MS02-069: Chyba v modulu Microsoft VM ohrožuje zabezpečení systému Windows

ID článku: 810030
Rozbalit všechny záložky | Minimalizovat všechny záložky

Na této stránce

Příznaky

Modul Microsoft VM (Microsoft virtual machine) představuje virtuální stroj pro operační prostředí Win32. Modul Microsoft VM je součástí většiny verzí systému Windows a většiny verzí aplikace Microsoft Internet Explorer.

K dispozici je nová verze modulu Microsoft VM, ktrá obsahuje všechny dříve uvedené opravy pro modul Microsoft VM a opravy osmi nově zjištěných chyb zabezpečení. Způsoby zneužití všech těchto nových chyb jsou nejpravděpodobněji stejné. Útočník může vytvořit webovou stránku, která po svém otevření zneužije některou z chyb zabezpečení, a tuto webovou stránku buď může hostovat na svém webovém serveru, nebo ji uživateli zašle jako e-mailovou zprávu ve formátu HTML.

Mezi nově nalezené chyby patří:
  • Chyba zabezpečení, díky které může nedůvěryhodný aplet jazyka Java přistupovat k objektům Component Object Model (COM)

    Objekty COM z principu zpřístupňují své funkce, a proto by měly být k dispozici pouze důvěryhodným programům jazyka Java. Některé objekty COM nabízejí funkce, pomocí kterých může útočník převzít řízení systému.
  • Pár chyb zabezpečení, které mohou skrýt skutečné umístění, na které se odkazuje atribut základního kódu apletu (codebase)

    I když každá z těchto chyb má různé příčiny, mají obě potenciálně stejný výsledek. Aplety jazyka Java uložené v úložišti uživatele či ve sdílené síťové složce mají z principu oprávnění ke čtení složky, ve které jsou umístěny, a ke všem podřízeným složkám. Tyto chyby zabezpečení představují metody, pomocí kterých je možné oklamat aplet na webovém serveru tak, že pracuje s jiným umístěním v atributu základního kódu. Takto se poté zdá, že aplet je umístěn v místním počítači uživatele či ve sdílené síťové složce namísto svého skutečného umístění.
  • Chyba zabezpečení umožňující útočníkovi sestavit takovou adresu URL, která po svém překladu načte aplet jazyka Java z jednoho webového serveru, ale bude předstírat, že byl daný aplet načten z jiného webového serveru

    Tato chyba zabezpečení umožňuje spuštění apletu útočníka v doméně jiného serveru. Veškeré informace poskytnuté uživatelem tomuto apletu mohou být předány zpět útočníkovi.
  • Chyba zabezpečení umožňující apletu měnit obsah databáze

    K této chybě zabezpečení dochází, protože modul Microsoft VM nebrání apletům ve volání rozhraní API JDBC, která představují sadu rozhraní API poskytujících metody pro přístup k databázím. Tato rozhraní API z principu poskytují funkce k přidávání, změnám, odstraňování a úpravám obsahu databází, a to pouze na základě oprávnění uživatele.
  • Chyba zabezpečení, pomocí které může útočník dočasně zabránit určeným objektům jazyka Java v načtení a spuštění

    Standard Security Manager, nižší verze mechanismu zabezpečení, umožňuje uživateli nastavit omezení apletů jazyka Java včetně zamezení spuštění. Modul Microsoft VM ovšem nedostatečně řídí přístup k nástroji Standard Security Manager, a proto může aplet útočníka přidat na seznam omezených objektů i další objekty jazyka Java.
  • Chyba zabezpečení, díky které může útočník zjistit uživatelské jméno v místním počítači

    K této chybě zabezpečení dochází, protože systémová vlastnost user.dir je k dispozici nedůvěryhodným apletům. I když samotná znalost uživatelského jména nepředstavuje ohrožení zabezpečení, mohou být tyto informace útočníkovi užitečné pro různé účely, například zkoumání síťového prostředí.
  • Chyba zabezpečení, ke které dochází proto, že aplet jazyka Java může vytvořit neúplnou instanci jiného objektu jazyka Java

    Následkem je havárie programu, který daný objekt obsahuje (Internet Explorer).
Zpět nahoru | Dejte nám zpětnou vazbu

Řešení

K odstranění těchto potíží nainstalujte aktualizaci 810030: Aktualizace zabezpečení modulu Microsoft VM. Tato aktualizace upgraduje modul Microsoft VM na verzi 5.00.3809. Všechny verze modulu Microsoft VM nižší než 5.00.3809 jsou ohroženy chybami zabezpečení uvedenými v části Příznaky v tomto článku.

Nalezení aktualizace

Tuto aktualizaci naleznete v části Důležité aktualizace na následujícím webovém serveru Microsoft Windows Update:
http://update.microsoft.com
(http://update.microsoft.com)


Správci mohou tuto aktualizaci z důvodu instalace do více počítačů, ve kterých je již nainstalován modul Microsoft VM, stáhnout z Katalogu systému Windows Update
(http://v4.update.microsoft.com/catalog)
. Chcete-li tuto aktualizaci stáhnout k pozdější instalaci do jednoho či více počítačů, vyhledejte ID tohoto článku pomocí rozšířeného vyhledávání v Katalogu systému Windows Update. Další informace, jak stáhnout aktualizace z Katalogu systému Windows Update, naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:
323166
(http://support.microsoft.com/kb/323166/CS/ )
JAK: Stahování aktualizací a ovladačů pro systém Windows z Katalogu systému Windows Update
Poznámka: Verzi této aktualizace modulu Microsoft VM pro systém Windows 2000 můžete nainstalovat do systému Windows 2000 Service Pack 2 nebo vyšší a nelze ji nainstalovat do jiného operačního systému. Při stahování této aktualizace pro systém Windows 2000 zvolte jako svůj operační systém Windows 2000 SP2 či Windows 2000 SP3.

Ke stažení této aktualizace pro systém Windows XP, Windows NT 4.0, Windows Millennium Edition (ME), Windows 98 Druhé vydání či Windows 98 zvolte jako svůj operační systém Windows XP, Windows Millennium Edition či Windows 98.

Poznámka: Počítače se systémem Windows NT 4.0 nemají přístup ke Katalogu systému Windows Update. Pokud jste si stáhli balíček pro systém Windows NT 4.0 k instalaci do více počítačů či k pozdější instalaci, navštivte Katalog systému Windows Update z počítače se systémem Windows 98, Windows Millennium Edition, Windows 2000, Windows XP či Windows Server 2003 a poté zvolte jako svůj operační systém Windows 98, Windows Millennium Edition či Windows XP. Tato aktualizace zabezpečení je navržena k instalaci také do systému Windows NT 4.0. Správci, kteří nemají přístup k počítači se systémem Windows XP, Windows 98, Windows Millennium Edition, Windows 2000 či Windows Server 2003 a nemohou tedy navštívit Katalog systému Windows Update, se mohou se žádostí o tuto opravu obrátit na službu technické podpory společnosti Microsoft (Product Support Services). Úplný seznam telefonních čísel a ceník poskytované odborné pomoci naleznete na následující webové stránce společnosti Microsoft:
http://support.microsoft.com/default.aspx?scid=fh;EN-US;CNTACTMS
(http://support.microsoft.com/default.aspx?scid=fh;EN-US;CNTACTMS)

Informace o instalaci

Tuto aktualizaci je možné nainstalovat pouze do počítače, ve kterém je již nainstalována předchozí verze modulu Microsoft VM. Další informace, jak nainstalovat modul Microsoft VM bez uživatelské interakce a bez restartování počítače, naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:
304930
(http://support.microsoft.com/kb/304930/CS/ )
Jak nainstalovat modul Microsoft VM bez uživatelské interakce a bez restartování počítače

Informace o souborech

Anglická verze této opravy má následující nebo vyšší atributy souborů. Data a časy jednotlivých souborů jsou uvedeny ve formátu UTC (coordinated universal time). Při zobrazení informací o souboru jsou data a čas převedeny na místní čas. Rozdíl mezi místním časem a časem UTC naleznete na kartě Časové pásmo na panelu Datum a čas v okně Ovládací panely. 
Datum        Čas    Verze           Velikost   Název souboru -------------------------------------------------------------- 20. 3. 2002  11:52                      2 678  Classes.cer 18. 11. 2002 14:07                  5 751 849  Classes.zip 18. 11. 2002 14:11  5.0.3809.0        404 752  Javart.dll 18. 11. 2002 14:09  5.0.3809.0        172 304  Jview.exe 18. 11. 2002 14:11  5.0.3809.0        947 984  Msjava.dll 20. 3. 2002  11:52                      2 678  Msjdbc.cer 18. 11. 2002 14:07                    137 482  Msjdbc.zip 29. 5. 2001  00:58                     10 957  Osp.zip
Poznámka: Po instalaci aktualizovaného modulu VM budou mít všechny soubory .zip jiný název. Toto je obvyklé chování a je možné je ignorovat. Pro toto vydání byly změněny pouze některé soubory v balíčcích ZIP. Není ovšem možné je distribuovat samostatně.
Zpět nahoru | Dejte nám zpětnou vazbu

Prohlášení

Společnost Microsoft potvrzuje, že tato chyba může určitým způsobem ohrozit zabezpečení modulu Microsoft VM.
Zpět nahoru | Dejte nám zpětnou vazbu

Další informace

K určení čísla sestavení modulu Microsoft VM v počítači se systémem Windows 98, Windows 98 Druhé vydání (SE) nebo Windows Millennium Edition postupujte podle následujících pokynů:
  1. Klepněte na tlačítko Start a poté klepněte na příkaz Spustit.
  2. Do pole Otevřít zadejte příkaz command a poté klepněte na tlačítko OK.
  3. Na příkazovém řádku zadejte příkaz jview a poté stiskněte klávesu ENTER. Informace o verzi se zobrazí na prvním řádku jako Verze n.nn.nnnn, kde poslední čtyři čísla nnnn znamenají číslo sestavení. Například číslo 5.00.3802 znamená modul Microsoft VM sestavení 3802.
K určení čísla sestavení modulu Microsoft VM v počítači se systémem Windows NT 4.0, Windows 2000 či Windows XP postupujte podle následujících pokynů:
  1. Klepněte na tlačítko Start a poté klepněte na příkaz Spustit.
  2. Do pole Otevřít zadejte příkaz cmd a poté klepněte na tlačítko OK.
  3. Na příkazovém řádku zadejte následující příkaz a poté stiskněte klávesu ENTER:
    jview
    Informace o verzi se zobrazí na prvním řádku jako Verze n.nn.nnnn, kde poslední čtyři čísla nnnn znamenají číslo sestavení. Například číslo 5.00.3802 znamená modul Microsoft VM sestavení 3802.
Další informace o této chybě zabezpečení naleznete na následující webové stránce společnosti Microsoft:
http://www.microsoft.com/technet/security/bulletin/MS02-069.asp
(http://www.microsoft.com/technet/security/bulletin/MS02-069.asp)
Zpět nahoru | Dejte nám zpětnou vazbu

Vlastnosti

ID článku: 810030 - Poslední aktualizace: 3. února 2011 - Revize: 6.7
Klíčová slova: 
kbdownload kbbug kbfix kbsecbulletin kbsecurity kbsecvulnerability kbqfe KB810030
Zpět nahoru | Dejte nám zpětnou vazbu

Dejte nám zpětnou vazbu

 
Zpět nahoruZpět nahoru