Technet tietoturva

Microsoftin turvatiedotteiden yhteenveto, helmikuu 2008

Julkaistu: 12. helmikuu 2008 | Päivitetty: 13. helmikuu 2008

Versio: 1.1

Tässä tietoturvatiedotteiden yhteenvedossa on luettelo helmikuussa 2008 julkaistuista tietoturvatiedotteista.

Helmikuun 2008 tietoturvatiedotteiden julkaisun yhteydessä tämä tietoturvatiedotteiden yhteenveto korvaa tietoturvatiedotteiden ennakkoilmoituksen, joka julkaistiin 7. helmikuuta 2008. Lisätietoja tietoturvatiedotteiden ennakkoilmoituspalvelusta on Microsoft Security Bulletin Advance Notification -sivulla (englanninkielinen).

Lisätietoja Microsoftin tietoturvatiedotteita koskevasta automaattisesta ilmoituksessa on osoitteessa Microsoft Technical Security Notifications (englanninkielinen).

Microsoft isännöi webcast-lähetystä, jossa käsitellään asiakkaiden esittämiä näihin tiedotteisiin liittyviä kysymyksiä. Webcast-lähetyksen ajankohta on 13. helmikuuta 2008, kello 21 Suomen aikaa (kello 11.00 Tyynenmeren aikaa, USA ja Kanada). Rekisteröidy nyt helmikuun tietoturvatiedotteen webcast-lähetykseen. Tämän päivämäärän jälkeen webcast-lähetyksestä voi katsoa tallenteen, lisätietoja on Microsoftin tietoturvatiedotteista ja webcast-lähetyksistä kertovassa englanninkielisessä sivustossa.

Microsoft antaa myös tietoja, joiden avulla asiakkaat voivat luokitella kerran kuukaudessa julkaistavat tietoturvapäivitykset ja tärkeät muut tietoturvapäivitykset, jotka julkaistaan samana päivänä. Lisätietoja on kohdassa Muita tietoja.

Tietoturvatiedotteet

Yhteenveto

Tässä julkaistavat tietoturvatiedotteet luokittelujärjestyksessä:

Kriittinen (6)

Tiedotteen numeroMicrosoftin tietoturvatiedote MS08-007

Tiedotteen otsikko

WebDAV Mini-Redirector -liittymä saattaa sallia koodin suorittamisen verkon välityksellä (946026)

Yhteenveto

Tämä kriittinen tietoturvapäivitys korjaa suoraan Microsoftille ilmoitetun WebDAV Mini-Redirector -liittymän haavoittuvuuden. Hyödyntämällä tätä haavoittuvuutta onnistuneesti hyökkääjä voi saada kokonaan hallintaansa haavoittuvuuden sisältävän järjestelmän. Tällöin hyökkääjä voi asentaa ohjelmia tai tarkastella, muuttaa ja poistaa tietoja tai luoda käyttäjätilejä kaikilla valtuuksilla.

Luokitus

Kriittinen

Haavoittuvuuden vaikutus

Koodin suorittaminen verkon välityksellä

Tunnistus

Microsoft Baseline Security Analyzer tunnistaa, tarvitseeko tietokone tätä päivitystä. Tietokone on käynnistettävä uudelleen päivityksen jälkeen.

Ohjelmistot, joita haavoittuvuus koskee

Windows. Lisätietoja on tämän tietoturvatiedotteen kohdassa Ohjelmistot, joita haavoittuvuus koskee, ja lataussivustot

 

Tiedotteen numeroMicrosoftin tietoturvatiedote MS08-008

Tiedotteen otsikko

OLE-automaation haavoittuvuus saattaa sallia koodin suorittamisen verkon välityksellä (947890)

Yhteenveto

Tämä kriittinen tietoturvapäivitys Microsoftille suoraan ilmoitetun haavoittuvuuden. Tämä haavoittuvuus saattaa sallia koodin suorittamisen verkon avulla, jos käyttäjä tarkastelee tietyllä tavalla muodostettua web-sivua. Haavoittuvuutta voidaan käyttää hyväksi OLE (Object Linking and Embedding) -automaatioon kohdistuvilla hyökkäyksillä. Käyttäjät, joiden tilit on määritetty niin, että heillä on järjestelmään vain rajoitetut käyttöoikeudet, eivät ole niin alttiina tälle hyökkäykselle kuin järjestelmänvalvojan käyttöoikeuksin toimivat käyttäjät.

Luokitus

Kriittinen

Haavoittuvuuden vaikutus

Koodin suorittaminen verkon välityksellä

Tunnistus

Microsoft Baseline Security Analyzer tunnistaa, tarvitseeko tietokone tätä päivitystä. Tietokone on käynnistettävä uudelleen päivityksen jälkeen.

Ohjelmistot, joita haavoittuvuus koskee

Windows, Office, Visual Basic. Lisätietoja on tämän tietoturvatiedotteen kohdassa Ohjelmistot, joita haavoittuvuus koskee, ja lataussivustot

 

Tiedotteen numeroMicrosoftin tietoturvatiedote MS08-009

Tiedotteen otsikko

Microsoft Wordin haavoittuvuus saattaa sallia koodin suorittamisen verkon välityksellä (947077)

Yhteenveto

Tämä kriittinen tietoturvapäivitys korjaa suoraan Microsoftille ilmoitetun Microsoft Wordin haavoittuvuuden, joka saattaa sallia koodin suorittamisen verkon välityksellä, jos käyttäjä avaa erityisesti muodostetun Word-tiedoston. Hyödyntämällä tätä haavoittuvuutta onnistuneesti hyökkääjä voi saada kokonaan hallintaansa haavoittuvuuden sisältävän järjestelmän. Tällöin hyökkääjä voi asentaa ohjelmia tai tarkastella, muuttaa ja poistaa tietoja tai luoda käyttäjätilejä kaikilla valtuuksilla. Käyttäjät, joiden tilit on määritetty niin, että heillä on järjestelmään vain rajoitetut käyttöoikeudet, eivät ole niin alttiina tälle hyökkäykselle kuin järjestelmänvalvojan käyttöoikeuksin toimivat käyttäjät.

Luokitus

Kriittinen

Haavoittuvuuden vaikutus

Koodin suorittaminen verkon välityksellä

Tunnistus

Microsoft Baseline Security Analyzer tunnistaa, tarvitseeko tietokone tätä päivitystä. Tämä päivitys ei edellytä järjestelmän käynnistämistä uudelleen.

Ohjelmistot, joita haavoittuvuus koskee

Office. Lisätietoja on tämän tietoturvatiedotteen kohdassa Ohjelmistot, joita haavoittuvuus koskee, ja lataussivustot

 

Tiedotteen numeroMicrosoftin tietoturvatiedote MS08-010

Tiedotteen otsikko

Internet Explorerin kumulatiivinen tietoturvapäivitys (944533)

Yhteenveto

Tämä kriittinen tietoturvapäivitys korjaa kolme suoraan Microsoftille ilmoitettua haavoittuvuutta ja yhden yleisessä tiedossa olleen haavoittuvuuden. Vakavin haavoittuvuus saattaa sallia koodin suorittamisen verkon välityksellä, jos käyttäjä avaa erityisesti muodostetun web-sivun Internet Explorerissa. Käyttäjät, joiden tilit on määritetty niin, että heillä on järjestelmään vain rajoitetut käyttöoikeudet, eivät ole niin alttiina tälle hyökkäykselle kuin järjestelmänvalvojan käyttöoikeuksin toimivat käyttäjät.

Luokitus

Kriittinen

Haavoittuvuuden vaikutus

Koodin suorittaminen verkon välityksellä

Tunnistus

Microsoft Baseline Security Analyzer tunnistaa, tarvitseeko tietokone tätä päivitystä. Tietokone on käynnistettävä uudelleen päivityksen jälkeen.

Ohjelmistot, joita haavoittuvuus koskee

Windows, Internet Explorer. Lisätietoja on tämän tietoturvatiedotteen kohdassa Ohjelmistot, joita haavoittuvuus koskee, ja lataussivustot

 

Tiedotteen numeroMicrosoftin tietoturvatiedote MS08-012

Tiedotteen otsikko

Microsoft Office Publisherin haavoittuvuudet saattavat sallia koodin suorittamisen verkon välityksellä (947085)

Yhteenveto

Tämä kriittinen tietoturvapäivitys korjaa kaksi suoraan Microsoftille ilmoitettua Microsoft Office Publisherin haavoittuvuutta, jotka saattavat sallia koodin suorittamisen verkon välityksellä, jos käyttäjä avaa erityisesti muodostetun Publisher-tiedoston. Hyödyntämällä näitä haavoittuvuuksia onnistuneesti hyökkääjä voi saada kokonaan hallintaansa haavoittuvuuden sisältävän järjestelmän. Tällöin hyökkääjä voi asentaa ohjelmia tai tarkastella, muuttaa ja poistaa tietoja tai luoda käyttäjätilejä kaikilla valtuuksilla. Käyttäjät, joiden tilit on määritetty niin, että heillä on järjestelmään vain rajoitetut käyttöoikeudet, eivät ole niin alttiina tälle hyökkäykselle kuin järjestelmänvalvojan käyttöoikeuksin toimivat käyttäjät.

Luokitus

Kriittinen

Haavoittuvuuden vaikutus

Koodin suorittaminen verkon välityksellä

Tunnistus

Microsoft Baseline Security Analyzer tunnistaa, tarvitseeko tietokone tätä päivitystä. Tämä päivitys ei edellytä järjestelmän käynnistämistä uudelleen.

Ohjelmistot, joita haavoittuvuus koskee

Office. Lisätietoja on tämän tietoturvatiedotteen kohdassa Ohjelmistot, joita haavoittuvuus koskee, ja lataussivustot

 

Tiedotteen numeroMicrosoftin tietoturvatiedote MS08-013

Tiedotteen otsikko

Microsoft Officen haavoittuvuus saattaa sallia koodin suorittamisen verkon välityksellä (947108)

Yhteenveto

Tämä kriittinen tietoturvapäivitys korjaa suoraan Microsoftille ilmoitetun Windows Officen haavoittuvuuden. Tämä haavoittuvuus saattaa sallia koodin suorittamisen verkon välityksellä, jos käyttäjä avaa erityisesti muodostetun, väärin muotoillun objektin sisältävän Microsoft Office -tiedoston. Hyödyntämällä tätä haavoittuvuutta onnistuneesti hyökkääjä voi saada kokonaan hallintaansa haavoittuvuuden sisältävän järjestelmän. Tällöin hyökkääjä voi asentaa ohjelmia tai tarkastella, muuttaa ja poistaa tietoja tai luoda käyttäjätilejä kaikilla valtuuksilla. Käyttäjät, joiden tilit on määritetty niin, että heillä on järjestelmään vain rajoitetut käyttöoikeudet, eivät ole niin alttiina tälle hyökkäykselle kuin järjestelmänvalvojan käyttöoikeuksin toimivat käyttäjät.

Luokitus

Kriittinen

Haavoittuvuuden vaikutus

Koodin suorittaminen verkon välityksellä

Tunnistus

Microsoft Baseline Security Analyzer tunnistaa, tarvitseeko tietokone tätä päivitystä. Tämä päivitys ei edellytä järjestelmän käynnistämistä uudelleen.

Ohjelmistot, joita haavoittuvuus koskee

Office. Lisätietoja on tämän tietoturvatiedotteen kohdassa Ohjelmistot, joita haavoittuvuus koskee, ja lataussivustot

 

Top of sectionTop of section

Tärkeä (5)

Tiedotteen numeroMicrosoftin tietoturvatiedote MS08-003

Tiedotteen otsikko

Active Directoryn haavoittuvuus voi aiheuttaa palveluneston (946538)

Yhteenveto

Tämä tärkeä tietoturvapäivitys korjaa suoraan Microsoftille ilmoitetun Microsoft Windows 2000 Server- tai Windows Server 2003 -käyttöjärjestelmään asennetun Active Directoryn sekä Windows XP Professional- tai Windows Server 2003 -käyttöjärjestelmään asennetun ADAM:n (Active Directory Application Mode) haavoittuvuuden. Haavoittuvuus voi aiheuttaa palveluneston. Windows Server 2003- ja Windows XP Professional -käyttöjärjestelmässä haavoittuvuuden hyödyntäminen edellyttää, että hyökkääjällä on voimassa olevat kirjautumistiedot. Tätä haavoittuvuutta hyödyntävä hyökkääjä voi saada järjestelmän lopettamaan pyyntöihin vastaamisen tai käynnistymään automaattisesti uudelleen.

Luokitus

Tärkeä

Haavoittuvuuden vaikutus

Palvelunesto

Tunnistus

Microsoft Baseline Security Analyzer tunnistaa, tarvitseeko tietokone tätä päivitystä. Tietokone on käynnistettävä uudelleen päivityksen jälkeen.

Ohjelmistot, joita haavoittuvuus koskee

Windows, Active Directory, ADAM. Lisätietoja on tämän tietoturvatiedotteen kohdassa Ohjelmistot, joita haavoittuvuus koskee, ja lataussivustot

 

Tiedotteen numeroMicrosoftin tietoturvatiedote MS08-004

Tiedotteen otsikko

Haavoittuvuus Windowsin TCP/IP-yhteydessä voi aiheuttaa palveluneston (946456)

Yhteenveto

Tämä tärkeä päivitys korjaa suoraan Microsoftille ilmoitetun haavoittuvuuden TCP/IP (Transmission Control Protocol/Internet Protocol) -käsittelyssä. Tätä haavoittuvuutta hyödyntävä hyökkääjä voi saada haavoittuvuuden sisältävän järjestelmän lopettamaan pyyntöihin vastaamisen ja käynnistymään automaattisesti.

Luokitus

Tärkeä

Haavoittuvuuden vaikutus

Palvelunesto

Tunnistus

Microsoft Baseline Security Analyzer tunnistaa, tarvitseeko tietokone tätä päivitystä. Tietokone on käynnistettävä uudelleen päivityksen jälkeen.

Ohjelmistot, joita haavoittuvuus koskee

Windows. Lisätietoja on tämän tietoturvatiedotteen kohdassa Ohjelmistot, joita haavoittuvuus koskee, ja lataussivustot

 

Tiedotteen numeroMicrosoftin tietoturvatiedote MS08-005

Tiedotteen otsikko

Internet Information Servicesin haavoittuvuus saattaa sallia käyttöoikeuksien laajentamisen (942831)

Yhteenveto

Tämä tärkeä päivitys korjaa suoraan Microsoftille ilmoitetun IIS:n (Internet Information Services) haavoittuvuuden. Hyödyntämällä tätä haavoittuvuutta onnistuneesti paikallinen hyökkääjä voi saada kokonaan hallintaansa haavoittuvuuden sisältävän järjestelmän. Tällöin hyökkääjä voi asentaa ohjelmia, tarkastella, muuttaa ja poistaa tietoja tai luoda käyttäjätilejä. Käyttäjät, joiden tilit on määritetty niin, että heillä on järjestelmään vain rajoitetut käyttöoikeudet, eivät ole niin alttiina tälle hyökkäykselle kuin järjestelmänvalvojan käyttöoikeuksin toimivat käyttäjät.

Luokitus

Tärkeä

Haavoittuvuuden vaikutus

Käyttöoikeuksien korottaminen

Tunnistus

Microsoft Baseline Security Analyzer tunnistaa, tarvitseeko tietokone tätä päivitystä. Tietokone on käynnistettävä uudelleen päivityksen jälkeen.

Ohjelmistot, joita haavoittuvuus koskee

Windows, IIS. Lisätietoja on tämän tietoturvatiedotteen kohdassa Ohjelmistot, joita haavoittuvuus koskee, ja lataussivustot

 

Tiedotteen numeroMicrosoftin tietoturvatiedote MS08-006

Tiedotteen otsikko

Internet Information Servicesin haavoittuvuus saattaa sallia koodin suorittamisen verkon välityksellä (942830)

Yhteenveto

Tämä tärkeä päivitys korjaa suoraan Microsoftille ilmoitetun IIS:n (Internet Information Services) haavoittuvuuden. Koodin suorittamisen verkon välityksellä mahdollistava haavoittuvuus aiheutuu tavasta, jolla IIS käsittelee ASP-verkkosivujen syötteitä. Hyödyntämällä tätä haavoittuvuutta hyökkääjä voi suorittaa IIS-palvelimessa toimia, joita työprosessikäyttäjätiedot (WPI) voivat suorittaa. WPI määritetään oletusarvoisesti verkkopalvelutilin oikeuksissa. IIS-palvelimet, joiden ASP-sivujen sovellussarjojen määrityksessä on käytetty järjestelmänvalvojan oikeudet sisältävää WPI:tä, ovat ehkä haavoittuvampia kuin IIS-palvelimet, joiden sovellussarjan määrityksessä on käytetty WPI:n oletusasetuksia.

Luokitus

Tärkeä

Haavoittuvuuden vaikutus

Koodin suorittaminen verkon välityksellä

Tunnistus

Microsoft Baseline Security Analyzer tunnistaa, tarvitseeko tietokone tätä päivitystä. Tämä päivitys ei edellytä järjestelmän käynnistämistä uudelleen.

Ohjelmistot, joita haavoittuvuus koskee

Windows, IIS. Lisätietoja on tämän tietoturvatiedotteen kohdassa Ohjelmistot, joita haavoittuvuus koskee, ja lataussivustot

 

Tiedotteen numeroMicrosoftin tietoturvatiedote MS08-011

Tiedotteen otsikko

Microsoft Worksin tiedostomuuntimen haavoittuvuudet saattavat sallia koodin suorittamisen verkon välityksellä (947081)

Yhteenveto

Tämä tärkeä tietoturvapäivitys korjaa kolme suoraan Microsoftille ilmoitettua Microsoft Worksin tiedostomuuntimen haavoittuvuutta. Nämä haavoittuvuudet saattavat sallia koodin suorittamisen verkon välityksellä, jos käyttäjä avaa erityisesti muodostetun Works (.wps) -tiedoston sellaisessa Microsoft Officen, Microsoft Worksin tai Microsoft Works Suiten versiossa, jota haavoittuvuus koskee. Hyödyntämällä tätä haavoittuvuutta onnistuneesti hyökkääjä voi saada kokonaan hallintaansa haavoittuvuuden sisältävän järjestelmän. Tällöin hyökkääjä voi asentaa ohjelmia tai tarkastella, muuttaa ja poistaa tietoja tai luoda käyttäjätilejä kaikilla valtuuksilla.

Luokitus

Tärkeä

Haavoittuvuuden vaikutus

Koodin suorittaminen verkon välityksellä

Tunnistus

Microsoft Baseline Security Analyzer tunnistaa, tarvitseeko tietokone tätä päivitystä. Tämä päivitys ei edellytä järjestelmän käynnistämistä uudelleen.

Ohjelmistot, joita haavoittuvuus koskee

Office, Works, Works Suite. Lisätietoja on tämän tietoturvatiedotteen kohdassa Ohjelmistot, joita haavoittuvuus koskee, ja lataussivustot

Top of sectionTop of section
Top of sectionTop of section

Ohjelmistot, joita haavoittuvuus koskee, ja lataussivustot

Miten taulukkoa käytetään?

Tämän taulukon avulla voit selvittää, mitä tietoturvapäivityksiä järjestelmääsi on asennettava. Katso, sisältääkö taulukko käyttämäsi ohjelman tai osan ja edellyttääkö se tietoturvapäivityksen asentamista. Kunkin mainitun ohjelman tai osan yhteydessä näkyy haavoittuvuuden vaikutus ja linkki saatavana oleviin ohjelmistopäivityksiin.

Huomautus Yksittäinen haavoittuvuus saattaa edellyttää useiden tietoturvapäivitysten asentamista. Voit tarkistaa järjestelmääsi asennettujen ohjelmien tai osien tarvitsemat päivitykset tutustumalla tarkemmin kuhunkin yksittäiseen tietoturvatiedotteeseen.

Ohjelmistot, joita haavoittuvuus koskee, ja lataussivustot

Ohjelmistot, joita haavoittuvuus koskee, ja lataussivustot tietoturvatiedotteille MS08-003–MS08-008

 TiedotTiedotTiedotTiedotTiedotTiedot

Tiedotteen numero

MS08-003

MS08-004

MS08-005

MS08-006

MS08-007

MS08-008

Luokitus

Tärkeä

Tärkeä

Tärkeä

Tärkeä

Kriittinen

Kriittinen

Windows-käyttöjärjestelmä      

Microsoft Windows 2000 Server Service Pack 4

[1]

 

 

 

 

 

Microsoft Windows 2000 Service Pack 4

 

 

[1]

 

 

Kriittinen

Windows XP Professional Service Pack 2

[1]

 

[1]

[1]

 

 

Windows XP Service Pack 2

 

 

 

 

Kriittinen

Kriittinen

Windows XP Professional x64 Edition ja Windows XP Professional x64 Edition Service Pack 2

[1]

 

[1]

[1]

Kriittinen

Kriittinen

Windows Server 2003 Service Pack 1 ja Windows Server 2003 Service Pack 2

[1]

 

[1]

[1]

Kriittinen

Keskitaso

Windows Server 2003 x64 Edition ja Windows Server 2003 x64 Edition Service Pack 2

[1]

 

[1]

[1]

Kriittinen

Keskitaso

Windows Server 2003 with SP1 for Itanium-based Systems ja Windows Server 2003 with SP2 for Itanium-based Systems

[1]

 

[1]

[1]

Kriittinen

Keskitaso

Windows Vista

 

Tärkeä

[1]

 

Kriittinen

Kriittinen

Windows Vista x64 Edition

 

Tärkeä

[1]

 

Kriittinen

Kriittinen

Windows-käyttöjärjestelmien osat, joita haavoittuvuus koskee      

Microsoft Windows 2000 Service Pack 4:n Microsoft Internet Information Services 5.0

 

 

Tärkeä

 

 

 

Windows XP Professional Service Pack 2:n Microsoft Internet Information Services 5.1

 

 

Tärkeä

Tärkeä

 

 

Windows XP Professional x64 Editionin ja Windows XP Professional x64 Edition Service Pack 2:n Microsoft Internet Information Services 6.0

 

 

Tärkeä

Tärkeä

 

 

Windows Server 2003 Service Pack 1:n ja Windows Server 2003 Service Pack 2:n Microsoft Internet Information Services 6.0

 

 

Tärkeä

Tärkeä

 

 

Windows Server 2003 x64 Editionin ja Windows Server 2003 x64 Edition Service Pack 2:n Microsoft Internet Information Services 6.0

 

 

Tärkeä

Tärkeä

 

 

Windows Server 2003 with SP1 for Itanium-based Systemsin ja Windows Server 2003 with SP2 for Itanium-based Systemsin Microsoft Internet Information Services 6.0

 

 

Tärkeä

Tärkeä

 

 

Windows Vistan Microsoft Internet Information Services 7.0

 

 

Tärkeä

 

 

 

Windows Vista x64 Editionin Microsoft Internet Information Services 7.0

 

 

Tärkeä

 

 

 

Microsoft Windows 2000 Server Service Pack 4:n Active Directory

Tärkeä

 

 

 

 

 

Microsoft Windows XP Professional Service Pack 2:n ADAM

Keskitaso

 

 

 

 

 

Windows XP Professional x64 Editionin ja Windows XP Professional x64 Edition Service Pack 2:n ADAM

Keskitaso

 

 

 

 

 

Windows Server 2003 Service Pack 1:n ja Windows Server 2003 Service Pack 2:n Active Directory

Keskitaso

 

 

 

 

 

Windows Server 2003 Service Pack 1:n ja Windows Server 2003 Service Pack 2:n ADAM

Keskitaso

 

 

 

 

 

Windows Server 2003 x64 Editionin ja Windows Server 2003 x64 Edition Service Pack 2:n Active Directory

Keskitaso

 

 

 

 

 

Windows Server 2003 x64 Editionin ja Windows Server 2003 x64 Edition Service Pack 2:n ADAM

Keskitaso

 

 

 

 

 

Windows Server 2003 with SP1 for Itanium-based Systemsin ja Windows Server 2003 with SP2 for Itanium-based Systemsin Active Directory

Keskitaso

 

 

 

 

 

Microsoft Office      

Microsoft Office 2004 for Mac

 

 

 

 

 

Kriittinen

Muut ohjelmistot, joita haavoittuvuus koskee      

Microsoft Visual Basic 6.0 Service Pack 6

 

 

 

 

 

Kriittinen

Huomautuksia

[1] Tähän käyttöjärjestelmään on saatavana tietoturvapäivitys. Tarkista taulukosta, mikä tietoturvatiedote käsittelee haavoittuvuuden sisältävää ohjelmistoa tai osaa. 

Top of sectionTop of section

Ohjelmistot, joita haavoittuvuus koskee, ja lataussivustot tietoturvatiedotteille MS08-009–MS08-013

 TiedotTiedotTiedotTiedotTiedot

Tiedotteen numero

MS08-009

MS08-010

MS08-011

MS08-012

MS08-013

Luokitus

Kriittinen

Kriittinen

Tärkeä

Kriittinen

Kriittinen

Windows-käyttöjärjestelmä     

Microsoft Windows 2000 Service Pack 4

 

[1]

 

 

 

Windows XP Service Pack 2

 

[1]

 

 

 

Windows XP Professional x64 Edition ja Windows XP Professional x64 Edition Service Pack 2

 

[1]

 

 

 

Windows Server 2003 Service Pack 1 ja Windows Server 2003 Service Pack 2

 

[1]

 

 

 

Windows Server 2003 x64 Edition ja Windows Server 2003 x64 Edition Service Pack 2

 

[1]

 

 

 

Windows Server 2003 with SP1 for Itanium-based Systems ja Windows Server 2003 with SP2 for Itanium-based Systems

 

[1]

 

 

 

Windows Vista

 

[1]

 

 

 

Windows Vista x64 Edition

 

[1]

 

 

 

Windows-käyttöjärjestelmien osat, joita haavoittuvuus koskee     

Internet Explorer 5.01 Service Pack 4 ja Microsoft Windows 2000 Service Pack 4

 

Kriittinen

 

 

 

Microsoft Windows 2000 Service Pack 4:n Internet Explorer 6 Service Pack 1

 

Kriittinen

 

 

 

Windows XP Service Pack 2:n Internet Explorer 6

 

Kriittinen

 

 

 

Windows XP Professional x64 Editionin Internet Explorer 6 ja Windows XP Professional x64 Edition Service Pack 2

 

Kriittinen

 

 

 

Windows Server 2003 Service Pack 1:n ja Windows Server 2003 Service Pack 2:n Internet Explorer 6

 

Kriittinen

 

 

 

Windows Server 2003 x64 Editionin ja Windows Server 2003 x64 Edition Service Pack 2:n Internet Explorer 6

 

Kriittinen

 

 

 

Internet Explorer 6, kun käyttöjärjestelmänä on Windows Server 2003 with SP1 for Itanium-based Systems ja Windows Server 2003 with SP2 for Itanium-based Systems

 

Kriittinen

 

 

 

Windows XP Service Pack 2:n Internet Explorer 7

 

Kriittinen

 

 

 

Windows XP Professional x64 Editionin Internet Explorer 7 ja Windows XP Professional x64 Edition Service Pack 2

 

Kriittinen

 

 

 

Windows Server 2003 Service Pack 1:n ja Windows Server 2003 Service Pack 2:n Internet Explorer 7

 

Kriittinen

 

 

 

Windows Server 2003 x64 Editionin ja Windows Server 2003 x64 Edition Service Pack 2:n Internet Explorer 7

 

Kriittinen

 

 

 

Internet Explorer 7, kun käyttöjärjestelmänä on Windows Server 2003 with SP1 for Itanium-based Systems ja Windows Server 2003 with SP2 for Itanium-based Systems

 

Kriittinen

 

 

 

Windows Vistan Internet Explorer 7

 

Kriittinen

 

 

 

Windows Vista x64 Editionin Internet Explorer 7

 

Kriittinen

 

 

 

Microsoft Office     

Microsoft Office 2000 Service Pack 3

 

 

 

 

Kriittinen

Microsoft Office XP Service Pack 3

 

 

 

 

Tärkeä

Microsoft Office 2003 Service Pack 2

 

 

 

 

Tärkeä

Microsoft Office 2004 for Mac

 

 

 

 

Tärkeä

Microsoft Word 2000 Service Pack 3

Kriittinen

 

 

 

 

Microsoft Word 2002 Service Pack 3

Tärkeä

 

 

 

 

Microsoft Word 2003 Service Pack 2

Tärkeä

 

 

 

 

Microsoft Office Word Viewer 2003

Tärkeä

 

 

 

 

Microsoft Office Publisher 2000

 

 

 

Kriittinen

 

Microsoft Office Publisher 2002

 

 

 

Tärkeä

 

Microsoft Office Publisher 2003 Service Pack 2

 

 

 

Tärkeä

 

Office-ohjelmistot, joita haavoittuvuus koskee     

Microsoft Office 2003 Service Pack 2:n Microsoft Works 6 -tiedostomuunnin

 

 

Keskitaso

 

 

Microsoft Office 2003 Service Pack 3:n Microsoft Works 6 -tiedostomuunnin

 

 

Keskitaso

 

 

Microsoft Works 8.0:n Microsoft Works 6 -tiedostomuunnin

 

 

Tärkeä

 

 

Microsoft Works Suite 2005:n Microsoft Works 6 -tiedostomuunnin

 

 

Tärkeä

 

 

Huomautuksia

[1] Tähän käyttöjärjestelmään on saatavana tietoturvapäivitys. Tarkista taulukosta, mikä tietoturvatiedote käsittelee haavoittuvuuden sisältävää ohjelmistoa tai osaa. 

Top of sectionTop of section
Top of sectionTop of section

Tunnistus- ja käyttöönottotyökalut ja ohjeet

Tietoturvakeskus

Voit hallita ohjelmistoa ja tietoturvapäivityksiä, joita tarvitset organisaatiosi palvelimien, työaseman ja kannettavien tietokoneiden käyttöönottamiseen. Lisätietoja on TechNet Update Management Center -sivustossa (joka voi olla englanninkielinen). TechNet Security Centerissä on lisätietoja Microsoft-tuotteiden suojausominaisuuksista. Kotikäyttäjät voivat tutustua näihin tietoihin valitsemalla Kodin tietoturva -sivustossa Tietoturvapäivitykset.

Tietoturvapäivitykset ovat saatavana Microsoft Update-, Windows Update- ja Office Update -sivustoissa. Tietoturvapäivityksiä voi ladata myös Microsoft Download Centeristä. Päivitysten etsiminen on helpointa hakusanahaun ja hakusanan "security update" avulla.

Tietoturvapäivitykset voidaan ladata lisäksi Microsoft Update Catalog -palvelusta. Microsoft Update Catalog -palvelu sisältää hakemiston Windows Updaten ja Microsoft Updaten kautta tarjottavasta sisällöstä, kuten tietoturvapäivityksistä, ohjaimista ja Service Packeista. Tästä hakemistosta voidaan myös tehdä hakuja. Kun teet hakuja tieturvatiedotteen numeron mukaan (kuten MS07-036), voit lisätä kaikki haun tuloksena saatavat päivitykset ostoskoriisi (mukaan lukien kaikki päivityksen kieliversiot) ja ladata sitten koko paketin valitsemaasi kansioon. Lisätietoja Microsoft Update Catalogista on Microsoft Update Catalogin usein kysytyissä kysymyksissä.

Tunnistus- ja käyttöönotto-ohjeet

Microsoft on laatinut tunnistus- ja käyttöönotto-ohjeet tässä kuussa julkaistuille tietoturvapäivityksille. Näiden ohjeiden avulla IT-alan ammattilaiset osaavat käyttää erilaisia työkaluja tietoturvapäivitysten käyttöönottamiseen. Näitä työkaluja ovat esimerkiksi Windows Update, Microsoft Update, Office Update, MBSA (Microsoft Baseline Security Analyzer), Office-tunnistustyökalu, MSM (Microsoft Systems Management) -palvelin ja laajennettu Inventory-työkalu (ESUIT). Lisätietoja on Microsoft Knowledge Base -artikkelissa 910723.

Microsoft Baseline Security Analyzer

MBSA (Microsoft Baseline Security Analyzer) -työkalulla järjestelmänvalvojat voivat tarkistaa sekä paikallisista järjestelmistä että etäjärjestelmistä, puuttuuko niistä tietoturvapäivityksiä ja onko niissä muita yleisiä tietoturvapuutteita. Lisätietoja MBSA-työkalusta on Microsoft Baseline Security Analyzer -sivustossa.

Windows Server Update Services

Käyttämällä WSUS (Windows Server Update Services) -palvelua järjestelmänvalvojat voivat ottaa nopeasti ja luotettavasti käyttöön uusimmat kriittiset päivitykset ja tietoturvapäivitykset seuraavissa järjestelmissä: Windows 2000 ja sitä uudemmat, Office XP ja sitä uudemmat, Exchange Server 2003, SQL Server 2000 (Windows 2000 ja sitä uudemmat käyttöjärjestelmät).

System Center Configuration Manager (SCCM) 2007 tunnistaa päivitykset WSUS 3.0:n avulla. Lisätietoja SCCM 2007 -ohjelmiston päivityksen hallinnasta on sivustossa System Center Configuration Manager 2007.

Lisätietoja tämän tietoturvapäivityksen käyttöönottamisesta WSUS-palvelun avulla on Windows Server Update Services -sivustossa.

Systems Management Server

Microsoft Systems Management Server (SMS) tarjoaa monipuolisesti määritettävän yritysratkaisun päivitysten hallintaan. SMS:n avulla järjestelmänvalvojat voivat tunnistaa tietoturvapäivityksiä tarvitsevat Windows-järjestelmät ja suorittaa hallitun päivitysten asennuksen koko yrityksessä niin, että käyttäjien työt keskeytyvät mahdollisimman vähän. SMS:n seuraava versio eli System Center Configuration Manager 2007 on nyt saatavana. Katso myös System Center Configuration Manager 2007. Lisätietoja siitä, kuinka järjestelmänvalvojat voivat käyttää SMS 2003:a tietoturvapäivitysten asentamiseen, on SMS 2003 Security Patch Management -sivustossa. SMS 2.0:n käyttäjät voivat asentaa tietoturvapäivityksiä myös Software Updates Services Feature Packin avulla. Lisätietoja SMS:stä on Microsoft Systems Management Server -sivustossa.

Huomautus SMS hyödyntää laaja-alaisesti Microsoft Baseline Security Analyzer- ja Microsoft Office Detection Tool -työkalua tietoturvapäivityksien tunnistamiseen ja asennukseen liittyvän tuen tarjoamiseen. Nämä työkalut eivät ehkä tunnista joitakin päivityksiä. Järjestelmänvalvojat voivat käyttää SMS:n analysointiominaisuuksia päivitysten kohdentamiseen tiettyihin järjestelmiin. Lisätietoja tämän tekemisestä on Deploying Software Updates Using the SMS Software Distribution Feature -sivustossa. Jotkin tietoturvapäivitykset saattavat edellyttää järjestelmänvalvojan oikeuksia, kun järjestelmä on käynnistetty uudelleen. Järjestelmänvalvojat voivat käyttää Elevated Rights Deployment Tool -työkalua (sisältyy SMS 2003 Administration Feature Packiin ja SMS 2.0 Administration Feature Packiin) päivitysten asentamisessa.

Top of sectionTop of section

Muita tietoja:

Windowsin haittaohjelmien poistotyökalu

Microsoft on julkaissut päivitetyn version Microsoft Windowsin haittaohjelmien poistotyökalusta seuraavissa sivustoissa:  Windows Update, Microsoft Update, Windows Server Update Services ja Download Center.

Top of sectionTop of section

Tärkeät, muut kuin tietoturvapäivitykset MU- ja WU-sivustoissa sekä WSUS-palvelussa:

Tässä kuussa:

Microsoft on julkaissut seitsemän tärkeää päivitystä, jotka eivät kuitenkaan ole tietoturvapäivityksiä, MU (Microsoft Update)-sivustossa ja WSUS (Windows Server Update Services)-palvelussa.

Microsoft on julkaissut WU (Windows Update)-sivustossa ja WSUS (Windows Server Update Services)-palvelussa kaksi tärkeää Windows-päivitystä, jotka eivät kuitenkaan ole tietoturvapäivityksiä.

Huomaa, että nämä tiedot koskevat vain sellaisia tärkeitä päivityksiä, jotka eivät ole tietoturvapäivityksiä ja jotka julkaistaan saman päivänä kuin tietoturvatiedotteiden yhteenveto Microsoft Update-, Windows Update- ja Windows Server Update Services -sivustoissa. Tietoja ei julkaista muina päivinä julkaistavista päivityksistä, jotka eivät ole tietoturvapäivityksiä.

Top of sectionTop of section

Tietoturvastrategiat ja yhteisö

Korjaustiedostojen hallintamenetelmät

Security Guidance for Update Management -sivustossa on lisätietoja Microsoftin suosittelemista tietoturvapäivitysten käyttötavoista.

Muiden tietoturvapäivitysten hankkiminen

Muita tietoturvapäivityksiä on saatavilla seuraavista sivustoista:

Tietoturvapäivityksiä voi ladata Microsoft Download Centeristä. Päivitysten etsiminen on helpointa hakusanahaun ja hakusanan "security update" avulla.

Kotikäyttäjille suunnattujen ympäristöjen päivityksiä voi ladata Microsoft Update -sivustosta.

Voit hankkia tämän kuun Windows Update -tietoturvapäivitykset Security and Critical Releases ISO Image -vedostiedostona Download Centeristä. Lisätietoja on Microsoft Knowledge Base -artikkelissa 913086.

IT Pro Security Community

Opi uusia tietoturvatekniikoita IT-infrastruktuurisi turvallisuuden parantamiseksi ja keskustele tietoturvaan liittyvistä aiheista muiden IT-alan ammattilaisten kanssa IT Pro Security Community -sivustossa.

Top of sectionTop of section

Kiitokset

Microsoft kiittää yhteistyöstä seuraavia tahoja, joiden ansiosta asiakkaiden turvallisuutta on parannettu:

Thomas Garnier (SkyRecon) ilmoitti haavoittuvuudesta, joka on kuvattu tietoturvatiedotteessa MS08-003

Tomas Potok, Martin Dominik, Martin Luptak ja Eva Juhasova (Whitestein Technologies) ilmoittivat haavoittuvuudesta, joka on kuvattu tietoturvatiedotteessa MS08-004

Steven (COSEINC Vulnerability Research Lab) ilmoitti haavoittuvuudesta, joka on kuvattu tietoturvatiedotteessa MS08-007

Ryan Smith ja Alex Wheeler (IBM ISS X-Force) ilmoittivat haavoittuvuudesta, joka on kuvattu tietoturvatiedotteessa MS08-008

Rubén Santamarta (Reversemode.com) ilmoitti haavoittuvuudesta, joka on kuvattu tietoturvatiedotteessa MS08-009

Shane Macaulay ja Riley Hassell (Security Objectives) ilmoittivat haavoittuvuudesta, joka on kuvattu tietoturvatiedotteessa MS08-010

Tuntematon tutkija (yhteistyössä TippingPointin ja Zero Day Initiativen kanssa) ilmoitti haavoittuvuudesta, joka on kuvattu tietoturvatiedotteessa MS08-010.

hyy (yhteistyössä VeriSign iDefense VCP:n ja Microsoftin kanssa) ilmoitti haavoittuvuudesta, joka on kuvattu tietoturvatiedotteessa MS08-010

ADLab (Venustech) ilmoitti haavoittuvuudesta, joka on kuvattu tietoturvatiedotteessa MS08-010

VeriSign iDefense VCP ilmoitti haavoittuvuudesta, joka on kuvattu tietoturvatiedotteessa MS08-011

Damian Put (yhteistyössä VeriSign iDefense VCP:n kanssa) ilmoitti haavoittuvuudesta, joka on kuvattu tietoturvatiedotteessa MS08-011

IBM Internet Security Systems X-Force ilmoitti haavoittuvuudesta, joka on kuvattu tietoturvatiedotteessa MS08-011

Piotr Bania ilmoitti haavoittuvuudesta, joka on kuvattu tietoturvatiedotteessa MS08-012

Bing Liu (Fortinet Security Research) ilmoitti haavoittuvuudesta, joka on kuvattu tietoturvatiedotteessa MS08-012

Bing Liu (Fortinet Security Research) ilmoitti haavoittuvuudesta, joka on kuvattu tietoturvatiedotteessa MS08-012

Shaun Colley (NGSSoftware) ilmoitti haavoittuvuudesta, joka on kuvattu tietoturvatiedotteessa MS08-013

Top of sectionTop of section

Tuki

Mainitut ohjelmistoversiot on testattu sen selvittämiseksi, koskeeko ongelma niitä. Muiden versioiden tuen elinkaari on päättynyt. Lisätietoja tuote- ja versiotuen elinkaaresta on Microsoftin Tuotetuen elinkaari -sivustossa.

Tuotetukea Yhdysvalloissa ja Kanadassa tarjoaa Microsoftin tuotetukipalvelut, jonka puhelinnumero on 1-866-PCSAFETY. Tietoturvapäivityksiin liittyvät tukipuhelut ovat maksuttomia.

Muissa maissa asiakkaat saavat tukea paikallisista Microsoftin tytäryhtiöistä. Tietoturvapäivityksiin liittyvä tuki on maksutonta. Lisätietoja yhteyden ottamisesta Microsoft-tukeen on International Help and Support -sivustossa.

Top of sectionTop of section

Vastuuvapauslauseke

Microsoft Knowledge Base -tietokannan sisältämät tiedot toimitetaan "sellaisenaan" ilman minkäänlaista takuuta. Microsoft kiistää kaikki nimenomaiset ilmaistut tai epäsuorat takuut, mukaan lukien takuut tuotteen soveltuvuudesta kaupankäynnin kohteeksi ja sopivuudesta tiettyyn tarkoitukseen. Microsoft Corporation tai sen toimittajat eivät missään tapauksessa ole vastuussa vahingoista mukaan lukien suorat, satunnaiset, epäsuorat ja välilliset vahingot, liikevoiton menetys sekä erityiset vahingot, vaikka Microsoft Corporationille tai sen toimittajille olisi ilmoitettu vahinkojen mahdollisuudesta. Koska jotkin valtiot eivät salli välillisten tai satunnaisten vahinkojen vahingonkorvausvastuun poissulkemista tai rajoittamista, edellä mainittu rajoitus ei koske kaikkia asiakkaita.

Top of sectionTop of section

Versiot

V1.0 (12. helmikuuta 2008): Tietoturvatiedotteen yhteenveto julkaistu.

V1.1 (13. maaliskuuta 2008): Tietoturvatiedote on päivitetty. MS08-005: Windows XP Professional x64 Editionin ja Windows XP Professional x64 Edition Service Pack 2:n latauslinkkiviittaus Internet Information Services 6.0:aan korjattiin. Latauslinkki ohjasi käyttäjät oikein IIS 6.0 -päivitykseen, mutta viitelinkki virheellisesti aiemmin ilmoitettuun IIS 5.1:een.

Top of sectionTop of section

Sivun alkuunSivun alkuun