Microsoft biztonsági közlemény - összefoglalás, július 2009

Közzétéve: 2009. július 14. | Frissítve: 2010. március 9.

Verzió: 8.0

Az összefoglaló a 2009 júliusára kiadott biztonsági közleményeket összegzi.

A 2009. júliusi közlemények kiadása folytán az összefoglaló a 2009. július 9-én kiadott előzetes értesítés, valamint a 2009. július 24-én kiadott, soron kívüli előzetes értesítés helyébe lép. A biztonsági közlemények kiadásáról szóló előzetes értesítés szolgáltatásról itt olvashat bővebben: Előzetes értesítés a Microsoft biztonsági közleményeinek kiadásáról.

Ha automatikus értesítést szeretne kapni a Microsoft biztonsági közleményeinek megjelenéséről, fizessen elő a Microsoft Technical Security Notifications szolgáltatásra.

A rendszeresen megjelenő közleményekkel kapcsolatos kérdések megválaszolására a Microsoft 2009. július 15-én, csendes-óceáni idő szerint 11 órakor webes szemináriumot tartott. Ez a webes szeminárium igény szerint most is elérhető. További információkért látogasson el a Microsoft biztonsági közleményeit és a webes szemináriumokat bemutató oldalra.

A Microsoft két webes szemináriumot szervez az összefoglaló közlemény 2.0 verzióját kiegészítő, soron kívüli biztonsági közlemények (MS09-034 és MS09-035) kapcsán, melynek során a felhasználók választ kaphatnak a közleményekkel kapcsolatos kérdéseikre: 2009. július 28-án, csendes-óceáni idő szerint 13 órakor és 16 órakor. Regisztráljon a július 28-án 13 órakor vagy a július 28-án, 16 órakor kezdődő webes szemináriumra. Később igény szerint szervezünk további webes szemináriumokat. További információkért látogasson el a Microsoft biztonsági közleményeit és a webes szemináriumokat bemutató oldalra.

A Microsoft abban is segítséget nyújt felhasználóinak, hogy a havi biztonsági közleményekkel azonos napon kiadott, nem biztonsági jellegű, de fontos frissítéseket megfelelően rangsorolhassák. Lásd az Egyéb információ című részt.

A közleménnyel kapcsolatos információk

A következő táblázat összegzi az e havi biztonsági közleményeket súlyossági sorrendben.

Az érintett szoftverekkel kapcsolatban további tudnivalókat a következő, az Érintett szoftverek és letöltési helyek című részben talál.

Közlemény azonosítójaKözlemény címe és összefoglalásSúlyosság maximális foka és a biztonsági rés hatásaÚjraindítás szükségességeÉrintett szoftverek
MS09-029 A beágyazott OpenType betűtípusmotor biztonsági rései távolról történő kódfuttatást tehetnek lehetővé (961371)

A biztonsági frissítés két közvetlenül jelentett biztonsági rést szüntet meg a Microsoft Windows beágyazott OpenType (EOT) betűtípusmotor nevű összetevőjében. A biztonsági rések távolról történő kódfuttatást tesznek lehetővé. A biztonsági rések valamelyikét kiaknázó támadó távolról teljes mértékben átveheti az érintett rendszer vezérlését. Ezt követően a támadó programokat telepíthet, illetve adatokat tekinthet meg, módosíthat és törölhet, de korlátozás nélküli jogosultságokkal rendelkező új fiókokat is létrehozhat. A kevesebb jogosultsággal bíró fiókkal rendelkező felhasználók esetében kisebb a veszélyeztetettség, mint a rendszergazdai jogosultságokkal rendelkezők esetén
Kritikus
Távoli kódfuttatás
Esetleg újra kell indítani a rendszertMicrosoft Windows
MS09-028 A Microsoft DirectShow biztonsági rései távoli kódfuttatást tehetnek lehetővé (971633)

Ez a biztonsági frissítés egy nyilvánosságra került és két közvetlenül jelentett biztonsági rést szüntet meg a Microsoft DirectShow alkalmazásban. A biztonsági rések távolról történő kódfuttatást tehetnek lehetővé, ha a felhasználó különlegesen kialakított QuickTime médiafájlt nyit meg. A biztonsági rések valamelyikét sikeresen kihasználó támadó a helyi felhasználóval egyező hozzáférést nyer a rendszerhez. A kevesebb jogosultsággal bíró fiókkal rendelkező felhasználók esetében kisebb a veszélyeztetettség, mint a rendszergazdai jogosultságokkal rendelkezők esetén
Kritikus
Távoli kódfuttatás
Esetleg újra kell indítani a rendszertMicrosoft Windows
MS09-032 Összesítő biztonsági frissítés az ActiveX-tiltóbitekhez (973346)

A biztonsági frissítés egy jelenleg is kihasznált, közvetlenül jelentett biztonsági rést szüntet meg. A Microsoft Video ActiveX-vezérlője programkód távoli futtatását teheti lehetővé, amennyiben a felhasználó egy különlegesen kialakított weboldalra látogat el az Internet Explorer alkalmazással, és elindítja az ActiveX-vezérlőt. Ez az ActiveX-vezérlő nem úgy készült, hogy az Internet Explorer alkalmazásból fusson. A kevesebb jogosultsággal bíró fiókkal rendelkező felhasználók esetében kisebb a veszélyeztetettség, mint a rendszergazdai jogosultságokkal rendelkezők esetén
Kritikus
Távoli kódfuttatás
Esetleg újra kell indítani a rendszertMicrosoft Windows
MS09-034 Összesítő biztonsági frissítés az Internet Explorer programhoz (972260)

Ez a biztonsági frissítés soron kívül került kiadásra az MS09-035 Microsoft biztonsági közleménnyel kapcsolatban, amely a Microsoft Active Template Library (ATL) sebezhető változatai használatával fejlesztett elemek és vezérlések biztonsági réseit mutatja be. Ez az Internet Explorer biztonsági frissítés hatékony intézkedésként segít csökkenteni a Internet Explorer ismert támadási pontjai által okozott problémák kockázatát az ATL sebezhető változatai használatával fejlesztett elemeknél és vezérléseknél, a Microsoft biztonsági tanácsadóban (973882) és az MS09-035 sz. Microsoft biztonsági közleményben leírtak szerint.

Ez a biztonsági frissítés három közvetlenül jelzett biztonsági rést is megszüntet. Ezek a biztonsági rések távoli kódvégrehajtást tehetnek lehetővé, amennyiben a felhasználó egy kifejezetten ilyen célból készített weboldalt tekint meg az Internet Explorerben. A kevesebb jogosultsággal bíró fiókkal rendelkező felhasználók esetében kisebb a veszélyeztetettség, mint a rendszergazdai jogosultságokkal rendelkezők esetén
Kritikus
Távoli kódfuttatás
Újraindítást igényelMicrosoft Windows, Internet Explorer
MS09-033 A Virtual PC és a Virtual Server biztonsági rése (969856) jogok kiterjesztését teszi lehetővé

A biztonsági frissítés a Microsoft Virtual PC és a Microsoft Virtual Server közvetlenül jelzett biztonsági rését szünteti meg. Ha egy támadó kihasználja a biztonsági rést, távolról tetszőleges kódot futtathat, és teljes mértékben átveheti az érintett operációs rendszer irányítását. Ezt követően a támadó programokat telepíthet, illetve adatokat tekinthet meg, módosíthat és törölhet, de korlátozás nélküli jogosultságokkal rendelkező új fiókokat is létrehozhat.
Fontos
Jogok kiterjesztése
Újraindítást igényelVirtual PC, Virtual Server
MS09-031 A Microsoft ISA Server 2006 biztonsági rése jogok kiterjesztését okozhatja (970953)

A biztonsági frissítés a Microsoft Internet Security and Acceleration (ISA) Server 2006 közvetlenül jelentett biztonsági rését szünteti meg. A biztonsági rés a jogok kiterjesztését teheti lehetővé, ha a támadó sikeresen megszemélyesít egy felügyeleti jogokkal felruházott felhasználói fiókot egy olyan ISA kiszolgálón, amely a Radius One Time Password (OTP) hitelesítésre és Kerberos által korlátozott hitelesítés-delegálásra van konfigurálva.
Fontos
Jogok kiterjesztése
Újraindítást igényelMicrosoft ISA Server
MS09-030 A Microsoft Office Publisher biztonsági rése távoli kódfuttatást tehet lehetővé (969516)

A biztonsági frissítés a Microsoft Office Publisher közvetlenül a Microsoftnak jelzett biztonsági rését szünteti meg, amely távoli kódfuttatást tesz lehetővé, amennyiben a felhasználó különlegesen kialakított Publisher fájlt nyit meg. Ha egy támadó kihasználja a biztonsági rést, teljes mértékben átveheti a rendszer irányítását. Ezt követően a támadó programokat telepíthet, illetve adatokat tekinthet meg, módosíthat és törölhet, de korlátozás nélküli jogosultságokkal rendelkező új fiókokat is létrehozhat. A kevesebb jogosultsággal bíró fiókkal rendelkező felhasználók esetében kisebb a veszélyeztetettség, mint a rendszergazdai jogosultságokkal rendelkezők esetén
Fontos
Távoli kódfuttatás
Esetleg újra kell indítani a rendszertMicrosoft Office
MS09-035 A Visual Studio aktív sablonjait tartalmazó objektumtár biztonsági rései távoli programkódfuttatást tesznek lehetővé (969706)

Ez a biztonsági frissítés a Visual Studio programcsomaggal szállított Microsoft Active Template Library (ATL) nyilvános verzióiban közvetlenül jelzett több biztonsági réssel foglalkozik. Ez a biztonsági frissítés elsősorban az összetevők és vezérlőelemek fejlesztőinek figyelmét kívánja felhívni. Azoknak a fejlesztőknek, akik az ATL használatával hoznak létre összetevőket és vezérlőelemeket, és terjesztik azokat, telepíteniük kell a jelen közleményben tárgyalt frissítést, és az ügyfeleik részére a megadott útmutató szerint kell olyan összetevőket és vezérlőelemeket létrehozni, illetve továbbadni, amelyek a jelen biztonsági közleményben ismertetett biztonsági rések okozta veszélyeztetettséggel nem rendelkeznek.

A jelen biztonsági közlemény azokat a biztonsági réseket tárgyalja, amelyek távoli programkódfuttatást tesznek lehetővé, ha a felhasználó az ATL biztonsági réssel rendelkező változataival készített összetevőt vagy vezérlőelemet tölt be.
Mérsékelt
Távoli kódfuttatás
Esetleg újra kell indítani a rendszertMicrosoft Visual Studio

A következő táblázat az adott hónapban megoldott biztonsági rések kihasználhatósági jellemzőit ismerteti. A biztonsági rések a közlemény azonosítója és súlyossági besorolás azonosítója szerint vannak felsorolva.

A táblázat használata

A táblázat segítségével meghatározható annak valószínűsége, hogy a biztonsági közlemény kiadását követő 30 napon belül a telepíteni szükséges biztonsági frissítésekre működő rosszindulatú programkódot jelentetnek meg. A telepítés fontossági sorrendjének megállapításához az adott konfigurációnak megfelelően tekintse át az alábbi értékeléseket. A minősítések jelentéséről és meghatározásuk módjáról a Microsoft biztonsági rések jegyzéke tartalmaz bővebb információt.

Közlemény azonosítójaKözlemény címeCVE-azonosítóKihasználhatósági információk értékeléseFontos megjegyzések
MS09-028 A Microsoft DirectShow biztonsági rései távoli kódfuttatást tehetnek lehetővé (971633) CVE-2009-1537 1 - Valószínűleg konzisztens rosszindulatú programkód A biztonsági rést jelenleg internetszerte kihasználják.
MS09-028 A Microsoft DirectShow biztonsági rései távoli kódfuttatást tehetnek lehetővé (971633) CVE-2009-1538 1 - Valószínűleg konzisztens rosszindulatú programkód(Nincs)
MS09-028 A Microsoft DirectShow biztonsági rései távoli kódfuttatást tehetnek lehetővé (971633) CVE-2009-1539 1 - Valószínűleg konzisztens rosszindulatú programkód(Nincs)
MS09-029 A beágyazott OpenType betűtípusmotor biztonsági rései távolról történő kódfuttatást tesznek lehetővé (961371) CVE-2009-0231 1 - Valószínűleg konzisztens rosszindulatú programkód(Nincs)
MS09-029 A beágyazott OpenType betűtípusmotor biztonsági rései távolról történő kódfuttatást tesznek lehetővé (961371) CVE-2009-0232 1 - Valószínűleg konzisztens rosszindulatú programkód(Nincs)
MS09-030 A Microsoft Office Publisher biztonsági rése távoli kódfuttatást tehet lehetővé (969516) CVE-2009-0566 1 - Valószínűleg konzisztens rosszindulatú programkód(Nincs)
MS09-031 A Microsoft ISA Server 2006 biztonsági rése jogok kiterjesztését okozhatja (970953) CVE-2009-1135 1 - Valószínűleg konzisztens rosszindulatú programkód(Nincs)
MS09-032 Összesítő biztonsági frissítés az ActiveX-tiltóbitekhez (973346) CVE-2008-0015 1 - Valószínűleg konzisztens rosszindulatú programkód A biztonsági rést jelenleg internetszerte kihasználják.
MS09-033 A Virtual PC és a Virtual Server biztonsági rése (969856) jogok kiterjesztését teszi lehetővé CVE-2009-1542 2 - Valószínűleg inkonzisztens rosszindulatú programkódA valóban működő kódvégrehajtás változó kihasználhatósággal lehetséges.
MS09-034 Összesítő biztonsági frissítés az Internet Explorer programhoz (972260) CVE-2009-1917 1 - Valószínűleg konzisztens rosszindulatú programkódA működő kódvégrehajtás egyszerű és megbízható.
MS09-034 Összesítő biztonsági frissítés az Internet Explorer programhoz (972260) CVE-2009-1918 2 - Valószínűleg inkonzisztens rosszindulatú programkódA valóban működő kódvégrehajtás változó kihasználhatósággal lehetséges.
MS09-034 Összesítő biztonsági frissítés az Internet Explorer programhoz (972260) CVE-2009-1919 2 - Valószínűleg inkonzisztens rosszindulatú programkódA valóban működő kódvégrehajtás változó kihasználhatósággal lehetséges.
MS09-035 A Visual Studio aktív sablonjait tartalmazó objektumtár biztonsági rései távoli programkódfuttatást tesznek lehetővé (969706) CVE-2009-0901 1 - Valószínűleg konzisztens rosszindulatú programkódA működő kódvégrehajtás egyszerű és megbízható.
MS09-035 A Visual Studio aktív sablonjait tartalmazó objektumtár biztonsági rései távoli programkódfuttatást tesznek lehetővé (969706) CVE-2009-2493 1 - Valószínűleg konzisztens rosszindulatú programkódA működő kódvégrehajtás egyszerű és megbízható.
MS09-035 A Visual Studio aktív sablonjait tartalmazó objektumtár biztonsági rései távoli programkódfuttatást tesznek lehetővé (969706) CVE-2009-2495 3 - Nem valószínű működő rosszindulatú programkódAz illetéktelen adathozzáférést eredményező biztonsági rés nem használható ki kódfuttatásra.

A következő táblázatok a közleményeket a főbb szoftverkategóriák és súlyosság szerint sorolják fel.

A táblázatok használata

A táblázatok segítségével megtudhatja a szükséges információt a telepítendő biztonsági frissítésekről. Nézzen meg minden felsorolt szoftvert vagy összetevőt annak megállapításához, hogy elérhető-e a rendszerhez való frissítés. Ha a szoftver vagy összetevő szerepel a listán, hiperhivatkozással kapcsolódik hozzá az elérhető szoftverfrissítés, és a frissítés besorolása is fel van tüntetve.

Megjegyzés: Előfordulhat, hogy egy biztonsági rés megszüntetéséhez több biztonsági frissítést kell telepíteni. Nézze át az egyes közleményazonosítókhoz tartozó teljes oszlopot, és ellenőrizze a telepítendő frissítéseket a rendszerre telepített programok vagy összetevők alapján.

A Windows operációs rendszer és összetevői

Microsoft Windows 2000
Közlemény azonosítója MS09-029 MS09-028 MS09-032 MS09-034
Összesített súlyossági besorolás Kritikus Kritikus Nincsenek Kritikus
Microsoft Windows 2000 Service Pack 4 Microsoft Windows 2000 Service Pack 4
(Kritikus)
DirectX 7.0
(Kritikus)

DirectX 8.1***
(Kritikus)

DirectX 9.0****
(Kritikus)
Microsoft Windows 2000 Service Pack 4
(Nincs súlyossági besorolás**)
Microsoft Internet Explorer 5.01 Service Pack 4
(Kritikus)

Microsoft Internet Explorer 6 Service Pack 1 szervizcsomaggal
(Kritikus)
Windows XP
Közlemény azonosítója MS09-029 MS09-028 MS09-032 MS09-034
Összesített súlyossági besorolás Kritikus Kritikus Kritikus Kritikus
Windows XP Service Pack 2 és Windows XP Service Pack 3 Windows XP Service Pack 2 és Windows XP Service Pack 3
(Kritikus)
DirectX 9.0****
(Kritikus)
Windows XP Service Pack 2 és Windows XP Service Pack 3
(Kritikus)
Microsoft Internet Explorer 6
(Kritikus)

Windows Internet Explorer 7
(Kritikus)

Windows Internet Explorer 8
(Kritikus)
Windows XP Professional x64 Edition Service Pack 2 Windows XP Professional x64 Edition Service Pack 2
(Kritikus)
DirectX 9.0****
(Kritikus)
Windows XP Professional x64 Edition Service Pack 2
(Kritikus)
Microsoft Internet Explorer 6
(Kritikus)

Windows Internet Explorer 7
(Kritikus)

Windows Internet Explorer 8
(Kritikus)
Windows Server 2003
Közlemény azonosítója MS09-029 MS09-028 MS09-032 MS09-034
Összesített súlyossági besorolás Kritikus Kritikus Mérsékelt Mérsékelt
Windows Server 2003 Service Pack 2 Windows Server 2003 Service Pack 2
(Kritikus)
DirectX 9.0****
(Kritikus)
Windows Server 2003 Service Pack 2
(Mérsékelt)
Microsoft Internet Explorer 6
(Mérsékelt)

Windows Internet Explorer 7
(Mérsékelt)

Windows Internet Explorer 8
(Mérsékelt)
Windows Server 2003 x64 Edition Service Pack 2 Windows Server 2003 x64 Edition Service Pack 2
(Kritikus)
DirectX 9.0****
(Kritikus)
Windows Server 2003 x64 Edition Service Pack 2
(Mérsékelt)
Microsoft Internet Explorer 6
(Mérsékelt)

Windows Internet Explorer 7
(Mérsékelt)

Windows Internet Explorer 8
(Mérsékelt)
Windows Server 2003 SP2 for Itanium-based Systems Windows Server 2003 SP2 javítócsomaggal Itanium alapú rendszerekhez
(Kritikus)
DirectX 9.0****
(Kritikus)
Windows Server 2003 SP2 javítócsomaggal Itanium alapú rendszerekhez
(Mérsékelt)
Microsoft Internet Explorer 6
(Mérsékelt)

Windows Internet Explorer 7
(Mérsékelt)
Windows Vista
Közlemény azonosítója MS09-029 MS09-028 MS09-032 MS09-034
Összesített súlyossági besorolás Kritikus NincsenekNincsenek Kritikus
Windows Vista, Windows Vista Service Pack 1 és Windows Vista Service Pack 2 Windows Vista, Windows Vista Service Pack 1, és Windows Vista Service Pack 2
(Kritikus)
Nem érintett Windows Vista, Windows Vista Service Pack 1, és Windows Vista Service Pack 2
(Nincs súlyossági besorolás**)
Windows Internet Explorer 7
(Kritikus)

Windows Internet Explorer 8
(Kritikus)
Windows Vista x64 Edition, Windows Vista x64 Edition Service Pack 1 és Windows Vista x64 Edition Service Pack 2 Windows Vista x64 Edition, Windows Vista x64 Edition Service Pack 1 és Windows Vista x64 Edition Service Pack 2
(Kritikus)
Nem érintett Windows Vista x64 Edition, Windows Vista x64 Edition Service Pack 1 és Windows Vista x64 Edition Service Pack 2
(Nincs súlyossági besorolás**)
Windows Internet Explorer 7
(Kritikus)

Windows Internet Explorer 8
(Kritikus)
Windows Server 2008
Közlemény azonosítója MS09-029 MS09-028 MS09-032 MS09-034
Összesített súlyossági besorolás Kritikus NincsenekNincsenek Mérsékelt
Windows Server 2008 32 bites rendszerekhez és Windows Server 2008 32 bites rendszerekhez, Service Pack 2 Windows Server 2008 32 bites rendszerekhez és Windows Server 2008 32 bites rendszerekhez, Service Pack 2*
(Kritikus)
Nem érintett Windows Server 2008 32 bites rendszerekhez és Windows Server 2008 32 bites rendszerekhez, Service Pack 2*
(Nincs súlyossági besorolás**)
Windows Internet Explorer 7*
(Mérsékelt)

Windows Internet Explorer 8*
(Mérsékelt)
Windows Server 2008 x64 alapú rendszerekhez és Windows Server 2008 x64 alapú rendszerekhez, Service Pack 2 Windows Server 2008 x64 alapú rendszerekhez és Windows Server 2008 x64 alapú rendszerekhez, Service Pack 2*
(Kritikus)
Nem érintett Windows Server 2008 x64 alapú rendszerekhez és Windows Server 2008 x64 alapú rendszerekhez, Service Pack 2*
(Nincs súlyossági besorolás**)
Windows Internet Explorer 7*
(Mérsékelt)

Windows Internet Explorer 8*
(Mérsékelt)
Windows Server 2008 Itanium alapú rendszerekhez és Windows Server 2008 Itanium alapú rendszerekhez, Service Pack 2 Windows Server 2008 Itanium alapú rendszerekhez és Windows Server 2008 Itanium alapú rendszerekhez, Service Pack 2
(Kritikus)
Nem érintett Windows Server 2008 Itanium alapú rendszerekhez és Windows Server 2008 Itanium alapú rendszerekhez, Service Pack 2
(Nincs súlyossági besorolás**)
Windows Internet Explorer 7
(Mérsékelt)

Megjegyzés a Windows Server 2008 rendszerhez

*Nem érinti a Windows Server 2008 kiszolgálómag-telepítését. A frissítésben tárgyalt biztonsági rések nem érintik a Windows Server 2008 támogatott kiadásait, amennyiben a Windows Server 2008 telepítése a kiszolgálómag-telepítési opció használatával történt. További tudnivalókat ezzel a telepítési beállítással kapcsolatban a következő weboldalon talál:Server Core. A Server Core telepítési beállítás a Windows Server 2008 egyes kiadásainál nem alkalmazható. További tudnivalók: Server Core telepítési beállítások összehasonlítása.

Megjegyzés az MS09-032 közleményhez

**Súlyossági besorolás nem vonatkozik erre a frissítésre, mivel a tárgyalt biztonsági rés nem érinti ezt a szoftvert. Ennek ellenére a jövőben felfedezett esetleges új támadási pontok elleni mélyreható védekezési lépésként a Microsoft azt javasolja, hogy a szoftver felhasználói alkalmazzák ezt a biztonsági frissítést.

Megjegyzések az MS09-028 közleményhez

***A DirectX 8.1 frissítése a DirectX 8.1b verzióra is vonatkozik.

***A DirectX 9.0 frissítése a DirectX 9.0a, DirectX 9.0b és DirectX 9.0c verzióra is vonatkozik.

Microsoft Office programcsomagok és szoftverek

Microsoft Office programcsomagok, rendszerek és összetevők
Közlemény azonosítója MS09-030
Összesített súlyossági besorolás Fontos
2007 Microsoft Office System Service Pack 1 Microsoft Office Publisher 2007 Service Pack 1
(KB969693)
(Fontos)

Microsoft fejlesztői eszközök és szoftver

Microsoft Visual Studio
Közlemény azonosítója MS09-035
Összesített súlyossági besorolás Mérsékelt
Microsoft Visual Studio .NET 2003 Microsoft Visual Studio .NET 2003 Service Pack 1
(KB971089)
(Mérsékelt)
Microsoft Visual Studio 2005 Microsoft Visual Studio 2005 Service Pack 1
(KB971090)
(Mérsékelt)

Microsoft Visual Studio 2005 Service Pack 1*
(KB973673)
(Mérsékelt)

Microsoft Visual Studio 2005 Service Pack 1 64-bit Hosted Visual C++ Tools
(KB973830)
(Mérsékelt)
Windows Embedded CE 6.0 Windows Embedded CE 6.0**
(KB974616)
(Mérsékelt)
Microsoft Visual Studio 2008 Microsoft Visual Studio 2008
(KB971091)
(Mérsékelt)

Microsoft Visual Studio 2008*
(KB973674)
(Mérsékelt)

Microsoft Visual Studio 2008 Service Pack 1
(KB971092)
(Mérsékelt)

Microsoft Visual Studio 2008 Service Pack 1*
(KB973675)
(Mérsékelt)
Microsoft Visual C++ 2005 Microsoft Visual C++ 2005 Service Pack 1 Redistributable Package
(KB973544)
(Mérsékelt)
Microsoft Visual C++ 2008 Microsoft Visual C++ 2008 Redistributable Package
(KB973551)
(Mérsékelt)

Microsoft Visual C++ 2008 Service Pack 1 Redistributable Package
(KB973552)
(Mérsékelt)

Megjegyzések az MS09-035 közleményhez

*Az ATL for Smart Devices rendszert használó mobilalkalamzásokhoz

**Telepíti a Windows Embedded CE 6.0 e havi frissítését (2009. december). A frissítőcsomag kizárólag a Microsoft Letöltőközpontból érhető el.

Microsoft Server és Security szoftver

Microsoft Internet Security and Acceleration Server
Közlemény azonosítója MS09-031
Összesített súlyossági besorolás Fontos
Microsoft Internet Security and Acceleration Server 2006 Microsoft Internet Security és Acceleration Server 2006
(KB970811)
(Fontos)

Microsoft Internet Security and Acceleration Server 2006 Supportability Update
(KB970811)
(Fontos)

Microsoft Internet Security and Acceleration Server 2006 Service Pack 1
(KB971143)
(Fontos)

Microsoft virtualizálási szoftver

Microsoft Virtual PC
Közlemény azonosítója MS09-033
Összesített súlyossági besorolás Fontos
Microsoft Virtual PC 2004 Microsoft Virtual PC 2004 Service Pack 1
(KB969856)
(Fontos)
Microsoft Virtual PC 2007 Microsoft Virtual PC 2007
(KB969856)
(Fontos)

Microsoft Virtual PC 2007 Service Pack 1
(KB969856)
(Fontos)
Microsoft Virtual PC 2007 x64 Edition Microsoft Virtual PC 2007 x64 Edition
(KB969856)
(Fontos)

Microsoft Virtual PC 2007 x64 Edition Service Pack 1
(KB969856)
(Fontos)
Microsoft Virtual Server
Közlemény azonosítója MS09-033
Összesített súlyossági besorolás Fontos
Microsoft Virtual Server 2005 Microsoft Virtual Server 2005
(KB969856)
(Fontos)
Microsoft Virtual Server 2005 R2 Microsoft Virtual Server 2005 R2 Service Pack 1
(KB969856)
(Fontos)
Microsoft Virtual Server 2005 R2 x64 Edition Microsoft Virtual Server 2005 R2 x64 Edition Service Pack 1
(KB969856)
(Fontos)

Biztonsági központ

A szoftveres és biztonsági frissítések kezeléséhez azokat a szervezet asztali és hordozható számítógépeire, valamint kiszolgálóira is telepíteni kell. További tájékoztatásért látogasson el a TechNet Update Management Center weboldalára. A TechNet Security Center bővebb tájékoztatással szolgál a Microsoft-termékek biztonsági funkcióival kapcsolatban. A Biztonság otthon weboldalon a megfelelő hivatkozásra kattintva elérhetőek a legújabb biztonsági frissítések.

A biztonsági frissítések a Microsoft Update és a Windows Update weboldalról tölthetők le. A biztonsági frissítések a Microsoft letöltőközpontjában is elérhetőek. Legegyszerűbben a „security update” kifejezésre irányuló kulcsszavas kereséssel találhatja meg ezeket.

A biztonsági frissítések a Microsoft Update katalógusából is letölthetőek. A Microsoft Update katalógus a Windows Update és Microsoft Update szolgáltatáson keresztül elérhető tartalom kereshető adatbázisa; ide tartoznak a biztonsági frissítések, illesztőprogramok és szervizcsomagok. A biztonsági közlemény azonosítójára (pl. „MS07-036”) történő kereséssel hozzáadhatja az összes vonatkozó frissítést a kosárhoz (beleértve a frissítés különböző nyelvi változatait), és letöltheti azokat a megadott mappába. A Microsoft Update katalógus részletes leírását lásd a vonatkozó GYIK részben.

Megjegyzés 2009. augusztus 1-től a Microsoft megszünteti az Office Update és az Office Update Inventory Tool támogatását. A Microsoft Office termékeihez készült legújabb frissítéseket a Microsoft Update segítségével érheti el. A további tudnivalókat lásd Az Office Update bemutatása: Gyakran ismételt kérdések című témakört.

Útmutató az észleléshez és a telepítéshez

A Microsoft az e havi biztonsági frissítésekhez észlelési és telepítési útmutatót adott ki. Az útmutató a számítógépes szakembereknek is ötleteket adhat ahhoz, hogyan használják a különböző eszközöket, pl. Windows Update, Microsoft Update, Office Update, Microsoft Baseline Security Analyzer (MBSA), Office Detection Tool, Microsoft Systems Management Server (SMS) és Extended Security Update Inventory Tool (ESUIT) a biztonsági frissítések telepítéséhez. További információt a Microsoft Tudásbázis 910723. számú cikkében talál.

Microsoft Baseline Security Analyzer

A Microsoft Baseline Security Analyzer (MBSA) segítségével a rendszergazda mind a helyi, mind a távoli számítógépeken ellenőrizheti, hogy mely biztonsági frissítések hiányoznak, illetve hogy mely biztonsági beállítások vannak helytelenül megadva. Ha többet szeretne tudni az MBSA -eszközről, látogasson el a Microsoft Baseline Security Analyzer webhelyre.

Windows Server Update Services

A Microsoft Software Update Services (WSUS) szolgáltatással a rendszergazdák gyorsan és megbízható módon telepíthetik központilag a legújabb fontos és biztonsági frissítéseket Windows 2000 és újabb operációs rendszerekhez, Office XP és újabb operációs rendszerekhez, Exchange Server 2003 és SQL Server 2000 Windows 2000 és újabb operációs rendszerekre.

A biztonsági frissítésnek Windows Server Update Services szolgáltatással történő központi telepítéséről a Windows Server Update Services webhelyen tudhat meg többet.

Systems Management Server

A Microsoft Systems Management Server (SMS) rendszer egy sokoldalúan beállítható vállalati megoldás, amely a frissítések kezelésére szolgál. Az SMS segítségével a rendszergazda megállapíthatja, hogy melyik Windows alapú számítógép szorul biztonsági frissítésre, és ezeket a frissítéseket szabályozott módon, a felhasználók minimális zavarásával központilag telepítheti a vállalat teljes informatikai környezetében. Az SMS, vagyis a System Center Configuration Manager 2007 újabb kiadása immáron elérhető, lásd még: System Center Configuration Manager 2007. Arról, hogy a rendszergazdák hogyan használhatják a biztonsági frissítések telepítéséhez az SMS 2003 alkalmazást, az SMS 2003 Security Patch Management részben olvashat. Az SMS 2.0 verzióját használók a Software Updates Services Feature Pack szolgáltatásait is segítségül hívhatják a biztonsági frissítések központi telepítéséhez. Az SMS-szolgáltatásról bővebben a Microsoft Systems Management Server oldalán olvashat.

Megjegyzés: Az SMS a Microsoft Baseline Security Analyzer és a Microsoft Office Detection Tool program segítségével széles körű támogatást nyújt a frissítések biztonsági értesítők segítségével történő észleléséhez és telepítéséhez. Előfordulhat, hogy egyes szoftverfrissítéseket ezek az eszközök nem észlelnek. Az SMS alkalmazás leltározási szolgáltatásai segítségével a rendszergazdák adott rendszereken hajthatják végre a frissítést. Az eljárással kapcsolatban olvassa el a szoftverfrissítések telepítése az SMS szoftverelosztó ügynök segítségével című tájékoztatót. Egyes biztonsági frissítésekhez rendszergazdai jogosultságokra van szükség a számítógép újraindítása után. A rendszergazdák az SMS 2003 Administration Feature Pack és az SMS 2.0 Administration Feature Pack csomag részét képező Elevated Rights Deployment Tool nevű eszközzel telepíthetik ezeket a frissítéseket.

Az Update Compatibility Evaluator (a frissítéskompatibilitás kiértékelője) és az Application Compatibility Toolkit (alkalmazáskompatibilitási eszközkészlet)

Az alkalmazások működése érdekében a frissítések gyakran írnak ugyanazokba a fájlokba, illetve regisztrációs bejegyzésekbe. Ez inkompatibilitást okozhat, és növelheti a biztonsági frissítések központi telepítésére használt időt. A Windows frissítések és az alkalmazásoknak való megfelelőségének tesztelése és ellenőrzése egyszerűsíthető az Update Compatibility Evaluator eszközeivel, ami része az Application Compatibility Toolkit 5.0 csomagnak.

Az Application Compatibility Toolkit (ACT) tartalmazza a Microsoft Windows Vista, a Windows Update, a Microsoft Security Update vagy a Windows Internet Explorer új verziójának központi telepítése előtt az alkalmazáskompatibilitási problémák kiértékeléséhez és enyhítéséhez szükséges eszközöket és dokumentációt.

Egyéb információ

A Microsoft Windows rosszindulatú szoftvereket eltávolító eszköze

A Microsoft a Windows Update, Microsoft Update, Windows Server Update Services és Letöltőközpont szolgáltatásán keresztül elérhetővé tette a Microsoft Windows rosszindulatú szoftvereket eltávolító eszközének frissített változatát.

Nem biztonsági jellegű, kiemelt fontosságú frissítések a MU, WU és WSUS-szolgáltatásokban

A Windows Update és a Microsoft Update helyen elérhető, nem biztonsági jellegű frissítésekről tájékozódjon itt:

Microsoft Active Protections Program (MAPP)

Az ügyfelek védelmének növelése érdekében a biztonsági szoftverekkel foglalkozó nagyobb gyártók a Microsoft a havi biztonsági közlemények megjelenése előtt ellátja biztonsági résekkel kapcsolatos információkkal. Így a biztonságiszoftver-gyártók a kapott biztonsági résekkel kapcsolatos információt felhasználhatják ügyfeleik hatásosabb védelmére az olyan biztonsági szoftverek vagy eszközök (például víruskeresők, hálózati behatolásérzékelő rendszerek vagy kiszolgálóalapú behatolásvédelmi rendszerek) frissítése által. A biztonságiszoftver-gyártók által kiadott aktív védelem elérhetőségéről a Microsoft Active Protections Program (MAPP) Partners webhelyén található listán szereplő és a programban részt vevő gyártók aktív védelmi webhelyein tájékozódhat.

Biztonsági stratégiák és közösségek

Frissítésekkel kapcsolatos stratégiák

A frissítések kezelésére vonatkozó útmutatás a Microsoft által a biztonsági frissítések telepítéséhez ajánlott legjobban bevált eljárást ismerteti.

Egyéb biztonsági frissítések beszerzése

Az alábbi helyekről más típusú biztonsági problémákhoz szerezhetők be frissítések:

  • A biztonsági frissítések a Microsoft letöltőközpontban érhetők el. Legegyszerűbben a „security update” kifejezésre irányuló kulcsszavas kereséssel találhatja meg ezeket.
  • Az ügyfélrendszerek frissítései a Microsoft Update oldalról elérhetőek.
  • A Windows Update szolgáltatáson keresztül terjesztett havi aktuális biztonsági frissítések a letöltőközpontból a biztonsági és kritikus frissítéseket tartalmazó ISO CD-képfájlként is letölthetőek. További információt a Microsoft Tudásbázis 913086 számú cikkében talál.

IT Pro Security közösség

Az IT Pro Security Community közösségben hasznos információt találhat a biztonság javításáról és az informatikai infrastruktúrák optimalizálásáról, továbbá eszmecserét folytathat a biztonsági kérdésekről más informatikai szakemberekkel.

Köszönetnyilvánítás

A Microsoft köszönetét fejezi ki a vásárlók védelmének biztosításában nyújtott segítségért az alábbi szervezet(ek)nek és szakember(ek)nek:

  • Thomas Garnier, SkyRecon és Zheng Wenbin, Liu Qi, valamint Song Shenlei, Qihoo 360 Security Center, az MS09-028 közleményben ismertetett probléma jelentéséért.
  • Yamata Li (Palo Alto Networks) az MS09-028 közleményben ismertetett probléma jelentéséért
  • Aaron Portnoy (TippingPoint DVLabs) és a TippingPoint Zero Day Initiative anonim kutatója, Thomas Garnier (SkyRecon) valamint Yamata Li (Palo Alto Networks), az MS09-028 közleményben ismertetett probléma jelentéséért.
  • VeriSign iDefense Labs az MS09-029 közleményben ismertetett probléma jelentéséért
  • Tavis Ormandy, Google Inc., az MS09-029 közleményben bemutatott probléma jelentéséért
  • Thomas Garnier az MS09-029 közleményben ismertetett probléma jelentéséért
  • Lionel d'Hauenens (Labo Skopia) és a vele együttműködő VeriSign iDefense Labs az MS09-030 közleményben ismertetett probléma jelentéséért
  • Ryan Smith és Alex Wheeler, IBM ISS X-Force, az MS09-032 közleményben ismertetett probléma jelentéséért
  • Julien Tinnes és Tavis Ormandy (Google Inc.) az MS09-033 közleményben ismertetett probléma jelentéséért
  • Peter Vreugdenhil, VeriSign iDefense Labs, az MS09-034 közleményben ismertetett egyik probléma jelentéséért
  • Wushi és Ling, team509, a TippingPoint és a Zero Day Initiative munkatársai, az MS09-034 közleményben bemutatott egyik probléma jelentéséért
  • Peter Vreugdenhil, a TippingPoint és a Zero Day Initiative munkatársa, az MS09-034 közleményben ismertetett egyik probléma jelentéséért
  • David Dewey, IBM ISS X-Force, az MS09-035 közleményben ismertetett probléma jelentéséért
  • Ryan Smith, VeriSign iDefense Labs, az MS09-035 közleményben bemutatott két probléma jelentéséért

Terméktámogatás

Felelősséget kizáró nyilatkozat

A Microsoft Tudásbázisban leírtak előzetes bejelentés nélkül változhatnak, és a cikkek tartalmáért a Microsoft nem vállal garanciát. A Microsoft egyben elhárít minden kifejezett és értelemszerű garanciát, beleértve az eladhatóságra és az adott célra való alkalmasságra vonatkozó garanciát is. A Microsoft Corporation vagy annak szállítói semmilyen körülmények között nem tehetők felelőssé közvetlen, közvetett, eseti, ok-okozati vagy különleges kárért (beleértve az elmaradt hasznot is), még akkor sem, ha a Microsoft Corporation vagy szállítói tudatában voltak a kár lehetséges voltának. Egyes államok törvényi szabályozása nem teszi lehetővé a véletlen vagy ok-okozati károkért vállalt felelősség korlátozását vagy kizárását, így ezekben az államokban az ez a felelősségkizárás nincs érvényben.

Verziók

  • 1.0 verzió (2009. július 14.): Összefoglaló közlemény közzététele.
  • 1.1 verzió (2009. július 15.): Frissített összefoglaló az MS09-032 vonatkozásában, módosított újraindítási követelmények az MS09-029 vonatkozásában, továbbá más egyéb, kisebb horderejű szerkesztési változtatások.
  • 2.0 verzió (2009. július 28.): Kiadásra került a Microsoft MS09-034 számú, Összesítő biztonsági frissítés az Internet Explorer programhoz (972260), és MS09-035 számú, A Visual Studio Active Template Library biztonsági rései távolról történő kódfuttatást tesznek lehetővé biztonsági közleménye (969706). A soron kívüli biztonsági frissítések webes szemináriumokra vonatkozó hivatkozásokkal is kiegészült.
  • 3.0 verzió (2009. augusztus 4.): A Microsoft Windows 2000 Service Pack 4 rendszerben futó Microsoft Internet Explorer 6 Service Pack 1 alkalmazás frissítésének újrakiadásának bejelentésére adták ki újra. Ha a felhasználó már telepítette az Internet Explorer 6 Service Pack 1 eredeti frissítését a Microsoft Windows 2000 Service Pack 4 rendszerhez, védve van. Az Internet Explorer 6 Service Pack 1 alkalmazás koreai nyelvváltozatának felhasználói számára azonban ajánlott az Internet Explorer 6 Service Pack 1 frissítés újratelepítése a Windows 2000 rendszerekre: ez biztosítja a megfelelő védelmi szintet és a nyomtatási probléma megoldását. Lásd a Microsoft MS09-034 számú biztonsági közleményét.
  • 4.0 verzió (2009. augusztus 11.): Az MS09-035 új kiadásáról szóló tájékoztatás céljából került kiadásra. Az MS09-035 közlemény új kiadása a Microsoft Visual Studio 2005 Service Pack 1 (KB973673), a Microsoft Visual Studio 2008 (KB973674) és a Microsoft Visual Studio 2008 Service Pack 1 (KB973675) alkalmazásra vonatkozó új frissítéseket tartalmazza a Visual Studio alkalmazást használó fejlesztők számára, akik mobil alkalmazásokhoz készítenek összetevőket és vezérlőket az ATL for Smart Devices felhasználásával.
  • 4.1 verzió (2009. augusztus 13.): Módosított újraindítási követelmények az MS09-035 vonatkozásában.
  • 5.0 verzió (2009. augusztus 19.): A MS09-028 közlemény új lábjegyzete tisztázza a DirectX 8.1 szoftver érintettségét.
  • 6.0 verzió (2009. augusztus 25.): A frissített összefoglaló tájékoztat a Windows XP Service Pack 2, Windows XP Service Pack 3 és Windows XP Professional x64 Edition Service Pack 2 rendszerhez szánt japán nyelvű frissítés újrakiadásáról. Az eredeti frissítést már telepítette felhasználók védettek a probléma hatásaitól. Azonban a Windows XP Service Pack 2, Windows XP Service Pack 3, illetve Windows XP Professional x64 Edition Service Pack 2 rendszerek japán verziójának felhasználóinak telepítenie kell a frissítést, hogy azonos szintű védelmet kapjanak és megoldják a nyomtatás hibáját. Lásd a Microsoft MS09-029 számú biztonsági közleményét.
  • 7.0 verzió (2010. január 12.): Az új kiadásban a Windows Embedded CE 6.0 alkalmazás bekerült az MS09-035 közleményben említett hiba által érintett szoftverek közé. A Windows Embedded CE 6.0 (KB974616) frissítése összesítő frissítés, mely kizárólag a Microsoft Letöltőközpontból érhető el. A Windows Embedded CE 6.0 platformot használóknak javasoljuk az összesített frissítés alkalmazását.
  • 8.0 verzió (2010. március 9.): A frissített változatban a Microsoft Virtual Server 2005 felkerült az MS09-033 közlemény által érintett szoftverek listájára.

Built at 2014-04-18T01:50:00Z-07:00

Megjelenítés: