Sammendrag av Microsofts sikkerhetsbulletiner for juli 2008

Publisert: 8. juli 2008 | Oppdatert: 11. februar 2009

Versjon: 1.1

Dette sammendraget av sikkerhetsbulletiner inneholder en liste over sikkerhetsbulletinene som utgis i juli 2008.

I forbindelse med utgivelsen av bulletinene for juli 2008 erstatter dette sammendraget av sikkerhetsbulletiner forhåndsvarslingen for bulletiner som ble utstedt 3. juli 2008. Hvis du vil ha mer informasjon om forhåndsvarselstjenesten for bulletiner, kan du se Forhåndsvarsel for Microsofts sikkerhetsbulletin.

Hvis du vil ha informasjon om hvordan du kan få beskjed automatisk når Microsofts sikkerhetsbulletiner utstedes, kan du gå til Microsoft Technical Security Notifications.

Microsoft holder en webcast for å svare på spørsmål fra kundene om disse bulletinene 9. juli 2008 kl 11.00, stillehavstid (USA og Canada). Registrer deg nå for å følge sikkerhetsbulletinen for juli på webcast. Etter denne datoen er webcasten tilgjengelig på forespørsel. Hvis du vil ha mer informasjon, kan du se Sammendrag av Microsofts sikkerhetsbulletiner og webcast-arrangementer.

Microsoft gir også informasjon for å hjelpe kundene med å prioritere månedlige sikkerhetsoppdateringer mot ikke-sikkerhetsrelaterte oppdateringer som gis ut samme dag som de månedlige sikkerhetsoppdateringene. Se delen Annen informasjon.

Bulletininformasjon

Kortfattede sammendrag

Sikkerhetsbulletinene for denne måneden er som følger, listet etter alvorlighetsgrad:

Viktig (4)

Bulletinidentifikator	Microsofts sikkerhetsbulletin MS08-040
Bulletintittel	Sikkerhetsproblemer i Microsoft SQL Server kan føre til rettighetsutvidelse (941203)
Kortfattet sammendrag	Denne sikkerhetsoppdateringen løser fire privat offentliggjorte sikkerhetsproblemer. De mest alvorlige sikkerhetsproblemene kan føre til at en angriper kan kjøre kode og ta fullstendig kontroll over et berørt system. En godkjent angriper kan deretter installere programmer, vise, endre eller slette data eller opprette nye kontoer med fullstendige administrative rettigheter.
Maksimal alvorlighetsgrad	Viktig
Følger av sikkerhetsproblemet	Rettighetsutvidelse
Søking	Microsoft Baseline Security Analyzer kan finne ut om datasystemet trenger denne oppdateringen. Denne oppdateringen kan kreve en omstart.
Berørt programvare	Microsoft Windows, Microsoft SQL Server. Hvis du vi ha mer informasjon, kan du se delen Berørt programvare og nedlastingssteder.

Bulletinidentifikator	Microsofts sikkerhetsbulletin MS08-038
Bulletintittel	Sikkerhetsproblem i Windows Utforsker kan tillate ekstern kjøring av kode (950582)
Kortfattet sammendrag	Denne sikkerhetsoppdateringen løser et offentlig rapportert sikkerhetsproblem i Windows Explorer som kan tillate ekstern kjøring av kode når en spesiallaget lagret søk-fil åpnes og lagres. Hvis en bruker er logget på med administrative rettigheter, kan en angriper som klarte å utnytte dette sikkerhetsproblemet, ta kontroll over det berørte systemet. En angriper kan deretter installere programmer, vise, endre eller slette data, eller opprette nye kontoer med fullstendige brukerrettigheter. Brukere med kontoer som er konfigurert med få brukerrettigheter på systemet, er mindre utsatt enn brukere som har administrative rettigheter.
Maksimal alvorlighetsgrad	Viktig
Følger av sikkerhetsproblemet	Ekstern kjøring av kode
Søking	Microsoft Baseline Security Analyzer kan finne ut om datasystemet trenger denne oppdateringen. Denne oppdateringen krever omstart.
Berørt programvare	Microsoft Windows. Hvis du vi ha mer informasjon, kan du se delen Berørt programvare og nedlastingssteder.

Bulletinidentifikator	Microsofts sikkerhetsbulletin MS08-037
Bulletintittel	Sikkerhetsproblem i DNS kan tillate etterligningsangrep (953230)
Kortfattet sammendrag	Denne sikkerhetsoppdateringen løser to personlig rapporterte sikkerhetsproblemer i DNS (Domain Name System) i Windows som kan tillate etterligningsangrep. Disse sikkerhetsproblemene finnes i både DNS-klienten og DNS-serveren og kan tillate at en ekstern angriper omadresserer nettverkstrafikk som er ment for systemer på Internett, til angriperens egne systemer.
Maksimal alvorlighetsgrad	Viktig
Følger av sikkerhetsproblemet	Etterligningsangrep
Søking	Microsoft Baseline Security Analyzer kan finne ut om datasystemet trenger denne oppdateringen. Denne oppdateringen krever omstart.
Berørt programvare	Microsoft Windows. Hvis du vi ha mer informasjon, kan du se delen Berørt programvare og nedlastingssteder.

Bulletinidentifikator	Microsofts sikkerhetsbulletin MS08-039
Bulletintittel	Sikkerhetsproblemer i Outlook Web Access for Exchange Server kan tillate rettighetsutvidelse (953747)
Kortfattet sammendrag	Denne sikkerhetsoppdateringen løser to personlig rapporterte sikkerhetsproblemer i Outlook Web Access (OWA) for Microsoft Exchange Server. En angriper som utnytter disse sikkerhetsproblemene, kan få tilgang til en enkeltklients OWA-øktdata, noe som kan tillate rettighetsutvidelse. Angriperen kan deretter utføre en hvilken som helst handling som brukeren kunne utføre fra enkeltklientens OWA-økt.
Maksimal alvorlighetsgrad	Viktig
Følger av sikkerhetsproblemet	Rettighetsutvidelse
Søking	Microsoft Baseline Security Analyzer kan finne ut om datasystemet trenger denne oppdateringen. Denne oppdateringen kan kreve en omstart.
Berørt programvare	Microsoft Windows. Hvis du vi ha mer informasjon, kan du se delen Berørt programvare og nedlastingssteder.

Berørt programvare og nedlastingssteder


Microsoft Windows 2000
Bulletinidentifikator	MS08-040	MS08-038	MS08-037
Maksimal alvorlighetsgrad for bulletin	Viktig	Viktig	Viktig
Microsoft Windows 2000 Service Pack 4	Ikke relevant	Ikke relevant	DNS-klientoppdatering: Microsoft Windows 2000 Service Pack 4 (Viktig) DNS-serveroppdatering: Microsoft Windows 2000 Server Service Pack 4 (Viktig)
Windows XP
Bulletinidentifikator	MS08-040	MS08-038	MS08-037
Maksimal alvorlighetsgrad	Viktig	Viktig	Viktig
Windows XP Service Pack 2 og Windows XP Service Pack 3	Ikke relevant	Ikke relevant	DNS-klientoppdatering: Windows XP Service Pack 2 og Windows XP Service Pack 3 (Viktig) Ingen relevante DNS-serveroppdateringer
Windows XP Professional x64 Edition og Windows XP Professional x64 Edition Service Pack 2	Ikke relevant	Ikke relevant	DNS-klientoppdatering: Windows XP Professional x64 Edition og Windows XP Professional x64 Edition Service Pack 2 (Viktig) Ingen relevante DNS-serveroppdateringer
Windows Server 2003
Bulletinidentifikator	MS08-040	MS08-038	MS08-037
Maksimal alvorlighetsgrad for bulletin	Viktig	Viktig	Viktig
Windows Server 2003 Service Pack 1 og Windows Server 2003 Service Pack 2	Microsoft SQL Server 2000 Desktop Engine (WMSDE) (KB948110) (Viktig) Windows Internal Database (WYukon) Service Pack 2 (KB948109) (Viktig)	Ikke relevant	DNS-klientoppdatering: Windows Server 2003 Service Pack 1 og Windows Server 2003 Service Pack 2 (Viktig) DNS-serveroppdatering: Windows Server 2003 Service Pack 1 og Windows Server 2003 Service Pack 2 (Viktig)
Windows Server 2003 x64 Edition og Windows Server 2003 x64 Edition Service Pack 2	Microsoft SQL Server 2000 Desktop Engine (WMSDE) (KB948110) (Viktig) Windows Internal Database (WYukon) x64 Edition Service Pack 2 (KB948109) (Viktig)	Ikke relevant	DNS-klientoppdatering: Windows Server 2003 x64 Edition og Windows Server 2003 x64 Edition Service Pack 2 (Viktig) DNS-serveroppdatering: Windows Server 2003 x64 Edition og Windows Server 2003 x64 Edition Service Pack 2 (Viktig)
Windows Server 2003 SP1 for Itanium-based Systems og Windows Server 2003 SP2 for Itanium-based Systems	Ikke relevant	Ikke relevant	DNS-klientoppdatering: Windows Server 2003 SP1 for Itanium-based Systems og Windows Server 2003 SP2 for Itanium-based Systems (Viktig) DNS-serveroppdatering: Windows Server 2003 SP1 for Itanium-based Systems og Windows Server 2003 SP2 for Itanium-based Systems (Viktig)
Windows Vista
Bulletinidentifikator	MS08-040	MS08-038	MS08-037
Maksimal alvorlighetsgrad for bulletin	Viktig	Viktig	Viktig
Windows Vista og Windows Vista Service Pack 1	Ikke relevant	Windows Vista og Windows Vista Service Pack 1 (Viktig)	Ingen relevante DNS-klientoppdateringer Ingen relevante DNS-serveroppdateringer
Windows Vista x64 Edition og Windows Vista x64 Edition Service Pack 1	Ikke relevant	Windows Vista x64 Edition og Windows Vista x64 Edition Service Pack 1 (Viktig)	Ingen relevante DNS-klientoppdateringer Ingen relevante DNS-serveroppdateringer
Windows Server 2008
Bulletinidentifikator	MS08-040	MS08-038	MS08-037
Maksimal alvorlighetsgrad for bulletin	Viktig	Viktig	Viktig
Windows Server 2008 for 32-biters systemer	Windows Internal Database (WYukon) Service Pack 2* (KB948109) (Viktig)	Windows Server 2008 for 32-biters systemer* (Viktig)	Ingen relevante DNS-klientoppdateringer DNS-serveroppdatering: Windows Server 2008 for 32-biters systemer* (Viktig)
Windows Server 2008 for x64-baserte systemer	Windows Internal Database (WYukon) x64 Edition Service Pack 2* (KB948109) (Viktig)	Windows Server 2008 for x64-baserte systemer* (Viktig)	Ingen relevante DNS-klientoppdateringer DNS-serveroppdatering: Windows Server 2008 for x64-baserte systemer* (Viktig)
Windows Server 2008 for Itanium-based Systems	Ikke relevant	Windows Server 2008 for Itanium-based Systems (Viktig)	Ingen relevante DNS-klientoppdateringer Ingen relevante DNS-serveroppdateringer

Microsoft SQL Server

Bulletinidentifikator	MS08-040
Maksimal alvorlighetsgrad for bulletin	Viktig
SQL Server 7.0 Service Pack 4	GDR-oppdatering: SQL Server 7.0 Service Pack 4 (KB948113) (Viktig) QFE-oppdatering: SQL Server 7.0 Service Pack 4 (KB948113) (Viktig)
SQL Server 2000 Service Pack 4	GDR-oppdatering: SQL Server 2000 Service Pack 4 (KB948110) (Viktig) QFE-oppdatering: SQL Server 2000 Service Pack 4 (KB948111) (Viktig)
SQL Server 2000 Itanium-based Edition Service Pack 4	GDR-oppdatering: SQL Server 2000 Itanium-based Edition Service Pack 4 (KB948110) (Viktig) QFE-oppdatering: SQL Server 2000 Itanium-based Edition Service Pack 4 (KB948111) (Viktig)
SQL Server 2005 Service Pack 2	GDR-oppdatering: SQL Server 2005 Service Pack 2 (KB948109) (Viktig) QFE-oppdatering: SQL Server 2005 Service Pack 2 (KB948108) (Viktig)
SQL Server 2005 x64 Edition Service Pack 2	GDR-oppdatering: SQL Server 2005 x64 Edition Service Pack 2 (KB948109) (Viktig) QFE-oppdatering: SQL Server 2005 x64 Edition Service Pack 2 (KB948108) (Viktig)
SQL Server 2005 med SP2 for Itanium-based Systems	GDR-oppdatering: SQL Server 2005 med SP2 for Itanium-based Systems (KB948109) (Viktig) QFE-oppdatering: SQL Server 2005 med SP2 for Itanium-based Systems (KB948108) (Viktig)
Microsoft Data Engine (MSDE) 1.0 Service Pack 4	GDR-oppdatering: Microsoft Data Engine (MSDE) 1.0 Service Pack 4 (KB948113) (Viktig) QFE-oppdatering: Microsoft Data Engine (MSDE) 1.0 Service Pack 4 (KB948113) (Viktig)
Microsoft SQL Server 2000 Desktop Engine (MSDE 2000) Service Pack 4	GDR-oppdatering: Microsoft SQL Server 2000 Desktop Engine (MSDE 2000) Service Pack 4 (KB948110) (Viktig) QFE-oppdatering: Microsoft SQL Server 2000 Desktop Engine (MSDE 2000) Service Pack 4 (KB948111) (Viktig)
Microsoft SQL Server 2005 Express Edition Service Pack 2	GDR-oppdatering: Microsoft SQL Server 2005 Express Edition Service Pack 2 (KB948109) (Viktig) QFE-oppdatering: Microsoft SQL Server 2005 Express Edition Service Pack 2 (KB948108) (Viktig)
Microsoft SQL Server 2005 Express Edition med Advanced Services Service Pack 2	GDR-oppdatering: Microsoft SQL Server 2005 Express Edition med Advanced Services Service Pack 2 (KB948109) (Viktig) QFE-oppdatering: Microsoft SQL Server 2005 Express Edition med Advanced Services Service Pack 2 (KB948108) (Viktig)

Microsoft Exchange Server

Bulletinidentifikator	MS08-039
Maksimal alvorlighetsgrad for bulletin	Viktig
Microsoft Exchange Server 2003 Service Pack 2	Microsoft Exchange Server 2003 Service Pack 2 (Viktig)
Microsoft Exchange Server 2007	Microsoft Exchange Server 2007 (Viktig)
Microsoft Exchange Server 2007 Service Pack 1	Microsoft Exchange Server 2007 Service Pack 1 (Viktig)

Veiledning og verktøy for søking og distribusjon

Sikkerhetssentral

Administrer programvare- og sikkerhetsoppdateringene du må installere på serverne og de stasjonære og bærbare datamaskinene i bedriften. Hvis du vil ha mer informasjon, kan du se TechNet Update Management Center. TechNet Security Center gir ytterligere informasjon om sikkerhet for Microsoft-produkter. Forbrukere kan også gå til Sikkerhet hjemme, der denne informasjonen er tilgjengelig under Siste sikkerhetsoppdateringer.

Sikkerhetsoppdateringer er tilgjengelig fra Microsoft Update, Windows Update og Office Update. Sikkerhetsoppdateringer finnes også på Microsoft Download Center. Du finner dem enkelt ved å foreta et nøkkelordsøk etter "sikkerhetsoppdatering".

Sist, men ikke minst kan sikkerhetsoppdateringer lastes ned fra Microsoft Update-katalogen. Microsoft Update-katalogen tilbyr en søkbar innholdskatalog som er gjort tilgjengelig via Windows Update og Microsoft Update, inkludert sikkerhetsoppdateringer, drivere og oppdateringspakker. Hvis du søker ved å bruke nummeret for sikkerhetsbulletinen (som MS07-036), kan du legge til alle de gjeldende oppdateringene i kurven (inkludert forskjellige språk for en oppdatering) og laste dem ned til en valgfri mappe. Hvis du vil ha mer informasjon om Microsoft Update-katalogen, kan du se Vanlige spørsmål i Microsoft Update-katalogen.

Veiledning for søking og distribusjon

Microsoft har gjort tilgjengelig en veiledning for søking og distribusjon for denne månedens sikkerhetsoppdateringer. Veiledningen vil også hjelpe IT-ansvarlige til å forstå hvordan de kan bruke ulike verktøy til å distribuere sikkerhetsoppdateringen, for eksempel Windows Update, Microsoft Update, Office Update, Microsoft Baseline Security Analyzer (MBSA), Office-søkeverktøyet, Microsoft Systems Management Server (SMS) og Extended Security Update Inventory Tool (ESUIT). Du finner mer informasjon i Microsoft Knowledge Base-artikkel 910723.

Microsoft Baseline Security Analyzer

Med MBSA kan administratorer søke etter manglende sikkerhetsoppdateringer i tillegg til vanlige sikkerhetskonfigurasjoner på lokale og eksterne systemer. Du finner mer informasjon om MBSA på Microsoft Baseline Security Analyzer.

Windows Server Update Services

Med Windows Server Update Services (WSUS) kan administratorer raskt og effektivt distribuere de nyeste viktige oppdateringene og sikkerhetsoppdateringene for Windows 2000 og nyere operativsystemer, Office XP og nyere, Exchange Server 2003 og SQL Server 2000, til Windows 2000 og nyere operativsystemer.

Du finner mer informasjon om hvordan du distribuerer denne sikkerhetsoppdateringen ved hjelp av Windows Server Update Services, på Windows Server Update Services.

Systems Management Server

Microsoft Systems Management Server (SMS) er en svært fleksibel løsning for bedrifter for administrasjon av oppdateringer. Ved hjelp av SMS kan administratorer identifisere Windows-baserte systemer som trenger sikkerhetsoppdateringer, og utføre kontrollert distribusjon av disse oppdateringene i virksomheten med et minimalt avbrudd for sluttbrukerne. Den neste versjonen av SMS, System Center Configuration Manager 2007, er nå tilgjengelig. Se også System Center Configuration Manager 2007. Hvis du vil ha mer informasjon om hvordan administratorer kan bruke SMS 2003 til å distribuere sikkerhetsoppdateringer, kan du gå til SMS 2003 Security Patch Management. Brukere av SMS 2.0 kan også bruke Software Updates Services Feature Pack for å få hjelp til å distribuere sikkerhetsoppdateringer. Hvis du vil ha informasjon om SMS, kan du gå til Microsoft Systems Management Server.

Obs! SMS bruker Microsoft Baseline Security Analyzer og Microsoft Office-søkeverktøyet til å utøve omfattende støtte for oppdaging og distribusjon av sikkerhetsbulletiner. Enkelte programvareoppdateringer oppdages kanskje ikke av disse verktøyene. Administratorer kan i slike tilfeller bruke lagerfunksjonene i SMS for å knytte oppdateringer til bestemte systemer. Hvis du vil ha mer informasjon om denne fremgangsmåten, kan du lese Deploying Software Updates Using the SMS Software Distribution Feature. Noen sikkerhetsoppdateringer krever administrative rettigheter etter at datamaskinen er startet på nytt. Administratorer kan bruke distribusjonsverktøyet for hevede rettigheter (tilgjengelig i SMS 2003 Administration Feature Pack og i SMS 2.0 Administration Feature Pack) til å installere disse oppdateringene.

Update Compatibility Evaluator og Application Compatibility Toolkit

Oppdateringer skriver ofte til de samme filene og registerinnstillingene som er nødvendige for at programmene dine kan kjøres. Dette kan føre til inkompatibilitet og til at det tar lenger tid å distribuere sikkerhetsoppdateringer. Du kan strømlinjeforme testing og validere Windows-oppdateringer mot installerte programmer med Update Compatibility Evaluator-komponentene som følger med Application Compatibility Toolkit 5.0.

Application Compatibility Toolkit (ACT) inneholder verktøy og dokumentasjon som er nødvendig for å kunne vurdere og begrense problemer med programkompatibilitet før distribusjon av Microsoft Windows Vista, en Windows Update-oppdatering, en sikkerhetsoppdatering fra Microsoft eller en ny versjon av Windows Internet Explorer i miljøet.

Annen informasjon

Microsoft Windows-verktøy for fjerning av skadelig programvare

Microsoft har utgitt en oppdatert versjon av Microsoft-verktøyet for fjerning av ondsinnet programvare på Windows Update, Microsoft Update, Windows Server Update Services og Download Center.

Ikke-sikkerhetsrelaterte, høyt prioriterte oppdateringer på MU, WU og WSUS:

Hvis du vil ha informasjon om ikke-sikkerhetsrelaterte versjoner på Windows Update og Microsoft Update, kan du se:

Microsoft Knowledge Base-artikkel 894199: Beskrivelse av innholdsendringer for Software Update Services og Windows Server Update Services 2008. Inkluderer alt Windows-innhold.
Nye, reviderte og utgitte oppdateringer for andre Microsoft-produkter enn Microsoft Windows.

Sikkerhetsstrategier og -sone

Strategier for behandling av oppdateringer

På webområdet Security Guidance for Update Management finner du mer informasjon om Microsofts anbefalinger for gode fremgangsmåter for å bruke sikkerhetsdata.

Få tak i andre sikkerhetsoppdateringer

Oppdateringer for andre sikkerhetsproblemer finnes på følgende steder:

Sikkerhetsoppdateringer finnes på Microsoft Download Center. Du finner dem enkelt ved å foreta et nøkkelordsøk etter "sikkerhetsoppdatering".
Oppdateringer for forbrukerplattformer finnes på Microsoft Update.
Du kan få sikkerhetsoppdateringene som tilbys på Windows Update denne måneden, fra Download Center på Security and Critical Releases ISO CD Image-filer. Hvis du vil ha mer informasjon, kan du se Microsoft Knowledge Base-artikkel 913086.

Sikkerhetsmiljø for IT-eksperter

Lær hvordan du kan forbedre sikkerheten og optimalisere IT-infrastrukturen, og delta sammen med andre IT-eksperter i diskusjoner om sikkerhet i sikkerhetssonen for IT-eksperter.

Takk til

Microsoft takker følgende for samarbeidet med å beskytte kundene:

Dan Kaminsky hos IOActive for rapporten om et sikkerhetsproblem som beskrives i MS08-037.
Michael Jordan hos Context Information Security for rapporten om to sikkerhetsproblemer som beskrives i MS08-039.
En anonym person for rapporten om et sikkerhetsproblem som beskrives i MS08-040.
En anonym person for rapporten om et sikkerhetsproblem som beskrives i MS08-040.
Brett Moore hos Insomnia Security, som jobber med iDefense VCP, for rapporten om et sikkerhetsproblem som beskrives i MS08-040.
En anonym person for rapporten om et sikkerhetsproblem som beskrives i MS08-040.

Kundestøtte

Den berørte programvaren som er oppført, er testet for å avgjøre hvilke versjoner som er berørt. Andre versjoner har nådd slutten av kundestøttesyklusen. Se Microsoft Support Lifecycle for å finne kundestøttesyklusen for programvareversjonen du bruker.
Kunder i USA og Canada kan få kundestøtte hos Microsoft Product Support Services på telefon 1-866-PCSAFETY. Kundestøttesamtaler i forbindelse med sikkerhetsoppdateringer er gratis.
Internasjonale kunder kan få kundestøtte fra de lokale representasjonskontorene for Microsoft. Kundestøtte i forbindelse med sikkerhetsoppdateringer er gratis. Hvis du vil ha mer informasjon om hvordan du kontakter Microsoft angående kundestøtteproblemer, går du til internasjonal hjelp og støtte.

Ansvarsfraskrivelse

Informasjonen i Microsoft Knowledge Base er levert "som den er" uten garantier av noen art. Microsoft fraskriver seg ethvert ansvar, enten direkte eller indirekte, herunder garantier om salgbarhet og anvendelighet for særskilte formål. Microsoft Corporation eller dets leverandører skal ikke under noen omstendigheter holdes ansvarlig for noen skader eller tap herunder direkte, indirekte eller tilfeldige skader eller tap, konsekvenstap, tap av inntekter eller spesielle skader, også i tilfeller der Microsoft Corporation eller dets leverandører er underrettet om muligheten for slike skader eller tap. Ettersom enkelte land ikke tillater fraskrivelse eller begrensning av ansvar for følgeskade eller tilfeldig skade, kan det hende at ovennevnte begrensning ikke gjelder.

Revisjoner

V1.0 (8. juli 2008): Publisert sammendrag av sikkerhetsbulletin.
V1.1 (11. februar 2009): Fjernet feilaktig referanse til Microsoft SQL Server 2000 Desktop Engine (WMSDE) på Microsoft Windows 2000 Service Pack 4 fra tabellen Berørt programvare og nedlastingssteder for Windows-operativsystemer, under MS08-040.