Sammendrag av Microsofts sikkerhetsbulletin for april 2007

Publisert: 3. april 2007 | Oppdatert: 10. april 2007

Versjon: 2.0

Denne sammendragsbulletinen inneholder en liste over sikkerhetsbulletinene som utgis i april 2007.

Sikkerhetssentral: Microsoft tilbyr informasjon om hvordan du kan beskytte datasystemet, på følgende steder:

•	Forbrukere kan også gå til Sikkerhet hjemme, der denne informasjonen er tilgjengelig under Siste sikkerhetsoppdateringer.
•	IT-eksperter kan gå til TechNet Security Center.

Strategier for behandling av oppdateringer: På webområdet Security Guidance for Patch Management finner du mer informasjon om Microsofts anbefalinger for gode fremgangsmåter for å bruke sikkerhetsdata.

Sikkerhetssone for IT-eksperter: Lær hvordan du kan forbedre sikkerheten og optimalisere IT-infrastrukturen, og delta sammen med andre IT-eksperter i diskusjoner om sikkerhet i sikkerhetssonen for IT-eksperter.

Microsofts sikkerhetsmeddelelsestjeneste: Hvis du vil motta beskjed automatisk via e-post når Microsoft-sikkerhetsbulletiner publiseres, må du abonnere på Microsoft Technical Security Notifications.

Sammendrag

Denne sammendragsbulletinen inneholder sikkerhetsoppdateringer for nylig oppdagede sikkerhetsproblemer. Sikkerhetsbulletinene for dem er, etter alvorlighetsgrad, som følger:

Kritisk (5)

Bulletinidentifikator	Microsofts sikkerhetsbulletin MS07-017
Bulletintittel	Sikkerhetsproblemer i GDI kan tillate ekstern kjøring av kode (925902)
Kortfattet sammendrag	Denne oppdateringen løser sikkerhetsproblemer i GDI som kan tillate ekstern kjøring av kode.
Maksimal alvorlighetsgrad	Kritisk
Følger av sikkerhetsproblemet	Ekstern kjøring av kode
Søking	Microsoft Baseline Security Analyzer kan finne ut om datasystemet trenger denne oppdateringen. Denne oppdateringen kan kreve en omstart.
Berørt programvare	Windows. Hvis du vi ha mer informasjon, kan du se delen Berørt programvare og nedlastingssteder.

Bulletinidentifikator	Microsofts sikkerhetsbulletin MS07-018
Bulletintittel	Sikkerhetsproblemer i Microsoft Content Management Server kan tillate ekstern kjøring av kode (925939)
Kortfattet sammendrag	Denne oppdateringen løser sikkerhetsproblemer i Microsoft Content Management Server som kan tillate ekstern kjøring av kode.
Maksimal alvorlighetsgrad	Kritisk
Følger av sikkerhetsproblemet	Ekstern kjøring av kode
Søking	Microsoft Baseline Security Analyzer kan finne ut om datasystemet trenger denne oppdateringen. Denne oppdateringen kan kreve en omstart.
Berørt programvare	Content Management Server. Hvis du vi ha mer informasjon, kan du se delen Berørt programvare og nedlastingssteder.

Bulletinidentifikator	Microsofts sikkerhetsbulletin MS07-019
Bulletintittel	Sikkerhetsproblem i Universal Plug and Play kan tillate ekstern kjøring av kode (931261)
Kortfattet sammendrag	Denne oppdateringen løser et sikkerhetsproblem i Universal Plug and Play som kan tillate ekstern kjøring av kode.
Maksimal alvorlighetsgrad	Kritisk
Følger av sikkerhetsproblemet	Ekstern kjøring av kode
Søking	Microsoft Baseline Security Analyzer kan finne ut om datasystemet trenger denne oppdateringen. Denne oppdateringen kan kreve en omstart.
Berørt programvare	Windows. Hvis du vi ha mer informasjon, kan du se delen Berørt programvare og nedlastingssteder.

Bulletinidentifikator	Microsofts sikkerhetsbulletin MS07-020
Bulletintittel	Sikkerhetsproblem i Microsoft Agent kan tillate ekstern kjøring av kode (932168)
Kortfattet sammendrag	Denne oppdateringen løser et sikkerhetsproblem i Microsoft Agent som kan tillate ekstern kjøring av kode.
Maksimal alvorlighetsgrad	Kritisk
Følger av sikkerhetsproblemet	Ekstern kjøring av kode
Søking	Microsoft Baseline Security Analyzer kan finne ut om datasystemet trenger denne oppdateringen. Denne oppdateringen kan kreve en omstart.
Berørt programvare	Windows. Hvis du vi ha mer informasjon, kan du se delen Berørt programvare og nedlastingssteder.

Bulletinidentifikator	Microsofts sikkerhetsbulletin MS07-021
Bulletintittel	Sikkerhetsproblemer i CSRSS kan tillate ekstern kjøring av kode (930178)
Kortfattet sammendrag	Denne oppdateringen løser sikkerhetsproblemer i Windows Client / Server Run-time Subsystem (CSRSS) som kan tillate ekstern kjøring av kode.
Maksimal alvorlighetsgrad	Kritisk
Følger av sikkerhetsproblemet	Ekstern kjøring av kode
Søking	Microsoft Baseline Security Analyzer kan finne ut om datasystemet trenger denne oppdateringen. Denne oppdateringen kan kreve en omstart.
Berørt programvare	Windows. Hvis du vi ha mer informasjon, kan du se delen Berørt programvare og nedlastingssteder.

Top of section

Viktig (1)

Bulletinidentifikator	Microsofts sikkerhetsbulletin MS07-022
Bulletintittel	Sikkerhetsproblem i Windows-kjernen kan tillate rettighetsutvidelse (931784)
Kortfattet sammendrag	Denne oppdateringen løser et sikkerhetsproblem i Windows-kjernen som kan føre til rettighetsutvidelse.
Maksimal alvorlighetsgrad	Viktig
Følger av sikkerhetsproblemet	Rettighetsutvidelse
Søking	Microsoft Baseline Security Analyzer kan finne ut om datasystemet trenger denne oppdateringen. Denne oppdateringen kan kreve en omstart.
Berørt programvare	Windows. Hvis du vi ha mer informasjon, kan du se delen Berørt programvare og nedlastingssteder.

Top of section

Berørt programvare og nedlastingssteder

Hvordan bruker jeg denne tabellen?

Du bruker tabellen til å lære om sikkerhetsoppdateringer som du kanskje må installere. Du bør gå gjennom alle oppførte programmer eller programvarekomponenter for å se om det finnes nødvendige sikkerhetsoppdateringer. Hvis et program eller en programvarekomponent er oppført, vil virkningen av sikkerhetsproblemet også være oppført i tillegg til en hyperkobling til den tilgjengelige programvareoppdateringen.

Berørt programvare og nedlastingssteder

	Detaljer	Detaljer	Detaljer	Detaljer	Detaljer	Detaljer
Bulletinidentifikator	MS07-017	MS07-018	MS07-019	MS07-020	MS07-021	MS07-022
Maksimal alvorlighetsgrad	Kritisk	Kritisk	Kritisk	Kritisk	Kritisk	Viktig
Berørt programvare for Windows:
Windows 2000 Service Pack 4	Kritisk			Kritisk	Kritisk	Viktig
Windows XP Service Pack 2	Kritisk		Kritisk	Kritisk	Kritisk	Viktig
Windows XP Professional x64 Edition	Kritisk		Kritisk	Moderat	Kritisk
Windows XP Professional x64 Edition Service Pack 2	Kritisk		Kritisk	Moderat	Kritisk
Windows Server 2003	Kritisk			Moderat	Kritisk	Viktig
Windows Server 2003 Service Pack 1	Kritisk			Moderat	Kritisk	Viktig
Windows Server 2003 Service Pack 2	Kritisk			Moderat	Kritisk	Viktig
Windows Server 2003 for Itanium-based Systems	Kritisk			Moderat	Kritisk
Windows Server 2003 SP1 for Itanium-based Systems	Kritisk			Moderat	Kritisk
Windows Server 2003 SP2 for Itanium-based Systems	Kritisk			Moderat	Kritisk
Windows Server 2003 x64 Edition	Kritisk			Moderat	Kritisk
Windows Server 2003 x64 Edition Service Pack 2	Kritisk			Moderat	Kritisk
Windows Vista	Kritisk				Kritisk
Windows Vista x64 Edition	Kritisk				Kritisk
Annen berørt Microsoft-programvare:
Content Management Server 2001 Service Pack 1		Kritisk
Content Management Server 2002 Service Pack 2		Kritisk

Top of section

Distribusjon

Software Update Services:

Med Microsoft Software Update Services (SUS) kan administratorer raskt og effektivt distribuere de nyeste og viktige oppdateringene og sikkerhetsoppdateringene til Windows 2000- og Windows Server 2003-baserte servere samt til stasjonære systemer som kjører Windows 2000 Professional eller Windows XP Professional.

Hvis du vil ha mer informasjon om hvordan du distribuerer denne sikkerhetsoppdateringen med Software Update Services, går du til webområdet Software Update Services.

Windows Server Update Services:

Med Windows Server Update Services (WSUS) kan administratorer raskt og effektivt distribuere de nyeste viktige oppdateringene og sikkerhetsoppdateringene for Windows 2000 og nyere operativsystemer, Office XP og nyere, Exchange Server 2003 og SQL Server 2000, til Windows 2000 og nyere operativsystemer.

Du finner mer informasjon om hvordan du distribuerer denne sikkerhetsoppdateringen ved hjelp av Windows Server Update Services, på Windows Server Update Services.

Systems Management Server:

Microsoft Systems Management Server (SMS) er en svært fleksibel løsning for bedrifter for administrasjon av oppdateringer. Ved hjelp av SMS kan administratorer identifisere Windows-baserte systemer som trenger sikkerhetsoppdateringer, og utføre kontrollert distribusjon av disse oppdateringene i virksomheten med et minimalt avbrudd for sluttbrukerne. Hvis du vil ha mer informasjon om hvordan administratorer kan bruke SMS 2003 for å distribuere sikkerhetsoppdateringer, kan du gå til SMS 2003 Security Patch Management. Brukere av SMS 2.0 kan også bruke Software Updates Services Feature Pack for å få hjelp til å distribuere sikkerhetsoppdateringer. Hvis du vil ha informasjon om SMS, kan du gå til Microsoft Systems Management Server.

Obs! SMS bruker Microsoft Baseline Security Analyzer og Microsoft Office-søkeverktøyet til å utøve omfattende støtte for oppdaging og distribusjon av sikkerhetsbulletiner. Enkelte programvareoppdateringer oppdages kanskje ikke av disse verktøyene. Administratorer kan i slike tilfeller bruke lagerfunksjonene i SMS for å knytte oppdateringer til bestemte systemer. Hvis du vil ha mer informasjon om denne fremgangsmåten, kan du lese Deploying Software Updates Using the SMS Software Distribution Feature. Noen sikkerhetsoppdateringer krever administrative rettigheter etter at datamaskinen er startet på nytt. Administratorer kan bruke distribusjonsverktøyet for hevede rettigheter (tilgjengelig i SMS 2003 Administration Feature Pack og i SMS 2.0 Administration Feature Pack) til å installere disse oppdateringene.

QChain.exe og Update.exe:

Microsoft har publisert et kommandolinjeverktøy kalt QChain.exe, som gir systemadministratorer muligheten til å koble sikkerhetsoppdateringer sammen på en sikker måte. Sammenkjeding er når du installerer flere oppdateringer uten å starte datamaskinen på nytt mellom hver installasjon. Update.exe som brukes i oppdateringene som beskrives i denne veiledningen, har innebygd sammenkjedingsfunksjonalitet. Kunder som bruker Windows 2000 Service Pack 2 eller nyere, Windows XP eller Windows Server 2003, trenger ikke Qchain.exe for å sammenkjede disse oppdateringene. Qchain.exe støtter fremdeles sammenkjeding av disse Windows-oppdateringene, slik at en administrator kan lage et konsistent distribusjonsskript for de ulike plattformene. Hvis du vil ha mer informasjon om Qchain, besøker du dette webområdet.

Microsoft Baseline Security Analyzer:

Med MBSA kan administratorer søke etter manglende sikkerhetsoppdateringer i tillegg til vanlige sikkerhetskonfigurasjoner på lokale og eksterne systemer. Du finner mer informasjon om MBSA på Microsoft Baseline Security Analyzer.

Veiledning for søking og distribusjon:

Microsoft tilbyr ytterligere veiledning for søking og distribusjon for sikkerhetsoppdateringer. Veiledningen vil også hjelpe IT-ansvarlige til å forstå hvordan de kan bruke ulike verktøy for å distribuere sikkerhetsoppdateringen, for eksempel Windows Update, Microsoft Update, Office Update, Microsoft Baseline Security Analyzer (MBSA), Office-søkeverktøyet, Microsoft Systems Management Server (SMS), Extended Security Update Inventory Tool og Enterprise Update Scan Tool (EST). Du finner mer informasjon i Microsoft Knowledge Base-artikkel 910723.

Top of section

Annen informasjon

Takk til:

Microsoft takker følgende for samarbeidet med å beskytte kundene:

•	Alexander Sotirov hos Determina Security Research for rapporten om et sikkerhetsproblem som beskrives i MS07-017.
•	McAfee for samarbeidet i forbindelse med et problem som beskrives i MS07-017.
•	iDefense Labs for rapporten om et sikkerhetsproblem som beskrives i MS07-017.
•	Shaun Colley hos NGS Software for rapporten om et sikkerhetsproblem som beskrives i MS07-017.
•	Thomas Phinney hos Adobe Systems for rapporten om et sikkerhetsproblem som beskrives i MS07-017.
•	Sergey Svinolobov for rapporten om et sikkerhetsproblem som beskrives i MS07-017.
•	Martyn Tovey hos Netcraft for rapporten om et sikkerhetsproblem som beskrives i MS07-018.
•	Greg MacManus hos IDefense Labs for rapporten om et sikkerhetsproblem som beskrives i MS07-019.
•	JJ Reyes og Carsten Eiram hos Secunia for rapporten om et sikkerhetsproblem som beskrives i MS07-020.
•	Tim Garnett hos Determina Security Research for rapporten om et sikkerhetsproblem som beskrives i MS07-021.
•	eEye for rapporten om et sikkerhetsproblem som beskrives i MS07-021.
•	eEye for rapporten om et sikkerhetsproblem som beskrives i MS07-022.

Microsoft Windows-verktøy for fjerning av skadelig programvare:

Microsoft har utgitt en oppdatert versjon av Microsoft-verktøyet for fjerning av ondsinnet programvare på Windows Update, Microsoft Update, Windows Server Update Services og Download Center.

Vær oppmerksom på at dette verktøyet ikke distribueres ved hjelp av Software Update Services (SUS).

Ikke-sikkerhetsrelaterte, høyt prioriterte oppdateringer på MU, WU, WSUS og SUS

•	Microsoft har utgitt fire ikke-sikkerhetsrelaterte, høyt prioriterte oppdateringer på Microsoft Update (MU) og Windows Server Update Services (WSUS).
•	Microsoft har utgitt to ikke-sikkerhetsrelaterte, høyt prioriterte oppdateringer for Windows på Windows Update (WU) og Software Update Services (SUS).

Vær oppmerksom på at denne informasjonen bare gjelder ikke-sikkerhetsrelaterte, høyt prioriterte oppdateringer på Microsoft Update, Windows Update, Windows Server Update Services og Software Update Services som ble utgitt samme dag som sammendraget av sikkerhetsbulletinen. Det gis ikke informasjon om ikke-sikkerhetsrelaterte oppdateringer som utgis andre dager.

Få tak i andre sikkerhetsoppdateringer:

Oppdateringer for andre sikkerhetsproblemer finnes på følgende steder:

•	Sikkerhetsoppdateringer finnes på Microsoft Download Center. Du finner dem ved å foreta et nøkkelordsøk etter "sikkerhetsoppdatering".
•	Oppdateringer for forbrukerplattformer finnes på Microsoft Update.
•	Du kan få sikkerhetsoppdateringene som tilbys på Windows Update denne måneden, i Security and Critical Releases ISO CD Image fra Microsoft Download Center. Hvis du vil ha mer informasjon, kan du se Microsoft Knowledge Base-artikkel 913086.

Kundestøtte:

•	Kunder i USA og Canada kan få kundestøtte hos Microsoft Product Support Services på telefon 1-866-PCSAFETY. Kundestøttesamtaler i forbindelse med sikkerhetsoppdateringer er gratis.
•	Internasjonale kunder kan få kundestøtte fra de lokale representasjonskontorene for Microsoft. Kundestøtte i forbindelse med sikkerhetsoppdateringer er gratis. Hvis du vil ha mer informasjon om hvordan du kontakter Microsoft angående kundestøtteproblemer, går du til internasjonal hjelp og støtte.

Sikkerhetsressurser:

•	TechNet Security Center gir ytterligere informasjon om sikkerhet for Microsoft-produkter.
•	Microsoft Software Update Services
•	Microsoft Windows Server Update Services
•	Microsoft Baseline Security Analyzer (MBSA)
•	Microsoft Update
•	Windows Update
•	Windows Update-katalogen: Du finner mer informasjon om Windows Update-katalogen i Microsoft Knowledge Base-artikkel 323166.
•	Office Update

Ansvarsfraskrivelse:

Informasjonen i Microsoft Knowledge Base er levert "som den er" uten garantier av noen art. Microsoft fraskriver seg ethvert ansvar, enten direkte eller indirekte, herunder garantier om salgbarhet og anvendelighet for særskilte formål. Microsoft Corporation eller dets leverandører skal ikke under noen omstendigheter holdes ansvarlig for noen skader eller tap herunder direkte, indirekte eller tilfeldige skader eller tap, konsekvenstap, tap av inntekter eller spesielle skader, også i tilfeller der Microsoft Corporation eller dets leverandører er underrettet om muligheten for slike skader eller tap. Ettersom enkelte land ikke tillater fraskrivelse eller begrensning av ansvar for følgeskade eller tilfeldig skade, kan det hende at ovennevnte begrensning ikke gjelder.

Revisjoner:

•	V1.0 (3. april 2007): Publisert sammendrag av sikkerhetsbulletin for utgivelsen av MS07-17.
•	V2.0 (10. april 2007): Revidert sammendrag av sikkerhetsbulletin for utgivelsen av MS07-018, MS07-019, MS07-020, MS07-021 og MS07-022.

Top of section

Til toppen