A Microsoft számú biztonsági közleménye MS11-079 - Fontos

A Microsoft Forefront Unified Access Gateway biztonsági rései távolról történő programkódfuttatást okozhatnak (2544641)

Közzétéve: 2011. október 11.

Verzió: 1.0

Általános tudnivalók

Összefoglalás

A biztonsági frissítés a Microsoft Forefront Unified Access Gateway (UAG) öt, közvetlenül jelzett biztonsági rését szünteti meg. A legsúlyosabb besorolású biztonsági rések távoli kódfuttatást tehetnek lehetővé, ha a felhasználó egy speciálisan kialakított URL-címen látogat el az érintett webhelyek egyikére. A támadónak ugyanakkor nincs semmilyen lehetősége arra, hogy a felhasználót egy ilyen webhely megnyitására kényszerítse. Ehelyett a támadóknak az adott webhelyre kell csábítaniuk a felhasználókat. Ezt rendszerint úgy érik el, hogy ráveszik őket arra, hogy kattintsanak rá egy e-mailben lévő hivatkozásra vagy azonnali üzenetkezelőben megjelenő kérésre.

Ez a biztonsági frissítés a Microsoft Forefront Unified Access Gateway 2010 összes támogatott verziójára nézve Fontos besorolású. További tudnivalókat a közlemény későbbi részében, az Érintett és nem érintett szoftverek cím alatt talál.

A biztonsági frissítés a biztonsági rés megszüntetéséhez módosítja az UAG különlegesen kialakított kérelmeket érintő kezelési eljárását, a MicrosoftClient.JAR fájlt, valamint kivételkezelést ad hozzá az UAG webkiszolgáló null értékéhez. A biztonsági résekkel kapcsolatban bővebben az adott problémával foglakozó gyakran feltett kérdéseket ismertető szakaszban, A biztonsági réssel kapcsolatos tudnivalók című részben olvashat.

Javaslat: A Microsoft a biztonsági frissítés lehető leghamarabb történő telepítését javasolja ügyfeleinek.

Ismert problémák A Microsoft Tudásbázis 2544641. számú cikkében olvasható, hogy a felhasználók a biztonsági frissítés telepítésekor milyen ismert problémákkal találkozhatnak. A cikkben a problémákra javasolt megoldások is szerepelnek.

Érintett és nem érintett szoftverek

Az itt felsorolt szoftvereket a verziók és változatok érintettségének felderítése érdekében teszteltük. A többi verzió, illetve kiadás támogatási életciklusa végére ért vagy nem érintett. Az egyes szoftverek és azok verzióinak támogatási életciklusáról a Microsoft termékek terméktámogatási életciklusát ismertető webhelyen talál felvilágosítást.

Érintett szoftverek

Operációs rendszerMaximális biztonsági hatásÖsszesített súlyossági besorolásA frissítés által felváltott közlemények
Microsoft Forefront Unified Access Gateway 2010 [1]
(KB2522482)
Távoli kódfuttatásFontosNincsenek
Microsoft Forefront Unified Access Gateway 2010 Update 1 [1]
(KB2522483)
Távoli kódfuttatásFontosNincsenek
Microsoft Forefront Unified Access Gateway 2010 Update 2 [1]
(KB2522484)
Távoli kódfuttatásFontosNincsenek
Microsoft Forefront Unified Access Gateway 2010 Service Pack 1 [1]
(KB2522485)
Távoli kódfuttatásFontosNincsenek

[1]Ez a frissítés kizárólag a Microsoft letöltő központból érhető el. Tekintse meg a következő, Gyakran ismételt kérdések a biztonsági frissítéssel kapcsolatban című részt.

Miért csak a Microsoft letöltő központból érhetők el a frissítések?
A Microsoft ezeket a frissítéseket a Microsoft letöltő központból teszi elérhetővé, így a felhasználók a lehető leghamarabb el tudják kezdeni rendszerük frissítését.

Hol találhatók a fájlinformációs adatok?
A fájlinformációs adatokat lásd a Biztonsági frissítés telepítése rész hivatkozási táblázataiban.

Érintik az Intelligent Application Gateway (IAG) terméket a jelen közleményben ismertetett biztonsági rések?
Igen. A Microsoft Intelligent Application Gateway 2007 Service Pack 2 programot az ExcelTable válaszfelosztás miatti biztonsági rése (CVE-2011-1895), az ExcelTable tükröződő XSS-támadást lehetővé tévő biztonsági rése (CVE-2011-1896), az alapértelmezett tükröződő XSS-támadást lehetővé tévő biztonsági rés (CVE-2011-1897) és a Távoli kódfuttatás keserű pohara nevű biztonsági rés (CVE-2011-1969) is érinti. Az IAG felhasználói további tájékoztatást kaphatnak OEM-kereskedőjüktől. Az Amerikai Egyesült Államokban és Kanadában technikai segítség igényelhető az ügyfélszolgálattól és a támogatási szolgáltatástól, amelynek telefonszáma 1-800-936-3100. Más országokban a területi biztonsági támogatási csoport nyújt technikai támogatást a 1-425-454-7946 telefonszámon. A biztonsági frissítésekkel kapcsolatos hívások a Microsoftnál ingyenesek. Ha többet szeretne tudni arról, hogy miként léphet kapcsolatba a Microsofttal terméktámogatási problémákkal kapcsolatban, látogasson el a Microsoft támogatási webhelyére.

A frissítés telepítésén kívül a rendszergazdáknak más lépéseket is el kell végezniük?
Igen. A frissítést követően az UAG-rendszergazdának meg kell nyitnia a Forefront UAG kezelőfelületét, és aktiválnia kell az ügyfeleknek a jelen közleményben leírt biztonsági résekkel szembeni védelmét biztosító konfigurációt.

Miért tartalmazza több bejelentett biztonsági rés javítását is ez a frissítés?
A frissítés több biztonsági rés javítását is tartalmazza, mivel a problémák megoldásához szükséges módosítások egymáshoz kapcsolódó fájlokban találhatók. A különálló, de egymással majdnem pontosan megegyező frissítések telepítése helyett így a vásárlóknak elegendő ezt az egy frissítést telepíteni.

A biztonsági réssel kapcsolatos tudnivalók

A következő súlyossági besorolások a biztonsági rés maximálisan feltételezett hatását veszik számba. A biztonsági résnek a biztonsági közlemény kiadásától számított 30 napon belüli kihasználási valószínűségéről, továbbá a súlyossági besorolás és a biztonsági hatás részleteiről lásd az októberi összefoglaló közlemény Kihasználhatósági információk című részét. Bővebb információkért lásd: Microsoft Kihasználhatósági információk.

Biztonsági rés súlyossági besorolása és a maximális biztonsági hatás szoftverenkénti felbontásban
Érintett szoftverekAz ExcelTable válaszfelosztás miatti, XSS-támadást lehetővé tévő biztonsági rése - CVE-2011-1895Az ExcelTable tükröződő XSS-támadást lehetővé tévő biztonsági rése - CVE-2011-1896Alapértelmezett tükröződő XSS-támadást lehetővé tévő biztonsági rés - CVE-2011-1897A Távoli kódfuttatás keserű pohara nevű biztonsági rés - CVE-2011-1969Üres munkamenet-cookie miatti összeomlás - CVE-2011-2012Összesített súlyossági besorolás
Microsoft Forefront Unified Access Gateway 2010 Fontos
Jogok kiterjesztése
Fontos
Jogok kiterjesztése
Fontos
Jogok kiterjesztése
Fontos
Távoli kódfuttatás
Fontos
Szolgáltatásmegtagadás
Fontos
Microsoft Forefront Unified Access Gateway 2010 Update 1 Fontos
Jogok kiterjesztése
Fontos
Jogok kiterjesztése
Fontos
Jogok kiterjesztése
Fontos
Távoli kódfuttatás
Fontos
Szolgáltatásmegtagadás
Fontos
Microsoft Forefront Unified Access Gateway 2010 Update 2 Fontos
Jogok kiterjesztése
Fontos
Jogok kiterjesztése
Fontos
Jogok kiterjesztése
Fontos
Távoli kódfuttatás
Fontos
Szolgáltatásmegtagadás
Fontos
Microsoft Forefront Unified Access Gateway 2010 Service Pack 1 Fontos
Jogok kiterjesztése
Fontos
Jogok kiterjesztése
Fontos
Jogok kiterjesztése
Fontos
Távoli kódfuttatás
Fontos
Szolgáltatásmegtagadás
Fontos

A Microsoft Forefront Unified Access Gateway (UAG) kiszolgálóban HTTP-válaszfelosztás miatti biztonsági rés található, amelyet kihasználva JavaScript illeszthető be a létrejövő oldalba, és gyakorlatilag a támadó által ellenőrzött JavaScript futtatható a hivatkozásra kattintó felhasználó nevében.

A biztonsági rés standard bejegyzésének megtekintéséhez a normál biztonsági rés besorolási listáján lásd: CVE-2011-1895.

Az ExcelTable válaszfelosztás miatti, XSS-támadást lehetővé tévő biztonsági résének (CVE-2011-1895) súlyosságát enyhítő tényezők

Az enyhítő tényezők közé sorolható egy beállítás, konfiguráció vagy általánosan bevált gyakorlat, amely alapértelmezett állapotában csökkentheti a biztonsági rés kihasználásának valószínűségét. A következő enyhítő tényezők hasznosnak bizonyulhatnak:

  • Webalapú támadás esetén a támadónak olyan webhelyet kell üzemeltetnie, amely egy, a biztonsági rés kihasználását lehetővé tevő weblapot tartalmaz. Az érintett weboldalak és a felhasználó által biztosított tartalomnak, esetleg hirdetéseknek helyet adó weboldalak és hirdetések is tartalmazhatnak a biztonsági rést kihasználni képes különlegesen kialakított tartalmat. A támadóknak azonban nem áll módjukban a felhasználókat ezeknek a weboldalaknak a látogatására kényszerítenie. Ehelyett a támadóknak az adott webhelyre kell csábítaniuk a felhasználókat. Ezt rendszerint úgy érik el, hogy ráveszik őket arra, hogy kattintsanak rá egy e-mailben lévő hivatkozásra vagy azonnali üzenetkezelőben megjelenő kérésre.

Az ExcelTable válaszfelosztás miatti, XSS-támadást lehetővé tévő biztonsági rését (CVE-2011-1895) megkerülő lehetséges megoldások

A Microsoft egyelőre nem talált lehetséges megoldást a biztonsági rés megszüntetésére.

Gyakran ismétlődő kérdések az ExcelTable válaszfelosztás miatti, XSS-támadást lehetővé tévő biztonsági résével (CVE-2011-1895) kapcsolatban

Mire terjed ki a biztonsági rés hatása?
Ez egy idegen webhelyen lévő parancsfájlok futtatására lehetőséget adó biztonsági rés, amely a jogok kiterjesztésével és adatokhoz való illetéktelen hozzáféréssel járhat.

Mi okozza a biztonsági rést?
A biztonsági rést az okozza, ha a Forefront Unified Access Gateway (UAG) nem megfelelően kezeli a különlegesen kialakított kérelmekben található parancsfájlokat, így a felhasználóhoz kártékony tartalmat juttathat.

Mire használhatja a biztonsági rést a támadó?
A biztonsági rést sikeresen kihasználó támadó elolvashat olyan tartalmakat, amelyhez nem rendelkezik hitelesítéssel, használhatja az áldozat azonosítóját, hogy a nevében műveleteket hajtson végre, és rosszindulatú tartalmat helyezhet el az áldozat böngészőjében.

Hogyan használhatja ki a támadó a biztonsági rést?
A biztonsági rés kihasználásához a megfelelő jogosultsággal rendelkező UAG-felhasználónak speciálisan kialakított URL-címre kell kattintani, amely a felhasználót az UAG-kiszolgáló célul kiválasztott, különlegesen kialakított parancsfájlt tartalmazó webhelyére viszi, majd a parancsfájlt visszatükrözi a felhasználó böngészőjébe.

E-mailes támadás esetén a támadó kihasználhatja a biztonsági rést, ha e-mail üzenetben elküldi a speciálisan létrehozott URL-címet a támadással megcélzott UAG-oldal felhasználójának, és ráveszi a felhasználót, hogy kattintson rá.

Webalapú támadás esetén a támadónak olyan weboldalt kell üzemeltetnie, amely egy, a biztonsági rés kihasználását lehetővé tévő, különlegesen kialakított URL-címet tartalmaz, amely a támadással megcélzott oldalra mutat. Az érintett weboldalak és a felhasználó által biztosított tartalomnak, esetleg hirdetéseknek helyet adó weboldalak is tartalmazhatnak a biztonsági rést kihasználni képes különlegesen kialakított tartalmat. A támadónak nincs lehetősége arra, hogy a felhasználót a különlegesen kialakított webhely megnyitására kényszerítse. A támadónak rá kell vennie a felhasználókat, hogy látogassanak el a webhelyre. Ehhez általában rá kell kattintani egy e-mail üzenetben vagy azonnali üzenetküldő programban kapott üzenetre, majd az abban elhelyezett, speciálisan létrehozott URL-címre.

Mely rendszerekre jelenti a legnagyobb veszélyt a biztonsági rés?
A biztonsági rés az UAG-kiszolgálóhoz hozzáféréssel rendelkező felhasználókra jelent veszélyt.

Mi a frissítés feladata?
A biztonsági rés megszüntetése érdekében módosítja az UAG különlegesen kialakított kérelmekre vonatkozó kezelési módját, így meggátolja a tartalom felhasználó felé történő tükrözését.

Ismert volt-e a nyilvánosság előtt ez a biztonsági rés a biztonsági közlemény kiadásának idején?
Nem. A Microsoft ezt a célt szolgáló koordinált tájékoztatáson keresztül szerzett tudomást a biztonsági résről.

A közlemény kibocsátásáig kapott-e a Microsoft a biztonsági rés kihasználásáról tájékoztató értesítést?
Nem. A Microsoft nem kapott olyan információt, hogy a biztonsági közlemény eredeti változatának megjelenéséig a biztonsági rést felhasználták volna nyilvános támadásra.

A Microsoft Forefront Unified Access Gateway (UAG) kiszolgálóban XSS-támadást lehetővé tévő biztonsági rés található, amelyet kihasználva JavaScript illeszthető be a létrejövő oldalba, és gyakorlatilag a támadó által ellenőrzött JavaScript futtatható a hivatkozásra kattintó felhasználó nevében.

A biztonsági rés standard bejegyzésének megtekintéséhez a normál biztonsági rés besorolási listáján lásd: CVE-2011-1896.

Az ExcelTable tükröződő XSS-támadást lehetővé tévő biztonsági résének (CVE-2011-1896) súlyosságát enyhítő tényezők

Az enyhítő tényezők közé sorolható egy beállítás, konfiguráció vagy általánosan bevált gyakorlat, amely alapértelmezett állapotában csökkentheti a biztonsági rés kihasználásának valószínűségét. A következő enyhítő tényezők hasznosnak bizonyulhatnak:

  • Webalapú támadás esetén a támadónak olyan webhelyet kell üzemeltetnie, amely egy, a biztonsági rés kihasználását lehetővé tevő weblapot tartalmaz. Az érintett weboldalak és a felhasználó által biztosított tartalomnak, esetleg hirdetéseknek helyet adó weboldalak és hirdetések is tartalmazhatnak a biztonsági rést kihasználni képes különlegesen kialakított tartalmat. A támadóknak azonban nem áll módjukban a felhasználókat ezeknek a weboldalaknak a látogatására kényszerítenie. Ehelyett a támadóknak az adott webhelyre kell csábítaniuk a felhasználókat. Ezt rendszerint úgy érik el, hogy ráveszik őket arra, hogy kattintsanak rá egy e-mailben lévő hivatkozásra vagy azonnali üzenetkezelőben megjelenő kérésre.

Az ExcelTable tükröződő XSS-támadást lehetővé tévő biztonsági rést (CVE-2011-1896) megkerülő lehetséges megoldások

A Microsoft egyelőre nem talált lehetséges megoldást a biztonsági rés megszüntetésére.

Gyakran ismétlődő kérdések az ExcelTable tükröződő XSS-támadást lehetővé tévő biztonsági résével (CVE-2011-1896) kapcsolatban

Mire terjed ki a biztonsági rés hatása?
Ez egy idegen webhelyen lévő parancsfájlok futtatására lehetőséget adó biztonsági rés, amely a jogok kiterjesztésével és adatokhoz való illetéktelen hozzáféréssel járhat.

Mi okozza a biztonsági rést?
A biztonsági rést az okozza, ha a Forefront Unified Access Gateway (UAG) nem megfelelően kezeli a különlegesen kialakított kérelmekben található parancsfájlokat, így a felhasználóhoz kártékony tartalmat juttathat.

Mire használhatja a biztonsági rést a támadó?
A biztonsági rést sikeresen kihasználó támadó elolvashat olyan tartalmakat, amelyhez nem rendelkezik hitelesítéssel, használhatja az áldozat azonosítóját, hogy a nevében műveleteket hajtson végre, és rosszindulatú tartalmat helyezhet el az áldozat böngészőjében.

Hogyan használhatja ki a támadó a biztonsági rést?
A biztonsági rés kihasználásához a megfelelő jogosultsággal rendelkező UAG-felhasználónak speciálisan kialakított URL-címre kell kattintani, amely a felhasználót az UAG-kiszolgáló célul kiválasztott, különlegesen kialakított parancsfájlt tartalmazó webhelyére viszi, majd a parancsfájlt visszatükrözi a felhasználó böngészőjébe.

E-mailes támadás esetén a támadó kihasználhatja a biztonsági rést, ha e-mail üzenetben elküldi a speciálisan létrehozott URL-címet a támadással megcélzott UAG-oldal felhasználójának, és ráveszi a felhasználót, hogy kattintson rá arra.

Webalapú támadás esetén a támadónak olyan weboldalt kell üzemeltetnie, amely egy, a biztonsági rés kihasználását lehetővé tévő, különlegesen kialakított URL-címet tartalmaz, amely a támadással megcélzott oldalra mutat. Az érintett weboldalak és a felhasználó által biztosított tartalomnak, esetleg hirdetéseknek helyet adó weboldalak is tartalmazhatnak a biztonsági rést kihasználni képes különlegesen kialakított tartalmat. A támadónak nincs lehetősége arra, hogy a felhasználót a különlegesen kialakított webhely megnyitására kényszerítse. A támadónak rá kell vennie a felhasználókat, hogy látogassanak el a webhelyre. Ehhez általában rá kell kattintani egy e-mail üzenetben vagy azonnali üzenetküldő programban kapott üzenetre, majd az abban elhelyezett, speciálisan létrehozott URL-címre.

Mely rendszerekre jelenti a legnagyobb veszélyt a biztonsági rés?
A biztonsági rés az UAG-kiszolgálóhoz hozzáféréssel rendelkező felhasználókra jelent veszélyt.

Mi a frissítés feladata?
A frissítés a biztonsági rés megszüntetése érdekében módosítja az UAG különlegesen kialakított kérelmekre vonatkozó kezelési módját, így meggátolja a tartalom felhasználó felé történő tükrözését.

Ismert volt-e a nyilvánosság előtt ez a biztonsági rés a biztonsági közlemény kiadásának idején?
Nem. A Microsoft ezt a célt szolgáló koordinált tájékoztatáson keresztül szerzett tudomást a biztonsági résről.

A közlemény kibocsátásáig kapott-e a Microsoft a biztonsági rés kihasználásáról tájékoztató értesítést?
Nem. A Microsoft nem kapott olyan információt, hogy a biztonsági közlemény eredeti változatának megjelenéséig a biztonsági rést felhasználták volna nyilvános támadásra.

A Microsoft Forefront Unified Access Gateway (UAG) kiszolgálóban XSS-támadást lehetővé tévő biztonsági rés található, amelyet kihasználva JavaScript illeszthető be a létrejövő oldalba, és gyakorlatilag a támadó által ellenőrzött JavaScript futtatható a hivatkozásra kattintó felhasználó nevében.

A biztonsági rés standard bejegyzésének megtekintéséhez a normál biztonsági rés besorolási listáján lásd: CVE-2011-1897.

Az alapértelmezett tükröződő XSS-támadást lehetővé tévő biztonsági rés (CVE-2011-1897) súlyosságát enyhítő tényezők

Az enyhítő tényezők közé sorolható egy beállítás, konfiguráció vagy általánosan bevált gyakorlat, amely alapértelmezett állapotában csökkentheti a biztonsági rés kihasználásának valószínűségét. A következő enyhítő tényezők hasznosnak bizonyulhatnak:

  • Webalapú támadás esetén a támadónak olyan webhelyet kell üzemeltetnie, amely egy, a biztonsági rés kihasználását lehetővé tevő weblapot tartalmaz. Az érintett weboldalak és a felhasználó által biztosított tartalomnak, esetleg hirdetéseknek helyet adó weboldalak és hirdetések is tartalmazhatnak a biztonsági rést kihasználni képes különlegesen kialakított tartalmat. A támadóknak azonban nem áll módjukban a felhasználókat ezeknek a weboldalaknak a látogatására kényszerítenie. Ehelyett a támadóknak az adott webhelyre kell csábítaniuk a felhasználókat. Ezt rendszerint úgy érik el, hogy ráveszik őket arra, hogy kattintsanak rá egy e-mailben lévő hivatkozásra vagy azonnali üzenetkezelőben megjelenő kérésre.

Az alapértelmezett tükröződő XSS-támadást lehetővé tévő biztonsági rést (CVE-2011-1897) megkerülő lehetséges megoldások

A Microsoft egyelőre nem talált lehetséges megoldást a biztonsági rés megszüntetésére.

Gyakran ismétlődő kérdések az alapértelmezett tükröződő XSS-támadást lehetővé tévő biztonsági réssel (CVE-2011-1897) kapcsolatban

Mire terjed ki a biztonsági rés hatása?
Ez egy idegen webhelyen lévő parancsfájlok futtatására lehetőséget adó biztonsági rés, amely a jogok kiterjesztésével és adatokhoz való illetéktelen hozzáféréssel járhat.

Mi okozza a biztonsági rést?
A biztonsági rést az okozza, ha a Forefront Unified Access Gateway (UAG) nem megfelelően kezeli a különlegesen kialakított kérelmeket, így a felhasználóhoz tartalom tükröződhet.

Mire használhatja a biztonsági rést a támadó?
A biztonsági rést sikeresen kihasználó támadó elolvashat olyan tartalmakat, amelyhez nem rendelkezik hitelesítéssel, használhatja az áldozat azonosítóját, hogy a nevében műveleteket hajtson végre, és rosszindulatú tartalmat helyezhet el az áldozat böngészőjében.

Hogyan használhatja ki a támadó a biztonsági rést?
A biztonsági rés kihasználásához a megfelelő jogosultsággal rendelkező UAG-felhasználónak speciálisan kialakított URL-címre kell kattintani, amely a felhasználót az UAG-kiszolgáló célul kiválasztott, különlegesen kialakított parancsfájlt tartalmazó webhelyére viszi, majd a parancsfájlt visszatükrözi a felhasználó böngészőjébe.

E-mailes támadás esetén a támadó kihasználhatja a biztonsági rést, ha e-mail üzenetben elküldi a speciálisan létrehozott URL-címet a támadással megcélzott UAG-oldal felhasználójának, és ráveszi a felhasználót, hogy kattintson rá arra.

Webalapú támadás esetén a támadónak olyan weboldalt kell üzemeltetnie, amely egy, a biztonsági rés kihasználását lehetővé tévő, különlegesen kialakított URL-címet tartalmaz, amely a támadással megcélzott oldalra mutat. Az érintett weboldalak és a felhasználó által biztosított tartalomnak, esetleg hirdetéseknek helyet adó weboldalak is tartalmazhatnak a biztonsági rést kihasználni képes különlegesen kialakított tartalmat. A támadónak nincs lehetősége arra, hogy a felhasználót a különlegesen kialakított webhely megnyitására kényszerítse. A támadónak rá kell vennie a felhasználókat, hogy látogassanak el a webhelyre. Ehhez általában rá kell kattintani egy e-mail üzenetben vagy azonnali üzenetküldő programban kapott üzenetre, majd az abban elhelyezett, speciálisan létrehozott URL-címre.

Mely rendszerekre jelenti a legnagyobb veszélyt a biztonsági rés?
A biztonsági rés az UAG-kiszolgálóhoz hozzáféréssel rendelkező felhasználókra jelent veszélyt.

Mi a frissítés feladata?
A frissítés módosítja az UAG különlegesen kialakított kérelmekre vonatkozó kezelési módját, így meggátolja a tartalom felhasználó felé történő tükrözését.

Ismert volt-e a nyilvánosság előtt ez a biztonsági rés a biztonsági közlemény kiadásának idején?
Nem. A Microsoft ezt a célt szolgáló koordinált tájékoztatáson keresztül szerzett tudomást a biztonsági résről.

A közlemény kibocsátásáig kapott-e a Microsoft a biztonsági rés kihasználásáról tájékoztató értesítést?
Nem. A Microsoft nem kapott olyan információt, hogy a biztonsági közlemény eredeti változatának megjelenéséig a biztonsági rést felhasználták volna nyilvános támadásra.

A Microsoft Forefront Unified Access Gateway (UAG) olyan aláírt Java kisalkalmazást futtat, amelyet kártékony weboldalak távoli kódfuttatásra használhatnak a Java-kompatibilis böngészőkben.

A biztonsági rés standard bejegyzésének megtekintéséhez a normál biztonsági rés besorolási listáján lásd: CVE-2011-1969.

A Távoli kódfuttatás keserű pohara nevű biztonsági rés (CVE-2011-1969) súlyosságát enyhítő tényezők

Az enyhítő tényezők közé sorolható egy beállítás, konfiguráció vagy általánosan bevált gyakorlat, amely alapértelmezett állapotában csökkentheti a biztonsági rés kihasználásának valószínűségét. A következő enyhítő tényezők hasznosnak bizonyulhatnak:

  • Webalapú támadás esetén a támadónak olyan webhelyet kell üzemeltetnie, amely egy, a biztonsági rés kihasználását lehetővé tevő weblapot tartalmaz. Az érintett weboldalak és a felhasználó által biztosított tartalomnak, esetleg hirdetéseknek helyet adó weboldalak és hirdetések is tartalmazhatnak a biztonsági rést kihasználni képes különlegesen kialakított tartalmat. A támadóknak azonban nem áll módjukban a felhasználókat ezeknek a weboldalaknak a látogatására kényszerítenie. Ehelyett a támadóknak az adott webhelyre kell csábítaniuk a felhasználókat. Ezt rendszerint úgy érik el, hogy ráveszik őket arra, hogy kattintsanak rá egy e-mailben lévő hivatkozásra vagy azonnali üzenetkezelőben megjelenő kérésre.
  • A biztonsági rést kihasználó támadó a helyi felhasználóval egyező hozzáférést nyer a rendszerhez. A kevesebb jogosultsággal bíró fiókkal rendelkező felhasználók esetében kisebb a veszélyeztetettség, mint a rendszergazdai jogosultságokkal rendelkezők esetén

A Távoli kódfuttatás keserű pohara nevű biztonsági rés (CVE-2011-1969) lehetséges megoldásai

A lehetséges megoldás olyan beállítást vagy konfigurációs módosítást takar, amely magát a biztonsági rést nem szünteti meg, azonban a frissítés telepítése előtt segít az ismert támadási lehetőségek kivédésében. A Microsoft alaposan megvizsgálta a következő lehetséges megoldásokat, és tájékoztatja a felhasználókat, amennyiben a megoldás csökkenti a működőképességet:

  • A MicrosoftClient.Jar fájl tiltólistára helyezése

    Adja hozzá az alábbi bejegyzést a következő fájlhoz:

    Java\jre6\lib\security\blacklist

    # UAG Client MicrosoftClient.jar
    SHA1-Digest-Manifest: dBKbNW1PZSjJ0lGcCeewcCrYx5g=

    A megoldás hatása . A rendszer blokkolja a MicrosoftClient.JAR fájl futását.

    A megoldás visszavonása .

    Távolítsa el a bejegyzést a következő fájlból:

    Java\jre6\lib\security\blacklist

    # UAG Client MicrosoftClient.jar
    SHA1-Digest-Manifest: dBKbNW1PZSjJ0lGcCeewcCrYx5g=

Gyakran ismétlődő kérdések a Távoli kódfuttatás keserű pohara nevű biztonsági réssel (CVE-2011-1969) kapcsolatban

Mire terjed ki a biztonsági rés hatása?
A biztonsági rés távolról történő kódfuttatást tehet lehetővé. A biztonsági rést kihasználó támadó a bejelentkezett felhasználóval egyező hozzáférést nyer a rendszerhez. A kevesebb jogosultsággal bíró fiókkal rendelkező felhasználók esetében kisebb a veszélyeztetettség, mint a rendszergazdai jogosultságokkal rendelkezők esetén

Mi okozza a biztonsági rést?
A biztonsági rés oka a Forefront Unified Access Gateway (UAG) kiszolgáló által a böngészőbe telepített sebezhető Java kisalkalmazás.

Mire használhatja a biztonsági rést a támadó?
A támadó a biztonsági rés révén kihasználhatja az UAG szolgáltatást használó ügyfeleket.

Hogyan használhatja ki a támadó a biztonsági rést?
Sebezhető .jar fájlok ügyfélrendszerekre telepítésével bármely Java-kompatibilis böngészőben távoli programkódfuttatást lehetővé tevő biztonsági rés hozható létre. A biztonsági rést kihasználó támadó a bejelentkezett felhasználóval egyező hozzáférést nyer a rendszerhez. Ha a felhasználó rendszergazda jogosultságokkal jelentkezett be a rendszerbe, akkor a biztonsági rést kihasználó támadó teljes mértékben átveheti az irányítást az érintett rendszer felett. Ezt követően programokat telepíthet, illetve adatokat tekinthet meg, módosíthat és törölhet, de korlátozás nélküli jogosultságokkal rendelkező új fiókokat is létrehozhat.

Mely rendszerekre jelenti a legnagyobb veszélyt a biztonsági rés?
Az UAG szolgáltatást használó ügyfélrendszerekre. A biztonsági rés az UAG kiszolgálót nem fenyegeti.

Mi a frissítés feladata?
A frissítés módosítja az érintett .jar fájlt.

Ismert volt-e a nyilvánosság előtt ez a biztonsági rés a biztonsági közlemény kiadásának idején?
Nem. A Microsoft ezt a célt szolgáló koordinált tájékoztatáson keresztül szerzett tudomást a biztonsági résről.

A közlemény kibocsátásáig kapott-e a Microsoft a biztonsági rés kihasználásáról tájékoztató értesítést?
Nem. A Microsoft nem kapott olyan információt, hogy a biztonsági közlemény eredeti változatának megjelenéséig a biztonsági rést felhasználták volna nyilvános támadásra.

A Microsoft Forefront Unified Access Gateway (UAG) alkalmazás implementációiban szolgáltatásmegtagadást lehetővé tévő biztonsági rés található. A rés kihasználása esetén a támadó leállíthatja az IIS munkavégző folyamatot, és megtagadhatja a webes szolgáltatásokhoz történő hozzáférést az érintett rendszeren.

A biztonsági rés standard bejegyzésének megtekintéséhez a normál biztonsági rés besorolási listáján lásd: CVE-2011-2012.

Az üres munkamenet-cookie miatti összeomlás (CVE-2011-2012) súlyosságát enyhítő tényezők

A Microsoft egyelőre nem talált enyhítő tényezőket a biztonsági rés megszüntetésére.

Az üres munkamenet-cookie miatti összeomlás (CVE-2011-2012) lehetséges megoldásai

A Microsoft egyelőre nem talált lehetséges megoldást a biztonsági rés megszüntetésére.

Gyakran ismételt kérdések az üres munkamenet-cookie miatti összeomlással (CVE-2011-2012) kapcsolatban

Mire terjed ki a biztonsági rés hatása?
Ez a biztonsági rés szolgáltatásmegtagadást okoz.

Mi okozza a biztonsági rést?
A biztonsági rés oka a munkamenet-cookien belül található NULL érték nem megfelelő érvényesítése.

Mire használhatja a biztonsági rést a támadó?
A biztonsági rést kihasználó támadó a webkiszolgáló összeomlását idézheti elő az érintett UAG-számítógépen.

Hogyan használhatja ki a támadó a biztonsági rést?
A támadó úgy használhatja ki a biztonsági rést, hogy speciálisan kialakított hálózati forgalmat irányít az érintett UAG webkiszolgálóra.

Mely rendszerekre jelenti a legnagyobb veszélyt a biztonsági rés?
Az UAG webkiszolgálót alkalmazó rendszerek.

Mi a frissítés feladata?
A frissítés kivételkezelést ad hozzá az UAG webkiszolgáló null értékéhez.

Ismert volt-e a nyilvánosság előtt ez a biztonsági rés a biztonsági közlemény kiadásának idején?
Nem. A Microsoft ezt a célt szolgáló koordinált tájékoztatáson keresztül szerzett tudomást a biztonsági résről.

A közlemény kibocsátásáig kapott-e a Microsoft a biztonsági rés kihasználásáról tájékoztató értesítést?
Nem. A Microsoft nem kapott olyan információt, hogy a biztonsági közlemény eredeti változatának megjelenéséig a biztonsági rést felhasználták volna nyilvános támadásra.

Frissítési információ

A szoftveres és biztonsági frissítések kezeléséhez azokat a szervezet asztali és hordozható rendszereire, valamint kiszolgálóira is telepíteni kell. További tájékoztatásért látogasson el a TechNet Update Management Center weboldalára. A Microsoft TechNet biztonsággal foglalkozó webhelye további információkat tartalmaz a Microsoft termékeinek biztonsági kérdéseiről.

A biztonsági frissítések a Microsoft letöltő központban érhetők el. Legegyszerűbben a „security update” kifejezésre irányuló kulcsszavas kereséssel találhatja meg ezeket. A frissítések a többi szokásos terjesztési csatornákon keresztül is elérhetőek lesznek, amint befejeződött e csatornák tesztelése.

Érintett szoftverek

Az érintett szoftverre vonatkozó biztonsági frissítésről a megfelelő hivatkozásra kattintva tudhat meg többet:

Forefront Unified Access Gateway 2010 (összes verzió)

Hivatkozási táblázat

Az alábbi táblázat a szoftverre vonatkozó, biztonsági frissítésekkel kapcsolatos információkat tartalmazza. További tudnivalókat olvashat a fejezet Tudnivalók a telepítésről című részében.

Közzététel jövőbeni szervizcsomagokban A hiba javítása szerepelni fog egy jövőbeni szervizcsomagban vagy frissítőcsomagban.
Telepítés
Telepítés felhasználói beavatkozás nélkülForefront Unified Access Gateway 2010 (KB2522482) esetén:
UAG_HF_KB2522482_0_0_8.msp /quiet
Forefront Unified Access Gateway 2010 Update 1 (KB2522483) esetén:
UAG-KB2522483-v4.0,1152.163-ENU.msp /quiet
Forefront Unified Access Gateway 2010 Update 2 (KB2522484) esetén:
UAG-KB2522484-v4.0,1269.284-ENU.msp /quiet
Forefront Unified Access Gateway 2010 Service Pack 1 (KB2522485) esetén:
UAG-KB2522485-v4.0.1752.10073-ENU.msp /quiet
Telepítés újraindítás nélkülForefront Unified Access Gateway 2010 (KB2522482) esetén:
UAG_HF_KB2522482_0_0_8.msp /norestart
Forefront Unified Access Gateway 2010 Update 1 (KB2522483) esetén:
UAG-KB2522483-v4.0,1152.163-ENU.msp /norestart
Forefront Unified Access Gateway 2010 Update 2 (KB2522484) esetén:
UAG-KB2522484-v4.0,1269.284-ENU.msp /norestart
Microsoft Forefront Unified Access Gateway 2010 Service Pack 1 (KB2522485) esetén:
UAG-KB2522485-v4.0.1752.10073-ENU.msp /norestart
Frissítési naplófájlForefront Unified Access Gateway 2010 (KB2522482) esetén:
MSI2522482.log
Forefront Unified Access Gateway 2010 Update 1 (KB2522483) esetén:
MSI2522483.log
Forefront Unified Access Gateway 2010 Update 2 (KB2522484) esetén:
MSI2522484.log
Microsoft Forefront Unified Access Gateway 2010 Service Pack 1 (KB2522485) esetén:
MSI2522485.log
További információkLásd az Észlelési és telepítési eszközök, útmutatás című alfejezetet
Újraindítás szükségessége
Újraindítás szükséges?Egyes esetekben a frissítés nem teszi szükségessé a számítógép újraindítását. Ha azonban a szükséges fájlokat más program használja, a frissítést követően újra kell indítani a számítógépet. Ebben az esetben a rendszer üzenetben figyelmezteti a felhasználót ennek szükségességére.

Ha csökkenteni akarja a számítógép újraindítása szükségességének valószínűségét, a biztonsági frissítés telepítése előtt állítsa le az érintett fájlokat esetlegesen használó valamennyi érintett szolgáltatást és alkalmazást. A Microsoft Tudásbázis 887012 számú cikkében talál bővebb információt arra vonatkozóan, hogy miért kérheti a rendszer az újraindítást.
HotPatchingNem érintett
Információ az eltávolításhoz Nyissa meg a Telepített frissítések ablakot egy beépített rendszergazdai fiókban, vagy futtassa az msiexec parancsot az emelt szintű parancssorból.
Fájlinformációk Forefront Unified Access Gateway 2010 (KB2522482) esetén:
Lásd a Microsoft Tudásbázis 2522482. számú cikkét
Forefront Unified Access Gateway 2010 Update 1 (KB2522483) esetén:
Lásd a Microsoft Tudásbázis 2522483. számú cikkét
Forefront Unified Access Gateway 2010 Update 2 (KB2522484) esetén:
Lásd a Microsoft Tudásbázis 2522484. számú cikkét
Microsoft Forefront Unified Access Gateway 2010 Service Pack 1 (KB2522485) esetén:
Lásd a Microsoft Tudásbázis 2522485. számú cikkét
Beállításkulcsok ellenőrzése Forefront Unified Access Gateway 2010 (KB2522482) esetén:
\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\1F535B6CD0A46D11CA9800102002AF58\E85EC0B9221C4BC4081C15D414260CC7\54EBBA62-C7BB-4006-91D2-EFEB0738F93A
Forefront Unified Access Gateway 2010 Update 1 (KB2522483) esetén:
\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\1F535B6CD0A46D11CA9800102002AF58\E85EC0B9221C4BC4081C15D414260CC7\038FB8C4-F12D-428B-83F5-A964C34B6F2E
Forefront Unified Access Gateway 2010 Update 2 (KB2522484) esetén:
\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\1F535B6CD0A46D11CA9800102002AF58\E85EC0B9221C4BC4081C15D414260CC7\95244A26-7896-47D2-A49D-1FF43BC1C53C
Microsoft Forefront Unified Access Gateway 2010 Service Pack 1 (KB2522485) esetén:
\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\1F535B6CD0A46D11CA9800102002AF58\E85EC0B9221C4BC4081C15D414260CC7\715FC104-32DB-4AAB-A1B9-F1F496F71DE5

Tudnivalók a központi telepítésről

A frissítés telepítése

A biztonsági frissítés telepítésekor a telepítő ellenőrzi, hogy a számítógépen frissítendő fájlokat egy korábbi Windows-gyorsjavítás nem frissítette-e.

Ha a fájlok valamelyikét korábban már frissítette egy gyorsjavítással, a telepítő az RTMQFE, SP1QFE vagy SP2QFE fájlokat másolja a rendszerre, Ellenkező esetben a telepítő az RTMGDR, SP1GDR vagy SP2GDR fájlokat másolja a számítógépre. A biztonsági frissítések esetleg nem tartalmazzák a fájlok összes változatát. Erről a jelenségről a Microsoft Tudásbázis 824994. számú cikkében talál bővebb információt.

A telepítőről a Microsoft Tudásbázis 832475. számú cikkében talál bővebb információt.

A közleményben alkalmazott szakkifejezésekkel (pl. gyorsjavítás) kapcsolatban tekintse meg a Microsoft Tudásbázis 824684. számú cikkét.

A biztonsági frissítés telepítője az alábbi kapcsolók használatát támogatja:

A biztonsági frissítés támogatott telepítési kapcsolói
KapcsolóLeírás
/help A parancssori kapcsolók megjelenítése.
Telepítési üzemmódok
/passive Felügyelet nélküli telepítési mód. Nincs szükség felhasználói beavatkozásra, de a telepítési folyamat állapota kijelzésre kerül. Ha a telepítés végén újraindításra van szükség, úgy jelenik meg a párbeszédpanel, hogy figyelmezteti a felhasználót, hogy az újraindítás 30 másodperc múlva bekövetkezik.
/quiet Csendes mód. Megegyezik a felügyelet nélküli móddal, de nem jelenik meg állapotjelzés és hibaüzenet.
Újraindítási lehetőségek
/ norestart Újraindítás mellőzése a telepítés végén.
/ forcerestart A számítógép újraindítása a telepítés után és más alkalmazások becsukása leállításkor, a kinyitott fájlok mentése nélkül.
/ warnrestart [:x] Párbeszédpanel figyelmezteti a felhasználót, hogy a számítógép x másodpercen belül újraindul. (Az alapértelmezés szerinti beállítás 30 másodperc.) A /quiet vagy a /passive kapcsolóval történő használatra szánták.
/ promptrestart Megjelenik egy párbeszédpanel, amely kéri a helyi felhasználót az újraindítás engedélyezésére.
Speciális lehetőségek
/ overwriteoem OEM-fájlok felülírása figyelmeztetés nélkül.
/ nobackup Az eltávolításhoz szükséges fájlok biztonsági mentésének kihagyása.
/ forceappsclose A számítógép leállításakor más programok bezárásának kényszerítése.
/ log:útvonal A telepítési naplófájlok átirányítását engedélyezi.
/ integrate:útvonal Integrálja a frissítést a Windows forrásfájljaiba. A fájlok a kapcsolóban megadott elérési úton találhatóak.
/extract[:path] A fájlok kibontása a telepítőprogram elindítása nélkül.
/ER Bővített hibajelentés engedélyezése.
/verbose Részletes naplózás engedélyezése. A telepítés során létrehozza a %Windir%\CabBuild.log fájlt. A naplófájlban a másolt fájlok szerepelnek. A kapcsoló hatására a rendszer lelassulhat.

Megjegyzés: A kapcsolók egyetlen parancsban is megadhatók. A visszamenőleges kompatibilitás érdekében a biztonsági frissítés a korábbi verziójú telepítőprogram telepítési kapcsolóit is támogatja. A rendelkezésre álló telepítési kapcsolókról a Microsoft Tudásbázis 262841 számú cikkében talál további ismertetést.

Megjegyzés Ennél a frissítésnél a /quiet és a /forcerestart kapcsoló együttesen nem alkalmazható. Ez a telepítési kapcsolók használatának egyik ismert problémája; a további tudnivalókhoz lásd a Microsoft Tudásbázis 2316074. számú cikkét.

A frissítés eltávolítása

A biztonsági frissítés telepítője az alábbi kapcsolók használatát támogatja:

Támogatott Spuninst.exe kapcsolók
KapcsolóLeírás
/help A parancssori kapcsolók megjelenítése.
Telepítési üzemmódok
/passive Felügyelet nélküli telepítési mód. Nincs szükség felhasználói beavatkozásra, de a telepítési folyamat állapota kijelzésre kerül. Ha a telepítés végén újraindításra van szükség, úgy jelenik meg a párbeszédpanel, hogy figyelmezteti a felhasználót, hogy az újraindítás 30 másodperc múlva bekövetkezik.
/quiet Csendes mód. Megegyezik a felügyelet nélküli móddal, de nem jelenik meg állapotjelzés és hibaüzenet.
Újraindítási lehetőségek
/ norestart Újraindítás mellőzése a telepítés végén
/ forcerestart A számítógép újraindítása a telepítés után és más alkalmazások becsukása leállításkor, a kinyitott fájlok mentése nélkül.
/ warnrestart [:x] Párbeszédpanel figyelmezteti a felhasználót, hogy a számítógép x másodpercen belül újraindul. (Az alapértelmezés szerinti beállítás 30 másodperc.) A /quiet vagy a /passive kapcsolóval történő használatra szánták.
/ promptrestart Megjelenik egy párbeszédpanel, amely kéri a helyi felhasználót az újraindítás engedélyezésére.
Speciális lehetőségek
/ forceappsclose A számítógép leállításakor más programok bezárásának kényszerítése.
/ log:útvonal A telepítési naplófájlok átirányítását engedélyezi.

A frissítés telepítésének ellenőrzése

  • Microsoft Baseline Security Analyzer

    A Microsoft Baseline Security Analyzer (MBSA) eszközzel ellenőrizheti, hogy a biztonsági frissítés telepítve van-e az érintett számítógépen. További tájékoztatásért tekintse meg a közlemény korábbi részének Észlelési és telepítési eszközök, útmutatás című fejezetét.

  • Fájlverziószám ellenőrzése

    Mivel a Microsoft Windows operációs rendszernek több verziója és kiadása is van, a lépések az egyes rendszereken eltérőek lehetnek. Ilyen esetben a megfelelő lépések végrehajtásához az adott termék dokumentációja ad segítséget.

    1. Kattintson a Start menü Keresés parancsára.
    2. A Keresés eredménye ablak Keresés ablaktáblájában válassza a Minden mappa és fájl elemet.
    3. A fájlnév része vagy egésze mezőbe írja be a táblázatban szereplő megfelelő fájl nevét, majd kattintson a Keresés gombra.
    4. A fájlok listájában kattintson jobb gombbal a megfelelő fájl nevére, majd kattintson a Tulajdonságok parancsra.

      Megjegyzés Az operációs rendszer vagy a programok verziószámától függően elképzelhető, hogy a fájlinformációs táblázatban szereplő fájlok némelyike nem található meg a rendszerben.
    5. A Verzió lapon hasonlítsa össze a rendszeren lévő fájl verziószámát a megfelelő táblázatban szereplő fájl verziószámával.

      Megjegyzés A telepítés során a fájl verziószámán kívül más attribútumok is megváltozhatnak. Ezen attribútumok fájlinformációs táblázatban szereplő adatokkal való összevetése a frissítés alkalmazásának nem ajánlott ellenőrzési módja. Előfordulhat az is, hogy a telepítés során bizonyos esetekben a rendszer fájlokat nevez át. Ha a fájl- vagy verzióadatok nem találhatók, ellenőrizze a frissítés telepített példányát egyéb módszerek segítségével.
  • Beállításkulcsok ellenőrzése

    A biztonsági frissítés által telepített fájlokat a Hivatkozási táblázatban feltüntetett rendszerleíróadatbázis-kulcsok segítségével is ellenőrizheti.

    Nem biztos, hogy ezek a rendszerleíró kulcsok az összes telepített fájlt tartalmazzák. Ne feledje azt sem, hogy ha a rendszergazda vagy az OEM gyártó beépíti a biztonsági frissítést a Windows rendszer telepítési forrásfájljaiba, a program esetleg hibásan hozza létre a rendszerleíró kulcsokat.

Egyéb információ

Köszönetnyilvánítás

A Microsoft köszönetét fejezi ki a vásárlók védelmének biztosításában nyújtott segítségért az alábbi szervezet(ek)nek és szakember(ek)nek:

  • Tenable Network Security, az ExcelTable válaszfelosztás miatti, XSS-támadást lehetővé tévő biztonsági résének (CVE-2011-1895) jelentéséért
  • Tenable Network Security, az ExcelTable válaszfelosztás miatti, XSS-támadást lehetővé tévő biztonsági résének (CVE-2011-1895) jelentéséért
  • Tenable Network Security, az ExcelTable tükröződő XSS-támadást lehetővé tévő biztonsági résének (CVE-2011-1896) jelentéséért
  • Elisabeth Demeter, SEC Consult Unternehmensberatung GmbH, A Távoli kódfuttatás keserű pohara nevű biztonsági rés (CVE-2011-1969) jelentéséért

Microsoft Active Protections Program (MAPP)

Az ügyfelek védelmének növelése érdekében a biztonsági szoftverekkel foglalkozó nagyobb gyártók a Microsoft a havi biztonsági közlemények megjelenése előtt ellátja biztonsági résekkel kapcsolatos információkkal. Így a biztonságiszoftver-gyártók a kapott biztonsági résekkel kapcsolatos információt felhasználhatják ügyfeleik hatásosabb védelmére az olyan biztonsági szoftverek vagy eszközök (például víruskeresők, hálózati behatolásérzékelő rendszerek vagy kiszolgálóalapú behatolásvédelmi rendszerek) frissítése által. A biztonságiszoftver-gyártók által kiadott aktív védelem elérhetőségéről a Microsoft Active Protections Program (MAPP) Partners webhelyén található listán szereplő és a programban részt vevő gyártók aktív védelmi webhelyein tájékozódhat.

Terméktámogatás

Felelősséget kizáró nyilatkozat

A Microsoft Tudásbázisban leírtak előzetes bejelentés nélkül változhatnak, és a cikkek tartalmáért a Microsoft nem vállal garanciát. A Microsoft egyben elhárít minden kifejezett és értelemszerű garanciát, beleértve az eladhatóságra és az adott célra való alkalmasságra vonatkozó garanciát is. A Microsoft Corporation vagy annak szállítói semmilyen körülmények között nem tehetők felelőssé közvetlen, közvetett, eseti, ok-okozati vagy különleges kárért (beleértve az elmaradt hasznot is), még akkor sem, ha a Microsoft Corporation vagy szállítói tudatában voltak a kár lehetséges voltának. Egyes államok törvényi szabályozása nem teszi lehetővé a véletlen vagy ok-okozati károkért vállalt felelősség korlátozását vagy kizárását, így ezekben az államokban az ez a felelősségkizárás nincs érvényben.

Verziók

  • 1.0 verzió (2011. október 11.): Közlemény kiadva.

Built at 2014-04-18T01:50:00Z-07:00

Megjelenítés: