Microsoft biztonsági közlemény - összefoglalás, április 2009

Közzétéve: 2009. április 14. | Frissítve: 2009. április 16.

Verzió: 1.1

Az összefoglaló a 2009 áprilisában kiadott biztonsági közleményeket összegzi.

A 2009 áprilisi közlemények kiadása folytán az összefoglaló a 2009. április 9-én kiadott előzetes értesítés helyébe lép. A biztonsági közlemények kiadásáról szóló előzetes értesítés szolgáltatásról itt olvashat bővebben: Előzetes értesítés a Microsoft biztonsági közleményeinek kiadásáról.

Ha automatikus értesítést szeretne kapni a Microsoft biztonsági közleményeinek megjelenéséről, fizessen elő a Microsoft Technical Security Notifications szolgáltatásra.

A közleményekkel kapcsolatos kérdések megválaszolására a Microsoft 2009. április 15-én, csendes-óceáni idő szerint 11 órakor webes szemináriumot tart. Jelentkezzen most az áprilisi közleményeket bemutató webes szemináriumra. Ezt követően a webes szeminárium igény szerint kerül megrendezésre. További információkért látogasson el a Microsoft biztonsági közleményeit és a webes szemináriumokat bemutató oldalra.

A Microsoft abban is segítséget nyújt felhasználóinak, hogy a havi biztonsági közleményekkel azonos napon kiadott, nem biztonsági jellegű, de fontos frissítéseket megfelelően rangsorolhassák. Lásd az Egyéb információ című részt.

A közleménnyel kapcsolatos információk

A következő táblázat összegzi az e havi biztonsági közleményeket súlyossági sorrendben.

Az érintett szoftverekkel kapcsolatban további tudnivalókat a következő, az Érintett szoftverek és letöltési helyek című részben talál.

Közlemény azonosítójaKözlemény címe és összefoglalásSúlyosság maximális foka és a biztonsági rés hatásaÚjraindítás szükségességeÉrintett szoftverek
MS09-010 A WordPad és az Office szövegkonverterekben található biztonsági rések távolról történő kódfuttatást tesznek lehetővé (960477)

A biztonsági frissítés a Microsoft WordPad és Microsoft Office szövegkonverterek két nyilvánosan feltárt és két közvetlenül jelentett biztonsági rését szünteti meg. A biztonsági rések WordPad és Microsoft Office Word alkalmazásoknál távoli kódfuttatást tehetnek lehetővé, amennyiben ezekben az alkalmazásokban a felhasználó különlegesen kialakított fájl nyit meg. A WordPad és a Microsoft Office Word érintett verzióival ne nyisson meg megbízhatatlan forrásból származó Microsoft Office, RTF, Write vagy WordPerfect fájlokat.
Kritikus
Távoli kódfuttatás
Újraindítást igényelMicrosoft Windows, Microsoft Office
MS09-013 A Windows HTTP-szolgáltatások biztonsági rései távolról történő kódfuttatásra adhatnak lehetőséget (960803)

Ez a biztonsági frissítés egy nyilvánosságra került és két közvetlenül jelentett biztonsági rést szüntet meg a Microsoft Windows HTTP- (WinHTTP-) szolgáltatások funkcióban. A legsúlyosabb besorolású biztonsági rés távolról történő kódfuttatást tehet lehetővé. Ha egy támadó kihasználja a biztonsági rést, teljes mértékben átveheti a rendszer irányítását. Ezt követően a támadó programokat telepíthet, illetve adatokat tekinthet meg, módosíthat és törölhet, de korlátozás nélküli jogosultságokkal rendelkező új fiókokat is létrehozhat. A kevesebb jogosultsággal bíró fiókkal rendelkező felhasználók esetében kisebb a veszélyeztetettség, mint a rendszergazdai jogosultságokkal rendelkezők esetén
Kritikus
Távoli kódfuttatás
Újraindítást igényelMicrosoft Windows
MS09-011 A Microsoft DirectShow biztonsági rése távoli kódfuttatást tehet lehetővé (961373)

A biztonsági frissítés a Microsoft DirectX közvetlenül jelentett biztonsági rését szünteti meg. A biztonsági rés távolról történő programkódfuttatást tehet lehetővé, amennyiben a felhasználó különlegesen kialakított MJPEG-fájlt nyit meg. Ha egy támadó kihasználja a biztonsági rést, teljes mértékben átveheti a rendszer irányítását. Ezt követően a támadó programokat telepíthet, illetve adatokat tekinthet meg, módosíthat és törölhet, de korlátozás nélküli jogosultságokkal rendelkező új fiókokat is létrehozhat. A kevesebb jogosultsággal bíró fiókkal rendelkező felhasználók esetében kisebb a veszélyeztetettség, mint a rendszergazdai jogosultságokkal rendelkezők esetén
Kritikus
Távoli kódfuttatás
Esetleg újra kell indítani a rendszertMicrosoft Windows
MS09-014 Összesítő biztonsági frissítés az Internet Explorer programhoz (963027)

A biztonsági frissítés négy közvetlenül és két nyilvánosan jelentett biztonsági rést szüntet meg az Internet Explorer programban. A biztonsági rések távoli kódvégrehajtást tehetnek lehetővé, amennyiben a felhasználó egy különlegesen kialakított weboldalt tekint meg az Internet Explorer alkalmazás segítségével illetve ha HTTP-protokollon keresztül csatlakozik a támadó által felügyelt kiszolgálóra. A kevesebb jogosultsággal bíró fiókkal rendelkező felhasználók esetében kisebb a veszélyeztetettség, mint a rendszergazdai jogosultságokkal rendelkezők esetén
Kritikus
Távoli kódfuttatás
Újraindítást igényelMicrosoft Windows, Internet Explorer
MS09-009 A Microsoft Office Excel biztonsági rései távolról történő programkódfuttatást okozhatnak (968557)

A biztonsági frissítés egy közvetlenül és két nyilvánosan jelentett biztonsági rést hárít el a Microsoft Office Excel alkalmazásban. Ha a felhasználó egy különlegesen kialakított Excel fájlt nyit meg, a biztonsági rések távolról történő programfuttatást tehetnek lehetővé. A biztonsági réseket kihasználó támadó teljes mértékben átveheti az érintett rendszer irányítását. Ezt követően a támadó programokat telepíthet, illetve adatokat tekinthet meg, módosíthat és törölhet, de korlátozás nélküli jogosultságokkal rendelkező új fiókokat is létrehozhat. A kevesebb jogosultsággal bíró fiókkal rendelkező felhasználók esetében kisebb a veszélyeztetettség, mint a rendszergazdai jogosultságokkal rendelkezők esetén
Kritikus
Távoli kódfuttatás
Esetleg újra kell indítani a rendszertMicrosoft Office
MS09-012 A Windows Kernel biztonsági rései a jogok kiterjesztését tehetik lehetővé (959454)

A biztonsági frissítés a Microsoft Windows négy, nyilvánosan jelentett biztonsági rését szünteti meg. A biztonsági rések a jogok kiterjesztését tehetik lehetővé, ha a támadó bejelentkezhet a rendszerre, és ott különlegesen kialakított alkalmazást futtat. A támadónak a biztonsági rés kihasználásához a helyi gépen kell tudnia kódot futtatni. A biztonsági rések bármelyikét kiaknázó támadó teljes mértékben átveheti az érintett rendszer irányítását.
Fontos
Jogok kiterjesztése
Újraindítást igényelMicrosoft Windows
MS09-016 A Microsoft ISA Server és a Forefront Threat Management Gateway (Medium Business Edition) biztonsági rései szolgáltatásmegtagadást okozhatnak (961759)

A biztonsági rés egy közvetlenül és egy nyilvánosan jelentett biztonsági rést szüntet meg a Microsoft Internet Security and Acceleration (ISA) Server és a Microsoft Forefront Threat Management Gateway (TMG), Medium Business Edition (MBE) rendszerben. A biztonsági rések szolgáltatásmegtagadást okozhatnak, ha a támadó speciálisan létrehozott hálózati csomagokat küld az érintett rendszerre, illetve adatokhoz való illetéktelen hozzáférés történhet, ha felhasználó rákattint egy rosszindulatú URL-címre vagy ellátogat egy olyan weboldalra, melynek tartalmát a támadó felügyeli.
Fontos
Szolgáltatásmegtagadás
Újraindítást igényelMicrosoft Forefront Edge Security
MS09-015 A SearchPath kevert fenyegetéses biztonsági rése jogok kiterjesztését teszi lehetővé (959426)

A biztonsági frissítés a Windows SearchPath funkció nyilvánosan jelentett biztonsági résére kínál megoldást, amely jogok kiterjesztését tette lehetővé, amennyiben a felhasználó speciálisan kialakított fájlt töltött le egy adott helyről, majd megnyitott egy olyan alkalmazást, amely bizonyos körülmények között letölthette ezt a fájlt.
Mérsékelt
Jogok kiterjesztése
Újraindítást igényelMicrosoft Windows

A következő táblázat az adott hónapban megoldott biztonsági rések kihasználhatósági jellemzőit ismerteti. A biztonsági rések a közlemény azonosítója és súlyossági besorolás azonosítója szerint vannak felsorolva.

A táblázat használata

A táblázat segítségével meghatározható annak valószínűsége, hogy a biztonsági közlemény kiadását követő 30 napon belül a telepíteni szükséges biztonsági frissítésekre működő rosszindulatú programkódot jelentetnek meg. A telepítés fontossági sorrendjének megállapításához az adott konfigurációnak megfelelően tekintse át az alábbi értékeléseket. A minősítések jelentéséről és meghatározásuk módjáról a Microsoft biztonsági rések jegyzéke tartalmaz bővebb információt.

Közlemény azonosítójaKözlemény címeCVE-azonosítóKihasználhatósági információk értékeléseFontos megjegyzések
MS09-009 A Microsoft Office Excel biztonsági rése távolról történő programkódfuttatást okozhat (968557) CVE-2009-0100 2 - Valószínűleg inkonzisztens rosszindulatú programkód(Nincs)
MS09-009 A Microsoft Office Excel biztonsági rése távolról történő programkódfuttatást okozhat (968557) CVE-2009-0238 1 - Valószínűleg konzisztens rosszindulatú programkód A biztonsági rést jelenleg internetszerte kihasználják.
MS09-010 A WordPad és az Office szövegkonverterekben található biztonsági rések távolról történő kódfuttatást tesznek lehetővé (960477) CVE-2008-4841 1 - Valószínűleg konzisztens rosszindulatú programkód A biztonsági rést jelenleg internetszerte kihasználják.
MS09-010 A WordPad és az Office szövegkonverterekben található biztonsági rések távolról történő kódfuttatást tesznek lehetővé (960477) CVE-2009-0087 2 - Valószínűleg inkonzisztens rosszindulatú programkódA biztonsági rés a több kódelérési út miatt összetett. A legtöbb rosszindulatú programkód változó következményekkel jár. Az alapértelmezett enyhítő tényezők védelmet nyújtanak a támadás ellen.
MS09-010 A WordPad és az Office szövegkonverterekben található biztonsági rések távolról történő kódfuttatást tesznek lehetővé (960477) CVE-2009-0088 1 - Valószínűleg konzisztens rosszindulatú programkódA biztonsági rés kihasználható, de csak régebbi verziókat és egy régebbi, ritkán használt fájlformátumot érint. Az újabb verziók, mint például a 2007-es Microsoft Office rendszer és a Microsoft Office 2003 Service Pack 3 nem veszélyeztetett.
MS09-010 A WordPad és az Office szövegkonverterekben található biztonsági rések távolról történő kódfuttatást tesznek lehetővé (960477) CVE-2009-0235 1 - Valószínűleg konzisztens rosszindulatú programkódA memóriameghibásodás okozta biztonsági rés könnyen kihasználható.
MS09-011 A Microsoft DirectShow biztonsági rése távoli kódfuttatást tehet lehetővé (961373) CVE-2009-0084 2 - Valószínűleg inkonzisztens rosszindulatú programkód(Nincs)
MS09-012 A Windows biztonsági rései a jogok kiterjesztését tehetik lehetővé (959454) CVE-2008-1436 1 - Valószínűleg konzisztens rosszindulatú programkód A biztonsági rést jelenleg internetszerte kihasználják.
MS09-012 A Windows biztonsági rései a jogok kiterjesztését tehetik lehetővé (959454) CVE-2009-0078 1 - Valószínűleg konzisztens rosszindulatú programkód A biztonsági rést jelenleg internetszerte kihasználják.
MS09-012 A Windows biztonsági rései a jogok kiterjesztését tehetik lehetővé (959454) CVE-2009-0079 1 - Valószínűleg konzisztens rosszindulatú programkód A biztonsági rést jelenleg internetszerte kihasználják.
MS09-012 A Windows biztonsági rései a jogok kiterjesztését tehetik lehetővé (959454) CVE-2009-0080 1 - Valószínűleg konzisztens rosszindulatú programkód A biztonsági rést jelenleg internetszerte kihasználják.
MS09-013 A Windows HTTP-szolgáltatások biztonsági rései távolról történő kódfuttatásra adhatnak lehetőséget (960803) CVE-2009-0086 1 - Valószínűleg konzisztens rosszindulatú programkódA memória könnyen vezérelhető biztonsági rése a technológia elterjedtsége miatt több ponton támadható és többféle módon kihasználható.
MS09-013 A Windows HTTP-szolgáltatások biztonsági rései távolról történő kódfuttatásra adhatnak lehetőséget (960803) CVE-2009-0089 1 - Valószínűleg konzisztens rosszindulatú programkód(Nincs)
MS09-013 A Windows HTTP-szolgáltatások biztonsági rései távolról történő kódfuttatásra adhatnak lehetőséget (960803) CVE-2009-0550** 1 - Valószínűleg konzisztens rosszindulatú programkódA rosszindulatú programkódot nyilvánosságra hozták.
MS09-014 Összesítő biztonsági frissítés az Internet Explorer programhoz (963027) CVE-2008-2540* 3 - Nem valószínű működő rosszindulatú programkódA támadás részleteit nyilvánosságra hozták, de a problémához nem kapcsolódik ismert támadási felület. A biztonsági rés sikeres kihasználásához a támadónak és a felhasználónak összetett műveleteket kell végrehajtania, beleértve bizonyos fájlok mentését az Asztalra.
MS09-014 Összesítő biztonsági frissítés az Internet Explorer programhoz (963027) CVE-2009-0550** 1 - Valószínűleg konzisztens rosszindulatú programkódA rosszindulatú programkódot nyilvánosságra hozták.
MS09-014 Összesítő biztonsági frissítés az Internet Explorer programhoz (963027) CVE-2009-0551 2 - Valószínűleg inkonzisztens rosszindulatú programkód(Nincs)
MS09-014 Összesítő biztonsági frissítés az Internet Explorer programhoz (963027) CVE-2009-0552 3 - Nem valószínű működő rosszindulatú programkódAz Internet Explorer 7 programhoz tartozó enyhítő tényezők megakadályozzák a kódvégrehajtást. Az Internet Explorer 6 és korábbi verziók esetén nagyobb az esélye a rés kihasználásának, ha a felhasználó nem telepítette az összes biztonsági frissítést.
MS09-014 Összesítő biztonsági frissítés az Internet Explorer programhoz (963027) CVE-2009-0553 3 - Nem valószínű működő rosszindulatú programkód(Nincs)
MS09-014 Összesítő biztonsági frissítés az Internet Explorer programhoz (963027) CVE-2009-0554 1 - Valószínűleg konzisztens rosszindulatú programkód(Nincs)
MS09-015 A SearchPath kevert fenyegetéses biztonsági rése jogok kiterjesztését teszi lehetővé (959426) CVE-2008-2540* 2 - Valószínűleg inkonzisztens rosszindulatú programkódA támadás részleteit nyilvánosságra hozták, de a problémához nem kapcsolódik ismert támadási felület. A biztonsági rés sikeres kihasználásához a támadónak és a felhasználónak összetett műveleteket kell végrehajtania, beleértve bizonyos fájlok mentését az Asztalra.
MS09-016 A Microsoft ISA Server és a Forefront Threat Management Gateway (Medium Business Edition) biztonsági rései szolgáltatásmegtagadást okozhatnak (961759) CVE-2009-0077 3 - Nem valószínű működő rosszindulatú programkódA kiszolgálóalapú szolgáltatásmegtagadás igen valószínű. Programkód végrehajtása azonban nem lehetséges.
MS09-016 A Microsoft ISA Server és a Forefront Threat Management Gateway (Medium Business Edition) biztonsági rései szolgáltatásmegtagadást okozhatnak (961759) CVE-2009-0237 3 - Nem valószínű működő rosszindulatú programkódAz adatokhoz való illetéktelen hozzáférés lehetséges. A programkód végrehajtásának nagyon csekély az esélye.

*Az azonos CVE-számmal rendelkező két biztonsági réshez két külön biztonsági frissítés tartozik. További tudnivalókat az adott közleményben talál.

**Az azonos CVE-számmal rendelkező két biztonsági réshez két külön biztonsági frissítés tartozik. További tudnivalókat az adott közleményben talál.

A következő táblázatok a közleményeket a főbb szoftverkategóriák és súlyosság szerint sorolják fel.

A táblázatok használata

A táblázatok segítségével megtudhatja a szükséges információt a telepítendő biztonsági frissítésekről. Nézzen meg minden felsorolt szoftvert vagy összetevőt annak megállapításához, hogy elérhető-e a rendszerhez való frissítés. Ha a szoftver vagy összetevő szerepel a listán, hiperhivatkozással kapcsolódik hozzá az elérhető szoftverfrissítés, és a frissítés besorolása is fel van tüntetve.

Megjegyzés: Előfordulhat, hogy egy biztonsági rés megszüntetéséhez több biztonsági frissítést kell telepíteni. Nézze át az egyes közleményazonosítókhoz tartozó teljes oszlopot, és ellenőrizze a telepítendő frissítéseket a rendszerre telepített programok vagy összetevők alapján.

A Windows operációs rendszer és összetevői

Microsoft Windows 2000
Közlemény azonosítója MS09-010 MS09-013 MS09-011 MS09-014 MS09-012 MS09-015
Összesített súlyossági besorolás Fontos Kritikus Kritikus Kritikus Fontos (Nincs súlyossági besorolás)
Microsoft Windows 2000 Service Pack 4 Microsoft Windows 2000 Service Pack 4
(KB923561)
(Fontos)
Microsoft Windows 2000 Service Pack 4
(Kritikus)
DirectX 8.1
(Kritikus)

DirectX 9.0***
(Kritikus)
Microsoft Internet Explorer 5.01 Service Pack 4
(Kritikus)

Microsoft Internet Explorer 6 Service Pack 1 szervizcsomaggal
(Kritikus)
MSDTC Transaction Facility update:
Microsoft Windows 2000 Service Pack 4
(KB952004)
(Fontos)
Microsoft Windows 2000 Service Pack 4
(Nincs súlyossági besorolás)
Windows XP
Közlemény azonosítója MS09-010 MS09-013 MS09-011 MS09-014 MS09-012 MS09-015
Összesített súlyossági besorolás Fontos Kritikus Kritikus Kritikus Fontos Mérsékelt
Windows XP Service Pack 2 és Windows XP Service Pack 3 Windows XP Service Pack 2 és Windows XP Service Pack 3
(KB923561)
(Fontos)
Windows XP Service Pack 2 és Windows XP Service Pack 3
(Kritikus)
DirectX 9.0***
(Kritikus)
Microsoft Internet Explorer 6
(Kritikus)

Windows Internet Explorer 7
(Kritikus)
MSDTC Transaction Facility update:
Windows XP Service Pack 2 és Windows XP Service Pack 3
(KB952004)
(Fontos)

Windows Service Isolation update:
Windows XP Service Pack 2 és Windows XP Service Pack 3
(KB956572)
(Fontos)
Windows XP Service Pack 2 és Windows XP Service Pack 3
(Mérsékelt)
Windows XP Professional x64 Edition és Windows XP Professional x64 Edition Service Pack 2 Windows XP Professional x64 Edition és Windows XP Professional x64 Edition Service Pack 2
(KB923561)
(Fontos)
Windows XP Professional x64 Edition és Windows XP Professional x64 Edition Service Pack 2
(Kritikus)
DirectX 9.0***
(Kritikus)
Microsoft Internet Explorer 6
(Kritikus)

Windows Internet Explorer 7
(Kritikus)
MSDTC Transaction Facility update:
Windows XP Professional x64 Edition és Windows XP Professional x64 Edition Service Pack 2
(KB952004)
(Fontos)

Windows Service Isolation update:
Windows XP Professional x64 Edition és Windows XP Professional x64 Edition Service Pack 2
(KB956572)
(Fontos)
Windows XP Professional x64 Edition és Windows XP Professional x64 Edition Service Pack 2
(Mérsékelt)
Windows Server 2003
Közlemény azonosítója MS09-010 MS09-013 MS09-011 MS09-014 MS09-012 MS09-015
Összesített súlyossági besorolás Fontos Kritikus Kritikus Fontos Fontos Mérsékelt
Windows Server 2003 Service Pack 1 és Windows Server 2003 Service Pack 2 rendszerhez Windows Server 2003 Service Pack 1 és Windows Server 2003 Service Pack 2
(KB923561)
(Fontos)
Windows Server 2003 Service Pack 1 és Windows Server 2003 Service Pack 2
(Kritikus)
DirectX 9.0***
(Kritikus)
Microsoft Internet Explorer 6
(Fontos)

Windows Internet Explorer 7
(Fontos)
MSDTC Transaction Facility update:
Windows Server 2003 Service Pack 1 és Windows Server 2003 Service Pack 2
(KB952004)
(Fontos)

Windows Service Isolation update:
Windows Server 2003 Service Pack 1 és Windows Server 2003 Service Pack 2
(KB956572)
(Fontos)
Windows Server 2003 Service Pack 1 és Windows Server 2003 Service Pack 2
(Mérsékelt)
Windows Server 2003 x64 Edition és Windows Server 2003 x64 Edition Service Pack 2 rendszerhez Windows Server 2003 x64 Edition és Windows Server 2003 x64 Edition Service Pack 2
(KB923561)
(Fontos)
Windows Server 2003 x64 Edition és Windows Server 2003 x64 Edition Service Pack 2
(Kritikus)
DirectX 9.0***
(Kritikus)
Microsoft Internet Explorer 6
(Fontos)

Windows Internet Explorer 7
(Fontos)
MSDTC Transaction Facility update:
Windows Server 2003 x64 Edition és Windows Server 2003 x64 Edition Service Pack 2 rendszerhez
(KB952004)
(Fontos)

Windows Service Isolation update:
Windows Server 2003 x64 Edition és Windows Server 2003 x64 Edition Service Pack 2 rendszerhez
(KB956572)
(Fontos)
Windows Server 2003 x64 Edition és Windows Server 2003 x64 Edition Service Pack 2
(Mérsékelt)
Windows Server 2003 SP1 Itanium alapú rendszerekhez és Windows Server 2003 SP2 Itanium alapú rendszerekhez Windows Server 2003 SP1 Itanium alapú rendszerekhez és Windows Server 2003 SP2 Itanium alapú rendszerekhez
(KB923561)
(Fontos)
Windows Server 2003 SP1 Itanium alapú rendszerekhez és Windows Server 2003 SP2 Itanium alapú rendszerekhez
(Kritikus)
DirectX 9.0***
(Kritikus)
Microsoft Internet Explorer 6
(Fontos)

Windows Internet Explorer 7
(Fontos)
MSDTC Transaction Facility update:
Windows Server 2003 SP1 Itanium alapú rendszerekhez és Windows Server 2003 SP2 Itanium alapú rendszerekhez
(KB952004)
(Fontos)

Windows Service Isolation update:
Windows Server 2003 SP1 Itanium alapú rendszerekhez és Windows Server 2003 SP2 Itanium alapú rendszerekhez
(KB956572)
(Fontos)
Windows Server 2003 SP1 Itanium alapú rendszerekhez és Windows Server 2003 SP2 Itanium alapú rendszerekhez
(Mérsékelt)
Windows Vista
Közlemény azonosítója MS09-010 MS09-013 MS09-011 MS09-014 MS09-012 MS09-015
Összesített súlyossági besorolás Nincsenek Kritikus Nincsenek Kritikus Fontos Mérsékelt
Windows Vista és Windows Vista Service Pack 1Nem érintett Windows Vista és Windows Vista Service Pack 1
(Kritikus)
Nem érintett Windows Internet Explorer 7
(Kritikus)
MSDTC Transaction Facility update:
Windows Vista és Windows Vista Service Pack 1
(KB952004)
(Fontos)

Windows Service Isolation update:
Windows Vista és Windows Vista Service Pack 1
(KB956572)
(Fontos)
Windows Vista és Windows Vista Service Pack 1
(Mérsékelt)
Windows Vista x64 Edition és Windows Vista x64 Edition Service Pack 1Nem érintett Windows Vista x64 Edition és Windows Vista x64 Edition Service Pack 1
(Kritikus)
Nem érintett Windows Internet Explorer 7
(Kritikus)
MSDTC Transaction Facility update:
Windows Vista x64 Edition és Windows Vista x64 Edition Service Pack 1
(KB952004)
(Fontos)

Windows Service Isolation update:
Windows Vista x64 Edition és Windows Vista x64 Edition Service Pack 1
(KB956572)
(Fontos)
Windows Vista x64 Edition és Windows Vista x64 Edition Service Pack 1
(Mérsékelt)
Windows Server 2008
Közlemény azonosítója MS09-010 MS09-013 MS09-011 MS09-014 MS09-012 MS09-015
Összesített súlyossági besorolás Nincsenek Kritikus Nincsenek Fontos Fontos Mérsékelt
Windows Server 2008 32 bites rendszerekhezNem érintett Windows Server 2008 32 bites rendszerekhez*
(Kritikus)
Nem érintett Windows Internet Explorer 7**
(Fontos)
MSDTC Transaction Facility update:
Windows Server 2008 32 bites rendszerekhez*
(KB952004)
(Fontos)

Windows Service Isolation update:
Windows Server 2008 32 bites rendszerekhez*
(KB956572)
(Fontos)
Windows Server 2008 32 bites rendszerekhez*
(Mérsékelt)
Windows Server 2008 x64 alapú rendszerekhezNem érintett Windows Server 2008 x64 alapú rendszerekhez*
(Kritikus)
Nem érintett Windows Internet Explorer 7**
(Fontos)
MSDTC Transaction Facility update:
Windows Server 2008 x64 alapú rendszerekhez*
(KB952004)
(Fontos)

Windows Service Isolation update:
Windows Server 2008 x64 alapú rendszerekhez*
(KB956572)
(Fontos)
Windows Server 2008 x64 alapú rendszerekhez*
(Mérsékelt)
Windows Server 2008 Itanium alapú rendszerekhezNem érintett Windows Server 2008 Itanium alapú rendszerekhez
(Kritikus)
Nem érintett Windows Internet Explorer 7
(Fontos)
MSDTC Transaction Facility update:
Windows Server 2008 Itanium alapú rendszerekhez
(KB952004)
(Fontos)

Windows Service Isolation update:
Windows Server 2008 Itanium alapú rendszerekhez
(KB956572)
(Fontos)
Windows Server 2008 Itanium alapú rendszerekhez
(Mérsékelt)

Megjegyzések a Windows Server 2008 rendszerhez

*Érinti a Windows Server 2008 kiszolgálómag-telepítését. A frissítés besorolása ugyanaz a Windows Server 2008 támogatott kiadásain függetlenül attól, hogy a Windows Server 2008 alkalmazást a kiszolgálómag-telepítési opcióval telepítették-e. További tudnivalókat ezzel a telepítési beállítással kapcsolatban a következő weboldalon talál:Server Core. A Server Core telepítési beállítás a Windows Server 2008 egyes kiadásainál nem alkalmazható. További tudnivalók: Server Core telepítési beállítások összehasonlítása.

**Nem érinti a Windows Server 2008 kiszolgálómag-telepítését. A frissítésben tárgyalt biztonsági rések nem érintik a Windows Server 2008 támogatott kiadásait, amennyiben a Windows Server 2008 telepítése a kiszolgálómag-telepítési opció használatával történt. További tudnivalókat ezzel a telepítési beállítással kapcsolatban a következő weboldalon talál:Server Core. A Server Core telepítési beállítás a Windows Server 2008 egyes kiadásainál nem alkalmazható. További tudnivalók: Server Core telepítési beállítások összehasonlítása.

Megjegyzés az MS09-010 közleménnyel kapcsolatban

További frissített fájlokat a Microsoft Office programcsomagok és szoftverek című részben talál. Ez a közlemény egyszerre tárgyalja a Windows operációs rendszert és annak összetevőit, valamint a Microsoft Office szoftverelemeit.

Megjegyzés az MS09-011 közleménnyel kapcsolatban

***A DirectX 9.0 frissítése a DirectX 9.0a, DirectX 9.0b és DirectX 9.0c verzióra is vonatkozik.

Microsoft Office programcsomagok és szoftverek

Microsoft Office programcsomagok, rendszerek és összetevők
Közlemény azonosítója MS09-010 MS09-009
Összesített súlyossági besorolás Kritikus Kritikus
Microsoft Office 2000 Service Pack 3 Microsoft Office Word 2000 Service Pack 3
(KB921606)
(Kritikus)
Microsoft Office Excel 2000 Service Pack 3
(KB959964)
(Kritikus)
Microsoft Office XP Service Pack 3 Microsoft Office Word 2002 Service Pack 3
(KB933399)
(Fontos)
Microsoft Office Excel 2002 Service Pack 3
(KB959988)
(Fontos)
Microsoft Office 2003 Service Pack 3Nem érintett Microsoft Office Excel 2003 Service Pack 3
(KB959995)
(Fontos)
2007 Microsoft Office System Service Pack 1Nem érintett Microsoft Office Excel 2007 Service Pack 1*
(KB959997)
(Fontos)
Microsoft Office for Mac
Közlemény azonosítója MS09-010 MS09-009
Összesített súlyossági besorolás Nincsenek Fontos
Microsoft Office 2004 for MacNem érintett Microsoft Office 2004 for Mac
(KB968695)
(Fontos)
Microsoft Office 2008 for MacNem érintett Microsoft Office 2008 for Mac
(KB968694)
(Fontos)
További Office-szoftverek
Közlemény azonosítója MS09-010 MS09-009
Összesített súlyossági besorolás Nincsenek Fontos
Microsoft Office Excel ViewerNem érintett Microsoft Office Excel Viewer 2003 Service Pack 3
(KB959993)
(Fontos)

Microsoft Office Excel Viewer
(KB960000)
(Fontos)
Microsoft Office kompatibilitási csomag a Word, Excel és PowerPoint 2007 fájlformátumokhozNem érintett Microsoft Office kompatibilitási csomag a Word, Excel és PowerPoint 2007 fájlformátumok Service Pack 1 csomagjához
(KB960003)
(Fontos)
Microsoft Office Converter Pack Microsoft Office Converter Pack
(KB960476)
(Fontos)
Nem érintett

Megjegyzés az MS09-010 közleménnyel kapcsolatban

További frissített fájlokat A Windows operációs rendszer és összetevői című részben talál. Ez a közlemény egyszerre tárgyalja a Windows operációs rendszert és annak összetevőit, valamint a Microsoft Server szoftverelemeit.

Megjegyzés az MS09-009 közleménnyel kapcsolatban

*A Microsoft Office Excel 2007 Service Pack 1 felhasználóknak a Microsoft Office kompatibilitási csomag a Word, Excel és PowerPoint 2007 fájlformátumhoz Service Pack 1 biztonsági frissítését is telepíteniük kell, hogy megvédjék rendszerüket a jelen közleményben ismertetett biztonsági rések hibáitól.

Microsoft Server és Security szoftver

Microsoft Forefront
Közlemény azonosítója MS09-016
Összesített súlyossági besorolás Fontos
Microsoft Forefront Threat Management Gateway Microsoft Forefront Threat Management Gateway, Medium Business Edition*
(KB968075)
(Fontos)
Internet Security és Acceleration Server
Közlemény azonosítója MS09-016
Összesített súlyossági besorolás Fontos
Microsoft Internet Security és Acceleration Server 2004 Microsoft Internet Security és Acceleration Server 2004 Standard Edition Service Pack 3**
(KB960995)
(Fontos)

Microsoft Internet Security és Acceleration Server 2004 Enterprise Edition Service Pack 3
(KB960995)
(Fontos)
Microsoft Internet Security and Acceleration Server 2006 Microsoft Internet Security és Acceleration Server 2006
(KB968078)
(Fontos)

Microsoft Internet Security and Acceleration Server 2006 Supportability Update
(KB968078)
(Fontos)

Microsoft Internet Security and Acceleration Server 2006 Service Pack 1
(KB968078)
(Fontos)

Megjegyzés az MS09-016 közleményhez

*A Microsoft Forefront Threat Management Gateway, Medium Business Edition, különálló termékként és a Windows Essential Business Server 2008 összetevőjeként is beszerezhető.

**A Microsoft ISA Server 2004 Standard Edition különálló termékként szerezhető be. A Microsoft ISA Server 2004 Standard Edition a Windows Small Business Server 2003 Enterprise Edition Service Pack 1 és a Windows Small Business Server 2003 R2 Enterprise Edition rendszerek összetevőjeként is beszerezhető.

Biztonsági központ

A szoftveres és biztonsági frissítések kezeléséhez azokat a szervezet asztali és hordozható számítógépeire, valamint kiszolgálóira is telepíteni kell. További tájékoztatásért látogasson el a TechNet Update Management Center weboldalára. A TechNet Security Center bővebb tájékoztatással szolgál a Microsoft-termékek biztonsági funkcióival kapcsolatban. A Biztonság otthon weboldalon a megfelelő hivatkozásra kattintva elérhetőek a legújabb biztonsági frissítések.

A biztonsági frissítések a Microsoft Update, Windows Update és az Office Update weboldalakról tölthetőek le. A biztonsági frissítések a Microsoft letöltőközpontjában is elérhetőek. Legegyszerűbben a „security update” kifejezésre irányuló kulcsszavas kereséssel találhatja meg ezeket.

A biztonsági frissítések a Microsoft Update katalógusából is letölthetőek. A Microsoft Update katalógus a Windows Update és Microsoft Update szolgáltatáson keresztül elérhető tartalom kereshető adatbázisa; ide tartoznak a biztonsági frissítések, illesztőprogramok és szervizcsomagok. A biztonsági közlemény azonosítójára (pl. „MS07-036”) történő kereséssel hozzáadhatja az összes vonatkozó frissítést a kosárhoz (beleértve a frissítés különböző nyelvi változatait), és letöltheti azokat a megadott mappába. A Microsoft Update katalógus részletes leírását lásd a vonatkozó GYIK részben.

Útmutató az észleléshez és a telepítéshez

A Microsoft az e havi biztonsági frissítésekhez észlelési és telepítési útmutatót adott ki. Az útmutató a számítógépes szakembereknek is ötleteket adhat ahhoz, hogyan használják a különböző eszközöket, pl. Windows Update, Microsoft Update, Office Update, Microsoft Baseline Security Analyzer (MBSA), Office Detection Tool, Microsoft Systems Management Server (SMS) és Extended Security Update Inventory Tool (ESUIT) a biztonsági frissítések telepítéséhez. További információt a Microsoft Tudásbázis 910723. számú cikkében talál.

Microsoft Baseline Security Analyzer

A Microsoft Baseline Security Analyzer (MBSA) segítségével a rendszergazda mind a helyi, mind a távoli számítógépeken ellenőrizheti, hogy mely biztonsági frissítések hiányoznak, illetve hogy mely biztonsági beállítások vannak helytelenül megadva. Ha többet szeretne tudni az MBSA -eszközről, látogasson el a Microsoft Baseline Security Analyzer webhelyre.

Windows Server Update Services

A Microsoft Software Update Services (WSUS) szolgáltatással a rendszergazdák gyorsan és megbízható módon telepíthetik központilag a legújabb fontos és biztonsági frissítéseket Windows 2000 és újabb operációs rendszerekhez, Office XP és újabb operációs rendszerekhez, Exchange Server 2003 és SQL Server 2000 Windows 2000 és újabb operációs rendszerekre.

A biztonsági frissítésnek Windows Server Update Services szolgáltatással történő központi telepítéséről a Windows Server Update Services webhelyen tudhat meg többet.

Systems Management Server

A Microsoft Systems Management Server (SMS) rendszer egy sokoldalúan beállítható vállalati megoldás, amely a frissítések kezelésére szolgál. Az SMS segítségével a rendszergazda megállapíthatja, hogy melyik Windows alapú számítógép szorul biztonsági frissítésre, és ezeket a frissítéseket szabályozott módon, a felhasználók minimális zavarásával központilag telepítheti a vállalat teljes informatikai környezetében. Az SMS, vagyis a System Center Configuration Manager 2007 újabb kiadása immáron elérhető, lásd még: System Center Configuration Manager 2007. Arról, hogy a rendszergazdák hogyan használhatják a biztonsági frissítések telepítéséhez az SMS 2003 alkalmazást, az SMS 2003 Security Patch Management részben olvashat. Az SMS 2.0 verzióját használók a Software Updates Services Feature Pack szolgáltatásait is segítségül hívhatják a biztonsági frissítések központi telepítéséhez. Az SMS-szolgáltatásról bővebben a Microsoft Systems Management Server oldalán olvashat.

Megjegyzés: Az SMS a Microsoft Baseline Security Analyzer és a Microsoft Office Detection Tool program segítségével széles körű támogatást nyújt a frissítések biztonsági értesítők segítségével történő észleléséhez és telepítéséhez. Előfordulhat, hogy egyes szoftverfrissítéseket ezek az eszközök nem észlelnek. Az SMS alkalmazás leltározási szolgáltatásai segítségével a rendszergazdák adott rendszereken hajthatják végre a frissítést. Az eljárással kapcsolatban olvassa el a szoftverfrissítések telepítése az SMS szoftverelosztó ügynök segítségével című tájékoztatót. Egyes biztonsági frissítésekhez rendszergazdai jogosultságokra van szükség a számítógép újraindítása után. A rendszergazdák az SMS 2003 Administration Feature Pack és az SMS 2.0 Administration Feature Pack csomag részét képező Elevated Rights Deployment Tool nevű eszközzel telepíthetik ezeket a frissítéseket.

Az Update Compatibility Evaluator (a frissítéskompatibilitás kiértékelője) és az Application Compatibility Toolkit (alkalmazáskompatibilitási eszközkészlet)

Az alkalmazások működése érdekében a frissítések gyakran írnak ugyanazokba a fájlokba, illetve regisztrációs bejegyzésekbe. Ez inkompatibilitást okozhat, és növelheti a biztonsági frissítések központi telepítésére használt időt. A Windows frissítések és az alkalmazásoknak való megfelelőségének tesztelése és ellenőrzése egyszerűsíthető az Update Compatibility Evaluator eszközeivel, ami része az Application Compatibility Toolkit 5.0 csomagnak.

Az Application Compatibility Toolkit (ACT) tartalmazza a Microsoft Windows Vista, a Windows Update, a Microsoft Security Update vagy a Windows Internet Explorer új verziójának központi telepítése előtt az alkalmazáskompatibilitási problémák kiértékeléséhez és enyhítéséhez szükséges eszközöket és dokumentációt.

Egyéb információ

A Microsoft Windows rosszindulatú szoftvereket eltávolító eszköze

A Microsoft a Windows Update, Microsoft Update, Windows Server Update Services és Letöltőközpont szolgáltatásán keresztül elérhetővé tette a Microsoft Windows rosszindulatú szoftvereket eltávolító eszközének frissített változatát.

Nem biztonsági jellegű, kiemelt fontosságú frissítések a MU, WU és WSUS-szolgáltatásokban

A Windows Update és a Microsoft Update helyen elérhető, nem biztonsági jellegű frissítésekről tájékozódjon itt:

Microsoft Active Protections Program (MAPP)

Az ügyfelek védelmének növelése érdekében a biztonsági szoftverekkel foglalkozó nagyobb gyártók a Microsoft a havi biztonsági közlemények megjelenése előtt ellátja biztonsági résekkel kapcsolatos információkkal. Így a biztonságiszoftver-gyártók a kapott biztonsági résekkel kapcsolatos információt felhasználhatják ügyfeleik hatásosabb védelmére az olyan biztonsági szoftverek vagy eszközök (például víruskeresők, hálózati behatolásérzékelő rendszerek vagy kiszolgálóalapú behatolásvédelmi rendszerek) frissítése által. A biztonságiszoftver-gyártók által kiadott aktív védelem elérhetőségéről a Microsoft Active Protections Program (MAPP) Partners webhelyén található listán szereplő és a programban részt vevő gyártók aktív védelmi webhelyein tájékozódhat.

Biztonsági stratégiák és közösségek

Frissítésekkel kapcsolatos stratégiák

A frissítések kezelésére vonatkozó útmutatás a Microsoft által a biztonsági frissítések telepítéséhez ajánlott legjobban bevált eljárást ismerteti.

Egyéb biztonsági frissítések beszerzése

Az alábbi helyekről más típusú biztonsági problémákhoz szerezhetők be frissítések.

  • A biztonsági frissítések a Microsoft letöltőközpontban érhetők el. Legegyszerűbben a „security update” kifejezésre irányuló kulcsszavas kereséssel találhatja meg ezeket.
  • Az ügyfélrendszerek frissítései a Microsoft Update oldalról elérhetőek.
  • A Windows Update szolgáltatáson keresztül terjesztett havi aktuális biztonsági frissítések a letöltőközpontból a biztonsági és kritikus frissítéseket tartalmazó ISO CD-képfájlként is letölthetőek. További információt a Microsoft Tudásbázis 913086 számú cikkében talál.

IT Pro Security közösség

Az IT Pro Security Community közösségben hasznos információt találhat a biztonság javításáról és az informatikai infrastruktúrák optimalizálásáról, továbbá eszmecserét folytathat a biztonsági kérdésekről más informatikai szakemberekkel.

Köszönetnyilvánítás

A Microsoft köszönetét fejezi ki a vásárlók védelmének biztosításában nyújtott segítségért az alábbi szervezet(ek)nek és szakember(ek)nek:

  • Haifei Li, Fortinet, FortiGuard Global Security Research Team, az MS09-009 közleményben bemutatott probléma jelentéséért
  • Sean Larsson és Jun Mao, VeriSign iDefense Labs, az MS09-010 közleményben bemutatott probléma jelentéséért
  • A Fortinet FortiGuard Global Security Research Team csapatában dolgozó kutató, az MS09-010 közleményben bemutatott probléma jelentéséért
  • A VeriSign iDefense Labs csapatában dolgozó kutató, az MS09-010 közleményben bemutatott probléma jelentéséért
  • Piotr Bania, Kryptos Logic, az MS09-011 közleményben bemutatott probléma jelentéséért
  • Cesar Cerrudo, Argeniss, az MS09-012 közleményben bemutatott probléma jelentéséért
  • Greg MacManus, iSIGHT Partners Labs, az MS09-013 közleményben bemutatott probléma jelentéséért
  • Wan-Teh Chang és Cem Paya, Google Inc., az MS09-013 közleményben bemutatott probléma jelentéséért
  • Aviv Raff az MS09-014 közleményben bemutatott probléma jelentéséért
  • Michal Zalewski, Google Inc., az MS09-014 közleményben bemutatott probléma jelentéséért
  • Ivan Fratric, iSIGHT Partners Labs, az MS09-014 közleményben bemutatott probléma jelentéséért
  • Skylined, Google Inc., az MS09-014 közleményben bemutatott probléma jelentéséért
  • ADLab, VenusTech, az MS09-014 közleményben bemutatott probléma jelentéséért
  • Aviv Raff az MS09-015 közleményben bemutatott probléma jelentéséért
  • New York állam Információbiztonsági Főigazgatója / Technológiai Iroda, az MS09-016 közleményben bemutatott probléma jelentéséért

Terméktámogatás

Felelősséget kizáró nyilatkozat

A Microsoft Tudásbázisban leírtak előzetes bejelentés nélkül változhatnak, és a cikkek tartalmáért a Microsoft nem vállal garanciát. A Microsoft egyben elhárít minden kifejezett és értelemszerű garanciát, beleértve az eladhatóságra és az adott célra való alkalmasságra vonatkozó garanciát is. A Microsoft Corporation vagy annak szállítói semmilyen körülmények között nem tehetők felelőssé közvetlen, közvetett, eseti, ok-okozati vagy különleges kárért (beleértve az elmaradt hasznot is), még akkor sem, ha a Microsoft Corporation vagy szállítói tudatában voltak a kár lehetséges voltának. Egyes államok törvényi szabályozása nem teszi lehetővé a véletlen vagy ok-okozati károkért vállalt felelősség korlátozását vagy kizárását, így ezekben az államokban az ez a felelősségkizárás nincs érvényben.

Verziók

  • 1.0 verzió (2009. április 14.): Összefoglaló közlemény közzététele.
  • 1.1 verzió (2009. április 16.): Frissültek a Kihasználhatósági információk: a CVE-2009-0089 biztonsági résre vonatkozó fontos megjegyzéseket törölték, a CVE-2008-2540 biztonsági résre vonatkozó fontos megjegyzéseket pedig módosították az MS09-014 és MS09-015 közleményben.

Built at 2014-04-18T01:50:00Z-07:00

Megjelenítés: