Oversigt over sikkerhedsopdateringer fra Microsoft for juni 2007

Offentliggjort: 12. juni 2007

Version: 1.0

Denne oversigt over bulletiner viser offentliggjorte sikkerhedsbulletiner for juni 2007.

Med udgivelsen af sikkerhedsbulletiner for juni 2007 erstatter denne oversigt over bulletin den forhåndsmeddelelse om bulletiner, som oprindeligt blev offentliggjort den 7. juni 2007. Yderligere oplysninger om forhåndsmeddelelsen om bulletiner finder du i Forhåndsmeddelelse om sikkerhedsbulletin fra Microsoft.

Abonner på teknisk sikkerhedsinformation fra Microsoft for at modtage automatiske meddelelser, når der udsendes sikkerhedsbulletiner fra Microsoft.

Microsoft afholder et webcast for at behandle kundernes spørgsmål omkring disse bulletiner onsdag den 13. juni 2007 kl. 11:00 Pacific Time (USA og Canada). Tilmeld dig nu for at få juni måneds sikkerhedsbulletin-webcast. Efter denne dato kan man få adgang til dette webcast ved anmodning herom. Flere oplysninger kan fås i Oversigt over sikkerhedsbulletiner fra Microsoft og webcasts.

Microsoft giver også oplysninger, der kan hjælpe kunder med at prioritere månedlige sikkerhedsopdateringer i forhold til ikke-sikkerhedsrelaterede vigtige opdateringer, som udgives samme dag som de månedlige sikkerhedsopdateringer. Se afsnittet Andre oplysninger.

Information om bulletin

Resuméer

Denne måneds sikkerhedsbulletiner er opstillet efter vigtighed på følgende måde:

Kritisk (4)

Bulletin-id	Sikkerhedsbulletin fra Microsoft MS07-031
Bulletinens titel	En sårbarhed i Windows Schannel-sikkerhedspakken kan give mulighed for fjernudførelse af kode (935840)
Resumé	Denne kritiske sikkerhedsopdatering løser en privat rapporteret sårbarhed i "Secure Channel (Schannel)"-sikkerhedspakken i Windows. Schannel-sikkerhedspakken implementerer SSL (Secure Sockets Layer) og TLS (Transport Layer Security) standard internetgodkendelsesprotokoller. Denne sårbarhed kan give mulighed for fjernudførelse af kode, hvis en bruger har fået vist en særligt udformet webside ved hjælp af en webbrowser eller brugt et program, som gør brug af SSL/TLS. Forsøg på at udnytte denne sårbarhed vil imidlertid sandsynligvis resultere i, at webbrowseren eller programmet afsluttes. Systemet vil ikke kunne oprette forbindelse til websteder eller ressourcer, der bruger SSL eller TLS, indtil systemet er blevet genstartet.
Klassifikation	Kritisk
Sårbarhedens omfang	Fjernudførelse af kode
Registrering	Microsoft Baseline Security Analyzer kan registrere, om dit computersystem skal bruge denne opdatering. Opdateringen kræver muligvis, at maskinen genstartes.
Berørte programmer	Windows. Du kan finde yderligere oplysninger i afsnittene Berørte programmer og downloadplaceringer.

Bulletin-id	Sikkerhedsbulletin fra Microsoft MS07-033
Bulletinens titel	Samlet sikkerhedsopdatering til Internet Explorer (933566)
Resumé	Denne kritiske sikkerhedsopdatering løser fem privat rapporterede sårbarheder og en offentliggjort sårbarhed. Alle disse sårbarheder på nær én kan give mulighed for fjernudførelse af kode, hvis en bruger har fået vist en særligt udformet webside i Internet Explorer. Én sårbarhed kan give mulighed for spoofing (forfalskning), og involverer også en særligt udformet webside. I alle tilfælde af fjernudførelse af kode gælder det, at brugere, hvis konti er konfigurerede til at have færre brugerrettigheder på systemet, muligvis rammes i mildere grad end brugere, der opererer med administrative brugerrettigheder. I tilfældet med spoofing (forfalskning) kræves brugerinteraktion, hvis sårbarheden skal udnyttes.
Klassifikation	Kritisk
Sårbarhedens omfang	Fjernudførelse af kode
Registrering	Microsoft Baseline Security Analyzer kan registrere, om dit computersystem skal bruge denne opdatering. Opdateringen kræver muligvis, at maskinen genstartes.
Berørte programmer	Windows, Internet Explorer. Du kan finde yderligere oplysninger i afsnittene Berørte programmer og downloadplaceringer.

Bulletin-id	Sikkerhedsbulletin fra Microsoft MS07-034
Bulletinens titel	Samlet sikkerhedsopdatering til Outlook Express og Windows Mail (929123)
Resumé	Denne kritiske sikkerhedsopdatering løser to privat rapporterede sårbarheder og to offentliggjorte sårbarheder. Den ene af disse sårbarheder kan give mulighed for fjernudførelse af kode, hvis en bruger har fået vist en særligt udformet e-mail vha. Windows Mail i Windows Vista. De andre sårbarheder kan give mulighed for offentliggørelse af oplysninger, hvis en bruger besøger en særligt udformet webside i Internet Explorer, og kan ikke udnyttes direkte i Outlook Express. I tilfælde af sårbarheder i forbindelse med offentliggørelse af oplysninger gælder det, at brugere, hvis konti er konfigurerede til at have færre brugerrettigheder på systemet, muligvis rammes i mildere grad end brugere, der opererer med administrative brugerrettigheder.
Klassifikation	Kritisk
Sårbarhedens omfang	Fjernudførelse af kode
Registrering	Microsoft Baseline Security Analyzer og Enterprise Scan Tool kan fastslå, om din computer skal bruge denne opdatering. Opdateringen kræver muligvis, at maskinen genstartes.
Berørte programmer	Windows, Outlook Express, Windows Mail. Du kan finde yderligere oplysninger i afsnittene Berørte programmer og downloadplaceringer.

Bulletin-id	Sikkerhedsbulletin fra Microsoft MS07-035
Bulletinens titel	Sårbarhed i Win32 API kan give mulighed for fjernudførelse af kode (935839)
Resumé	Denne kritiske sikkerhedsopdatering løser en privat rapporteret sårbarhed i en Win32 API. Denne sårbarhed kan give mulighed for fjernudførelse af kode eller udvidelse af rettigheder, hvis den berørte API bruges lokalt af et særligt udformet program. Programmer, der bruger denne komponent fra Win32 API'en, kan således blive brugt som vektor for denne sårbarhed. For eksempel bruger Internet Explorer denne Win32 API-funktion i forbindelse med parsing af særligt udformede websider.
Klassifikation	Kritisk
Sårbarhedens omfang	Fjernudførelse af kode
Registrering	Microsoft Baseline Security Analyzer kan registrere, om dit computersystem skal bruge denne opdatering. Opdateringen kræver muligvis, at maskinen genstartes.
Berørte programmer	Windows. Du kan finde yderligere oplysninger i afsnittene Berørte programmer og downloadplaceringer.

Alvorlig (1)

Bulletin-id	Sikkerhedsbulletin fra Microsoft MS07-030
Bulletinens titel	Sårbarheder i Microsoft Visio kan give mulighed for fjernudførelse af kode (927051)
Resumé	Denne vigtige sikkerhedsopdatering løser to privat opdagede og på ansvarlig vis rapporterede sårbarheder ud over andre sikkerhedsproblemer, som er blevet registreret i løbet af undersøgelsen. De privat rapporterede sårbarheder kan give mulighed for fjernudførelse af kode, hvis en bruger har åbnet en særligt udformet Visio-fil. Brugere, hvis konti er konfigurerede til at have færre brugerrettigheder på systemet, rammes muligvis i mildere grad end brugere, der opererer med administrative brugerrettigheder. Der kræves brugerinteraktion for at udnytte disse sårbarheder.
Klassifikation	Alvorlig
Sårbarhedens omfang	Fjernudførelse af kode
Registrering	Microsoft Baseline Security Analyzer kan registrere, om dit computersystem skal bruge denne opdatering. Opdateringen kræver muligvis, at maskinen genstartes.
Berørte programmer	Office, Visio. Du kan finde yderligere oplysninger i afsnittene Berørte programmer og downloadplaceringer.

Moderat (1)

Bulletin-id	Sikkerhedsbulletin fra Microsoft MS07-032
Bulletinens titel	En sårbarhed i Windows Vista kan give mulighed for offentliggørelse af oplysninger (931213)
Resumé	Denne moderate sikkerhedsopdatering løser en privat rapporteret sårbarhed. Denne sårbarhed kan give mulighed for, at brugere uden rettigheder får adgang til lokal brugerinformation, inklusive administratoradgangskoder, der er registreret i registreringsdatabasen og det lokale filsystem.
Klassifikation	Moderat
Sårbarhedens omfang	Offentliggørelse af oplysninger
Registrering	Microsoft Baseline Security Analyzer kan registrere, om dit computersystem skal bruge denne opdatering. Opdateringen kræver muligvis, at maskinen genstartes.
Berørte programmer	Windows. Du kan finde yderligere oplysninger i afsnittene Berørte programmer og downloadplaceringer.

Berørte programmer og downloadplaceringer

Hvordan anvender jeg denne tabel?

Brug denne tabel til at få kendskab til de sikkerhedsopdateringer, du muligvis skal installere. Du skal se alle de anførte softwareprogrammer eller komponenter igennem for at se, om der er behov for en sikkerhedsopdatering. Hvis et program eller en komponent findes på listen, er sårbarhedens omfang også angivet, og der findes hyperlinks til tilgængelige softwareopdateringer.

Bemærk! Du skal muligvis installere flere sikkerhedsopdateringer for en enkelt sårbarhed. Gennemse hele kolonnen for hvert bulletin-id på listen for at kontrollere, hvilke opdateringer du skal installere ud fra de programmer eller komponenter, der er installeret på dit system.

Berørte programmer og downloadplaceringer

	Oplysninger	Oplysninger	Oplysninger	Oplysninger	Oplysninger	Oplysninger
Bulletin-id	MS07-030	MS07-031	MS07-032	MS07-033	MS07-034	MS07-035
Klassifikation	Alvorlig	Kritisk	Moderat	Kritisk	Kritisk	Kritisk
Berørte Windows-programmer
Microsoft Windows 2000 Service Pack 4		Moderat		[1]		Kritisk
Windows XP Service Pack 2		Kritisk		[1]	[1]	Kritisk
Windows XP Professional x64 Edition		Kritisk		[1]	[1]	Kritisk
Windows XP Professional x64 Edition Service Pack 2		Kritisk		[1]	[1]	Kritisk
Windows Server 2003 Service Pack 1		Alvorlig		[1]	[1]	Kritisk
Windows Server 2003 Service Pack 2		Alvorlig		[1]	[1]	Kritisk
Windows Server 2003 x64 Edition		Alvorlig		[1]	[1]	Kritisk
Windows Server 2003 x64 Edition Service Pack 2		Alvorlig		[1]	[1]	Kritisk
Windows Server 2003 med SP1 til Itanium-baserede systemer		Alvorlig		[1]	[1]	Kritisk
Windows Server 2003 med SP2 til Itanium-baserede systemer		Alvorlig		[1]	[1]	Kritisk
Windows Vista			Moderat	[1]	[1]
Windows Vista x64 Edition			Moderat	[1]	[1]
Berørte systemkomponenter i Windows
Internet Explorer 5.01 Service Pack 4 på Microsoft Windows 2000 Service Pack 4				Kritisk
Internet Explorer 6 Service Pack 1 på Microsoft Windows 2000 Service Pack 4				Kritisk
Internet Explorer 6 til Windows XP Service Pack 2				Kritisk
Internet Explorer 6 til Windows XP Professional x64 Edition og Windows XP Professional x64 Edition Service Pack 2				Kritisk
Internet Explorer 6 til Windows Server 2003 Service Pack 1 og Windows Server 2003 Service Pack 2				Kritisk
Internet Explorer 6 til Windows Server 2003 x64 Edition og Windows Server 2003 x64 Edition Service Pack 2				Kritisk
Internet Explorer 6 for Windows Server 2003 med SP1 til Itanium-baserede systemer og Windows Server 2003 med SP2 til Itanium-baserede systemer				Kritisk
Internet Explorer 7 til Windows XP Service Pack 2				Kritisk
Internet Explorer 7 til Windows XP Professional x64 Edition og Windows XP Professional x64 Edition Service Pack 2				Kritisk
Internet Explorer 7 til Windows Server 2003 Service Pack 1 og Windows Server 2003 Service Pack 2				Moderat
Internet Explorer 7 til Windows Server 2003 x64 Edition og Windows Server 2003 x64 Edition Service Pack 2				Moderat
Internet Explorer 7 til Windows Server 2003 med SP1 til Itanium-baserede systemer og Windows Server 2003 med SP2 til Itanium-baserede systemer				Moderat
Internet Explorer 7 i Windows Vista				Kritisk
Internet Explorer 7 i Windows Vista x64 Edition				Kritisk
Outlook Express 6 til Windows XP Service Pack 2					Alvorlig
Outlook Express 6 til Windows XP Professional x64 Edition					Alvorlig
Outlook Express 6 til Windows XP Professional x64 Edition Service Pack 2					Alvorlig
Outlook Express 6 til Windows Server 2003 Service Pack 1					Lav
Outlook Express 6 til Windows Server 2003 Service Pack 2					Lav
Outlook Express 6 til Windows Server 2003 x64 Edition					Moderat
Outlook Express 6 til Windows Server 2003 x64 Edition Service Pack 2					Moderat
Outlook Express 6 til Windows Server 2003 med SP1 til Itanium-baserede systemer					Lav
Outlook Express 6 til Windows Server 2003 med SP2 til Itanium-baserede systemer					Lav
Windows Mail i Windows Vista					Kritisk
Windows Mail i Windows Vista x64 Edition					Kritisk
Berørte Office-programmer
Visio 2002 Service Pack 2	Alvorlig
Visio 2003 Service Pack 2	Alvorlig

Bemærk!

[1] Der findes en sikkerhedsopdatering til dette operativsystem. Se den berørte software eller komponent i tabellen og i den relevante sikkerhedsbulletin for at få yderligere oplysninger.

Registrerings- og installationsværktøjer og vejledning

Security Central

Administrer de software- og sikkerhedsopdateringer, du skal udrulle på din organisations servere, stationære computere og bærbare computere. Yderligere oplysninger finder du i TechNet Update Management Center. TechNet Security Center giver yderligere oplysninger om sikkerheden i Microsoft-produkter. Forbrugere kan gå ind på Sikkerhed hjemme, hvor disse oplysninger også kan findes ved at klikke på "Seneste sikkerhedsopdateringer".

Der kan hentes sikkerhedsopdateringer fra Microsoft Update, Windows Update og Office Update. Der kan også hentes sikkerhedsopdateringer i Microsoft Download Center. Den nemmeste måde at finde dem på er at søge efter nøgleordet "sikkerhedsopdatering". Endelig kan sikkerhedsopdateringer hentes fra Windows Update-kataloget. Du kan få yderligere oplysninger om Windows Update-katalog ved at se Microsoft Knowledge Base-artikel 323166.

Vejledning i registrering og implementering

Microsoft har offentliggjort en vejledning i registrering og implementering til denne måneds sikkerhedsopdateringer. Denne vejledning forklarer også it-professionelle, hvordan de kan bruge forskellige værktøjer til at implementere sikkerhedsopdateringen, f.eks. Windows Update, Microsoft Update, Office Update, MBSA (Microsoft Baseline Security Analyzer), Office Detection Tool, SMS (Microsoft Systems Management Server), Extended Security Update Inventory Tool og EST (Enterprise Update Scan Tool). Yderligere oplysninger findes i Knowledge Base-artiklen 910723.

Microsoft Baseline Security Analyzer og Enterprise Update Scan Tool

MBSA (Microsoft Baseline Security Analyzer) giver administratorer mulighed for at søge på lokale systemer og fjernsystemer efter manglende sikkerhedsopdateringer samt almindelige fejl ved sikkerhedskonfigurationer. Hvis du ønsker yderligere oplysninger om MBSA, kan du besøge webstedet Microsoft Baseline Security Analyzer.

Hvis MBSA 1.2.1 ikke understøtter registrering i forbindelse med en specifik sikkerhedsopdatering, udgiver Microsoft en version af Enterprise Update Scan Tool (EST) til den specifikke sikkerhedsopdatering. Yderligere oplysninger om EST finder du i Enterprise Update Scan Tool.

Bemærk Efter den 9. oktober 2007 opdateres den MSSecure.XML-fil, der bruges af MBSA 1.2.1, ikke længere. Efter denne dato vil der ikke blive føjet nye sikkerhedsopdateringer til MSSecure.XML-filen, der bruges af MBSA 1.2.1, og der vil ikke blive udgivet nye versioner af Enterprise Scan Tool. Yderligere oplysninger finder du på Microsoft Baseline Security Analyzer.

Software Update Services

Med Microsoft Software Update Services (SUS) kan administratorer hurtigt og sikkert implementere de seneste kritiske opdateringer og sikkerhedsopdateringer på Windows 2000- og Windows Server 2003-baserede servere samt på stationære computere, der kører Windows 2000 Professional eller Windows XP Professional.

Yderligere oplysninger, om hvordan du implementerer denne sikkerhedsopdatering med Software Update Services, finder du på webstedet Software Update Services.

Windows Server Update Services

Ved hjælp af WSUS (Windows Server Update Services) kan administratorer hurtigt og sikkert implementere de nyeste kritiske opdateringer og sikkerhedsopdateringer til Windows 2000-operativsystemer og nyere, Office XP og nyere, Exchange Server 2003 og SQL Server 2000 til Windows 2000 og nyere operativsystemer.

Yderligere oplysninger, om hvordan du implementerer denne sikkerhedsopdatering med Windows Server Update Services, finder du på webstedet Windows Server Update Services.

Systems Management Server

Microsoft Systems Management Server (SMS) leverer en virksomhedsløsning til styring af opdateringer, som kan konfigureres på mange måder. Med SMS kan administratorer identificere Windows-baserede systemer med behov for sikkerhedsopdateringer og udføre kontrolleret anvendelse af disse opdateringer i hele virksomheden med minimal afbrydelse for slutbrugere. Hvis du ønsker yderligere oplysninger, om hvordan administratorer kan bruge SMS 2003 til at implementere sikkerhedsopdateringer, skal du se webstedet SMS 2003 Security Patch Management. SMS 2.0-brugere kan også bruge Software Updates Services Feature Pack som en hjælp til at implementere sikkerhedsopdateringer. Oplysninger om SMS findes på Microsoft Systems Management Server.

Bemærk! SMS bruger Microsoft Baseline Security Analyzer og Microsoft Office Detection Tool til at tilbyde omfattende understøttelse af registrering og anvendelse af opdatering af sikkerhedsbulletiner. Nogle softwareopdateringer registreres måske ikke af disse værktøjer. Administratorer kan i disse tilfælde bruge funktionerne til udarbejdelse af hardware- og softwareoversigter i SMS for at målrette opdateringer til bestemte systemer. Flere oplysninger om denne procedure kan findes på Deploying Software Updates Using the SMS Software Distribution Feature. Nogle sikkerhedsopdateringer kræver administrative rettigheder efterfulgt af en genstart af systemet. Administratorer kan bruge Elevated Rights Deployment Tool (fås i SMS 2003 Administration Feature Pack og i SMS 2.0 Administration Feature Pack) til at installere disse opdateringer.

Andre oplysninger

Microsoft Windows værktøj til fjernelse af ondsindet software

Microsoft har udgivet en opdateret version af Microsoft Windows værktøj til fjernelse af ondsindet software. Den opdaterede version kan findes på Windows Update, Microsoft Update, Windows Server Update Services og Download Center.

Bemærk, at dette værktøj ikke distribueres ved hjælp af Software Update Services (SUS).

Ikke-sikkerhedsrelaterede vigtige opdateringer på MU, WU, WSUS og SUS

I denne måned:

Microsoft har udgivet syv ikke-sikkerhedsrelaterede vigtige opdateringer på Microsoft Update (MU) og Windows Server Update Services (WSUS).
Microsoft har ikke udgivet nogen ikke-sikkerhedsrelaterede vigtige opdateringer til Windows på Windows Update (WU) og Software Update Services (SUS).

Bemærk, at denne information kun gælder ikke-sikkerhedsrelaterede vigtige opdateringer på Microsoft Update, Windows Update, Windows Server Update Services og Software Update Services, som er udgivet på samme dag som oversigten over sikkerhedsopdateringer. Der gives ikke information om ikke-sikkerhedsrelaterede opdateringer, der er udgivet på andre dage.

Sikkerhedsstrategier og community

Strategier til håndtering af opdateringer

Security Guidance for Patch Management giver yderligere oplysninger om Microsofts anbefalinger til bedste fremgangsmåder for anvendelse af sikkerhedsopdateringer.

Andre sikkerhedsopdateringer

Opdateringer til andre sikkerhedsproblemer er tilgængelige på følgende placeringer:

Der kan hentes sikkerhedsopdateringer i Microsoft Download Center. Den nemmeste måde at finde dem på er at søge efter nøgleordet "sikkerhedsopdatering".
Der kan findes opdateringer til forbrugerplatforme på Microsoft Update.
Du kan hente de sikkerhedsopdateringer, der er gjort tilgængelige på Windows Update denne måned, fra Download Center på Security and Critical Releases ISO CD Image-filer. Yderligere oplysninger finder du i Microsoft Knowledge Base Article 913086.

IT Pro Security Zone Community

Lær, hvordan du forbedrer sikkerheden og optimerer din it-infrastruktur og diskuterer sikkerhedsemner med andre it-fagfolk i IT Pro Security Community.

Tak til

Microsoft takker følgende for at hjælpe os i arbejdet med at beskytte kunderne:

En anonym forsker, der arbejder for iDefense VCP, for at have rapporteret et problem, der er beskrevet i MS07-033.
Tom Cross fra ISS for at arbejde sammen med Microsoft om et problem, der er beskrevet i MS07-033.
En anonym forsker, der arbejder sammen med TippingPoint og Zero Day Initiative for at have rapporteret et problem, der er beskrevet i MS07-033.
Sam Thomas, der arbejder sammen med TippingPoint og Zero Day Initiative, for at have rapporteret et problem, der er beskrevet i MS07-033.
Will Dorman fra CERT/CC for at have rapporteret et problem, der er beskrevet i MS07-033.
cocoruder fra Fortinet Security Research for at arbejde sammen med Microsoft om et problem, der er beskrevet i MS07-033.
Billy Rios for at have rapporteret et problem, der er beskrevet i MS07-035.
Thomas Lim fra COSEINC for at have rapporteret et problem, der er beskrevet i MS07-031.
SANS ISC for at arbejde sammen med os om et problem, der er beskrevet i MS07-034.
Yosuke Hasegawa fra WebAppSec JP for at have rapporteret et problem, der er beskrevet i MS07-034.
Robbie Sohlman for at have rapporteret et problem, der er beskrevet i MS07-032.

Support

De berørte programmer på listen er blevet testet for at kontrollere, hvilke versioner der er berørt. Andre versioner er ude over deres supportlivscyklus. Du kan se supportlivscyklussen for din softwareversion på Microsofts supportpolitik.
Kunder i USA og Canada kan få teknisk support fra Microsoft Product Support Services på telefon 1-866-PCSAFETY. Supportopkald i forbindelse med sikkerhedsopdateringer er gratis.
Internationale kunder kan få support fra deres lokale Microsoft-afdeling. Support i forbindelse med sikkerhedsopdateringer er gratis. Du kan få yderligere oplysninger, om hvordan du kontakter Microsoft angående support, ved at besøge webstedet International Help and Support.

Ansvarsfraskrivelse

Oplysningerne i Microsoft Knowledge Base leveres, som de er og forefindes, uden nogen form for garanti. Microsoft fraskriver sig enhver form for garanti, det være sig udtrykkelig eller stiltiende, herunder garanti for salgbarhed og egnethed til et bestemt formål. Microsoft Corporation eller Microsofts leverandører kan i intet tilfælde blive holdt ansvarlig for skader, herunder direkte, indirekte, hændelige eller særskilt dokumenterede skader, følgeskader eller driftstab, selvom Microsoft eller Microsofts leverandører er blevet underrettet om muligheden for sådanne skader. I nogle stater er det ikke tilladt at fraskrive sig eller begrænse erstatningsansvar for følgeskader eller hændelige skader, hvorfor ovennævnte begrænsning muligvis ikke gælder for dig.

Revisioner

V1.0 (12. juni 2007): Oversigt over bulletin offentliggjort.