Microsoftin tietoturvatiedotteiden yhteenveto, syyskuu 2007

Julkaistu: 11. syyskuu 2007 | Päivitetty: 12. syyskuu 2007

Versio: 1.1

Tässä tietoturvatiedotteiden yhteenvedossa on luettelo syyskuussa 2007 julkaistuista tietoturvatiedotteista.

Syyskuun 2007 tietoturvatiedotteiden julkaisun yhteydessä tämä tietoturvatiedotteiden yhteenveto korvaa tietoturvatiedotteiden ennakkoilmoituksen, joka julkaistiin 6. elokuuta 2007. Lisätietoja tietoturvatiedotteiden ennakkoilmoituspalvelusta on Microsoft Security Bulletin Advance Notification -sivulla (englanninkielinen).

Katso lisätietoja kuinka voit saada automaattisen ilmoituksen, kun Microsoftin tietoturvatiedote julkaistaan: Microsoft Technical Security Notifications (englanninkielinen).

Microsoft isännöi web-lähetystä, jossa käsitellään asiakkaiden esittämiä näihin tiedotteisiin liittyviä kysymyksiä. Web-lähetyksen ajankohta on 12. syyskuuta 2007, kello 21.00 Suomen aikaa (kello 11.00 Tyynenmeren aikaa). Rekisteröidy nyt syyskuun tietoturvatiedotteen web-lähetykseen. Tämän päivämäärän jälkeen web-lähetyksestä voi katsoa tallenteen, Lisätietoja on Microsoftin tietoturvatiedotteista ja web-lähetyksistä kertovassa sivustolla.

Microsoft antaa myös tietoja, joiden avulla asiakkaat voivat luokitella kerran kuukaudessa julkaistavat tietoturvapäivitykset ja tärkeät, muut kuin tietoturvapäivitykset, jotka julkaistaan samana päivänä kuin kuukausittain julkaistavat tietoturvapäivitykset. Lisätietoja on kohdassa Muita tietoja.

Tietoturvatiedot

Yhteenveto

Tässä julkaistavat tietoturvatiedotteet luokittelujärjestyksessä:

Kriittinen (1)

Tiedotteen numero	Microsoftin tietoturvatiedote MS07-051
Tiedotteen otsikko	Microsoft Agentin haavoittuvuus saattaa sallia koodin suorittamisen verkon välityksellä (938827)
Yhteenveto	Tämä kriittinen tietoturvapäivitys korjaa yksityishenkilön ilmoittaman haavoittuvuuden. Microsoft Agent -komponentissa on havaittu haavoittuvuus, joka antaa vihamieliselle hyökkääjälle mahdollisuuden suorittaa ohjelman koodia verkon välityksellä. Se aiheutuu tavasta, jolla ohjelma käsittelee erityisesti muodostettuja URL-osoitteita. Haavoittuvuus saattaa antaa hyökkääjän suorittaa haavoittuvuuden sisältävässä järjestelmässä koodia verkon välityksellä. Käyttäjät, joiden tilit on määritetty niin, että heillä on järjestelmään vain rajoitetut käyttöoikeudet, eivät ole niin alttiina tälle hyökkäykselle kuin järjestelmänvalvojan käyttöoikeuksin toimivat käyttäjät.
Luokitus	Kriittinen
Haavoittuvuuden vaikutus	Koodin suorittaminen verkon välityksellä
Tunnistus	Microsoft Baseline Security Analyzer tunnistaa, tarvitseeko tietokone tätä päivitystä. Tietokone on käynnistettävä uudelleen päivityksen jälkeen.
Ohjelmistot, joita haavoittuvuus koskee	Windows. Lisätietoja on tämän tietoturvatiedotteen kohdassa Ohjelmistot, joita haavoittuvuus koskee, ja lataussivustot

Top of section

Tärkeä (3)

Tiedotteen numero	Microsoftin tietoturvatiedote MS07-052
Tiedotteen otsikko	Visual Studion Crystal Reportsin heikkous saattaa sallia koodin suorittamisen verkon välityksellä (941522)
Yhteenveto	Tämä tärkeä tietoturvapäivitys korjaa julkistetun haavoittuvuuden. Tämä haavoittuvuus saattaa sallia koodin suorittamisen verkon välityksellä, jos käyttäjä avaa erityisesti muodostetun RPT-tiedoston. Käyttäjät, joiden tilit on määritetty niin, että heillä on järjestelmään vain rajoitetut käyttöoikeudet, eivät ole niin alttiina tälle hyökkäykselle kuin järjestelmänvalvojan käyttöoikeuksin toimivat käyttäjät.
Luokitus	Tärkeä
Haavoittuvuuden vaikutus	Koodin suorittaminen verkon välityksellä
Tunnistus	Microsoft Baseline Security Analyzer ja Enterprise Update Scan Tool havaitsevat, tarvitseeko tietokone tämän päivityksen. Tietokone on ehkä käynnistettävä uudelleen päivityksen jälkeen.
Ohjelmistot, joita haavoittuvuus koskee	Visual Studio. Lisätietoja on tämän tietoturvatiedotteen kohdassa Ohjelmistot, joita haavoittuvuus koskee, ja lataussivustot

Tiedotteen numero	Microsoftin tietoturvatiedote MS07-053
Tiedotteen otsikko	Windows Services for UNIXin haavoittuvuus saattaa sallia käyttöoikeuksien laajentamisen (939778)
Yhteenveto	Tämä tärkeä tietoturvapäivitys korjaa julkistetun haavoittuvuuden. Windows Services for UNIX 3.0:ssa, Windows Services for UNIX 3.5:ssä ja UNIX-pohjaisten sovellusten alijärjestelmässä on haavoittuvuus, jossa joidenkin setuid-binaaritiedostojen suorittaminen saattaa sallia hyökkääjän käyttöoikeuksien laajentamisen.
Luokitus	Tärkeä
Haavoittuvuuden vaikutus	Käyttöoikeuksien korottaminen
Tunnistus	Microsoft Baseline Security Analyzer ja Enterprise Update Scan Tool havaitsevat, tarvitseeko tietokone tämän päivityksen. Tietokone on käynnistettävä uudelleen päivityksen jälkeen.
Ohjelmistot, joita haavoittuvuus koskee	Windows Services for UNIX, UNIX-pohjaisten sovellusten alijärjestelmä. Lisätietoja on tämän tietoturvatiedotteen kohdassa Ohjelmistot, joita haavoittuvuus koskee, ja lataussivustot

Tiedotteen numero	Microsoftin tietoturvatiedote MS07-054
Tiedotteen otsikko	MSN Messengerin ja Windows Live Messengerin haavoittuvuus saattaa sallia koodin suorittamisen verkon välityksellä (942099)
Yhteenveto	Tämä tietoturvapäivitys korjaa julkistetun MSN Messengerin ja Windows Live Messengerin haavoittuvuuden. Haavoittuvuus saattaa sallia koodin suorittamisen verkon välityksellä, kun käyttäjä hyväksyy hyökkääjän lähettämän videokeskustelukutsun. Hyödyntämällä tätä haavoittuvuutta onnistuneesti hyökkääjä voi saada kokonaan hallintaansa järjestelmän, jota ongelma koskee. Käyttäjät, joiden tilit on määritetty niin, että heillä on järjestelmään vain rajoitetut käyttöoikeudet, eivät ole niin alttiina tälle hyökkäykselle kuin järjestelmänvalvojan käyttöoikeuksin toimivat käyttäjät.
Luokitus	Tärkeä
Haavoittuvuuden vaikutus	Koodin suorittaminen verkon välityksellä
Tunnistus	Näihin tuotteisiin sisältyy päivitysten automaattinen tunnistaminen ja käyttöönotto. Tämä päivitys ei edellytä järjestelmän käynnistämistä uudelleen.
Ohjelmistot, joita haavoittuvuus koskee	MSN Messenger, Windows Live Messenger. Lisätietoja on tämän tietoturvatiedotteen kohdassa Ohjelmistot, joita haavoittuvuus koskee, ja lataussivustot

Top of section

Ohjelmistot, joita haavoittuvuus koskee, ja lataussivustot

Miten taulukkoa käytetään?

Tämän taulukon avulla voit selvittää, mitä tietoturvapäivityksiä järjestelmääsi on asennettava. Katso, sisältääkö taulukko käyttämäsi ohjelman tai osan ja edellyttääkö se tietoturvapäivityksen asentamista. Kunkin mainitun ohjelman tai osan yhteydessä näkyy haavoittuvuuden vaikutus ja linkki saatavana oleviin ohjelmistopäivityksiin.

Huomautus Yksittäinen haavoittuvuus saattaa edellyttää useiden tietoturvapäivitysten asentamista. Voit tarkistaa järjestelmääsi asennettujen ohjelmien tai osien tarvitsemat päivitykset tutustumalla tarkemmin kuhunkin yksittäiseen tietoturvatiedotteeseen.

Ohjelmistot, joita haavoittuvuus koskee, ja lataussivustot

	Tiedot	Tiedot	Tiedot	Tiedot
Tiedotteen numero	MS07-051	MS07-052	MS07-053	MS07-054
Luokitus	Kriittinen	Tärkeä	Tärkeä	Tärkeä
Windows-käyttöjärjestelmä
Microsoft Windows 2000 Service Pack 4	Kriittinen		[1]
Windows XP Service Pack 2			[1]
Windows Server 2003 Service Pack 1			[1]
Windows Server 2003 Service Pack 2			[1]
Server 2003 x64 Edition			[1]
Windows Server 2003 x64 Edition Service Pack 2			[1]
Windows Vista			[1]
Windows Vista x64 Edition			[1]
Windows-käyttöjärjestelmien osat
Windows Services for UNIX 3.0, kun käyttöjärjestelmä on Windows 2000 Service Pack 4			Tärkeä
Windows Services for UNIX 3.5, kun käyttöjärjestelmä on Windows 2000 Service Pack 4			Tärkeä
Windows Services for UNIX 3.0, kun käyttöjärjestelmä on Windows 2000 Service Pack 2			Tärkeä
Windows Services for UNIX 3.5, kun käyttöjärjestelmä on Windows 2000 Service Pack 2			Tärkeä
Windows Services for UNIX 3.5, kun käyttöjärjestelmä on Windows Server 2003 Service Pack 1 ja Windows Server 2003 Service Pack 2			Tärkeä
Windows Services for UNIX 3.5, kun käyttöjärjestelmä on Windows Server 2003 Service Pack 1 ja Windows Server 2003 Service Pack 2			Tärkeä
UNIX-pohjaisten sovellusten alijärjestelmä, kun käyttöjärjestelmä on Windows Server 2003 Service Pack 1 ja Windows Server 2003 Service Pack 2			Tärkeä
UNIX-pohjaisten sovellusten alijärjestelmä, kun käyttöjärjestelmä on Windows Server 2003 x64 Edition ja Windows Server 2003 x64 Edition Service Pack 2			Tärkeä
UNIX-pohjaisten sovellusten alijärjestelmä, kun käyttöjärjestelmä on Windows Vista			Tärkeä
UNIX-pohjaisten sovellusten alijärjestelmä, kun käyttöjärjestelmä on Windows Vista x64 Edition			Tärkeä
Kehitystyökalut ja käyttöympäristöt
Visual Studio .NET 2002 Service Pack 1 (KB937057)		Tärkeä[2]
Visual Studio .NET 2003 (KB937058)		Tärkeä[2]
Visual Studio .NET 2003 Service Pack 1 (KB937059)		Tärkeä[2]
Visual Studio 2005 (KB937060)		Tärkeä[2]
Visual Studio 2005 Service Pack 1 (KB937061)		Tärkeä[2]
Muut ohjelmistot, joita haavoittuvuus koskee
MSN Messenger 6.2				[3]
MSN Messenger 7.0				[3]
MSN Messenger 7.5				[3]
MSN Messenger 8.0				[3]

Huomautuksia

[1] Tähän käyttöjärjestelmään on saatavana tietoturvapäivitys. Tarkista taulukosta, mikä tietoturvatiedote käsittelee haavoittuvuuden sisältävää ohjelmistoa tai osaa.

[2] Haavoittuvuus ei koske kaikki tämän Visual Studion version versioita. Tarkista asiaa koskevasta tietoturvatiedotteesta, mitä versioita haavoittuvuus koskee.

[3] Tälle ohjelmistolle on saatavana päivitys. Tarkista taulukosta, mikä tietoturvatiedote käsittelee haavoittuvuuden sisältävää ohjelmistoa tai osaa.

Top of section

Tunnistus- ja käyttöönottotyökalut ja ohjeet

Tietoturvakeskus

Voit hallita ohjelmistoa ja tietoturvapäivityksiä, joita tarvitset organisaatiosi palvelimien, työaseman ja kannettavien tietokoneiden käyttöönottamiseen. Lisätietoja on TechNet Update Management Center -sivustolla (joka voi olla englanninkielinen). TechNet Security Centerissä on lisätietoja Microsoft-tuotteiden suojausominaisuuksista. Kotikäyttäjät voivat tutustua näihin tietoihin valitsemalla Kodin tietoturva -sivustolla Tietoturvapäivitykset.

Tietoturvapäivitykset ovat saatavana Microsoft Update-, Windows Update- ja Office Update -sivustoissa. Tietoturvapäivityksiä voi ladata myös Microsoft Download Centeristä. Päivitysten etsiminen on helpointa hakusanahaun ja hakusanan "security_patch" avulla. Tietoturvapäivitykset voidaan ladata lisäksi Windows Update Catalog -palvelusta. Lisätietoja Windows Update Catalogista on Microsoft Knowledge Base -artikkelissa 323166.

Tunnistus- ja käyttöönotto-ohjeet

Microsoft on laatinut tunnistus- ja käyttöönotto-ohjeet tässä kuussa julkaistuille tietoturvapäivityksille. Näiden ohjeiden avulla myös IT-alan ammattilaiset osaavat käyttää erilaisia työkaluja tietoturvapäivitysten käyttöönottamiseen. Näitä työkaluja ovat esimerkiksi Windows Update, Microsoft Update, Office Update, MBSA (Microsoft Baseline Security Analyzer), Office-tunnistustyökalu, MSM (Microsoft Systems Management) -palvelin, laajennettu Inventory-työkalu ja Enterprise Update Scan (EST) -työkalu. Lisätietoja on Microsoft Knowledge Base -artikkelissa 910723.

Microsoft Baseline Security Analyzer jaEnterprise Update Scan Tool

MBSA (Microsoft Baseline Security Analyzer) -työkalulla järjestelmänvalvojat voivat tarkistaa sekä paikallisista järjestelmistä että etäjärjestelmistä, puuttuuko niistä tietoturvapäivityksiä ja onko niissä muita yleisiä tietoturvapuutteita. Lisätietoja MBSA-työkalusta on Microsoft Baseline Security Analyzer -sivustolla.

Kun MBSA 1.2.1 ei tue tietyn tietoturvapäivityksen tunnistamista, Microsoft julkaisee kyseistä tietoturvapäivitystä varten EST (Enterprise Update Scan Tool) -version. Lisätietoja EST-tarkistustyökalusta on sivustolla Enterprise Update Scan Tool.

Huomautus MBSA 1.2.1:n käyttämää MSSecure.XML-tiedostoa ei päivitetä 9.10.2007 jälkeen. Tämän päivämäärän jälkeen uusia tietoturvapäivityksiä ei lisätä MBSA 1.2.1:n käyttämän MSSecure.XML-tiedostoon eikä Enterprise Scan Tool -tarkistustyökalusta julkaista enää uusia versioita. Lisätietoja on Microsoft Baseline Security Analyzer -sivustolla.

Windows Server Update Services

Käyttämällä WSUS (Windows Server Update Services) -palvelua järjestelmänvalvojat voivat ottaa nopeasti ja luotettavasti käyttöön uusimmat kriittiset päivitykset ja tietoturvapäivitykset seuraavissa järjestelmissä: Windows 2000 ja sitä uudemmat, Office XP ja sitä uudemmat, Exchange Server 2003, SQL Server 2000 (Windows 2000 ja sitä uudemmat käyttöjärjestelmät).

Lisätietoja tämän tietoturvapäivityksen käyttöönottamisesta WSUS-palvelun avulla on Windows Server Update Services -sivustolla.

Systems Management Server

Microsoft Systems Management Server (SMS) tarjoaa monipuolisesti määritettävän yritysratkaisun päivitysten hallintaan. SMS:n avulla järjestelmänvalvojat voivat tunnistaa tietoturvapäivityksiä tarvitsevat Windows-järjestelmät ja suorittaa hallitun päivitysten asennuksen koko yrityksessä niin, että käyttäjien työt keskeytyvät mahdollisimman vähän. Lisätietoja siitä, kuinka järjestelmänvalvojat voivat käyttää SMS 2003:a tietoturvapäivitysten asentamiseen, on SMS 2003 Security Patch Management -sivustolla. SMS 2.0:n käyttäjät voivat asentaa tietoturvapäivityksiä myös Software Updates Services Feature Packin avulla. Lisätietoja SMS:stä on Microsoft Systems Management Server -sivustolla.

Huomautus SMS hyödyntää laaja-alaisesti Microsoft Baseline Security Analyzer- ja Microsoft Office Detection Tool -työkalua tietoturvapäivityksien tunnistamiseen ja asennukseen liittyvän tuen tarjoamiseen. Nämä työkalut eivät ehkä tunnista joitakin päivityksiä. Järjestelmänvalvojat voivat käyttää SMS:n analysointiominaisuuksia päivitysten kohdentamiseen tiettyihin järjestelmiin. Lisätietoja tämän tekemisestä on Deploying Software Updates Using the SMS Software Distribution Feature -sivustolla. Jotkin tietoturvapäivitykset saattavat edellyttää järjestelmänvalvojan oikeuksia, kun järjestelmä on käynnistetty uudelleen. Järjestelmänvalvojat voivat käyttää Elevated Rights Deployment Tool -työkalua (sisältyy SMS 2003 Administration Feature Packiin ja SMS 2.0 Administration Feature Packiin) päivitysten asentamisessa.

Top of section

Muita tietoja:

Windowsin haittaohjelmien poistotyökalu

Microsoft on julkaissut päivitetyn version Microsoft Windowsin haittaohjelmien poistotyökalusta seuraavissa sivustoissa: Windows Update, Microsoft Update, Windows Server Update Services ja Download Center.

Top of section

Tärkeät, muut kuin tietoturvapäivitykset MU-, WU- ja SUS-sivustoissa:

Tässä kuussa:

•	Microsoft on julkaissut yhden tärkeän päivityksen, joka ei kuitenkaan ole tietoturvapäivitys, MU (Microsoft Update)- ja WSUS (Windows Software Update Services) -sivustoissa.
•	Microsoft ei ole julkistanut yhtään tärkeää Windows-päivitystä, joka ei kuitenkaan ole tietoturvapäivitys, WU (Windows Update) -sivustolla.

Huomaa, että nämä tiedot koskevat vain sellaisia tärkeitä päivityksiä, jotka eivät ole tietoturvapäivityksiä ja jotka julkaistaan saman päivänä kuin tietoturvatiedotteiden yhteenveto Microsoft Update-, Windows Update- ja Windows Server Update Services -sivustoissa. Tietoja ei julkaista muina päivinä julkaistavista päivityksistä, jotka eivät ole tietoturvapäivityksiä.

Top of section

Tietoturvastrategiat ja yhteisö

Korjaustiedostojen hallintamenetelmät

Security Guidance for Patch Management -sivustolla on lisätietoja Microsoftin suosittelemista tietoturvapäivitysten käyttötavoista.

Muiden tietoturvapäivitysten hankkiminen

Muita tietoturvapäivityksiä on saatavilla seuraavilta sivustoilta:

•	Tietoturvapäivityksiä voi ladata Microsoft Download Centeristä. Päivitysten etsiminen on helpointa hakusanahaun ja hakusanan "security_patch" avulla.
•	Kotikäyttäjille suunnattujen ympäristöjen päivityksiä voi ladata Microsoft Update -sivustolta.
•	Voit hankkia tämän kuun Windows Update -tietoturvapäivitykset Security and Critical Releases ISO Image -vedostiedostona Download Centeristä. Lisätietoja on Microsoft Knowledge Base -artikkelissa 913086.

IT Pro Security Community

Opi uusia tietoturvatekniikoita IT-infrastruktuurisi turvallisuuden parantamiseksi ja keskustele tietoturvaan liittyvistä aiheista muiden IT-alan ammattilaisten kanssa IT Pro Security Community -sivustolla.

Top of section

Kiitokset

Microsoft kiittää yhteistyöstä seuraavia tahoja, joiden ansiosta asiakkaiden turvallisuutta on parannettu:

•	Assurent Secure Technologiesin haavoittuvuuksien etsintätiimi ilmoitti haavoittuvuudesta, joka on kuvattu tietoturvatiedotteessa MS07-051
•	Yamata Li (Palo Alto Networks) ilmoitti haavoittuvuudesta, joka on kuvattu tietoturvatiedotteessa MS07-051
•	Tuntematon tutkija (yhteistyössä iDefense VCP:n kanssa) ilmoitti haavoittuvuudesta, joka on kuvattu tietoturvatiedotteessa MS07-051.
•	Brian A. Reiter (WolfeReiter) teki yhteistyötä kanssamme selvittääkseen haavoittuvuuden, josta kerrottiin tietoturvatiedotteessa MS07-053
•	Woo Shi (team 509) ilmoitti haavoittuvuudesta, joka on kuvattu tietoturvatiedotteessa MS07-054

Top of section

Tuki

•	Mainitut ohjelmistoversiot on testattu sen selvittämiseksi, koskeeko ongelma niitä. Muiden versioiden tuen elinkaari on päättynyt. Lisätietoja tuote- ja versiotuen elinkaaresta on Microsoftin Tuotetuen elinkaari -sivustolla.
•	Tuotetukea Yhdysvalloissa ja Kanadassa tarjoaa Microsoftin tuotetukipalvelut, jonka puhelinnumero on 1-866-PCSAFETY. Tietoturvapäivityksiin liittyvät tukipuhelut ovat maksuttomia.
•	Muissa maissa asiakkaat saavat tukea paikallisista Microsoftin tytäryhtiöistä. Tietoturvapäivityksiin liittyvä tuki on maksutonta. Lisätietoja yhteyden ottamisesta Microsoft-tukeen on International Help and Support -sivustolla.

Top of section

Vastuuvapauslauseke

Microsoft Knowledge Base -tietokannan sisältämät tiedot toimitetaan "sellaisenaan" ilman minkäänlaista takuuta. Microsoft kiistää kaikki nimenomaiset ilmaistut tai epäsuorat takuut, mukaan lukien takuut tuotteen soveltuvuudesta kaupankäynnin kohteeksi ja sopivuudesta tiettyyn tarkoitukseen. Microsoft Corporation tai sen toimittajat eivät missään tapauksessa ole vastuussa vahingoista mukaan lukien suorat, satunnaiset, epäsuorat ja välilliset vahingot, liikevoiton menetys sekä erityiset vahingot, vaikka Microsoft Corporationille tai sen toimittajille olisi ilmoitettu vahinkojen mahdollisuudesta. Koska jotkin valtiot eivät salli välillisten tai satunnaisten vahinkojen vahingonkorvausvastuun poissulkemista tai rajoittamista, edellä mainittu rajoitus ei koske kaikkia asiakkaita.

Top of section

Versiot

•	V1.0 (11. syyskuuta 2007): Tietoturvatiedotteen yhteenveto julkaistu.

Top of section

Sivun alkuun