Microsoft biztonsági tanácsadó 953818

Az Apple Safari böngésző Windows-platformon történő használatából eredő kevert fenyegetés

Közzétéve: 2008. május 30. | Frissítve: 2009. április 14.

Verzió: 2.0

A Microsoft megvizsgálta az új nyilvános jelentéseket egy kevert fenyegetéssel kapcsolatban, amely távoli kódfuttatást tesz lehetővé az összes támogatott Windows XP és Windows Vista verzión az Apple Safari böngésző Windows rendszerben történő telepítését követően. Alapértelmezés szerint a Safari alkalmazás Windows XP és Windows Vista rendszeren nem telepített, azt külön vagy az Apple Software Update alkalmazáson keresztül kell telepíteni. A Safari alkalmazást Windows rendszeren futtató felhasználók olvassák el a tanácsadóban foglaltakat.

A probléma megoldására a Microsoft kiadta az MS09-014 számú, Összesítő biztonsági frissítés az Internet Explorer programhoz (963027) című és az MS09-015 számú, A SearchPath kevert fenyegetéses biztonsági rése jogok kiterjesztését teszi lehetővé (959426) című biztonsági közleményt. További információért a kérdéssel kapcsolatban, ideértve a biztonsági frissítések letöltési hivatkozásait is, olvassa el az MS09-014 és MS09-015 számú biztonsági közleményt.

Az Apple Support az Apple Safari 3.1.2 for Windows böngészőjének biztonsági rését ismertető biztonsági tanácsadót adott ki. További információ az Apple About the security content of Safari 3.1.2 for Windows (A Safari 3.1.2 for Windows biztonsági tartalmáról) című biztonsági tanácsadójában olvasható.

A hibát enyhítő tényezők:

  • A probléma azokat a Safari felhasználókat nem érinti, akik módosították a helyi meghajtón a program letöltésére alapértelmezés szerint használt helyet.

Általános tudnivalók

A tanácsadó közlemény célja: A felhasználók előzetes figyelmeztetése, és a Windows rendszerekre gyakorolt hatásról való kiegészítő tájékoztatás.

A tanácsadó közlemény állapota: Tanácsadó közzététele.

Javaslat: Olvassa el a javasolt műveleteket, és végezze el a megfelelő beállításokat.

HivatkozásokAzonosítás
Microsoft Tudásbázis cikke 953818
Microsoft Security Bulletin MS09-014
Microsoft Security Bulletin MS09-015
CVE-hivatkozás CVE-2008-2540

A tanácsadó a következő szoftvereket tárgyalja.

Érintett szoftverek
Windows XP Service Pack 2
Windows XP Service Pack 3
Windows XP Professional x64 Edition
Windows XP Professional x64 Edition Service Pack 2
Windows Vista
Windows Vista Service Pack 1
Windows Vista x64 Edition
Windows Vista x64 Edition Service Pack 1
Internet Explorer 6 alkalmazűs Windows XP Service Pack 2, Windows XP Service Pack 3, Windows XP Professional x64 Edition és Windows XP Professional x64 Edition Service Pack 2 rendszeren
Internet Explorer 7 alkalmazás Windows XP Service Pack 2, Windows XP Service Pack 3, Windows XP Professional x64 Edition és Windows XP Professional x64 Edition Service Pack 2 rendszeren
Internet Explorer 7 alkalmazás Windows Vista, Windows Vista Service Pack 1, Windows Vista x64 Edition és Windows Vista x64 Edition Service Pack 1 rendszeren

Mire terjed ki a tanácsadó hatása?
A tanácsadó a távoli kódfuttatásra lehetőséget adó kevert fenyegetésről szóló nyilvános jelentéseket tisztázza a Windows XP és a Windows Vista összes támogatott kiadására nézve. Az érintett szoftverek teljes listája az Áttekintés című részben olvasható.

Olyan biztonsági résről van szó, amelyhez a Microsoftnak biztonsági frissítést kell kiadnia?
A probléma megoldására a Microsoft kiadta az MS09-014 számú, Összesítő biztonsági frissítés az Internet Explorer programhoz (963027) című és az MS09-015 számú, A SearchPath kevert fenyegetéses biztonsági rése jogok kiterjesztését teszi lehetővé (959426) című biztonsági közleményt.

Mi okozza a fenyegetést?
A Safari alapértelmezett letöltési helye és a futtatható fájlok kezelési módja a Windows Asztalon együttesen olyan kevert fenyegetést jelent, mely alapján figyelmeztetés nélküli fájlletöltés mehet végbe a felhasználó gépére, majd a rendszer futtatja is azokat. A Safari alkalmazás külön vagy az Apple Software Update alkalmazáson keresztül érhető el.

Mire használhatja ezt a funkciót a támadó?
Ha a támadó ráveszi a felhasználót, hogy ellátogasson egy speciálisan kialakított webhelyre, onnan tartalmat tölthet le a felhasználó gépére és a helyben bejelentkezett felhasználó jogosultságait felhasználva futtathatja azt.

  • Alkalmazza a Microsoft MS09-014 számú, Összesítő biztonsági frissítés az Internet Explorer programhoz (963027) című és az MS09-015 számú, A SearchPath kevert fenyegetéses biztonsági rése jogok kiterjesztését teszi lehetővé (959426) című biztonsági közleményében szereplő, a használt környezetnek megfelelő frissítést.
  • Ha Windows rendszeren az Apple Safari böngészőt használja, győződjön meg arról, hogy a 3.1.2 vagy újabb verziót használja. A legújabb Apple Safari frissítés az Apple Safari letöltése oldalon érhető el.
  • Nézze át a Microsoft Tudásbázis jelen tanácsadót érintő cikkét.

Lehetséges megoldások

A Microsoft az alábbi megoldásokat tesztelte. Jóllehet ezek a megoldások magát a biztonsági rést nem szüntetik meg, segítenek kivédeni az ismert támadási módszereket. Ha egy megoldási javaslat csökkenti a funkcionalitást, azt a következő fejezetben jelezzük.

  • Módosítsa a Safari böngészőből történő tartalomletöltés helyét egy újonnan létrehozott könyvtárra.
    1. Hozzon létre új könyvtárat, pl. c:\SafariDownload.
    2. Kattintson a Safari böngésző Edit (Szerkesztés) menüjére, majd a Preferences (Beállítások) pontra.
    3. A Save Downloaded Files to: (Letöltött fájlok mentése:) mezőben válasza ki az újonnan létrehozott könyvtárat.

Egyéb információ

Köszönetnyilvánítás:

  • Aviv Raff, a Microsofttal való együttműködésért, valamint a Safari és a Microsoft Internet Explorer kevert fenyegetésének jelentéséért.

További tudnivalók:

Felelősséget kizáró nyilatkozat

A jelen tanácsadó tartalmáért a Microsoft nem vállal garanciát. A Microsoft egyben elhárít minden kifejezett és értelemszerű garanciát, beleértve az eladhatóságra és az adott célra való alkalmasságra vonatkozó garanciát is. A Microsoft Corporation vagy annak szállítói semmilyen körülmények között nem tehetők felelőssé közvetlen, közvetett, eseti, ok-okozati vagy különleges kárért (beleértve az elmaradt hasznot is), még akkor sem, ha a Microsoft Corporation vagy szállítói tudatában voltak a kár lehetséges voltának. Egyes államok törvényi szabályozása nem teszi lehetővé a véletlen vagy ok-okozati károkért vállalt felelősség korlátozását vagy kizárását, így ezekben az államokban az ez a felelősségkizárás nincs érvényben.

Verziók:

  • 1.0 verzió (2008. május 30.): Tanácsadó közzététele.
  • 1.1 verzió (2008. június 6.): A lehetséges megoldások lépései módosultak, és a közlemény köszönetnyilvánítással bővült.
  • 1.2 verzió (2008. június 20.): A közlemény az Apple vonatkozó biztonsági tanácsadójára mutató hivatkozással frissült.
  • 1.3 verzió (2008. július 2.): Frissült a Javasolt műveletek című rész.
  • 2.0 verzió (2009. április 14.): A tanácsadó a benne ismertetett problémákra megoldást nyújtó MS09-014 és MS09-015 biztonsági közleményekre mutató hivatkozásokkal bővült.

Built at 2014-04-18T01:50:00Z-07:00

Megjelenítés: