Microsofts sikkerhetsveiledning 953818
Blandet trussel fra kombinerte angrep via Apples Safari på Windows-plattformen
Publisert: 30. mai 2008 | Oppdatert: 14. april 2009
Versjon: 2.0
Microsoft har undersøkt offentlige rapporter om en blandet trussel som gjør det mulig å kjøre ekstern kode på alle støttede versjoner av Windows XP og Windows Vista når Apples Safari for Windows er installert. Safari er ikke installert på Windows XP eller Windows Vista som standard, det må installeres uavhengig gjennom programmet Apple Software Update. Kunder som kjører Safari på Windows bør lese gjennom denne veiledningen.
Vi har publisert Microsofts sikkerhetsbulletin MS09-014, kumulativ sikkerhetsoppdatering for Internet Explorer (963027) og MS09-015, sikkerhetsproblemet med blandet trussel i søkebane som kan tillate rettighetsutvidelse (959426), for å løse dette problemet. Hvis du vil ha mer informasjon om dette problemet, inkludert nedlastingskoblinger til sikkerhetsoppdateringer, kan du se gjennom MS09-014 og MS09-015.
Apples kundestøtte har utgitt en sikkerhetsveiledning som omhandler sikkerhetsproblemet i Apples Safari 3.1.2 for Windows. Se sikkerhetsveiledningen fra Apple Om sikkerhetsinnholdet i Safari 3.1.2 for Windows hvis du vil ha mer informasjon.
Begrensende faktorer:
- Kunder som har endret standardplasseringen som Safari laster ned innhold til på den lokale harddisken, er ikke berørt av denne blandede trusselen.
Generell informasjon
Oversikt
Målet med veiledningen: Å gi kundene det opprinnelige varselet samt tilleggsinformasjon om virkningen på de berørte Windows-plattformene.
Status for veiledningen: Veiledning publisert.
Anbefaling: Les gjennom de foreslåtte handlingene og konfigurer etter behov.
| Referanser | Identifisering |
|---|---|
| Microsoft Knowledge Base-artikkel | 953818 |
| Microsofts sikkerhetsbulletin | MS09-014 |
| Microsofts sikkerhetsbulletin | MS09-015 |
| CVE-referanse | CVE-2008-2540 |
Denne veiledningen gjelder følgende programvare.
| Berørt programvare |
| Windows XP Service Pack 2 |
| Windows XP Service Pack 3 |
| Windows XP Professional x64 Edition |
| Windows XP Professional x64 Edition Service Pack 2 |
| Windows Vista |
| Windows Vista Service Pack 1 |
| Windows Vista x64 Edition |
| Windows Vista x64 Edition Service Pack 1 |
| Internet Explorer 6 for Windows XP Service Pack 2, Windows XP Service Pack 3, Windows XP Professional x64 Edition og Windows XP Professional x64 Edition Service Pack 2 |
| Internet Explorer 7 for Windows XP Service Pack 2, Windows XP Service Pack 3, Windows XP Professional x64 Edition og Windows XP Professional x64 Edition Service Pack 2 |
| Internet Explorer 7 for Windows Vista, Windows Vista Service Pack 1, Windows Vista x64 Edition og Windows Vista x64 Edition Service Pack 1 |
Vanlige spørsmål
Hva behandles i veiledningen?
Denne veiledningen redegjør for offentlige rapporter om en blandet trussel som kan tillate ekstern kjøring av kode, og som berører alle støttede versjoner av Windows XP og Windows Vista. Hvis du vil ha en fullstendig liste over den berørte programvaren, kan du se gjennom programvaren som er oppført i delen Oversikt.
Er dette et sikkerhetsproblem som krever at Microsoft gir ut en sikkerhetsoppdatering?
Vi har publisert Microsofts sikkerhetsbulletin MS09-014, kumulativ sikkerhetsoppdatering for Internet Explorer (963027) og MS09-015, sikkerhetsproblemet med blandet trussel i søkebane som kan tillate rettighetsutvidelse (959426), for å løse dette problemet.
Hva forårsaker denne trusselen?
En kombinasjon av standard nedlastingsplassering i Safari og hvordan Windows-skrivebordet håndterer kjørbare filer fører til en blandet trussel som gjør at filer kan lastes ned til en brukers maskin uten å spørre brukeren, og at de tillates å kjøre. Safari er tilgjengelig som en frittstående installasjon eller via programmet Apple Software Update.
Hvordan kan en angriper utnytte denne funksjonen?
En angriper kan lure brukere til å besøke et spesiallaget webområde som kan laste ned innhold til en brukers maskin og kjøre innholdet lokalt ved hjelp av de samme tillatelsene som den påloggede brukeren har.
Forslag til tiltak
- Installer oppdateringene i Microsofts sikkerhetsbulletin MS09-014, kumulativ sikkerhetsoppdatering for Internet Explorer (963027) og MS09-015, sikkerhetsproblemet med blandet trussel i søkebane som kan tillate rettighetsutvidelse (959426), som gjelder miljøet ditt.
- Hvis du bruker Apple Safari på Windows, må du kontrollere at du har versjon 3.1.2 eller nyere. Den nyeste Apple Safari-oppdateringen er tilgjengelig på Apple Safari Download.
- Les gjennom Microsoft Knowledge Base-artikkelen som er knyttet til denne veiledningen.
Løsninger
Microsoft har testet de midlertidige løsningene nedenfor. Disse midlertidige løsningene blokkerer kjente angrepsvektorer, men de løser ikke det underliggende sikkerhetsproblemet. Hvis en midlertidig løsning reduserer funksjonaliteten, angis dette i den følgende delen.
- Endre nedlastingsplasseringen av innhold i Safari til en nyopprettet katalog
- Opprett en ny katalog, for eksempel c:\SafariNedlasting.
- Klikk Rediger i Safari, og pek på Valg.
- For alternativet Arkiver nedlastede filer i:, velger du den nyopprettede katalogen.
Annen informasjon
Takk til:
- Aviv Raff for å ha samarbeidet med oss og for rapporten om den blandede trusselen med Safari og Microsoft Internet Explorer
Ressurser:
- Du kan gi oss tilbakemelding ved å fylle ut skjemaet som du kan få fra Microsoft Hjelp og støtte: Kontakt oss.
- Kunder i USA og Canada kan få kundestøtte hos Microsoft Product Support Services. Du finner mer informasjon om tilgjengelige alternativer for støtte ved å gå til Microsoft Hjelp og støtte.
- Internasjonale kunder kan få kundestøtte fra de lokale representasjonskontorene for Microsoft. Hvis du vil ha mer informasjon om hvordan du kontakter Microsoft angående internasjonale kundestøtteproblemer, går du til Internasjonal støtte.
- Microsoft TechNet Security gir ytterligere informasjon om sikkerhet for Microsoft-produkter.
Ansvarsfraskrivelse:
Informasjonen i denne veiledningen tilbys som den er, uten noen form for garanti. Microsoft fraskriver seg ethvert ansvar, enten direkte eller indirekte, herunder garantier om salgbarhet og anvendelighet for særskilte formål. Microsoft Corporation eller dets leverandører skal ikke under noen omstendigheter holdes ansvarlig for noen skader eller tap herunder direkte, indirekte eller tilfeldige skader eller tap, konsekvenstap, tap av inntekter eller spesielle skader, også i tilfeller der Microsoft Corporation eller dets leverandører er underrettet om muligheten for slike skader eller tap. Ettersom enkelte land ikke tillater fraskrivelse eller begrensning av ansvar for følgeskade eller tilfeldig skade, kan det hende at ovennevnte begrensning ikke gjelder.
Revisjoner:
- V1.0 (30. mai 2008): Veiledning publisert.
- V1.1 (6. juni 2008): Endret trinnene i den midlertidige løsningen og la til Takk til.
- V1.2 (20. juni 2008): Veiledningen er oppdatert for å gi kobling til relatert sikkerhetsveiledning fra Apple.
- V1.3 (2. juli 2008): Oppdatert de foreslåtte handlingene.
- V2.0 (14. april 2009): Lagt til referanser og koblinger til MS09-014 og MS09-015, som omtaler problemet i denne veiledningen.
Built at 2014-04-18T01:50:00Z-07:00