baseline Security Analyzer tunnistaa, tarvitseeko tietokone tätä päivitystä. Tietokone on käynnistettävä uudelleen päivityksen jälkeen.
Ohjelmistot, joita haavoittuvuus koskee	Windows, Internet Explorer. Lisätietoja on tämän tietoturvatiedotteen kohdassa Ohjelmistot, joita haavoittuvuus koskee, ja lataussivustot

Top of section

Tärkeä (3)

Tiedotteen numero	Microsoftin tietoturvatiedote MS07-047
Tiedotteen otsikko	Windows Media Playerin haavoittuvuus saattaa sallia koodin suorittamisen verkon välityksellä (936782)
Yhteenveto	Tämä tärkeä tietoturvapäivitys korjaa kaksi yksityishenkilön ilmoittamaa haavoittuvuutta. Nämä haavoittuvuudet saattavat sallia koodin suorittamisen verkon välityksellä, jos käyttäjä avaa erityisesti muodostetun tiedoston Windows Media Playerissä. Käyttäjät, joiden tilit on määritetty niin, että heillä on järjestelmään vain rajoitetut käyttöoikeudet, eivät ole niin alttiina tälle hyökkäykselle kuin järjestelmänvalvojan käyttöoikeuksin toimivat käyttäjät.
Luokitus	Tärkeä
Haavoittuvuuden vaikutus	Koodin suorittaminen verkon välityksellä
Tunnistus	Microsoft Baseline Security Analyzer tunnistaa, tarvitseeko tietokone tätä päivitystä. Tämä päivitys ei edellytä järjestelmän käynnistämistä uudelleen.
Ohjelmistot, joita haavoittuvuus koskee	Windows. Lisätietoja on tämän tietoturvatiedotteen kohdassa Ohjelmistot, joita haavoittuvuus koskee, ja lataussivustot

Tiedotteen numero	Microsoftin tietoturvatiedote MS07-048
Tiedotteen otsikko	Windowsin pienoisohjelman haavoittuvuudet saattavat sallia koodin suorittamisen verkon välityksellä (938123)
Yhteenveto	Tämä tärkeä tietoturvapäivitys korjaa kaksi yksityishenkilön ilmoittamaa haavoittuvuutta sekä muita haavoittuvuuksia, jotka havaittiin tutkinnan aikana. Nämä haavoittuvuudet saattavat sallia tuntemattoman etähyökkääjän suorittaa koodia kirjautuneen käyttäjän käyttöoikeuksin. Jos käyttäjä on tilannut haitallisen RSS-syötteen otsikkosyötteiden pienoisohjelmassa, lisännyt haitallisen yhteystietotiedoston yhteystietopienoisohjelmaan tai napsauttanut sääpienoisohjelmassa haitallista linkkiä, hyökkääjä voi mahdollisesti suorittaa järjestelmässä koodia. Kaikissa hyökkäystavoissa käyttäjät, joiden tilit on määritetty niin, että heillä on järjestelmään vain rajoitetut käyttöoikeudet, eivät ole niin alttiina tälle hyökkäykselle kuin järjestelmänvalvojan käyttöoikeuksin toimivat käyttäjät.
Luokitus	Tärkeä
Haavoittuvuuden vaikutus	Koodin suorittaminen verkon välityksellä
Tunnistus	Microsoft Baseline Security Analyzer tunnistaa, tarvitseeko tietokone tätä päivitystä. Tietokone on käynnistettävä uudelleen päivityksen jälkeen.
Ohjelmistot, joita haavoittuvuus koskee	Windows Vista. Lisätietoja on tämän tietoturvatiedotteen kohdassa Ohjelmistot, joita haavoittuvuus koskee, ja lataussivustot

Tiedotteen numero	Microsoftin tietoturvatiedote MS07-049
Tiedotteen otsikko	Virtual PC:n ja näennäispalvelimen haavoittuvuus saattaa sallia käyttöoikeuksien korottamisen (937986)
Yhteenveto	Tämä tärkeä tietoturvapäivitys korjaa yksityishenkilön ilmoittaman haavoittuvuuden. Tämä on käyttöoikeuksien korottamista koskeva haavoittuvuus. Virtual PC:n ja näennäispalvelimen haavoittuvuus saattaa sallia vieras-käyttöjärjestelmän käyttäjän suorittaa koodin isäntäjärjestelmässä tai muissa vieras-käyttöjärjestelmissä. Vain ne vieras-käyttöjärjestelmän käyttäjät, joilla on kyseisen järjestelmän järjestelmänvalvojan oikeudet, voivat hyödyntää tätä haavoittuvuutta. Ne vieras-käyttöjärjestelmän käyttäjät, joilla ei ole kyseisen järjestelmän järjestelmänvalvojan oikeuksia, eivät voi hyödyntää tätä haavoittuvuutta.
Luokitus	Tärkeä
Haavoittuvuuden vaikutus	Käyttöoikeuksien korottaminen
Tunnistus	Microsoft Baseline Security Analyzer tunnistaa, tarvitseeko tietokone tätä päivitystä. Tämä päivitys ei edellytä järjestelmän käynnistämistä uudelleen.
Ohjelmistot, joita haavoittuvuus koskee	Virtual PC, näennäispalvelin. Lisätietoja on tämän tietoturvatiedotteen kohdassa Ohjelmistot, joita haavoittuvuus koskee, ja lataussivustot

Top of section

Ohjelmistot, joita haavoittuvuus koskee, ja lataussivustot

Miten taulukkoa käytetään?

Tämän taulukon avulla voit selvittää, mitä tietoturvapäivityksiä järjestelmääsi on asennettava. Katso, sisältääkö taulukko käyttämäsi ohjelman tai osan ja edellyttääkö se tietoturvapäivityksen asentamista. Kunkin mainitun ohjelman tai osan yhteydessä näkyy haavoittuvuuden vaikutus ja linkki saatavana oleviin ohjelmistopäivityksiin.

Huomautus Yksittäinen haavoittuvuus saattaa edellyttää useiden tietoturvapäivitysten asentamista. Voit tarkistaa järjestelmääsi asennettujen ohjelmien tai osien tarvitsemat päivitykset tutustumalla tarkemmin kuhunkin yksittäiseen tietoturvatiedotteeseen.

Ohjelmistot, joita haavoittuvuus koskee, ja lataussivustot MS07-042 - MS07-046

Ohjelmistot, joita haavoittuvuus koskee, ja lataussivustot

	Tiedot	Tiedot	Tiedot	Tiedot	Tiedot
Tiedotteen numero	MS07-042	MS07-043	MS07-044	MS07-045	MS07-046
Luokitus	Kriittinen	Kriittinen	Kriittinen	Kriittinen	Kriittinen
Windows-käyttöjärjestelmät, joita haavoittuvuus koskee
Microsoft Windows 2000 Service Pack 4	[1]	Kriittinen		[1]	Kriittinen
Windows XP Service Pack 2	[1]	Kriittinen		[1]	Kriittinen
Windows XP Professional x64 Edition	[1]	Kriittinen		[1]	Kriittinen
Windows XP Professional x64 Edition Service Pack 2	[1]	Kriittinen		[1]
Windows Server 2003 Service Pack 1	[1]	Keskitaso		[1]	Kriittinen
Windows Server 2003 Service Pack 2	[1]	Keskitaso		[1]
Server 2003 x64 Edition	[1]	Keskitaso		[1]	Kriittinen
Windows Server 2003 x64 Edition Service Pack 2	[1]	Keskitaso		[1]
Windows Server 2003 with SP1 for Itanium-based Systems	[1]	Keskitaso		[1]	Kriittinen
Windows Server 2003 with SP2 for Itanium-based Systems	[1]	Keskitaso		[1]
Windows Vista	[1]			[1]
Windows Vista x64 Edition	[1]			[1]
Windows-käyttöjärjestelmien osat, joita haavoittuvuus koskee
Internet Explorer 5.01 Service Pack 4 ja Microsoft Windows 2000 Service Pack 4				Kriittinen
Microsoft Windows 2000 Service Pack 4:n Internet Explorer 6 Service Pack 1				Kriittinen
Windows XP Service Pack 2:n Internet Explorer 6				Kriittinen
Windows XP Professional x64 Editionin Internet Explorer 6 ja Windows XP Professional x64 Edition Service Pack 2				Kriittinen
Windows Server 2003 Service Pack 1:n ja Windows Server 2003 Service Pack 2:n Internet Explorer 6				Keskitaso
Windows Server 2003 x64 Editionin ja Windows Server 2003 x64 Edition Service Pack 2:n Internet Explorer 6				Keskitaso
Internet Explorer 6, kun käyttöjärjestelmänä on Windows Server 2003 with SP1 for Itanium-based Systems ja Windows Server 2003 with SP2 for Itanium-based Systems				Keskitaso
Windows XP Service Pack 2:n Internet Explorer 7				Tärkeä
Windows XP Professional x64 Editionin Internet Explorer 7 ja Windows XP Professional x64 Edition Service Pack 2				Tärkeä
Windows Server 2003 Service Pack 1:n ja Windows Server 2003 Service Pack 2:n Internet Explorer 7				Ei tärkeä
Windows Server 2003 x64 Editionin ja Windows Server 2003 x64 Edition Service Pack 2:n Internet Explorer 7				Ei tärkeä
Internet Explorer 7, kun käyttöjärjestelmänä on Windows Server 2003 with SP1 for Itanium-based Systems ja Windows Server 2003 with SP2 for Itanium-based Systems				Ei tärkeä
Windows Vistan Internet Explorer 7				Tärkeä
Windows Vista x64 Editionin Internet Explorer 7				Tärkeä
Microsoft Windows 2000 Service Pack 4:n Microsoft XML Core Services 3.0 (KB936021)	Kriittinen
Windows XP Service Pack 2:n Microsoft XML Core Services 3.0 (KB936021)	Kriittinen
Windows XP Professional x64 Editionin ja Windows XP Professional x64 Edition Service Pack 2:n Microsoft XML Core Services 3.0 (KB936021)	Kriittinen
Windows Server 2003 Service Pack 1:n ja Windows Server 2003 Service Pack 2:n Microsoft XML Core Services 3.0 (KB936021)	Keskitaso
Windows Server 2003 x64 Editionin ja Windows Server 2003 x64 Edition Service Pack 2:n Microsoft XML Core Services 3.0 (KB936021)	Keskitaso
Windows Server 2003 with SP1 for Itanium-based Systemsin ja Windows Server 2003 with SP2 for Itanium-based Systemsin Microsoft XML Core Services 3.0 (KB936021)	Keskitaso
Windows Vistan Microsoft XML Core Services 3.0 (KB936021)	Kriittinen
Windows Vista x64 Editionin Microsoft XML Core Services 3.0 (KB936021)	Kriittinen
Microsoft Windows 2000 Service Pack 4:ään asennettu Microsoft XML Core Services 4.0 (KB936181)	Kriittinen
Windows XP Service Pack 2:n Microsoft XML Core Services 4.0 (KB936181)	Kriittinen
Windows XP Professional x64 Editioniin ja Windows XP Professional x64 Edition Service Pack 2:een asennettu Microsoft XML Core Services 4.0 (KB936181)	Kriittinen
Windows Server 2003 Service Pack 1:een ja Windows Server 2003 Service Pack 2:een asennettu Microsoft XML Core Services 4.0 (KB936181)	Keskitaso
Windows Server 2003 x64 Editioniin ja Windows Server 2003 x64 Edition Service Pack 2:een asennettu Microsoft XML Core Services 4.0 (KB936181)	Keskitaso
Windows Server 2003 with SP1 for Itanium-based Systemsiin ja Windows Server 2003 with SP2 for Itanium-based Systemsiin asennettu Microsoft XML Core Services 3.0 (KB936021)	Keskitaso
Windows Vistaan asennettu Microsoft XML Core Services 4.0 (KB936181)	Kriittinen
Windows Vista x64 Editioniin asennettu Microsoft XML Core Services 4.0 (KB936181)	Kriittinen
Microsoft XML Core Services 6.0 (KB933579) Microsoft Windows 2000 Service Pack 4:ään asennettuna	Kriittinen
Windows XP Service Pack 2:ään asennettu Microsoft XML Core Services 6.0 (KB933579)	Kriittinen
Windows XP Professional x64 Editioniin ja Windows XP Professional x64 Edition Service Pack 2:een asennettu Microsoft XML Core Services 6.0 (KB933579)	Kriittinen
Windows Server 2003 Service Pack 1:een ja Windows Server 2003 Service Pack 2:een asennettu Microsoft XML Core Services 6.0 (KB933579)	Keskitaso
Windows Server 2003 x64 Editioniin ja Windows Server 2003 x64 Edition Service Pack 2:een asennettu Microsoft XML Core Services 6.0 (KB933579)	Keskitaso
Windows Server 2003 with SP1 for Itanium-based Systemsiin ja Windows Server 2003 with SP2 for Itanium-based Systemsiin asennettu Microsoft XML Core Services 6.0 (KB933579)	Keskitaso
Windows Vistan Microsoft XML Core Services 6.0 (KB933579)	Kriittinen
Windows Vista x64 Editionin Microsoft XML Core Services 6.0 (KB933579)	Kriittinen
Office-ohjelmistot, joita haavoittuvuus koskee
Microsoft Excel 2000 Service Pack 3			Kriittinen
Microsoft Excel 2002 Service Pack 3			Tärkeä
Microsoft Excel 2003 Service Pack 2			Tärkeä
Microsoft Office 2003 Service Pack 2 ja Microsoft XML Core Services 6.0 (KB936048)	Kriittinen
Microsoft Excel Viewer 2003			Tärkeä
Microsoft Word Viewer 2003 ja Microsoft XML Core Services 5.0 (KB936048)	Kriittinen
Microsoft Office 2004 for Mac		Kriittinen	Tärkeä
2007 Office System ja Microsoft XML Core Services 5.0 (KB936960)	Kriittinen
Microsoft Office Groove Server 2007 ja Microsoft XML Core Services 5.0 (KB936056)	Kriittinen
Microsoft Office SharePoint Server ja Microsoft XML Core Services 5.0 (KB936056)	Kriittinen
Muut ohjelmistot, joita haavoittuvuus koskee
Microsoft Visual Basic 6.0 Service Pack 6 (KB924053)		Kriittinen

Huomautuksia

[1] Tähän käyttöjärjestelmään on saatavana tietoturvapäivitys. Tarkista taulukosta, mikä tietoturvatiedote käsittelee haavoittuvuuden sisältävää ohjelmistoa tai osaa.

Top of section

Ohjelmistot, joita haavoittuvuus koskee, ja lataussivustot MS07-047 - MS07-050

Ohjelmistot, joita haavoittuvuus koskee, ja lataussivustot

	Tiedot	Tiedot	Tiedot	Tiedot
Tiedotteen numero	MS07-047	MS07-048	MS07-049	MS07-050
Luokitus	Tärkeä	Tärkeä	Tärkeä	Kriittinen
Windows-käyttöjärjestelmät, joita haavoittuvuus koskee
Microsoft Windows 2000 Service Pack 4	[1]			[1]
Windows XP Service Pack 2	[1]			[1]
Windows XP Professional x64 Edition	[1]			[1]
Windows XP Professional x64 Edition Service Pack 2	[1]			[1]
Windows Server 2003 Service Pack 1	[1]			[1]
Windows Server 2003 Service Pack 2	[1]			[1]
Server 2003 x64 Edition	[1]			[1]
Windows Server 2003 x64 Edition Service Pack 2	[1]			[1]
Windows Server 2003 with SP1 for Itanium-based Systems				[1]
Windows Server 2003 with SP2 for Itanium-based Systems				[1]
Windows Vista	[1]	Tärkeä		[1]
Windows Vista x64 Edition	[1]	Tärkeä		[1]
Windows-käyttöjärjestelmien osat, joita haavoittuvuus koskee
Internet Explorer 5.01 Service Pack 4 ja Microsoft Windows 2000 Service Pack 4				Kriittinen
Microsoft Windows 2000 Service Pack 4:n Internet Explorer 6 Service Pack 1				Kriittinen
Windows XP Service Pack 2:n Internet Explorer 6				Kriittinen
Windows XP Professional x64 Editionin Internet Explorer 6 ja Windows XP Professional x64 Edition Service Pack 2				Kriittinen
Windows Server 2003 Service Pack 1:n ja Windows Server 2003 Service Pack 2:n Internet Explorer 6				Kriittinen
Windows Server 2003 x64 Editionin ja Windows Server 2003 x64 Edition Service Pack 2:n Internet Explorer 6				Kriittinen
Internet Explorer 6, kun käyttöjärjestelmänä on Windows Server 2003 with SP1 for Itanium-based Systems ja Windows Server 2003 with SP2 for Itanium-based Systems				Kriittinen
Windows XP Service Pack 2:n Internet Explorer 7				Kriittinen
Windows XP Professional x64 Editionin Internet Explorer 7 ja Windows XP Professional x64 Edition Service Pack 2				Kriittinen
Windows Server 2003 Service Pack 1:n ja Windows Server 2003 Service Pack 2:n Internet Explorer 7				Kriittinen
Windows Server 2003 x64 Editionin ja Windows Server 2003 x64 Edition Service Pack 2:n Internet Explorer 7				Kriittinen
Internet Explorer 7, kun käyttöjärjestelmänä on Windows Server 2003 with SP1 for Itanium-based Systems ja Windows Server 2003 with SP2 for Itanium-based Systems				Kriittinen
Windows Vistan Internet Explorer 7				Kriittinen
Windows Vista x64 Editionin Internet Explorer 7				Kriittinen
Microsoft Windows Server 2000 Service Pack 4:n Windows Media Player 7.1	Tärkeä
Microsoft Windows Server 2000 Service Pack 4:ään asennettu Windows Media Player 7.1	Tärkeä
Windows XP Service Pack 2:n Windows Media Player 9	Tärkeä
Windows XP Service Pack 2:een asennettu Windows Media Player 10	Tärkeä
Windows XP Professional x64 Editionin ja Windows XP Professional x64 Edition Service Pack 2:n Windows Media Player 10	Tärkeä
Windows Server 2003 Service Pack 1:n ja Windows Server 2003 Service Pack 2:n Windows Media Player 10	Tärkeä
Windows Server 2003 x64 Editionin ja Windows Server 2003 x64 Edition Service Pack 2:n Windows Media Player 10	Tärkeä
Windows XP Service Pack 2:een asennettu Windows Media Player 11	Tärkeä
Windows XP Professional x64 Editionin ja Windows XP Professional x64 Edition Service Pack 2:n Windows Media Player 11	Tärkeä
Windows Vistan Windows Media Player 11	Tärkeä
Windows Vista x64 Editionin Windows Media Player 11	Tärkeä
Muut ohjelmistot, joita haavoittuvuus koskee
Microsoft Virtual PC 2004			Tärkeä
Microsoft Virtual PC 2004 Service Pack 1			Tärkeä
Microsoft Virtual Server 2005 Standard Edition			Tärkeä
Microsoft Virtual Server 2005 Enterprise Edition			Tärkeä
Microsoft Virtual Server 2005 R2 Standard Edition			Tärkeä
Microsoft Virtual Server 2005 R2 Enterprise Edition			Tärkeä
Microsoft Virtual PC for Mac Version 6.1			Tärkeä
Microsoft Virtual PC for Mac Version 7			Tärkeä

Huomautuksia

[1] Tähän käyttöjärjestelmään on saatavana tietoturvapäivitys. Tarkista taulukosta, mikä tietoturvatiedote käsittelee haavoittuvuuden sisältävää ohjelmistoa tai osaa.

Top of section

Tunnistus- ja käyttöönottotyökalut ja ohjeet

Tietoturvakeskus

Voit hallita ohjelmistoa ja tietoturvapäivityksiä, joita tarvitset organisaatiosi palvelimien, työaseman ja kannettavien tietokoneiden käyttöönottamiseen. Lisätietoja on TechNet Update Management Center -sivustossa (joka voi olla englanninkielinen). TechNet Security Centerissä on lisätietoja Microsoft-tuotteiden suojausominaisuuksista. Kotikäyttäjät voivat tutustua näihin tietoihin valitsemalla Kodin tietoturva -sivustossa Tietoturvapäivitykset.

Tietoturvapäivitykset ovat saatavana Microsoft Update-, Windows Update- ja Office Update -sivustoissa. Tietoturvapäivityksiä voi ladata myös Microsoft Download Centeristä. Päivitysten etsiminen on helpointa hakusanahaun ja hakusanan "security_patch" avulla. Tietoturvapäivitykset voidaan ladata lisäksi Windows Update Catalog -palvelusta. Lisätietoja Windows Update Catalogista on Microsoft Knowledge Base -artikkelissa 323166.

Tunnistus- ja käyttöönotto-ohjeet

Microsoft on laatinut tunnistus- ja käyttöönotto-ohjeet tässä kuussa julkaistuille tietoturvapäivityksille. Näiden ohjeiden avulla myös IT-alan ammattilaiset osaavat käyttää erilaisia työkaluja tietoturvapäivitysten käyttöönottamiseen. Näitä työkaluja ovat esimerkiksi Windows Update, Microsoft Update, Office Update, MBSA (Microsoft Baseline Security Analyzer), Office-tunnistustyökalu, MSM (Microsoft Systems Management) -palvelin, laajennettu Inventory-työkalu ja Enterprise Update Scan (EST) -työkalu. Lisätietoja on Microsoft Knowledge Base -artikkelissa 910723.

Microsoft Baseline Security Analyzer ja Enterprise Update Scan Tool

MBSA (Microsoft Baseline Security Analyzer) -työkalulla järjestelmänvalvojat voivat tarkistaa sekä paikallisista järjestelmistä että etäjärjestelmistä, puuttuuko niistä tietoturvapäivityksiä ja onko niissä muita yleisiä tietoturvapuutteita. Lisätietoja MBSA-työkalusta on Microsoft Baseline Security Analyzer -sivustossa.

Kun MBSA 1.2.1 ei tue tietyn tietoturvapäivityksen tunnistamista, Microsoft julkaisee kyseistä tietoturvapäivitystä varten EST (Enterprise Update Scan Tool) -version. Lisätietoja EST-tarkistustyökalusta on sivustossa Enterprise Update Scan Tool.

Huomautus MBSA 1.2.1:n käyttämää MSSecure.XML-tiedostoa ei päivitetä 9.10.2007 jälkeen. Tämän päivämäärän jälkeen uusia tietoturvapäivityksiä ei lisätä MBSA 1.2.1:n käyttämän MSSecure.XML-tiedostoon eikä Enterprise Scan Tool -tarkistustyökalusta julkaista enää uusia versioita. Lisätietoja on Microsoft Baseline Security Analyzer -sivustossa.

Windows Server Update Services

Käyttämällä WSUS (Windows Server Update Services) -palvelua järjestelmänvalvojat voivat ottaa nopeasti ja luotettavasti käyttöön uusimmat kriittiset päivitykset ja tietoturvapäivitykset seuraavissa järjestelmissä: Windows 2000 ja sitä uudemmat, Office XP ja sitä uudemmat, Exchange Server 2003, SQL Server 2000 (Windows 2000 ja sitä uudemmat käyttöjärjestelmät).

Lisätietoja tämän tietoturvapäivityksen käyttöönottamisesta WSUS-palvelun avulla on Windows Server Update Services -sivustossa.

Systems Management Server

Microsoft Systems Management Server (SMS) tarjoaa monipuolisesti määritettävän yritysratkaisun päivitysten hallintaan. SMS:n avulla järjestelmänvalvojat voivat tunnistaa tietoturvapäivityksiä tarvitsevat Windows-järjestelmät ja suorittaa hallitun päivitysten asennuksen koko yrityksessä niin, että käyttäjien työt keskeytyvät mahdollisimman vähän. Lisätietoja siitä, kuinka järjestelmänvalvojat voivat käyttää SMS 2003:a tietoturvapäivitysten asentamiseen, on SMS 2003 Security Patch Management -sivustossa. SMS 2.0:n käyttäjät voivat asentaa tietoturvapäivityksiä myös Software Updates Services Feature Packin avulla. Lisätietoja SMS:stä on Microsoft Systems Management Server -sivustossa.

Huomautus SMS hyödyntää laaja-alaisesti Microsoft Baseline Security Analyzer- ja Microsoft Office Detection Tool -työkalua tietoturvapäivityksien tunnistamiseen ja asennukseen liittyvän tuen tarjoamiseen. Nämä työkalut eivät ehkä tunnista joitakin päivityksiä. Järjestelmänvalvojat voivat käyttää SMS:n analysointiominaisuuksia päivitysten kohdentamiseen tiettyihin järjestelmiin. Lisätietoja tämän tekemisestä on Deploying Software Updates Using the SMS Software Distribution Feature -sivustossa. Jotkin tietoturvapäivitykset saattavat edellyttää järjestelmänvalvojan oikeuksia, kun järjestelmä on käynnistetty uudelleen. Järjestelmänvalvojat voivat käyttää Elevated Rights Deployment Tool -työkalua (sisältyy SMS 2003 Administration Feature Packiin ja SMS 2.0 Administration Feature Packiin) päivitysten asentamisessa.

Top of section

Muita tietoja:

Windowsin haittaohjelmien poistotyökalu

Microsoft on julkaissut päivitetyn version Microsoft Windowsin haittaohjelmien poistotyökalusta seuraavissa sivustoissa:? Windows Update, Microsoft Update, Windows Server Update Services ja Download Center.

Top of section

Tärkeät, muut kuin tietoturvapäivitykset MU-, WU- ja SUS-sivustoissa:

Tässä kuussa:

•	Microsoft on julkaissut neljä tärkeää päivitystä, jotka eivät kuitenkaan ole tietoturvapäivityksiä, MU (Microsoft Update)- ja WSUS (Windows Server Update Services) -sivustoissa.
•	Microsoft on kaksi tärkeää Windows-päivitystä, jotka eivät kuitenkaan ole tietoturvapäivityksiä, WU (Windows Update) -sivustossa.

Huomaa, että nämä tiedot koskevat vain sellaisia tärkeitä päivityksiä, jotka eivät ole tietoturvapäivityksiä ja jotka julkaistaan saman päivänä kuin tietoturvatiedotteiden yhteenveto Microsoft Update-, Windows Update- ja Windows Server Update Services -sivustoissa. Tietoja ei julkaista muina päivinä julkaistavista päivityksistä, jotka eivät ole tietoturvapäivityksiä.

Top of section

Tietoturvastrategiat ja yhteisö

Korjaustiedostojen hallintamenetelmät

Security Guidance for Patch Management -sivustossa on lisätietoja Microsoftin suosittelemista tietoturvapäivitysten käyttötavoista.

Muiden tietoturvapäivitysten hankkiminen

Muita tietoturvapäivityksiä on saatavilla seuraavista sivustoista:

•	Tietoturvapäivityksiä voi ladata Microsoft Download Centeristä. Päivitysten etsiminen on helpointa hakusanahaun ja hakusanan "security_patch" avulla.
•	Kotikäyttäjille suunnattujen ympäristöjen päivityksiä voi ladata Microsoft Update -sivustosta.
•	Voit hankkia tämän kuun Windows Update -tietoturvapäivitykset Security and Critical Releases ISO Image -vedostiedostona Download Centeristä. Lisätietoja on Microsoft Knowledge Base -artikkelissa 913086.

IT Pro Security Community

Opi uusia tietoturvatekniikoita IT-infrastruktuurisi turvallisuuden parantamiseksi ja keskustele tietoturvaan liittyvistä aiheista muiden IT-alan ammattilaisten kanssa IT Pro Security Community -sivustossa.

Top of section

Kiitokset

Microsoft kiittää yhteistyöstä seuraavia tahoja, joiden ansiosta asiakkaiden turvallisuutta on parannettu:

•	Tuntematon tutkija (yhteistyössä VeriSign iDefense VCP:n kanssa) ilmoitti haavoittuvuudesta, joka on kuvattu tietoturvatiedotteessa MS07-042.
•	Tuntematon tutkija (yhteistyössä Zero Day Initiativen kanssa) ilmoitti haavoittuvuudesta, joka on kuvattu tietoturvatiedotteessa MS07-042.
•	Tuntematon tutkija (yhteistyössä VeriSign iDefense VCP:n kanssa) ilmoitti haavoittuvuudesta, joka on kuvattu tietoturvatiedotteessa MS07-043.
•	Tuntematon tutkija (yhteistyössä Zero Day Initiativen kanssa) ilmoitti haavoittuvuudesta, joka on kuvattu tietoturvatiedotteessa MS07-043.
•	Dyon Balding (Secunia) ilmoitti haavoittuvuudesta, joka on kuvattu tietoturvatiedotteessa MS07-044.
•	NSFocus Security Team ilmoitti haavoittuvuudesta, joka on kuvattu tietoturvatiedotteessa MS07-045.
•	Brett Moore (Security-Assessment.com) ilmoitti haavoittuvuudesta, joka on kuvattu tietoturvatiedotteessa MS07-045.
•	eEye Digital Security ilmoitti haavoittuvuudesta, joka on kuvattu tietoturvatiedotteessa MS07-046.
•	Piotr Bania (yhteistyössä TippingPointin ja Zero Day Initiativen kanssa)?ilmoitti haavoittuvuudesta, joka on kuvattu tietoturvatiedotteessa MS07-047.
•	Aviv Raff (Finjan) ilmoitti haavoittuvuudesta, joka on kuvattu tietoturvatiedotteessa MS07-048.
•	Aviv Raff (yhteistyössä iDefense Labsin kanssa) ilmoitti haavoittuvuudesta, joka on kuvattu tietoturvatiedotteessa MS07-024.
•	Rafal Wojtczuk (McAfee Avert Labs) teki yhteistyötä Microsoftin kanssa selvittääkseen haavoittuvuuden, joka on kuvattu tietoturvatiedotteessa MS07-049.
•	eEye Digital Security ilmoitti haavoittuvuudesta, joka on kuvattu tietoturvatiedotteessa MS07-050.

Top of section

Tuki

•	Mainitut ohjelmistoversiot on testattu sen selvittämiseksi, koskeeko ongelma niitä. Muiden versioiden tuen elinkaari on päättynyt. Lisätietoja tuote- ja versiotuen elinkaaresta on Microsoftin Tuotetuen elinkaari -sivustossa.
•	Tuotetukea Yhdysvalloissa ja Kanadassa tarjoaa Microsoftin tuotetukipalvelut, jonka puhelinnumero on 1-866-PCSAFETY. Tietoturvapäivityksiin liittyvät tukipuhelut ovat maksuttomia.
•	Muissa maissa asiakkaat saavat tukea paikallisista Microsoftin tytäryhtiöistä. Tietoturvapäivityksiin liittyvä tuki on maksutonta. Lisätietoja yhteyden ottamisesta Microsoft-tukeen on International Help and Support -sivustossa.

Top of section

Vastuuvapauslauseke

Microsoft Knowledge Base -tietokannan sisältämät tiedot toimitetaan "sellaisenaan" ilman minkäänlaista takuuta. Microsoft kiistää kaikki nimenomaiset ilmaistut tai epäsuorat takuut, mukaan lukien takuut tuotteen soveltuvuudesta kaupankäynnin kohteeksi ja sopivuudesta tiettyyn tarkoitukseen. Microsoft Corporation tai sen toimittajat eivät missään tapauksessa ole vastuussa vahingoista mukaan lukien suorat, satunnaiset, epäsuorat ja välilliset vahingot, liikevoiton menetys sekä erityiset vahingot, vaikka Microsoft Corporationille tai sen toimittajille olisi ilmoitettu vahinkojen mahdollisuudesta. Koska jotkin valtiot eivät salli välillisten tai satunnaisten vahinkojen vahingonkorvausvastuun poissulkemista tai rajoittamista, edellä mainittu rajoitus ei koske kaikkia asiakkaita.

Top of section

Versiot

•	V1.0 (14. elokuuta 2007): Tietoturvatiedotteen yhteenveto julkaistu.
•	V1.1 (29. elokuuta 2007): Ohjelmistot, joita haavoittuvuus koskee -taulukko on päivitetty siten, että tietoturvatiedotteen MS07-044 kohdassa Office-ohjelmistot, joita haavoittuvuus koskee on muutettu kohdat Office 2000, Office XP ja Office 2003 kohdiksi Excel 2000, Excel 2002 ja Excel 2003.
•	V2.0 (13. marraskuuta 2007): Ohjelmistot, joita haavoittuvuus koskee -taulukko on päivitetty siten, että se sisältää tietoturvatiedotteen MS07-049 päivitetyt latauslinkit. Korjatun tietoturvapäivityksen voi nyt asentaa seuraaviin järjestelmiin: Microsoft Virtual PC 2004, Microsoft Virtual PC 2004 Service Pack 1, Microsoft Virtual Server 2005 Standard Edition, Microsoft Virtual Server 2005 Enterprise Edition, Microsoft Virtual Server 2005 R2 Standard Edition ja Microsoft Virtual Server 2005 R2 Enterprise Edition.
•	V3.0 (9. tammikuuta 2008): Ohjelmistot, joita haavoittuvuus koskee -taulukko on päivitetty siten, että tietoturvatiedotteeseen MS07-042 on lisätty Microsoft Word Viewer 2003. Sama Microsoft Office 2003 Service Pack 2 -päivitys koskee Microsoft Word Viewer 2003:a.

Top of section

Sivun alkuun