MS02-069: Microsoft VM:ssä ilmennyt virhe saattaa aiheuttaa heikkouden Windowsissa

Artikkeleiden käännökset Artikkeleiden käännökset
Artikkelin tunnus: 810030 - Näytä tuotteet, joita tämä artikkeli koskee.
Laajenna kaikki | Kutista kaikki

Tällä sivulla

Oire

Microsoft VM on Win32-käyttöympäristön näennäislaite. Microsoft VM sisältyy useimpiin Windows- ja Microsoft Internet Explorer -versioihin.

Microsoft VM:stä on saatavana uusi versio, joka sisältää kaikki aiemmin julkaistut Microsoft VM:n suojauskorjaukset sekä kahdeksan hiljattain havaitun suojausheikkouden korjaukset. Uusien heikkouksien mahdollistamat hyökkäystavat ovat todennäköisesti samat. Hyökkääjä voi luoda Web-sivuston, joka avaamisensa yhteydessä hyödyntää suojausheikkoutta ja joko isännöi hyökkäyksessä käytettävää tiedostoa Web-sivustossa tai lähettää sen käyttäjälle HTML-muotoisena sähköpostiviestinä.

Vastikään raportoidut uudet suojausheikkoudet ovat seuraavat:
  • Heikkous, jota hyödyntämällä muut kuin luotetut Java-sovelmat voivat käyttää COM (Component Object Model) -objekteja

    Koska COM-objektit on suunniteltu niin, että ne tarjoavat käyttöön ominaisuuksia, ne on tarkoitettu vain luotettavien Java-ohjelmien käyttöön. Joidenkin COM-objektien tiettyjä ominaisuuksia hyödyntämällä hyökkääjä saattaa saada järjestelmän hallintaansa.
  • Kaksi heikkoutta, jotka saattavat peittää sovelman Codebase-määritteeseen viittauksena sisältyvän todellisen sijainnin

    Nämä heikkoudet aiheutuvat eri syistä, mutta niiden mahdolliset vaikutukset ovat samat. Käyttäjän tietovälineessä tai verkkoresurssissa sijaitsevalla Java-sovelmalla on oletusarvon mukaan lukuoikeudet kansioon, jossa se sijaitsee, ja kaikkiin tämän kansion alikansioihin. Nämä heikkoudet mahdollistavat sen, että Web-sivustossa sijaitsevan sovelman Codebase-määritteen avulla sovelma voidaan määrittää ilmaisemaan sijaintinsa väärin. Tämän seurauksena sovelma näyttää sijaitsevan todellisen Web-sijaintinsa asemesta käyttäjän paikallisessa järjestelmässä tai verkkoresurssissa.
  • Heikkous, joka sallii hyökkääjän luoda URL-osoitteen, joka jäsentämisensä yhteydessä lataa Java-sovelman Web-sivustosta ja näyttää sovelman sijainniksi harhaanjohtavasti toisen Web-sivuston

    Tämä heikkous mahdollistaa hyökkääjän sovelman suorittamisen toisen sivuston toimialueella. Kaikki käyttäjän sovelmalle antamat tiedot voidaan välittää takaisin hyökkääjälle.
  • Heikkous, joka sallii sovelman muokata tietokannan sisältöä

    Tämän heikkouden syynä on se, että Microsoft VM ei estä sovelmia kutsumasta JDBC API -liittymiä eli API-liittymiä, jotka mahdollistavat tietokantojen käytön. Oletusarvon mukaan nämä API-liittymät mahdollistavat tietokantojen sisällön lisäämisen, muokkaamisen ja poistamisen, ja niiden käyttötavat määräytyvät käyttäjien käyttöoikeuksien mukaan.
  • Heikkous, jota hyödyntämällä hyökkääjä voi tilapäisesti estää tiettyjen Java-objektien lataamisen ja suorittamisen

    Aiemmin käytetyn suojausmenetelmän, Standard Security Managerin, avulla käyttäjä voi määrittää rajoituksia Java-sovelmille, esimerkiksi kokonaan estää niiden suorittamisen. Microsoft VM ei kuitenkaan valvo Standard Security Managerin käyttöä riittävän tehokkaasti, joten hyökkääjän sovelma voi lisätä haluamiaan Java-objekteja rajoitettujen objektien luetteloon.
  • Heikkous, jota hyödyntämällä hyökkääjä voi saada selville käyttäjän käyttäjänimen tämän paikallisessa tietokoneessa

    Tämän heikkouden syynä on se, että user.dir-järjestelmäominaisuus on muiden kuin luotettujen sovelmien käytettävissä. Vaikka käyttäjänimen tietäminen ei sinänsä aiheuta suojausriskiä, hyökkääjä voi käyttää hankkimaansa tietoa muihin vahingoittaviin tarkoituksiin.
  • Heikkous, jonka syynä on se, että Java-sovelma suorittaa toisen Java-objektin puutteellisen toteutuksen

    Tästä seuraa, että prosessia tukeva ohjelma (Internet Explorer) lakkaa toimimasta.

Ratkaisu

Voit ratkaista tämän ongelman asentamalla 810030: Microsoft VM -suojauspäivitys -päivityspaketin. Tämä päivittää Microsoft VM:n versioksi 5.00.3809. Kaikki Microsoft VM:n 5.00.3809-versiota aiemmat versiot sisältävät heikkoudet, jotka on kuvattu ongelmasta kertovassa kohdassa tässä artikkelissa.

Päivityksen etsiminen

Voit etsiä päivityksen Microsoft Windows Update -Web-sivuston tärkeiden päivitysten joukosta:
http://windowsupdate.microsoft.com
Järjestelmänvalvojat voivat ladata tämän päivityksen Windows Update Catalog -sivustosta ja asentaa sen useisiin tietokoneisiin, joissa jo on Microsoft VM asennettuna. Jos haluat hankkia tämän päivityksen asennettavaksi myöhemmin yhteen tai useampaan tietokoneeseen, etsi tämän artikkelin tunnusta Windows Update Catalog -sivuston Etsinnän lisäasetukset -toiminnon avulla. Lisätietoja päivitysten lataamisesta Windows Update Catalog -sivustosta saat napsauttamalla alla olevaa artikkelin numeroa, jolloin pääset lukemaan artikkelin Microsoft Knowledge Base -tietokannassa:
323166 Windows-päivitysten ja -ohjainten lataaminen Windows Update Catalog -sivustosta (tämä artikkeli saattaa olla englanninkielinen)
Huomautus Tämän Microsoft VM -päivityksen Windows 2000 -versio edellyttää Windows 2000 Service Pack 2:ta tai uudempaa, eikä sitä voi asentaa mihinkään muuhun käyttöjärjestelmään. Jos haluat ladata tämän päivityksen Windows 2000 -käyttöjärjestelmää varten, valitse Windows 2000 SP2- tai Windows 2000 SP3 -käyttöjärjestelmävaihtoehto.

Jos haluat ladata tämän päivityksen Windows XP-, Windows NT 4.0-, Windows Millennium Edition (Me)-, Windows 98 Second Edition- tai Windows 98 -käyttöjärjestelmää varten, valitse Windows XP-, Windows Millennium Edition- tai Windows 98 -käyttöjärjestelmävaihtoehto.

Huomautus Windows NT 4.0 -tietokoneissa ei voi käyttää Windows Update Catalog -sivustoa. Jos sinun on ladattava Windows NT 4.0 -paketti asennettavaksi useisiin tietokoneisiin tai myöhempää asennusta varten, avaa Windows Update Catalog -sivusto tietokoneessa, jonka käyttöjärjestelmä on Windows 98, Windows Millennium Edition, Windows 2000, Windows XP tai Windows Server 2003, ja valitse sitten Windows 98-, Windows Millennium Edition- tai Windows XP -käyttöjärjestelmävaihtoehto. Tämä suojauspäivitys voidaan asentaa myös Windows NT 4.0 -käyttöjärjestelmän sisältäviin tietokoneisiin. Järjestelmänvalvojat, jotka eivät pysty käyttämään Windows XP-, Windows 98-, Windows Millennium Edition-, Windows 2000- tai Windows Server 2003 -tietokonetta Windows Update Catalog -sivuston käyttämiseen, voivat hankkia korjaustiedoston Microsoftin tuotetukipalveluista. Luettelo Microsoftin tuotetukipalveluiden puhelinnumeroista ja tietoja tuen kustannuksista on seuraavassa Microsoftin Web-sivustossa:
http://support.microsoft.com/default.as px?scid=fh;EN-US;CNTACTMS

Asennustiedot

Tämä päivitys voidaan asentaa vain tietokoneisiin, joissa on jo aiempi Microsoft VM -versio asennettuna. Saat lisätietoja Microsoft VM:n asentamisesta hiljaisesti ilman tietokoneen uudelleenkäynnistystä napsauttamalla seuraavan artikkelin numeroa, jolloin pääset lukemaan artikkelin Microsoft Knowledge Base -tietokannassa:
304930 Microsoft VM:n asentaminen hiljaisesti ilman uudelleenkäynnistystä (tämä artikkeli saattaa olla englanninkielinen)

Tiedoston tiedot

Tämän korjaustiedoston englanninkielisessä versiossa on seuraavassa taulukossa luetellut tiedostomääritteet (tai uudemmat). Tiedostojen päivämäärät ja kellonajat ovat UTC (Coordinated Universal Time) -ajan mukaisia. Kun tarkastelet tiedoston tietoja, sen aika muunnetaan paikalliseksi ajaksi. Voit selvittää UTC-ajan ja paikallisen ajan välisen eron Ohjauspaneelin Päivämäärä ja aika -työkalun Aikavyöhyke-välilehdessä.
   Päivämäärä         Aika   Versio         Koko       Tiedostonimi -------------------------------------------------------------- 20.3.2002  11:52                      2,678  Classes.cer 18.11.2002  14:07                  5,751,849  Classes.zip 18.11.2002  14:11  5.0.3809.0        404,752  Javart.dll 18.11.2002  14:09  5.0.3809.0        172,304  Jview.exe 18.11.2002  14:11  5.0.3809.0        947,984  Msjava.dll 20.3.2002  11:52                      2,678  Msjdbc.cer 18.11.2002  14:07                    137,482  Msjdbc.zip 29.5.2001  00:58                     10,957  Osp.zip
Huomautus Päivitetyn VM:n asentamisen jälkeen kaikilla .zip-tiedostoilla on eri nimet. Tämä kuuluu asiaan. Huomaa myös, että jotkin Zip-paketin tiedostot on muutettu tätä versiota varten. Näitä tiedostoja ei kuitenkaan voi pakata yksitellen.

Tila

Microsoft on vahvistanut, että tämä ongelma saattaa aiheuttaa jonkinasteisen suojausheikkouden Microsoft VM:ssä.

Enemmän tietoa

Voit määrittää Microsoft VM -koontinumeron Windows 98-, Windows 98 Second Edition (SE)- tai Windows Millennium Edition -tietokoneessa seuraavasti:
  1. Napsauta Käynnistä-painiketta ja valitse sitten Suorita.
  2. Kirjoita Avaa-ruutuun command ja valitse sitten OK.
  3. Kirjoita komentokehotteeseen jview ja paina sitten ENTER. Huomaa, että versiotiedot näkyvät ensimmäisellä rivillä muodossa "Versio n.nn.nnnn," jossa viimeiset nnnn numeroa muodostavat koontiversion numeron. Esimerkiksi 5.00.3802 on Microsoft VM:n koontiversio 3802.
Voit määrittää Microsoft VM -koontinumeron Windows NT 4.0-, Windows 2000- tai Windows XP -tietokoneessa seuraavasti:
  1. Napsauta Käynnistä-painiketta ja valitse sitten Suorita.
  2. Kirjoita Avaa-ruutuun cmd ja valitse sitten OK.
  3. Kirjoita komentokehotteeseen seuraava komento ja paina sitten ENTER-näppäintä:
    jview
    Huomaa, että versiotiedot näkyvät ensimmäisellä rivillä muodossa "Versio n.nn.nnnn," jossa viimeiset nnnn numeroa muodostavat koontiversion numeron. Esimerkiksi 5.00.3802 on Microsoft VM:n koontiversio 3802.
Lisätietoja tästä heikkoudesta on seuraavassa Microsoftin Web-sivustossa:
http://www.microsoft.com/technet/security/bulletin/MS02-069.asp

Ominaisuudet

Artikkelin tunnus: 810030 - Viimeisin tarkistus: 30. syyskuuta 2004 - Versio: 6.6
Artikkelin tiedot koskevat seuraavia tuotteita:
  • Microsoft Virtual Machine for Java seuraavilla käyttöjärjestelmillä
    • Microsoft Windows XP Professional
    • Microsoft Windows 2000 Service Pack 2
    • Microsoft Windows NT 4.0
    • Microsoft Windows Millennium Edition
    • Microsoft Windows 98 Second Edition
    • Microsoft Windows 98 Standard Edition
Hakusanat: 
kbbug kbfix kbsecvulnerability kbqfe kbsecurity kbsecbulletin KB810030

Anna palautetta

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com