A Microsoft számú biztonsági közleménye MS07-028 - Kritikus

A CAPICOM biztonsági rése távolról történő kódfuttatást tehet lehetővé (931906)

Közzétéve: 2007. május 8.

Verzió: 1.0

Összefoglalás

A dokumentum célközönsége: A CAPICOM-technológia vagy a BizTalk 2004 alkalmazás felhasználói

A biztonsági rés hatása: Távoli kódfuttatás

Súlyosság maximális foka: Kritikus

Javaslat: A felhasználóknak célszerű azonnal telepíteni a frissítést.

Felváltott biztonsági frissítések: Nincsenek

A telepítés által okozott problémák: Nincsenek

Tesztelt szoftverek és a biztonsági frissítés letöltési helyei

Érintett szoftverek

Nem veszélyeztetett szoftverek

  • BizTalk Server 2000
  • BizTalk Server 2002
  • BizTalk Server 2006

A Microsoft teszteléssel állapította meg a fent említett szoftverek egyes verzióinak érintettségét. A többi verzió vagy támogatási életciklusa végére ért, vagy nem érintett. Az egyes termékek és azok verzióinak támogatási időszakáról a Microsoft-termékek terméktámogatási időszakát ismertető webhelyen talál felvilágosítást.

Általános tudnivalók

Összefoglalás

A tárgyalt frissítés egy újonnan felfedezett, közvetlenül a Microsoftnak jelzett biztonsági rést szüntet meg. A biztonsági rés ismertetését a közlemény A biztonsági rés részletes ismertetése című részének megfelelő alszakasza tartalmazza.

A Microsoft a frissítés azonnali telepítését javasolja.

A súlyosság maximális foka és a biztonsági rés azonosítója

A biztonsági rés azonosítójaA biztonsági rés hatásaCAPICOM Microsoft BizTalk Server 2004
A CAPICOM.Certificates biztonsági rése - CVE-2007-0940Távoli kódfuttatásKritikusKritikus

Ez a minősítés a biztonsági rés által érintett rendszerek típusain, a tipikus telepítési környezeteken, valamint a biztonsági rés kihasználásával az adott rendszerekben elérhető hatáson alapul.

Milyen biztonsági frissítéseket vált fel ez a frissítés?
Ez a frissítés nem vált fel korábbi biztonsági frissítést.

A Microsoft Baseline Security Analyzer (MBSA) eszközzel megállapítható, hogy szükség van-e erre a frissítésre?
A következő táblázat a biztonsági frissítés MBSA észlelési jellemzőit foglalja össze.

TermékMBSA 1.2.1ESTMBSA 2.0.1
CAPICOMNem.IgenIgen
BizTalk Server 2004Nem.IgenIgen

Az MBSA-eszközről a további tudnivalókat az MBSA webhelyén találja. A Microsoft Update és az MBSA 2.0 által jelenleg nem észlelt programokkal kapcsolatban olvassa el a Microsoft Tudásbázis 895660 számú cikkét.

Részletes információt a Microsoft Tudásbázis 910723 számú cikkében talál: a havi „Útmutató az észleléshez és a telepítéshez” cikkek áttekintő listája.

Mi az Enterprise Update Scan Tool (EST - Vállalati frissítés-ellenőrző eszköz)?
A Microsoft a közlemények tárgyát képező biztonsági frissítések megbízható észlelésének elősegítésére folyamatosan fejleszti különféle szoftvereit, amelyek olyankor hasznosak, amikor a Microsoft Baseline Security Analyzer 1.2.1 és az Office Detection Tool (ODT) nem képes meghatározni, hogy szükséges-e frissítés az MSRC kiadási ciklushoz. Ez a különálló eszköz az Enterprise Update Scan Tool, EST (Vállalati frissítés-ellenőrző eszköz) nevet kapta, rendeltetés szerint vállalati rendszergazdák használhatják. Amikor egy adott közlemény számára létrehozzák az Enterprise Update Scan Tool, EST (Vállalati frissítés-ellenőrző eszköz) eszközt, az ügyfelek a parancssori kezelőfelületről futtathatják az alkalmazást, és megtekinthetik a kimeneti XML-fájl eredményeit. Annak érdekében, hogy ügyfeleink jobban kihasználhassák az eszköz nyújtotta lehetőségeket, az eszközzel együtt részletes dokumentáció is kapható. Az eszköz egyik változata kifejezetten SMS-rendszergazdák számára készült.

Használhatom az Enterprise Update Scan Tool (EST) egy adott verzióját a szükséges frissítések meghatározásához?
Igen. A Microsoft elkészítette az EST egyik verzióját, amely megállapítja, hogy szükséges-e ezen frissítés telepítése. Az EST ebben a hónapban kiadásra kerülő verziójáról bővebben a Microsoft Tudásbázis 894193 cikkében olvashat. Az SMS-felhasználók az SMS és az EST vonatkozásában tekintsék meg a „Használhatom a Systems Management Server (SMS) eszközt a szükséges frissítések meghatározásához?” című részt.

Használhatom a Systems Management Server (SMS) eszközt a szükséges frissítések meghatározásához?
A következő táblázat a biztonsági frissítés SMS-észlelési jellemzőit foglalja össze.

TermékSMS 2.0SMS 2003
CAPICOMIgen (EST-alkalmazással)Igen
BizTalk Server 2004Igen (EST-alkalmazással)Igen

Az SMS 2.0 és az SMS 2003 Software Update Services (SUS) Feature Pack felhasználhatja az MBSA 1.2.1 az észlelésre, így az SMS-re is érvényesek az MBSA vonatkozásában korábban ismertetett felismerési korlátozások.

Az SMS 2.0 esetében a Security Update Inventory Tool (SUIT) mappában foglaló SMS SUS Feature Pack lehetőséget az SMS felhasználhatja biztonsági frissítések keresésére. SMS SUIT az MBSA 1.2.1 motorját használja a felderítéshez. A SUIT-szolgáltatás részletes ismertetése ezen a Microsoft webhelyen található. A SUIT korlátozásairól bővebben a Microsoft Tudásbázis 306460. cikkében olvashat. Az SMS SUS Feature Pack tartalmazza a Microsoft Office Inventory Tool eszközt a Microsoft Office alkalmazásokhoz szükséges frissítések felderítéséhez.

Az SMS 2003 esetében az SMS 2003 Inventory Tool (ITMU) eszköz az SMS-funkció által alkalmazható a Microsoft Update által felajánlott és a Windows Server Update Services által támogatott biztonsági frissítések észlelésére. Az SMS 2003 termékcsaládról további információt talál a Microsoft webhelyén:. Az SMS 2003 viszont a Microsoft Office Inventory Tool segítségével a Microsoft Office összetevőinek frissítési igényeit is meg tudja állapítani.

Az SMS-eszközről az SMS webhelyén talál tájékoztatást.

Részletes információt a Microsoft Tudásbázis 910723 számú cikkében talál: a havi „Útmutató az észleléshez és a telepítéshez” cikkek áttekintő listája.

Az SMS programmal megállapítható, hogy vannak-e telepítve más, frissítést igénylő programok?
Igen. Az SMS program képes megállapítani azt, hogy vannak-e a számítógépen olyan egyéb alkalmazások, amelyek esetleg telepítették a biztonsági rés által érintett összetevő valamely verzióját. Az SMS megkeresi a CAPICOM.dll fájlt. A CAPICOM.dll összes, 2.1.0.2 verziónál korábbi változatát frissíteni kell.

A CAPICOM.Certificates biztonsági rése - CVE-2007-0940

A Cryptographic API Component Object Model (CAPICOM) technológiájának biztonsági rését kihasználó támadó teljes mértékben átveheti az irányítást az érintett rendszer felett.

A CAPICOM.Certificates (CVE-2007-0940) biztonsági résének súlyosságát enyhítő tényezők:

  • Webalapú támadás esetén a támadónak olyan webhelyet kell üzemeltetnie, amely egy, a biztonsági rés kihasználását lehetővé tevő weblapot tartalmaz. A támadónak nincs lehetősége arra, hogy a felhasználót a különlegesen kialakított webhely megnyitására kényszerítse. Ehelyett a támadóknak saját webhelyükre kell csábítaniuk a felhasználókat, ezt pedig rendszerint egy kifejezetten ezt a célt szolgáló hivatkozás segítségével érik el. Miután a hivatkozásra kattintott a felhasználó, bizonyos műveletek végrehajtását kérő üzenetet kap. A támadás sikeréhez a felhasználónak mindenképpen végre kell hajtani a kért műveleteket.
  • A biztonsági rést kihasználó támadó a helyi felhasználóval egyező hozzáférést nyer a rendszerhez. A kevesebb jogosultsággal bíró fiókkal rendelkező felhasználók esetében kisebb a veszélyeztetettség, mint a rendszergazdai jogosultságokkal rendelkezők esetén
  • A Microsoft Outlook és a Microsoft Outlook Express alkalmazás összes használható verziója alapértelmezés szerint a Tiltott helyek zónában nyitja meg a HTML formátumú e-mail üzeneteket. A Tiltott helyek zóna csökkenti a biztonsági rés kihasználását megkísérlő támadások számát azáltal, hogy megakadályozza az Active Scripting használatát HTML e-mail üzenetek olvasásakor. Ha azonban a felhasználó egy e-mail üzenetben küldött hivatkozásra kattint, a biztonsági rés még mindig fennáll, egy webalapú támadáson keresztül
  • Az Internet Explorer böngésző Windows Server 2003 rendszeren alapértelmezés szerint korlátozott üzemmódban fokozott biztonsági beállításokkal működik. Ez a mód az internetes zóna biztonsági szintjét Magas beállításra teszi. Ez enyhíti az olyan webhelyek hibáit, melyeket nem adtak hozzá az Internet Explorer Megbízható helyek zónájához. Ha további tájékoztatást szeretne az Internet Explorer fokozott biztonsági beállításairól, tekintse meg a biztonsági résre vonatkozó Gyakran ismételt kérdések című részt.
  • Alapértelmezés szerint ez az ActiveX vezérlő nem szerepel az Internet Explorer 7 ActiveX engedélyezett vezérlői között. Csak a vezérlőt az ActiveX Opt-in funkcióval kifejezetten engedélyező felhasználókat fenyegeti a biztonsági rés. Ha azonban a felhasználó ezt az ActiveX vezérlőt az Internet Explorer korábbi verziójában már használta, a vezérlő működhet az Internet Explorer 7 alkalmazásban is, annak ellenére, hogy a felhasználó nem élt a választható ActiveX vezérlő lehetőséggel.

Lehetséges megoldások a CAPICOM.Certificates (CVE-2007-0940) biztonsági résének kiküszöbölésére

A Microsoft az alábbi megoldásokat tesztelte. Jóllehet ezek a megoldások magát a biztonsági rést nem szüntetik meg, segítenek kivédeni az ismert támadási módszereket. Ha egy megoldási javaslat csökkenti a funkcionalitást, azt a következő fejezetben jelezzük.

  • A CAPICOM-vezérlő indítására irányuló kísérletek letiltása az Internet Explorer programban

    Megakadályozhatja az ActiveX vezérlők elindítására irányuló kísérleteket, ha a vezérlőre tiltóbitet állít be a rendszerleíró adatbázisban.

    Figyelmeztetés: A Rendszerleíróadatbázis-szerkesztő helytelen használata komoly problémákhoz vezethet, amelyek az operációs rendszer újratelepítését tehetik szükségessé. A Microsoft nem garantálja a Rendszerleíróadatbázis-szerkesztő nem megfelelő használata miatt fellépő problémák megoldhatóságát. A Rendszerleíróadatbázis-szerkesztőt csak saját felelősségére használhatja.

    A vezérlő futtatásának megakadályozásának részleteiről az Internet Explorerben lásd a Microsoft Tudásbázis 240797. cikkét. Az itt olvasható pontokat követve kompatibilitási jelzőértékeket hozhat létre a rendszerleíró adatbázisban, ezzel megakadályozva a COM-objektum futtatását az Internet Explorerben.

    A

    • {17E3A1C3-EA8A-4970-AF29-7F54610B1D4C}
    • {FBAB033B-CDD0-4C5E-81AB-AEA575CD1338} értékű osztályazonosító tiltóbitjének beállításához:

    Másolja át a következő szöveget szövegszerkesztő alkalmazásba, pl. Word programba. Ezután mentse a fájlt .reg kiterjesztéssel.

    Windows rendszerleíróadatbázis-szerkesztő, 5.00 verzió

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{17E3A1C3-EA8A-4970-AF29-7F54610B1D4C}]

    "Compatibility Flags"=dword:00000400

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{FBAB033B-CDD0-4C5E-81AB-AEA575CD1338}]

    "Compatibility Flags"=dword:00000400

    A .reg fájlra duplán kattintva telepítheti azt az adott rendszerre. A Csoportházirend segítségével más tartományokra is telepítheti. A Csoportházirendről további információt talál az alábbi Microsoft webhelyeken:

    Csoportházirend-gyűjtemény

    Mi a csoportházirendobjektum-szerkesztő?

    Alapvető csoportházirend-eszközök és beállítások

    Megjegyzés: A módosítások életbeléptetéséhez újra kell indítani az Internet Explorert.

    A megoldás hatása : Lehetséges, hogy a CAPICOM-vezérlő többé nem jelenik meg vagy működik megfelelően.

  • Állítsa be az Internet Explorer programot, hogy jelezzen az aktív parancsfájlok futtatása előtt vagy tiltsa le azok futtatását az internet és a helyi intranet biztonsági zónában.

    A biztonsági rés elleni védekezésként módosítsa a beállításait úgy, hogy az Internet Explorer az ActiveX vezérlők futtatása előtt kérdést tegyen fel. Ehhez hajtsa végre a következő műveletsort.

    1. Az Internet Explorer programban kattintson az Eszközök menü Internetbeállítások parancsára.
    2. Kattintson a Biztonság fülre.
    3. Jelölje ki az Internet ikont, majd kattintson az Egyéni szint gombra.
    4. A Beállítások lista ActiveX vezérlők és beépülő modulok csoportjának ActiveX vezérlők és beépülő modulok futtatása alcsoportjában jelölje be a Kérdés vagy Tiltás választógombot, majd kattintson az OK gombra.
    5. Jelölje ki a Helyi intranet ikont, majd kattintson az Egyéni szint gombra.
    6. A Beállítások lista ActiveX vezérlők és beépülő modulok csoportjának ActiveX vezérlők és beépülő modulok futtatása alcsoportjában jelölje be a Kérdés vagy Tiltás választógombot, majd kattintson az OK gombra.
    7. Kétszer az OK gombra kattintva térjen vissza az Internet Explorer programba.

    A megoldás hatása : Az ActiveX vezérlők futtatását megelőző kérdésnek járulékos hatásai is vannak, hiszen az interneten vagy az intraneten működő számos webhely ActiveX vezérlők használatával nyújt további szolgáltatásokat. Az on-line elektronikus kereskedelmet bonyolító vagy elektronikus banki szolgáltatásokat nyújtó webhelyek például ActiveX vezérlőkkel jeleníthetik meg a menüket, a rendelési űrlapokat, de akár még a számlakivonatokat is. Az ActiveX vezérlők futtatását megelőző kérdés beállítása az összes internetes és intranetes webhely működésére kiható globális érvényű beállítás, Amelynek engedélyezése esetén a program gyakran meg fogja jeleníteni a vonatkozó kérdést. Ha úgy véli, hogy a szóban forgó webhely megbízható, a megjelenő párbeszédpanel Igen gombjára kattintva engedélyezheti az ActiveX vezérlők futtatását. Ha nem szeretne minden ilyen helyről figyelmeztetést, kövesse a „Adja hozzá a megbízható webhelyeket az Internet Explorer Megbízható helyek zónájához” részben leírt pontokat.

    Adja hozzá a megbízható webhelyeket az Internet Explorer Megbízható helyek zónájához.

    Miután beállította az Internet Explorer programot, és az kérdést tesz fel az ActiveX vezérlők és az aktív parancsfájlok Internet és Helyi intranet zónában történő futtatása előtt, a megbízhatónak ítélt webhelyeket felveheti a böngésző Megbízható helyek nevű listájára. Ezzel a megoldással az eddigiekkel megegyező módon használhatja a megbízható webhelyeket, és a nem megbízható webhelyek általi támadások is elkerülhetők. A Microsoft kizárólag a megbízható helyek felvételét ajánlja a listára.

    Ehhez hajtsa végre a következő műveletsort.

    1. Kattintson az Internet Explorer Eszközök menüjének Internetbeállítások parancsára, majd a Biztonság fülre.
    2. A Jelöljön ki egy tartalomzónát, majd állítsa be a biztonsági szintjét mezőben jelölje ki a Megbízható helyek ikont, majd kattintson a Helyek gombra.
    3. Ha titkosított csatornát nem igénylő webhelyeket kíván felvenni, törölje a jelölést a Kiszolgáló-ellenőrzés (https:) megkövetelése az egész zónában jelölőnégyzetből.
    4. Írja be a megbízható webhely URL-címét a Webhely hozzáadása a zónához mezőbe, majd kattintson a Hozzáadás gombra.
    5. Ismételje meg ezeket a lépéseket valamennyi, hozzáadni kívánt webhely esetén.
    6. A változtatások jóváhagyásához és a böngészőbe való visszatéréshez kattintson kétszer az OK gombra.

    Megjegyzés Vegyen fel a listára minden olyan webhelyet, amelyről biztosan tudja, hogy nem jelent veszélyforrást. Kettőt mindenképpen vegyen fel: a „*.windowsupdate.microsoft.com„ és az „*.update.microsoft.com” címet (idézőjelek nélkül). Ezek a helyek tartalmazzák a frissítést, melynek telepítéséhez szükség van egy ActiveX vezérlő használatára.

  • Állítsa az internet és helyi intranet biztonsági zóna beállítását „Magas” szintre, ha figyelmeztetést kíván megjeleníteni az ActiveX vezérlők és az aktív parancsfájlok futtatása előtt ezekben a zónákban

    E biztonsági rés elleni védekezésként módosítsa az Internet biztonsági zóna beállításait úgy, hogy a program az ActiveX vezérlők futtatása előtt kérdést jelenítsen meg. Ezt megteheti a böngésző biztonsági beállításának Magas szintre állításával.

    A böngészés biztonsági szintjének emelése a Microsoft Internet Explorer esetében:

    1. Az Internet Explorer Eszközök menüjében kattintson az Internet-beállítások pontra.
    2. Az Internet-beállítások párbeszédpanelen kattintson a Biztonság lapra, majd kattintson az Internet ikonra.
    3. A zóna biztonsági szintje részben mozgassa a csúszkát a Magas állásba. Ezzel minden meglátogatandó honlap esetében magas biztonsági szinttel böngészhet.

    Megjegyzés: Ha nem látható a csúszka, kattintson az Alapértelmezett szint gombra, majd tolja a csúszkát Magas állásba.

    Megjegyzés: Magas biztonsági szint mellett bizonyos honlapok nem működnek megfelelően. Ha problémákat tapasztal egy honlap használatában a beállítás megváltoztatását követően, és biztos abban, hogy az adott honlap biztonságos, felveheti azt a megbízható helyek listájára. Ezt követően a honlap Magas biztonsági szint beállítás mellett is megfelelően fog működni.

    A megoldás hatása : Az ActiveX vezérlők futtatását megelőző kérdésnek járulékos hatásai is vannak, hiszen az interneten vagy az intraneten működő számos webhely ActiveX vezérlők használatával nyújt további szolgáltatásokat. Az on-line elektronikus kereskedelmet bonyolító vagy elektronikus banki szolgáltatásokat nyújtó webhelyek például ActiveX vezérlőkkel jeleníthetik meg a menüket, a rendelési űrlapokat, de akár még a számlakivonatokat is. Az ActiveX vezérlők futtatását megelőző kérdés beállítása az összes internetes és intranetes webhely működésére kiható globális érvényű beállítás, Amelynek engedélyezése esetén a program gyakran meg fogja jeleníteni a vonatkozó kérdést. Ha úgy véli, hogy a szóban forgó webhely megbízható, a megjelenő párbeszédpanel Igen gombjára kattintva engedélyezheti az ActiveX vezérlők futtatását. Ha nem szeretne minden ilyen helyről figyelmeztetést, kövesse a „Adja hozzá a megbízható webhelyeket az Internet Explorer Megbízható helyek zónájához” részben leírt pontokat.

    Adja hozzá a megbízható webhelyeket az Internet Explorer Megbízható helyek zónájához.

    Miután beállította az Internet Explorer programot, és az kérdést tesz fel az ActiveX vezérlők és az aktív parancsfájlok Internet és Helyi intranet zónában történő futtatása előtt, a megbízhatónak ítélt webhelyeket felveheti a böngésző Megbízható helyek nevű listájára. Ezzel a megoldással az eddigiekkel megegyező módon használhatja a megbízható webhelyeket, és a nem megbízható webhelyek általi támadások is elkerülhetők. A Microsoft kizárólag a megbízható helyek felvételét ajánlja a listára.

    Ehhez hajtsa végre a következő műveletsort.

    1. Kattintson az Internet Explorer Eszközök menüjének Internetbeállítások parancsára, majd a Biztonság fülre.
    2. A Jelöljön ki egy tartalomzónát, majd állítsa be a biztonsági szintjét mezőben jelölje ki a Megbízható helyek ikont, majd kattintson a Helyek gombra.
    3. Ha titkosított csatornát nem igénylő webhelyeket kíván felvenni, törölje a jelölést a Kiszolgáló-ellenőrzés (https:) megkövetelése az egész zónában jelölőnégyzetből.
    4. Írja be a megbízható webhely URL-címét a Webhely hozzáadása a zónához mezőbe, majd kattintson a Hozzáadás gombra.
    5. Ismételje meg ezeket a lépéseket valamennyi, hozzáadni kívánt webhely esetén.
    6. A változtatások jóváhagyásához és a böngészőbe való visszatéréshez kattintson kétszer az OK gombra.

    Megjegyzés Vegyen fel a listára minden olyan webhelyet, amelyről biztosan tudja, hogy nem jelent veszélyforrást. Kettőt mindenképpen vegyen fel: a „*.windowsupdate.microsoft.com„ és az „*.update.microsoft.com” címet (idézőjelek nélkül). Ezek a helyek tartalmazzák a frissítést, melynek telepítéséhez szükség van egy ActiveX vezérlő használatára.

Gyakran feltett kérdések a CAPICOM.Certificates (CVE-2007-0940) biztonsági résével kapcsolatban

Mire terjed ki a biztonsági rés hatása? 
A biztonsági rés távolról történő kódfuttatást tehet lehetővé. Ha egy támadó kihasználja a biztonsági rést, távolról teljes mértékben átveheti a rendszer irányítását. Ezt követően programokat telepíthet, illetve adatokat tekinthet meg, módosíthat és törölhet, de korlátozás nélküli jogosultságokkal rendelkező új fiókokat is létrehozhat. A kevesebb jogosultsággal bíró fiókkal rendelkező felhasználók esetében kisebb a veszélyeztetettség, mint a rendszergazdai jogosultságokkal rendelkezők esetén

Mi okozza a biztonsági rést? 
A CAPICOM Certificates bizonyos bemeneti elemeket érintő kezelési módja okozza a rést. Ha az ActiveX vezérlő váratlan adatokat kap, meghibásodhat, és ezzel távoli kódvégrehajtást tehet lehetővé.

A CAPICOM.Certificates bemutatása 
A CAPICOM.Certificates egy ActiveX vezérlő, amely a VBS, ASP, ASP.NET stb. elemek számára biztonságos, a Windows CryptoAPI funkción alapuló adattitkosítási eljárást tesz elérhetővé. A CAPICOM Platform SDK Redistributable elemként is letölthető. A CAPICOM a Windows Platform SDK és a Windows Driver Kit készlet elemét is képezi.

Mi a teendő akkor, ha CAPICOM-elemet terjesztő alkalmazásokat vagy szoftvereket fejlesztek? 
Le kell töltenie a legújabb Platform SDK Redistributable elemet. CAPICOM. Ez a verzió már tartalmazza a frissített CAPICOM.dll fájlt, amely ezzel a biztonsági frissítéssel társított.

Honnan deríthetem ki, hogy telepítve és regisztrálva van számítógépemen a CAPICOM.Certificates technológia? 
Ellenőrizheti, hogy a rendszerre telepítve van-e a CAPICOM, ehhez a CAPICOM.dll fájlra kell rákeresnie. Ha annak verziószáma 2.1.01 vagy ennél alacsonyabb, a rendszert frissíteni kell.

Ellenőrizheti, hogy rendelkezik-e az alábbi rendszerleíró kulcsok valamelyikével, így meggyőződhet arról, hogy a CAPICOM.Certificates ActiveX vezérlő veszélyeztetett változata van-e regisztrálva a rendszeren:

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CAPICOM.Certificates.1\CLSID

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CAPICOM.Certificates.2\CLSID

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CAPICOM.Certificates.3\CLSID

Mire használhatja a biztonsági rést a támadó? 
A biztonsági rést kihasználó támadó teljes mértékben átveheti a megtámadott rendszer vezérlését. Ezt követően programokat telepíthet, illetve adatokat tekinthet meg, módosíthat és törölhet, de korlátozás nélküli jogosultságokkal rendelkező új fiókokat is létrehozhat. A kevesebb jogosultsággal bíró fiókkal rendelkező felhasználók esetében kisebb a veszélyeztetettség, mint a rendszergazdai jogosultságokkal rendelkezők esetén

Miért marad továbbra is a CAPICOM.dll korábbi verziója a rendszeren a frissítés telepítését követően? 
Lehetséges, hogy a CAPICOM.dll fájlt nem a Microsofttól szerezte be. A CAPICOM.dll fájlt nem Microsoft-termék is telepíthette. Mivel a biztonsági frissítés nem tudja meghatározni, hogy a korábbi CAPICOM.dll-verzió honnan származott, azt a program a kompatibilitási problémák megelőzése érdekében továbbra is a rendszeren hagyja. A korábbi verzió nem teszi a rendszert sebezhetővé a biztonsági rés vonatkozásában.

Kik használhatják ki a biztonsági rést? 
Webalapú támadás esetén a támadónak olyan webhelyet kell üzemeltetnie, amely egy, a biztonsági rés kihasználását lehetővé tevő weblapot tartalmaz. A támadónak nincs lehetősége arra, hogy a felhasználót a különlegesen kialakított webhely megnyitására kényszerítse. Ehelyett a támadóknak saját webhelyükre kell csábítaniuk a felhasználókat, ezt pedig rendszerint egy kifejezetten ezt a célt szolgáló hivatkozás segítségével érik el.

Mely rendszerekre jelenti a legnagyobb veszélyt a biztonsági rés? 
A biztonsági rés rossz szándékú kihasználásához a felhasználónak be kell jelentkeznie, és így ellátogatni egy weboldalra. Ennek következtében azok a CAPICOM Certificate technológiával ellátott és regisztrált rendszerek a leginkább veszélyeztetettek a támadással szemben, amelyeken az Internet Explorer böngészőt használják, így például a munkaállomások vagy terminálkiszolgálók.

Az Internet Explorer 7 böngészőt használom? Ezzel csökken a fenyegetettségem? 
Igen. Az Internet Explorer 7 alkalmazást alapértelmezett beállításokkal futtató felhasználókat a probléma mindaddig nem érinti, amíg a CAPICOM Certificates vezérlőt az Internetzóna ActiveX beállításánál nem engedélyezték. Ha azonban a felhasználó ezt az ActiveX vezérlőt az Internet Explorer korábbi verziójában már használta, a vezérlő működhet az Internet Explorer 7 alkalmazásban is, annak ellenére, hogy a felhasználó nem élt a választható ActiveX vezérlő lehetőséggel.

Az Internet Explorer 7 választható Active X funkciója 
Az Internet Explorer 7 ActiveX-választó funkciója azt jelenti, hogy szinte az összes előre telepített ActiveX vezérlő alapértelmezésben ki van kapcsolva. A rendszer információs sávja figyelmezteti a felhasználókat, mielőtt hozzáférhetnének egy korábban még az interneten nem használt, de már telepített ActiveX vezérlőhöz. Ezáltal a felhasználónak lehetősége nyílik a hozzáférést az egyes vezérlőkhöz is engedélyezni vagy megtagadni. Erről és más új funkciókról a Windows Internet Explorer 7 jellemzőit bemutató oldalon olvashat.

Kisebb-e a kockázat mértéke, ha az Internet Explorer program a Windows Server 2003 rendszeren fut? 
Igen. Az Internet Explorer böngésző Windows Server 2003 rendszeren alapértelmezés szerint korlátozott üzemmódban fokozott biztonsági beállításokkal működik. Ez a mód az internetes zóna biztonsági szintjét Magas beállításra teszi. Ez enyhíti az olyan webhelyek hibáit, melyeket nem adtak hozzá az Internet Explorer Megbízható helyek zónájához. Ha további tájékoztatást szeretne az Internet Explorer fokozott biztonsági beállításairól, tekintse meg a biztonsági frissítésre vonatkozó Gyakran feltett kérdések című részt.

Mit jelentenek az Internet Explorer fokozott biztonsági beállításai? 
Az Internet Explorer fokozott biztonsági beállításai olyan beépített Internet Explorer beállításokat takarnak, amelyek csökkentik annak lehetőségét, hogy egy felhasználó vagy rendszergazda káros webes tartalmat töltsön le és futtasson a kiszolgálón. Ennek érdekében számos biztonsági beállítást megváltoztat az alkalmazás, beleértve az Internetbeállítások párbeszédpanel Biztonság és Speciális lapjának beállításait is. Az alábbiakban néhány ilyen fontos módosítást emeltünk ki.

  • Az Internet zóna biztonsági szintje Magas beállítás lesz, letiltva ezzel a parancsfájlokat, az ActiveX vezérlőket, a Microsoft Virtual Machine (Microsoft VM) működését és a fájlletöltést.
  • A program nem engedélyezi az intranetes helyek automatikus keresését, így az összes olyan intranetes webhelyet és UNC típusú elérési útvonalat az Internet zónához rendel, amely nem szerepel a Helyi intranet zónában.
  • A rendszer nem engedélyezi az igény szerinti telepítést és a nem Microsoft gyártotta böngészők bővítéseit, ezért a weblapok nem telepíthetnek automatikusan összetevőket, és a nem Microsoft gyártotta bővítmények sem futtathatók.
  • Nem jeleníthető meg multimédiás tartalom, tehát a zenefájlok, az animációk és a videoklipek futtatása sem lehetséges.

Az Internet Explorer fokozott biztonsági beállításaival kapcsolatban olvassa el a fokozott biztonsági beállításokra vonatkozó tájékoztatót ezen az oldalon.

Mi a frissítés feladata? 
A frissítés azáltal szünteti meg a biztonsági rést, hogy módosítja a paraméter-érvényesítés módját a CAPICOM.Certificates ActiveX vezérlőn. A frissítés továbbá belső vizsgálatok során fellelt problémákra is keres megoldást.

Ismert volt-e a nyilvánosság előtt ez a biztonsági rés az említett közlemény kiadásának idején? 
Nem. A Microsoft ezt a célt szolgáló tájékoztatáson keresztül szerzett tudomást a biztonsági résről.

A közlemény kibocsátásáig kapott-e a Microsoft a biztonsági rés kihasználásáról tájékoztató értesítést? 
Nem. E közlemény eredeti verziójának kiadásáig a Microsoft nem kapott olyan információt, amely arra utalt volna, hogy ezt a biztonsági rést nyilvános támadásra használták, és nem találkozott olyan nyilvánosságra hozott leírásokkal, amelyek tartalmazták volna egy sikeres támadás forgatókönyvét.

Érintett szoftverek

Az érintett szoftverre vonatkozó biztonsági frissítésről a megfelelő szakaszból tudhat meg többet:

CAPICOM és BizTalk Server 2004

Előfeltételek
A biztonsági frissítéshez a CAPICOM tanúsítványainak telepítve és regisztrálva kell lenniük. A BizTalk Server 2004 telepíti a CAPICOM CAPICOM Certificates technológiát. A frissítés különálló és BizTalk Server 2004 rendszerekhez is használható. A nem Microsoft-termékek terjeszthetik és telepíthetik a CAPICOM.dll fájlt. További részleteket a Honnan deríthetem ki, hogy telepítve és regisztrálva van számítógépemen a CAPICOM.Certificates technológia? című részben olvashat.

Közzététel jövőbeni szervizcsomagokban
Lehetséges, hogy a probléma megoldását jelentő frissítés szerepelni fog a Microsoft BizTalk Server 2004 későbbi szervizcsomagjában vagy összesítő frissítésében.

Telepítési információk

A biztonsági frissítés telepítője az alábbi kapcsolók használatát támogatja:

A biztonsági frissítés támogatott telepítési kapcsolói
KapcsolóLeírás
Telepítési üzemmódok
/q Csendes üzemmód használata, vagyis az üzenetek elrejtése a fájlok kibontása közben.
/q:u Felhasználói csendes mód megadása, melynek során egyes párbeszédpanelek megjelennek.
/q:a A rendszergazdai csendes mód megadása esetén egyetlen párbeszédpanel sem jelenik meg a felhasználónak.
Speciális lehetőségek
/t:<full path>A fájlok kibontására használt célmappa megadása.
/c A fájlok kibontása telepítés nélkül Ha a /T: elérési_út kapcsoló nincs megadva, a program kérni fogja a célmappa megadását.
/c:<Cmd>A szerző által definiált telepítési parancs felülírása; a telepítőhöz tartozó .inf vagy .exe fájl elérési útjának és nevének megadása

Megjegyzés: A kapcsolók nem feltétlenül használhatók valamennyi frissítéssel. Ha adott kapcsoló nem használható, akkor az a funkció elengedhetetlen a frissítés megfelelő telepítéséhez. Ha a telepítés nem sikerül, segítségért forduljon a támogatási szakemberhez.

A támogatott telepítési kapcsolók bővebb ismertetését a Microsoft Tudásbázis 197147 számú cikke tartalmazza.

Tudnivalók a központi telepítésről

A biztonsági frissítés felhasználói beavatkozás nélküli telepítése a következő paranccsal történhet:

CAPICOM-KB931906-v2102 /q:a

A biztonsági frissítés Software Update Services szolgáltatással történő központi telepítéséről a Software Update Services webhelyen tudhat meg többet. A biztonsági frissítés Windows Server Update Services szolgáltatással történő központi telepítéséről részletesebben a Windows Server Update Services webhelyen olvashat. A biztonsági frissítés Microsoft Update webhelyről is elérhető lesz.

Újraindítás szükségessége

A frissítés nem teszi szükségessé a számítógép újraindítását.

Információ az eltávolításhoz

A biztonsági frissítést a Vezérlőpult Programok telepítése és törlése segédprogramjával távolíthatja el.

Fájlinformációk

A biztonsági frissítés angol nyelvű verziójában található fájlok a következő táblázatban ismertetett fájlattribútumokkal rendelkeznek. A fájlok dátuma és időpontja egyezményes világidő (UTC) szerint van megadva. A fájlinformációk megtekintésekor ezeket az adatokat a rendszer helyi időre konvertálja. A helyi idő és az egyezményes világidő közötti eltérésről a Vezérlőpultról elérhető Dátum és idő tulajdonságai párbeszédpanel Időzóna lapján tájékozódhat.

FájlnévVerziószámDátumIdőpontMéret
License.mhtNA2007. február 26.23:16142 534
License.rtfNA2007. február 26.23:16134 577
CAPICOM.dll2.1.0.22007. 04. 11.18:11511 328

A frissítés telepítésének ellenőrzése

  • Fájlverziószám ellenőrzése

    Megjegyzés: Mivel a Microsoft Windows operációs rendszernek több változata van, a lépések az egyes operációs rendszereken eltérőek lehetnek. Ilyen esetben a megfelelő lépések végrehajtásához az adott termék dokumentációja ad segítséget.

    1. Kattintson a Start menü Keresés parancsára.
    2. A Keresés eredménye ablak Keresés ablaktáblájában válassza a Minden mappa és fájl elemet.
    3. A fájlnév része vagy egésze mezőbe írja be a táblázatban szereplő megfelelő fájl nevét, majd kattintson a Keresés gombra.
    4. A fájlok listájában kattintson jobb gombbal a megfelelő fájl nevére, majd kattintson a Tulajdonságok parancsra.

      Megjegyzés: A telepített operációs rendszer vagy programok verziószámától függően elképzelhető, hogy a fájlinformációs táblázatban szereplő fájlok némelyike nem található meg a számítógépen.
    5. A Verzió lapon hasonlítsa össze a számítógépen lévő fájl verziószámát a megfelelő táblázatban szereplő fájl verziószámával.

      Megjegyzés: A telepítés során a fájl verziószámán kívül más attribútumok is megváltozhatnak. Ezen attribútumok fájlinformációs táblázatban szereplő adatokkal való összevetése a frissítés alkalmazásának nem ajánlott ellenőrzési módja. Előfordulhat az is, hogy a telepítés során bizonyos esetekben a rendszer fájlokat nevez át. Ha a fájl- vagy verzióadatok nem találhatók, ellenőrizze a frissítés telepített példányát egyéb módszerek segítségével.
  • Rendszerleíró kulcsok ellenőrzése

    Bizonyos esetekben a következő rendszerleíró kulcs megtekintésével is ellenőrizheti a biztonsági frissítés által telepített fájlokat:

    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CAPICOM.Certificates.4\CLSID

Egyéb információ

Köszönetnyilvánítás

A Microsoft köszönetét fejezi ki a vásárlók védelmének biztosításában nyújtott segítségért az alábbi szervezet(ek)nek és szakember(ek)nek:

  • Chris Ries, VigilantMinds Inc., a CAPICOM.Certificates biztonsági résének (CVE-2007-0940) jelentéséért

Egyéb biztonsági frissítések beszerzése

Az alábbi helyekről más típusú biztonsági problémákhoz szerezhetők be frissítések:

  • A biztonsági frissítések a Microsoft letöltőközpontjában érhetők el. legegyszerűbben a „biztonsági javítás” kifejezésre irányuló kulcsszavas kereséssel találhatja meg őket.
  • A kereskedelmi forgalomban kapható operációs rendszerekhez a Microsoft Update webhelyről tölthetők le frissítések.

Terméktámogatás

  • Az Amerikai Egyesült Államokban és Kanadában technikai segítség igényelhető a Microsoft terméktámogatási szolgáltatásától, amelynek telefonszáma 1-866-PCSAFETY. A biztonsági frissítésekkel kapcsolatos hívások ingyenesek.
  • Más országokban a helyi Microsoft-képviseletek nyújtanak támogatást. A biztonsági frissítésekkel kapcsolatos hívások ingyenesek. A nemzetközi támogatási webhely felvilágosítást nyújt arról, támogatási kérdéseivel hogyan fordulhat a Microsofthoz.

Egyéb adatvédelmi és biztonsági források

Software Update Services

A Microsoft Software Update Services (SUS) szolgáltatással a rendszergazdák gyorsan és megbízható módon telepíthetik központilag a legújabb fontos és biztonsági frissítéseket a Windows 2000 és a Windows Server 2003 rendszerű kiszolgálókra, valamint a Windows 2000 Professional vagy a Windows XP Professional rendszert futtató asztali rendszerekre.

A biztonsági frissítések Software Update Services szolgáltatással történő központi telepítéséről a Software Update Services webhelyen tudhat meg többet.

Windows Server Update Services:

A Microsoft Software Update Services (WSUS) szolgáltatással a rendszergazdák gyorsan és megbízható módon telepíthetik központilag a legújabb fontos és biztonsági frissítéseket Windows 2000 és újabb operációs rendszerekhez, Office XP és újabb operációs rendszerekhez, Exchange Server 2003 és SQL Server 2000 Windows 2000 és újabb operációs rendszerekre.

A biztonsági frissítések Windows Server Update Services szolgáltatással történő központi telepítéséről részletesebben a Windows Server Update Services webhelyen olvashat.

Systems Management Server

A Microsoft Systems Management Server (SMS) rendszer egy sokoldalúan beállítható vállalati megoldás, amely a frissítések kezelésére szolgál. Az SMS segítségével a rendszergazda megállapíthatja, hogy melyik Windows alapú számítógép szorul biztonsági frissítésre, és ezeket a frissítéseket szabályozott módon, a felhasználók minimális zavarásával, központilag telepítheti a vállalat teljes informatikai környezetében. Ha többet szeretne tudni arról, hogy a rendszergazdák miként telepíthetik a biztonsági frissítéseket az SMS 2003 alkalmazással, látogasson el az SMS 2003 Security Patch Management webhelyre. Az SMS 2.0-s verzióját használók a Software Updates Service Feature Pack szolgáltatásait is segítségül hívhatják a biztonsági frissítések központi telepítéséhez. Az SMS alkalmazásról további információt az SMS webhelyén talál.

Megjegyzés Az SMS a Microsoft Baseline Security Analyzer eszközön és a Microsoft Office észlelőeszközén, valamint az Enterprise Update Scan (Vállalati frissítés-ellenőrző) alkalmazáson keresztül széles körű támogatást nyújt a biztonsági közlemény által kínált javításokhoz. Előfordulhat, hogy egyes szoftverfrissítéseket ezek az eszközök nem észlelnek. Az SMS alkalmazás leltározási szolgáltatásai segítségével a rendszergazdák adott rendszereken hajthatják végre a frissítést. Az eljárásról további információt ezen a webhelyen talál. Egyes biztonsági frissítésekhez rendszergazdai jogosultságokra van szükség a számítógép újraindítása után. A rendszergazdák az SMS 2003 Administration Feature Pack és az SMS 2.0 Administration Feature Pack csomag részét képező Elevated Rights Deployment Tool nevű eszközzel telepíthetik ezeket a frissítéseket.

Felelősséget kizáró nyilatkozat

A Microsoft Tudásbázisban leírtak előzetes bejelentés nélkül változhatnak, és a cikkek tartalmáért a Microsoft nem vállal garanciát. A Microsoft egyben elhárít minden kifejezett és értelemszerű garanciát, beleértve az eladhatóságra és az adott célra való alkalmasságra vonatkozó garanciát is. A Microsoft Corporation vagy annak szállítói semmilyen körülmények között nem tehetők felelőssé közvetlen, közvetett, eseti, ok-okozati vagy különleges kárért (beleértve az elmaradt hasznot is), még akkor sem, ha a Microsoft Corporation vagy szállítói tudatában voltak a kár lehetséges voltának. Egyes államok törvényi szabályozása nem teszi lehetővé a véletlen vagy ok-okozati károkért vállalt felelősség korlátozását vagy kizárását, így ezekben az államokban az ez a felelősségkizárás nincs érvényben.

Verziók:

  • 1.0 verzió (2007. május 8.): Közlemény kiadva.

Built at 2014-04-18T01:50:00Z-07:00

Megjelenítés: