MS02-069: A Microsoft virtuális gép biztonsági rése veszélyeztetheti a Windows rendszer működését

A cikk fordítása A cikk fordítása
Cikk azonosítója: 810030
Az összes kibontása | Az összes összecsukása

A lap tartalma

A jelenség

A Microsoft virtuális gép (Microsoft VM) a Win32 környezet virtuális számítógépe, amely a Windows rendszer legtöbb verziójában és a Microsoft Internet Explorer böngésző szinte minden egyes verziójában megtalálható.

A gyártó közzétette a Microsoft virtuális gép új verzióját, amelynek már része a Microsoft virtuális géphez korábban kiadott valamennyi javítás, illetve nyolc nemrégiben észlelt probléma javítása. Ezen új problémák biztonsági vonzatai valószínűleg megegyeznek: az esetleges támadó olyan webhelyet hozhat létre, amelynek megnyitásakor lehetősége nyílik az adott biztonsági rést kihasználni. A veszélyt jelentő elem tárolható webhelyen, de HTML formátumú e-mailben is elküldhető.

A nemrég észlelt biztonsági problémák a következők:
  • Biztonsági rés, amelyen keresztül nem megbízható Java kisalkalmazások COM-objektumokhoz szerezhetnek hozzáférést

    A COM-objektumok természetüknél fogva működésük közben adatokat szolgáltatnak, ezért csak megbízható Java programoknak szabad hozzáférést biztosítani hozzájuk. Egyes COM-objektumok olyan szolgáltatásokat nyújtanak, amelyeken keresztül a támadó átveheti az irányítást a rendszer fölött.
  • Biztonságirés-pár, amely képes elrejteni a kisalkalmazás „codebase” attribútuma által hivatkozott tényleges helyet

    Habár mindkét biztonsági rés más alapokból fakad, lehetséges hatásuk ugyanaz. Kialakításuk következtében a felhasználó tárolóeszközein vagy hálózati megosztáson tárolt Java kisalkalmazások olvasási jogosultsággal bírnak az őket tároló mappára és annak összes almappájára nézve. E két biztonsági rés olyan metódusokat biztosít, amelyek hatására az adott webhelyen tárolt kisalkalmazás tévesen jelölheti meg „codebase” attribútumában jelölt helyét. Ez azt jelenti, hogy a kisalkalmazás látszólag a felhasználó helyi rendszerében vagy egy hálózati megosztáson van, nem pedig ott, ahol ténylegesen elhelyezkedik.
  • Biztonsági rés, amely segítségével a támadó olyan URL-címet hozhat létre, amely értelmezésekor Java kisalkalmazást tölt be egy webhelyről, de azt egy másik webhelyhez tartozóként jelöli meg

    Ezt a biztonsági rést kihasználva a támadó kisalkalmazása a másik webhely tartományában futhat, így a felhasználó által a kisalkalmazásnak megadott összes adat visszajuttatható a támadóhoz.
  • Biztonsági rés, amely adatbázistartalom-módosítást tesz lehetővé kisalkalmazásoknak

    A biztonsági rés oka az, hogy a Microsoft virtuális gép engedélyezi a kisalkalmazásoknak a JDBC alapú (adatbázis-hozzáférési metódusokat biztosító) API felületek hívását. Ezen API-k kialakításuknál fogva lehetővé teszik az adatbázis-tartalom hozzáadását, módosítását és törlését, és használatukat csak felhasználói jogosultságok megléte szabályozza.
  • Biztonsági rés, amelyen keresztül a támadó ideiglenesen megakadályozhatja a megadott Java objektumok betöltését és futtatását

    A korábbi verziók szokásos biztonságkezelő segédprogramja (Standard Security Manager) lehetővé teszi a felhasználóknak, hogy korlátozásokat alkalmazzanak a Java kisalkalmazások tekintetében, például le is tilthassák azokat. A Microsoft virtuális gép azonban nem megfelelően szabályozza a biztonságkezelőhöz történő hozzáférést, így a támadó kisalkalmazása egyéb Java objektumokat adhat a tiltólistához.
  • Biztonsági rés, amelyet kihasználva a támadó megszerezheti a felhasználó helyi számítógépen alkalmazott felhasználónevét

    E biztonsági rés oka az, hogy a „user.dir” rendszertulajdonság nem megbízható kisalkalmazásoknak is elérhető. Bár a felhasználónév ismerete önmagában nem jelent biztonsági veszélyforrást, a támadó a név birtokában esetleg megfigyelést végezhet.
  • Biztonsági rés, amelynek oka az, hogy valamely Java kisalkalmazás csak részben hoz létre egy másik Java objektumpéldányt

    Ennek következtében a szülőprogram (Internet Explorer) leáll.

A megoldás

A probléma megoldásához telepítse a 810030. számú, a Microsoft virtuális géphez kiadott biztonságifrissítés-csomagot. A frissítés 5.00.3809 verziójúra frissíti a Microsoft virtuális gépet, amelynek összes, 5.00.3809 verziónál régebbi verzióját érintik a jelen cikk „A jelenség” című szakaszában felsorolt biztonsági problémák.

A frissítés helye

A frissítés megkereséséhez látogassa meg a Microsoft Windows Update webhely fontos frissítéseket tartalmazó részét:
http://update.microsoft.com
A rendszergazdák a frissítést a Windows Update katalógusból is letölthetik, majd központilag telepíthetik a Microsoft virtuális géppel rendelkező számítógépekre. Ha a frissítést később végrehajtandó telepítés céljából kívánja beszerezni, és több számítógépen szeretné elvégezni a telepítést, keresse meg e cikk számát a Windows Update katalógus speciális keresési beállításai segítségével. A javítások Windows Update katalógusból történő letöltésével kapcsolatban további információt a Microsoft Tudásbázis következő cikkében talál a cikk számára kattintva:
323166 Útmutató: Windows-frissítések és illesztőprogramok letöltése a Windows Update katalógusból
Megjegyzés: A Microsoft virtuális gép frissítésének Windows 2000 rendszerhez készített verziója csak a Windows 2000 Service Pack 2 (vagy újabb) szervizcsomag megléte esetén telepíthető, más operációs rendszerre nem. A frissítés Windows 2000 rendszerhez készített verziójának letöltéséhez operációs rendszerként válassza a Windows 2000 SP2 vagy a Windows 2000 SP3 lehetőséget.

Ha a frissítés Windows XP, Windows NT 4.0, Windows Millennium Edition (Me), Windows 98 Second Edition vagy Windows 98 rendszerhez írt verziójára van szüksége, operációs rendszerként válassza a Windows XP, a Windows Millennium Edition vagy a Windows 98 lehetőséget.

Megjegyzés: A Windows NT 4.0 rendszert futtató számítógépek nem használhatják a Windows Update katalógust. Amennyiben Windows NT 4.0 alapú csomagot kell letöltenie több számítógépre történő telepítés vagy későbbi telepítés céljából, nyissa meg a Windows Update katalógust Windows 98, Windows Millennium Edition (Me), Windows 2000, Windows XP vagy Windows Server 2003 rendszert futtató számítógépről, majd válassza a Windows 98, a Windows Millennium Edition (Me) vagy a Windows XP rendszert jelző lehetőséget. A biztonsági frissítés Windows NT 4.0 rendszerű számítógépekre is telepíthető. A Windows XP, Windows 98, Windows Millennium Edition, Windows 2000 vagy Windows Server 2003 rendszerű számítógéphez (így a Windows Update katalógushoz) hozzáféréssel nem rendelkező rendszergazdák a Microsoft terméktámogatási szolgálatának segítségével szerezhetik be a javítást. A Microsoft terméktámogatási szolgálata telefonszámainak teljes listáját és a támogatási költségekre vonatkozó információt a Microsoft következő webhelyén találja:
http://support.microsoft.com/default.as px?scid=fh;HU;CNTACTMS

Információ a telepítéshez

A frissítés csak olyan számítógépekre telepíthető, amelyekre előzőleg már telepítették a Microsoft virtuális gép valamely korábbi verzióját. Ha többet szeretne tudni arról, hogy miként telepíthető a Microsoft virtuális gép csendes telepítéssel és a számítógép újraindítása nélkül, a Microsoft Tudásbázis következő cikke bővebb felvilágosítást nyújt a cikk számára kattintva:
304930 A Microsoft virtuális gép csendes telepítése a számítógép újraindítása nélkül (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)

Fájlinformáció

A javítás angol nyelvű verziója a következő táblázatban található tulajdonságokkal (vagy újabbakkal) rendelkezik. A fájlok dátuma és időpontja az egyezményes világidő (UTC) szerint van megadva, és a fájlinformáció megtekintése során ezen adatokat helyi időre konvertálja a program. A helyi idő és az egyezményes világidő közötti különbségről a Vezérlőpultról elérhető Dátum és idő párbeszédpanel Időzóna lapján tájékozódhat.
Dátum        Idő    Verziószám      Méret      Fájlnév 
-------------------------------------------------------------- 
2002.03.20.  11:52                      2 678  Classes.cer 
2002.11.18.  14:07                  5 751 849  Classes.zip 
2002.11.18.  14:11  5.0.3809.0        404 752  Javart.dll 
2002.11.18.  14:09  5.0.3809.0        172 304  Jview.exe 
2002.11.18.  14:11  5.0.3809.0        947 984  Msjava.dll 
2002.03.20.  11:52                      2 678  Msjdbc.cer 
2002.11.18.  14:07                    137 482  Msjdbc.zip 
2001.05.29.  00:58                     10 957  Osp.zip
Megjegyzés: A frissített virtuális gép telepítését követően a ZIP-fájlok neve megváltozik. Ez teljesen normális jelenség, így figyelmen kívül hagyható. A ZIP-csomagban lévő fájloknak csak egy része változott ebben a kiadásban. A fájlokat azonban nem lehet egyenként csomagolni.

Állapot

A Microsoft megerősítette, hogy ez a probléma bizonyos fokú biztonsági kockázatot okozhat a Microsoft virtuális gép használata esetén.

További információ

A Windows 98, Windows 98 Second Edition (SE) vagy Windows Millennium Edition (Me) rendszer Microsoft virtuális gép összetevője buildszámát a következőképpen állapíthatja meg:
  1. Kattintson a Start menü Futtatás parancsára.
  2. Írja be a Megnyitás mezőbe a command parancsot, majd kattintson az OK gombra.
  3. Írja be a parancssorba a jview parancsot, majd nyomja meg az ENTER billentyűt. A verzióadatok az első sorban a következő formában jelennek meg: „Verziószám: n.nn.nnnn”, ahol nnnn a buildszám. Az 5.00.3802 verziószám például a Microsoft virtuális gép 3802-es buildjét jelöli.
A Windows NT 4.0, a Windows 2000 vagy a Windows XP rendszer Microsoft virtuális gép összetevője buildszáma az alábbiak szerint azonosítható:
  1. Kattintson a Start menü Futtatás parancsára.
  2. Írja be a Megnyitás mezőbe a cmd parancsot, majd kattintson az OK gombra.
  3. Írja be a parancssorba a következő parancsot, majd nyomja meg az ENTER billentyűt:
    jview
    A verzióadatok az első sorban a következő formában jelennek meg: „Verziószám: n.nn.nnnn”, ahol az utolsó négy nnnn karakter a buildszám. Az 5.00.3802 verziószám például a Microsoft virtuális gép 3802-es buildjét jelöli.
A biztonsági résről a Microsoft következő webhelyén talál további információt:
http://www.microsoft.com/technet/security/bulletin/MS02-069.asp

Tulajdonságok

Cikk azonosítója: 810030 - Utolsó ellenőrzés: 2011. február 3. - Verziószám: 6.5
Kulcsszavak: 
kbbug kbfix kbsecvulnerability kbqfe kbsecurity kbsecbulletin KB810030
A Microsoft tudásbázisban szolgáltatott információkat "az adott állapotban", bárminemű szavatosság vagy garancia nélkül biztosítjuk. A Microsoft kizár mindennemű, akár kifejezett, akár vélelmezett szavatosságot vagy garanciát, ideértve a forgalomképességre és az adott célra való alkalmasságra vonatkozó szavatosságot is. A Microsoft Corporation és annak beszállítói semmilyen körülmények között nem felelősek semminemű kárért, így a közvetlen, a közvetett, az üzleti haszon elmaradásából származó vagy speciális károkért, illetve a kár következményeként felmerülő költségek megtérítéséért, még abban az esetben sem, ha a Microsoft Corporationt vagy beszállítóit az ilyen károk bekövetkeztének lehetőségére figyelmeztették. Egyes államok joga nem teszi lehetővé bizonyos károkért a felelősség kizárását vagy korlátozását, ezért a fenti korlátozások az ön esetében esetleg nem alkalmazhatók.

Visszajelzés küldése

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com