A Microsoft számú biztonsági közleménye MS07-054 - Kritikus

Az MSN Messenger és a Windows Live Messenger alkalmazás biztonsági rése programkód távoli futtatását teheti lehetővé (942099)

Közzétéve: 2007. június 12. | Frissítve: 2007. június 12.

Verzió: 1.1

Általános tudnivalók

Összefoglalás

A fontos besorolású biztonsági frissítés feladata az MSN Messenger és a Windows Live Messenger alkalmazás nyilvánosan közzétett biztonsági résének megszüntetése. A támadótól érkező, videobeszélgetésre vagy webkamerás beszélgetésre felkérő meghívó felhasználó általi elfogadása programkód távoli futtatását teheti lehetővé. A biztonsági rést kihasználó támadó teljes mértékben átveheti a megtámadott rendszer vezérlését. A kevesebb jogosultsággal bíró fiókkal rendelkező felhasználók esetében kisebb a veszélyeztetettség, mint a rendszergazdai jogosultságokkal rendelkezők esetén

Az MSN Messenger 7.0.0820 és a Windows Live Messenger 8.1 felhasználóit a biztonsági rés nem érinti. További tudnivalókat a közlemény későbbi részében az Érintett és nem érintett szoftverek cím alatt talál.

A biztonsági réssel kapcsolatban bővebben az adott problémával foglakozó gyakran feltett kérdéseket ismertető szakaszban, A biztonsági réssel kapcsolatos tudnivalók című részben olvashat.

Javaslat A Microsoft javasolja, hogy a Microsoft Windows 2000 Service Pack 4 rendszeren MSN Messenger 6.2 vagy MSN Messenger 7.0 alkalmazásokat futtató felhasználók a lehető leghamarabb térjenek át az MSN Messenger 7.0.0820 változatra. A támogatott Windows rendszereken MSN Messenger 6.2, MSN Messenger 7.0, MSN Messenger 7.5 vagy Windows Live Messenger 8.0, alkalmazást futtató felhasználók a lehető leghamarabb térjenek át a Windows Live Messenger 8.1 verzióra.

Ismert problémák Nincsenek

Érintett és nem érintett szoftverek

Az itt felsorolt szoftvereket a verziók és változatok érintettségének felderítése érdekében teszteltük. A többi verzió/változat vagy támogatási életciklusa végére ért, vagy nem érintett.

Érintett szoftverek

Operációs rendszerSzoftverMaximális biztonsági hatásÖsszesített súlyossági besorolásA frissítés által felváltott közlemények
Microsoft Windows 2000 Service Pack 4MSN Messenger 6.2
MSN Messenger 7.0
Távoli kódfuttatásFontosNincsenek
Windows XP Service Pack 2MSN Messenger 6.2
MSN Messenger 7.0
MSN Messenger 7.5
Windows Live Messenger 8.0
Távoli kódfuttatásFontosNincsenek
Windows XP Professional x64 EditionMSN Messenger 6.2
MSN Messenger 7.0
MSN Messenger 7.5
Windows Live Messenger 8.0
Távoli kódfuttatásFontosNincsenek
Windows XP Professional x64 Edition Service Pack 2MSN Messenger 6.2
MSN Messenger 7.0
MSN Messenger 7.5
Windows Live Messenger 8.0
Távoli kódfuttatásFontosNincsenek
Windows Server 2003 Service Pack 1 és Windows Server 2003 Service Pack 2 rendszerhezMSN Messenger 6.2
MSN Messenger 7.0
MSN Messenger 7.5
Windows Live Messenger 8.0
Távoli kódfuttatásFontosNincsenek
Windows Server 2003 x64 EditionMSN Messenger 6.2
MSN Messenger 7.0
MSN Messenger 7.5
Windows Live Messenger 8.0
Távoli kódfuttatásFontosNincsenek
Windows Server 2003 x64 Edition Service Pack 2MSN Messenger 6.2
MSN Messenger 7.0
MSN Messenger 7.5
Windows Live Messenger 8.0
Távoli kódfuttatásFontosNincsenek
Windows VistaMSN Messenger 6.2
MSN Messenger 7.0
MSN Messenger 7.5
Windows Live Messenger 8.0
Távoli kódfuttatásFontosNincsenek
Windows Vista x64 EditionMSN Messenger 6.2
MSN Messenger 7.0
MSN Messenger 7.5
Windows Live Messenger 8.0
Távoli kódfuttatásFontosNincsenek

Nem veszélyeztetett szoftverek

Operációs rendszerSzoftver
Microsoft Windows 2000 Service Pack 4MSN Messenger 7.0.0820
Windows XP Service Pack 2Windows Live Messenger 8.1
Windows XP Professional x64 EditionWindows Live Messenger 8.1
Windows XP Professional x64 Edition Service Pack 2Windows Live Messenger 8.1
Windows Server 2003 Service Pack 1 és Windows Server 2003 Service Pack 2 rendszerhezWindows Live Messenger 8.1
Windows Server 2003 x64 EditionWindows Live Messenger 8.1
Windows Server 2003 x64 Edition Service Pack 2Windows Live Messenger 8.1
Windows VistaWindows Live Messenger 8.1
Windows Vista x64 EditionWindows Live Messenger 8.1

Hogyan terjesztik majd a frissítést?  
Az MSN Messenger szolgáltatásba való bejelentkezést követően a Windows XP-nél korábbi verziójú operációs rendszereken futó MSN Messenger 6.2 és MSN Messenger 7.0 alkalmazásokat az MSN Messenger szolgáltatás ügyféltelepítési mechanizmusa az MSN Messenger 7.0.0820 frissítésének elfogadására kéri.

Az MSN Messenger vagy Live Messenger szolgáltatásba való bejelentkezést követően a Windows XP és annál újabb verziójú operációs rendszereken futó MSN Messenger 6.2, MSN Messenger 7.0, MSN Messenger 7.5 és Windows Live Messenger 8.0 alkalmazásokat az MSN Messenger vagy a Windows Live Messenger szolgáltatás ügyféltelepítési mechanizmusa a Windows Live Messenger 8.1 frissítésének elfogadására kéri.

Ha ez nem történik meg, lehetséges, hogy az MSN Messenger vagy a Windows Live Messenger sérülékeny verzió nem tudnak majd csatlakozni az MSN Messenger vagy a Windows Live Messenger szolgáltatáshoz.

A Microsoft miért az MSN Messenger és a Windows Live Messenger alkalmazásokon keresztül terjeszti a frissítést?  
Az MSN Messenger és a Windows Live Messenger alkalmazások frissítéseit azért saját hálózatukon keresztül terjesztjük, mert ezek az online szolgáltatások saját maguk telepíthetik a frissítéseket az ügyfélszámítógépekre. Ez az ügyféltelepítés módszer eltér a Windows Update és a Microsoft Update frissítési eljárásaitól.

Ha ez egy frissítés, hogyan deríthetem ki, hogy nekem az MSN Messenger vagy a Windows Live Messenger érintett verziója van meg?  
Az MSN Messenger és Windows Live Messenger alkalmazásokba való bejelentkezéskor az ügyféltelepítési eljárás automatikusan ellenőrzi a telepített verziót, és figyelmeztetnek, ha frissítés szükséges.

Mi történik, ha nem frissítek az MSN Messenger 7.0.0820 vagy a Windows Live Messenger 8.1 verziójára?  
Ha nem frissíti rendszerét az MSN Messenger vagy a Windows Live Messenger nem érintett ügyfélverziójára, a rendszertől függően a frissítésre minden bejelentkezési kísérletkor üzenet hívja fel figyelmét. Frissítés hiányában lehetséges, hogy az MSN Messenger és Windows Live Messenger szolgáltatásokhoz hozzáférése le lesz tiltva. A nem érintett szoftvereket felsoroló részben megtalálja az M SN Messenger és a Windows Live Messenger ügyfélprogramok frissítési verzióinak felsorolását.

A Microsoft hasonló alkalmazásait, például a Windows Messenger vagy az Office Communicator is érinti ez a probléma?  
Nem. Más üzenetküldő alkalmazások nem érintettek, mert a sérülékeny összetevőt nem tartalmazzák.

A biztonsági réssel kapcsolatos tudnivalók

Biztonsági rés súlyossági besorolása és a maximális biztonsági hatás szoftverenkénti felbontásban
Érintett szoftverekAz MSN Messenger video- és webkamerás beszélgetéseinek programkód távoli végrehajtását lehetővé tévő biztonsági rése – CVE-2007-2931Összesített súlyossági besorolás
MSN Messenger 6.2
MSN Messenger 7.0
MSN Messenger 7.5
Windows Live Messenger 8.0
Fontos

Távoli kódfuttatás

Fontos

Az MSN Messenger 6.2, MSN Messenger 7.0, MSN Messenger 7.5 és Windows Live Messenger 8.0 alkalmazásokban programkód távoli futtatását lehetővé tévő biztonsági rés található. A támadótól érkező, video- vagy webkamerás beszélgetésre felkérő meghívó felhasználó általi elfogadása programkód távoli futtatását teheti lehetővé. A biztonsági rést kihasználó támadó teljes mértékben átveheti a megtámadott rendszer vezérlését. A kevesebb jogosultsággal bíró fiókkal rendelkező felhasználók esetében kisebb a veszélyeztetettség, mint a rendszergazdai jogosultságokkal rendelkezők esetén

A biztonsági rés standard bejegyzésének megtekintéséhez a normál biztonsági rés besorolási listáján lásd:CVE-2007-2931.

Az MSN Messenger videobeszélgetéseinek és webkamerás beszélgetéseinek programkód távoli végrehajtását lehetővé tévő biztonsági résének – CVE-2007-2931 - súlyosságát enyhítő tényezők

Az enyhítő tényezők közé sorolható egy beállítás, konfiguráció vagy általánosan bevált gyakorlat, amely alapértelmezett állapotában csökkentheti a biztonsági rés kihasználásának valószínűségét. A következő enyhítő tényezők hasznosnak bizonyulhatnak:

  • A biztonsági rés kihasználásához a támadónak először rá kell vennie a felhasználót, hogy fogadja el az MSN Messenger- vagy MSN Messenger vagy Windows Live Messenger-üzenetben küldött meghívót a videobeszélgetésre vagy webkamerás beszélgetésre. A támadónak azonban nincs lehetősége arra, hogy a felhasználót a videomeghívás vagy webkamerás meghívás elfogadására kényszerítse. Ehelyett megpróbálhatja rávenni a felhasználót a video- vagy webkamerás meghívás elfogadására.
  • A biztonsági rést kihasználó támadó a helyi felhasználóval egyező hozzáférést nyer a rendszerhez. A kevesebb jogosultsággal bíró fiókkal rendelkező felhasználók esetében kisebb a veszélyeztetettség, mint a rendszergazdai jogosultságokkal rendelkezők esetén
  • A Windows Live Messenger 8.1, 2007 januárjában kiadott verziójának felhasználói már védettek a problémával szemben. A nemrégiben kiadott MSN Messenger 7.0.0820 verziói felhasználói már védettek a biztonsági rés ellen.

Lehetséges megoldások az MSN Messenger videobeszélgetéseinek és webkamerás beszélgetéseinek programkód távoli végrehajtását lehetővé tévő biztonsági résének – CVE-2007-2931 - kiküszöbölésére

A lehetséges megoldás olyan beállítást vagy konfigurációs módosítást takar, amely magát a biztonsági rést nem szünteti meg, azonban a frissítés telepítése előtt segít az ismert támadási lehetőségek kivédésében. A Microsoft alaposan megvizsgálta a következő lehetséges megoldásokat, és tájékoztatja a felhasználókat, amennyiben a megoldás csökkenti a működőképességet:

  • Az ISA Server segítségével tiltsa le az MSN Messenger vagy a Windows Live Messenger alkalmazást. Lásd a Microsoft Tudásbázis 925120 számú cikkét.

    A megoldás hatása: Így sem az MSN Messenger, sem a Windows Live Messenger alkalmazás nem tud kilépni a vállalati környezetből.

  • Tiltsa le a kiválasztott portokat az MSN Messenger vagy a Windows Live Messenger alkalmazás számára. Lásd a Microsoft Tudásbázis 927847 számú cikkét.

    A megoldás hatása: Ezáltal a rendszergazdák a teljes MSN Messenger- vagy Windows Live Messenger-forgalom letiltása helyett kiválaszthatják, mely webkamerás vagy videobeszélgetéseket engedélyezik.

Gyakran feltett kérdések az MSN Messenger videobeszélgetéseinek és webkamerás beszélgetéseinek programkód távoli végrehajtását lehetővé tévő biztonsági résével – CVE-2007-2931 - kapcsolatban

Mire terjed ki a biztonsági rés hatása?  
A biztonsági rés távolról történő kódfuttatást tehet lehetővé. Ha egy támadó kihasználja a biztonsági rést, teljes mértékben átveheti a rendszer irányítását. Ezt követően programokat telepíthet vagy adatokat tekinthet meg, módosíthat és törölhet, de korlátozás nélküli jogosultságokkal rendelkező új fiókokat is létrehozhat. A kevesebb jogosultsággal bíró fiókkal rendelkező felhasználók esetében kisebb a veszélyeztetettség, mint a rendszergazdai jogosultságokkal rendelkezők esetén

Mi okozza a biztonsági rést?  
Az MSN Messenger és a Windows Live Messenger bizonyos videobeszélgetési és webkamerás beszélgetési munkameneteket érintő kezelési módja. Emiatt a memória megsérülhet úgy, hogy a támadó a bejelentkezett felhasználó biztonsági környezetében tetszőleges kódot futtathat.

Mire használhatja a biztonsági rést a támadó?  
Ha egy támadó kihasználja a biztonsági rést, teljes mértékben átveheti a rendszer irányítását. Ezt követően programokat telepíthet vagy adatokat tekinthet meg, módosíthat és törölhet, de korlátozás nélküli jogosultságokkal rendelkező új fiókokat is létrehozhat. A kevesebb jogosultsággal bíró fiókkal rendelkező felhasználók esetében kisebb a veszélyeztetettség, mint a rendszergazdai jogosultságokkal rendelkezők esetén

Hogyan használhatja ki a támadó a biztonsági rést?  
A támadó a biztonsági rés kihasználása érdekében létrehozott video- vagy webkamerás beszélgetésre szóló meghívót küldhet a felhasználónak. A támadónak azonban nincs eszköze arra, hogy a felhasználót a videobeszélgetéshez vagy webkamerás beszélgetéshez való csatlakozásra kényszerítse. Ehelyett megpróbálhatja rávenni a felhasználót a video- vagy webkamerás meghívás elfogadására.

Mely rendszerekre jelenti a legnagyobb veszélyt a biztonsági rés?  
A biztonsági rés ártó szándékú kihasználásához a felhasználónak MSN Messenger vagy Windows Live Messenger szolgáltatásba kell bejelentkeznie, és el kell fogadnia a videobeszélgetésre vagy webkamerás beszélgetésre szóló meghívást. Az összes munkaállomás, kiszolgáló veszélyeztetett, amennyiben telepítve van rajta az MSN Messenger 6.2, MSN Messenger 7.0, MSN Messenger 7.5 vagy a Windows Live Messenger 8.0 alkalmazás.

Mi a frissítés feladata?  
Az MSN Messenger 6.2, MSN Messenger 7.0, MSN Messenger 7.5 és Windows Live Messenger 8.0 alkalmazáshoz nincs letölthető és telepíthető frissítés. Emiatt a rendszertől függően megoldásképpen a MSN Messenger 7.0.0820 vagy a Windows Live Messenger 8.1 alkalmazást kell telepíteni. A már javított MSN Messenger 7.0.0820 és Windows Live Messenger 8.1 alkalmazás megfelelően kezelik a videobeszélgetéseket és a webkamerás beszélgetéseket.

Nem használok webkamerát. Ennek ellenére is frissítenem kell?  
Igen. Bejelentkezéskor mind az MSN Messenger, mind pedig a Windows Live Messenger kéri a felhasználót, hogy frissítsen a rendszernek megfelelő MSN Messenger- vagy Windows Live Messenger-verzióra.

Ismert volt-e a nyilvánosság előtt ez a biztonsági rés a biztonsági közlemény kiadásának idején?  
Igen. A biztonsági rés nyilvánosságra került. A normál biztonsági rés besorolást és a CVE-2007-2931 azonosítót kapta.

A közlemény kibocsátásáig kapott-e a Microsoft a biztonsági rés kihasználásáról tájékoztató értesítést?  
Nem. E közlemény eredeti verziójának kiadásáig a Microsoft találkozott ugyan olyan nyilvánosságra hozott leírásokkal, amelyek tartalmazták egy sikeres támadás forgatókönyvét, de nem kapott olyan információt, amely arra utalt volna, hogy ezt a biztonsági rést nyilvános támadásra használták.

Frissítési információ

Érintett szoftverek

Az érintett szoftverre vonatkozó biztonsági frissítésről a megfelelő hivatkozásra kattintva tudhat meg többet:

MSN Messenger (összes verzió) Windows 2000 rendszeren

Hivatkozási táblázat

A következő táblázat az MSN Messenger 7.0.0820 verzióra való frissítés adatait tartalmazza:

Előfeltételek: MSN Messenger 6.2 alkalmazás Microsoft Windows 2000 Service Pack 4 rendszeren
MSN Messenger 7.0 alkalmazás Microsoft Windows 2000 Service Pack 4 rendszeren
Újraindítás szükségessége Lehetséges, hogy a rendszert a frissítés telepítését követően újra kell indítani, amennyiben a frissítés közben a rendszeren a felhasználók egyszerre több MSN Messenger-munkamenetet is futtatnak.
Információ az eltávolításhoz A Vezérlőpult Programok telepítése és törlése eszközét alkalmazza
A frissítés ellenőrzése Az MSN Messenger programban kattintson a Súgó menü Névjegy parancsára. Ellenőrizze, hogy a verziószám 7.0.0820-e.

MSN Messenger vagy Windows Live Messenger (összes verzió) alkalmazás Windows XP, Windows Server 2003 és Windows Vista rendszeren

Hivatkozási táblázat

A következő táblázat a Windows Live Messenger 8.1 verzióra való frissítés adatait tartalmazza:

Előfeltételek: MSN Messenger 6.2 alkalmazás Windows XP Service Pack 2 rendszeren
MSN Messenger 7.0 alkalmazás Windows XP Service Pack 2 rendszeren
MSN Messenger 7.5 alkalmazás Windows XP Service Pack 2 rendszeren
Windows Live Messenger 8.0 alkalmazás Windows XP Service Pack 2 rendszeren
MSN Messenger 6.2 alkalmazás Windows XP Professional x64 Edition rendszeren
MSN Messenger 7.0 alkalmazás Windows XP Professional x64 Edition rendszeren
MSN Messenger 7.5 alkalmazás Windows XP Professional x64 Edition rendszeren
Windows Live Messenger 8.0 alkalmazás Windows XP Professional x64 Edition rendszeren
MSN Messenger 6.2 alkalmazás Windows XP Professional x64 Edition Service Pack 2 rendszeren
MSN Messenger 7.0 alkalmazás Windows XP Professional x64 Edition Service Pack 2 rendszeren
MSN Messenger 7.5 alkalmazás Windows XP Professional x64 Edition Service Pack 2 rendszeren
Windows Live Messenger 8.0 alkalmazás Windows XP Professional x64 Edition Service Pack 2 rendszeren
MSN Messenger 6.2 alkalmazás Windows Server 2003 Service Pack 1 és Windows Server 2003 Service Pack 2 rendszeren
MSN Messenger 7.0 alkalmazás Windows Server 2003 Service Pack 1 és Windows Server 2003 Service Pack 2 rendszeren
MSN Messenger 7.5 alkalmazás Windows Server 2003 Service Pack 1 és Windows Server 2003 Service Pack 2 rendszeren
Windows Live Messenger 8.0 alkalmazás Windows Server 2003 Service Pack 1 és Windows Server 2003 Service Pack 2 rendszeren
MSN Messenger 6.2 alkalmazás Windows Server 2003 x64 Edition rendszeren
MSN Messenger 7.0 alkalmazás Windows Server 2003 x64 Edition rendszeren
MSN Messenger 7.5 alkalmazás Windows Server 2003 x64 Edition rendszeren
Windows Live Messenger 8.0 alkalmazás Windows Server 2003 x64 Edition rendszeren
MSN Messenger 6.2 alkalmazás Windows Server 2003 x64 Edition Service Pack 2 rendszeren
MSN Messenger 7.0 alkalmazás Windows Server 2003 x64 Edition Service Pack 2 rendszeren
MSN Messenger 7.5 alkalmazás Windows Server 2003 x64 Edition Service Pack 2 rendszeren
Windows Live Messenger 8.0 alkalmazás Windows Server 2003 x64 Edition Service Pack 2 rendszeren
MSN Messenger 6.2 alkalmazás Windows Vista rendszeren
MSN Messenger 7.0 alkalmazás Windows Vista rendszeren
MSN Messenger 7.5 alkalmazás Windows Vista rendszeren
Windows Live Messenger 8.0 alkalmazás Windows Vista rendszeren
MSN Messenger 6.2 alkalmazás Windows Vista x64 Edition rendszeren
MSN Messenger 7.0 alkalmazás Windows Vista x64 Edition rendszeren
MSN Messenger 7.5 alkalmazás Windows Vista x64 Edition rendszeren
Windows Live Messenger 8.0 alkalmazás Windows Vista x64 Edition rendszeren
Újraindítás szükségessége Lehetséges, hogy a rendszert a frissítés telepítését követően újra kell indítani, amennyiben a frissítés közben a rendszeren a felhasználók egyszerre több MSN Messenger- vagy Windows Live Messenger munkamenetet is futtatnak.
Információ az eltávolításhoz A Vezérlőpult Programok telepítése és törlése eszközét alkalmazza
A frissítés ellenőrzése A Windows Live Messenger programban kattintson a Súgó menü Névjegy parancsára. Ellenőrizze, hogy a verziószám 8.1.0178.00-e.

Egyéb információ

Köszönetnyilvánítás

A Microsoft köszönetét fejezi ki a vásárlók védelmének biztosításában nyújtott segítségért az alábbi szervezet(ek)nek és szakember(ek)nek:

  • Woo Shi, team 509, az MSN Messenger videobeszélgetéseinek programkód távoli végrehajtását lehetővé tévő biztonsági résének - CVE-2007-2931 - jelentéséért.

Terméktámogatás

  • Az Amerikai Egyesült Államokban és Kanadában technikai segítség igényelhető a Microsoft terméktámogatási szolgáltatásától, amelynek telefonszáma 1-866-PCSAFETY. A biztonsági frissítésekkel kapcsolatos hívások ingyenesek.
  • Más országokban a helyi Microsoft-képviseletek nyújtanak támogatást. A biztonsági frissítésekkel kapcsolatos hívások ingyenesek. A nemzetközi támogatási webhely felvilágosítást nyújt arról, támogatási kérdéseivel hogyan fordulhat a Microsofthoz.

Felelősséget kizáró nyilatkozat

A Microsoft Tudásbázisban leírtak előzetes bejelentés nélkül változhatnak, és a cikkek tartalmáért a Microsoft nem vállal garanciát. A Microsoft egyben elhárít minden kifejezett és értelemszerű garanciát, beleértve az eladhatóságra és az adott célra való alkalmasságra vonatkozó garanciát is. A Microsoft Corporation vagy annak szállítói semmilyen körülmények között nem tehetők felelőssé közvetlen, közvetett, eseti, ok-okozati vagy különleges kárért (beleértve az elmaradt hasznot is), még akkor sem, ha a Microsoft Corporation vagy szállítói tudatában voltak a kár lehetséges voltának. Egyes államok törvényi szabályozása nem teszi lehetővé a véletlen vagy ok-okozati károkért vállalt felelősség korlátozását vagy kizárását, így ezekben az államokban az ez a felelősségkizárás nincs érvényben.

Verziók

  • 1.0 verzió (2007. szeptember 11.): Közlemény kiadva.

Built at 2014-04-18T01:50:00Z-07:00

Megjelenítés: