MS03-026: Bufferoverkjøring i RPC kan tillate at kode kjøres

Microsoft gav opprinnelig ut denne bulletinen og oppdateringen 16.07.2003 for å rette opp et sikkerhetsproblem i et RPC-grensesnitt (Remote Procedure Call) i Windows Distributed Component Object Model (DCOM). Oppdateringen var og er fortsatt effektiv når det gjelder å fjerne sikkerhetsproblemet. Drøftingene Begrensende faktorer og Løsninger i den opprinnelige sikkerhetsbulletinen identifiserte imidlertid ikke tydelig alle portene som sikkerhetsproblemet kan utnyttes gjennom. Microsoft har oppdatert denne bulletinen slik at den tydeligere nummererer portene som RPC-tjenester kan startes gjennom, og for å være sikker på at kunder som velger å implementere en løsning før de installerer oppdateringen, har informasjonen de må ha for å beskytte systemene. Kunder som allerede har installert oppdateringen, er beskyttet mot forsøk på å utnytte dette sikkerhetsproblemet og trenger ikke gjøre mer.

RPC (Remote Procedure Call) er en protokoll som brukes av Windows-operativsystemet. RPC har en kommunikasjonsmekanisme mellom prosesser som gjør at et program som kjører på en datamaskin enkelt og greit kan kjøre kode på en ekstern datamaskin. Protokollen selv bygger på RPC-protokollen til Open Software Foundation (OSF). RPC-protokollen som brukes av Windows, inneholder i tillegg noen Microsoft-spesifikke utvidelser.

Den delen av RPC som har med meldingsutveksling over TCP/IP å gjøre, er sårbar. Feilen oppstår som følge av uriktig håndtering av feilformede meldinger. Dette bestemte sikkerhetsproblemet påvirker et DCOM-grensesnitt (distribuert komponentobjektmodell) med RPC, som lytter på RPC-aktiverte porter. Dette grensesnittet håndterer forespørsler om aktivering av DCOM-objekter som sendes av klientdatamaskiner (for eksempel som forespørsler etter UNC-baner (Universal Naming Convention)) til serveren. En angriper som lykkes med å utnytte dette sikkerhetsproblemet, kan kjøre kode med lokale systemtillatelser på det aktuelle systemet. Angriperen kan utføre hva som helst på systemet, inkludert installasjon av programmer, visning av data, endring av data, sletting av data eller oppretting av nye konti med alle tillatelser.

En angriper som vil utnytte denne svakheten, må sende en spesielt utformet forespørsel til den eksterne datamaskinen på spesifikke RPC-porter.

Begrensende faktorer

• En angriper som vil utnytte dette sikkerhetsproblemet, må kunne sende en spesielt utformet forespørsel til port 135, port 139, port 445 eller andre spesielt konfigurerte RPC-porter på den eksterne datamaskinen. I intranettmiljøer er disse portene vanligvis tilgjengelige, men for datamaskiner tilknyttet Internett, er disse portene vanligvis blokkert av en brannmur. Hvis disse portene ikke er blokkert eller maskinen er i et intranettmiljø, trenger ikke angriperen å ha noe ytterligere tilgangsnivå.
• Anbefalte rutiner for best resultat inkluderer blokkering av alle TCP/IP-porter som ikke brukes i praksis. De fleste brannmurer, inkludert Windows-brannmuren for Internett-tilkobling (ICF), blokkerer som standard disse portene. Derfor bør de fleste datamaskiner som er koblet til Internett, få RPC via TCP eller UDP blokkert. RPC via UDP eller TCP er ikke beregnet for bruk i fiendtlige miljøer som Internett. Mer robuste protokoller som RPC via HTTP er beregnet for bruk i fiendtlige miljøer.

Informasjon om sikkerhetsoppdatering

Hvis du vil ha mer informasjon om hvordan du løser dette sikkerhetsproblemet, klikker du den aktuelle koblingen i følgende liste:

• Windows Server 2003 (alle versjoner)
• Windows XP (alle versjoner)
• Windows 2000 (alle versjoner)
• Windows NT 4.0 (alle versjoner)

Windows Server 2003 (alle versjoner)

Nedlastingsinformasjon

Følgende filer kan lastes ned fra Microsoft Download Center:

Windows Server 2003, 32-biters versjonWindows Server 2003 64-biters versjon og Windows XP 64-biters versjon 2003 Utgivelsesdato: 16.07.03

Hvis du vil ha mer informasjon om hvordan du laster ned Microsoft-støttefiler, kan du klikke dette artikkelnummeret for å vise artikkelen i Microsoft Knowledge Base: Microsoft søkte etter virus i denne filen. Microsoft brukte det nyeste antivirusprogrammet som var tilgjengelig den datoen filen ble gjort tilgjengelig. Filen er lagret på servere med forbedret sikkerhet, noe som bidrar til å forhindre at uvedkommende gjør endringer i filen.

Forutsetninger

Denne sikkerhetsoppdateringen krever den utgitte versjonen av Windows Server 2003.

Installasjonsinformasjon

Denne sikkerhetsoppdateringen støtter følgende kommandolinjebrytere:

• /? : Vis listen over kommandolinjebrytere for installasjonsprogrammet.
• /u: Bruk uovervåket modus.
• /f: Tving andre programmer til å avslutte når datamaskinen slås av.
• /n: Ikke sikkerhetskopier filer som skal fjernes.
• /o: Skriv over OEM-filer uten å spørre.
• /z: Ikke start maskinen på nytt når installasjonen er fullført.
• /q: Bruk stille modus (ingen brukermedvirkning).
• /l: List opp installerte hurtigreparasjoner.
• /x: Pakk ut filene uten å kjøre installasjonsprogrammet.

Microsoft har lansert et verktøy som nettverksadministratorer kan bruke til å skanne et nettverk for systemer som ikke har installert denne sikkerhetsoppdateringen. Hvis du vil ha mer informasjon om dette verktøyet, klikker du følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base: Du kan også kontrollere om sikkerhetsoppdateringen er installert på datamaskinen ved hjelp av Microsoft Baseline Security Analyzer (MBSA), ved å sammenligne filversjonene på datamaskinen med listen over filer i Filinformasjon-delen i denne artikkelen, eller ved å bekrefte at følgende registernøkkel finnes: Hvis du vil kontrollere at denne oppdateringen er installert, kan du bruke Microsoft Baseline Security Analyzer (MBSA). Hvis du vil ha mer informasjon om MBSA, går du til følgende Microsoft-webområde:

Distribusjonsinformasjon

Hvis du vil installere sikkerhetsoppdateringen uten brukermedvirkning, bruker du følgende kommando: Hvis du vil installere sikkerhetsoppdateringen uten å tvinge datamaskinen til å starte på nytt, bruker du følgende kommandolinje: Obs! Du kan kombinere disse bryterne i én kommando.

Hvis du vil ha informasjon om hvordan du distribuerer denne sikkerhetsoppdateringen med Software Update Services, går du til følgende Microsoft-webområde:

Omstartskrav

Du må starte datamaskinen på nytt etter at du har installert denne sikkerhetsoppdateringen.

Informasjon om fjerning

Hvis du vil fjerne denne oppdateringen, bruker du verktøyet Legg til eller fjern programmer i Kontrollpanel.

Systemansvarlige kan bruke Spuninst.exe-verktøyet til å fjerne denne sikkerhetsoppdateringen. Spuninst.exe-verktøyet ligger i mappen %Windir%\$NTUninstallKB823980$\Spuninst. Verktøyet støtter følgende kommandolinjebrytere for installasjonsprogrammet:

• /? : Vis listen over kommandolinjebrytere for installasjonsprogrammet.
• /u: Bruk uovervåket modus.
• /f: Tving andre programmer til å avslutte når datamaskinen slås av.
• /z: Ikke start maskinen på nytt når installasjonen er fullført.
• /q: Bruk stille modus (ingen brukermedvirkning).

Informasjon om erstatning av sikkerhetsoppdatering

For Windows Server 2003-baserte datamaskiner erstatter ikke denne sikkerhetsoppdateringen andre sikkerhetsoppdateringer.

Denne sikkerhetsoppdateringen er erstattet av 824146 (MS03-039). Hvis du vil ha mer informasjon om sikkerhetsoppdatering 824146 (MS03-039), kan du klikke følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:

Filinformasjon

Den engelskspråklige versjonen av denne feilrettingsfilen har filattributtene som er oppført i følgende tabell (eller senere). Datoene og klokkeslettene for disse filene er oppført i Coordinated Universal Time (UTC). Når du viser filinformasjonen, konverteres den til lokal tid. Hvis du vil finne forskjellen mellom UTC og lokal tid, bruker du kategorien Tidssone i verktøyet Dato og klokkeslett i Kontrollpanel.

Windows Server 2003, 32-biters versjon:

Windows Server 2003 64-biters versjon og Windows XP 64-biters versjon 2003:Obs!Når du installerer denne sikkerhetsoppdateringen på en datamaskin som kjører Windows Server 2003 eller en 64-biters versjon av Windows XP 2003, kontrollerer installasjonsprogrammet om noen av filene som oppdateres på datamaskinen, tidligere er oppdatert med en hurtigreparasjon fra Microsoft. Hvis du tidligere har installert en hurtigreparasjon for å oppdatere en av disse filene, vil installasjonsprogrammet kopiere hurtigreparasjonsfilene til datamaskinen. Hvis ikke, kopierer installasjonsprogrammet GDR-filene til datamaskinen. Hvis du vil ha mer informasjon, kan du klikke følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base: Du kan kontrollere filene som ble installert med denne sikkerhetsoppdateringen, ved å se gjennom følgende registernøkkel:

Windows XP (alle versjoner)

Nedlastingsinformasjon

Følgende filer kan lastes ned fra Microsoft Download Center:

Windows XP Professional og Windows XP Home EditionWindows XP 64-biters versjon 2002 Utgivelsesdato: 16.07.03

Hvis du vil ha mer informasjon om hvordan du laster ned Microsoft-støttefiler, kan du klikke dette artikkelnummeret for å vise artikkelen i Microsoft Knowledge Base: Microsoft søkte etter virus i denne filen. Microsoft brukte det nyeste antivirusprogrammet som var tilgjengelig den datoen filen ble gjort tilgjengelig. Filen er lagret på servere med forbedret sikkerhet, noe som bidrar til å forhindre at uvedkommende gjør endringer i filen.

Forutsetninger

Denne sikkerhetsoppdateringen krever den utgitte versjonen av Windows XP eller Windows XP Service Pack 1 (SP1). Hvis du vil ha mer informasjon, kan du klikke følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:

Installasjonsinformasjon

Denne sikkerhetsoppdateringen støtter følgende kommandolinjebrytere for installasjonsprogrammet:

• /? : Vis listen over kommandolinjebrytere for installasjonsprogrammet.
• /u: Bruk uovervåket modus.
• /f: Tving andre programmer til å avslutte når datamaskinen slås av.
• /n: Ikke sikkerhetskopier filer som skal fjernes.
• /o: Skriv over OEM-filer uten å spørre.
• /z: Ikke start maskinen på nytt når installasjonen er fullført.
• /q: Bruk stille modus (ingen brukermedvirkning).
• /l: List opp installerte hurtigreparasjoner.
• /x: Pakk ut filene uten å kjøre installasjonsprogrammet.

Microsoft har lansert et verktøy som nettverksadministratorer kan bruke til å skanne et nettverk for systemer som ikke har installert denne sikkerhetsoppdateringen. Hvis du vil ha mer informasjon om dette verktøyet, klikker du følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base: Du kan også kontrollere om sikkerhetsoppdateringen er installert på datamaskinen ved hjelp av Microsoft Baseline Security Analyzer (MBSA), ved å sammenligne filversjonene på datamaskinen med listen over filer i Filinformasjon-delen i denne artikkelen, eller ved å bekrefte at følgende registernøkkel finnes:

Windows XP:Windows XP med Service Pack 1 (SP1): Hvis du vil ha mer informasjon om Microsoft Baseline Security Analyzer (MBSA), klikker du følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:

Distribusjonsinformasjon

Hvis du vil installere sikkerhetsoppdateringen uten brukermedvirkning, bruker du følgende kommando: Hvis du vil installere sikkerhetsoppdateringen uten å tvinge datamaskinen til å starte på nytt, bruker du følgende kommando: Obs! Du kan kombinere disse bryterne i én kommando.

Hvis du vil ha informasjon om hvordan du distribuerer denne sikkerhetsoppdateringen med Software Update Services, går du til følgende Microsoft-webområde:

Omstartskrav

Du må starte datamaskinen på nytt etter at du har installert denne sikkerhetsoppdateringen.

Informasjon om fjerning

Hvis du vil fjerne denne oppdateringen, bruker du verktøyet Legg til eller fjern programmer i Kontrollpanel.

Systemansvarlige kan bruke Spuninst.exe-verktøyet til å fjerne denne sikkerhetsoppdateringen. Spuninst.exe-verktøyet ligger i mappen %Windir%\$NTUninstallKB823980$\Spuninst. Verktøyet støtter følgende kommandolinjebrytere for installasjonsprogrammet:

• /? : Vis listen over kommandolinjebrytere for installasjonsprogrammet.
• /u: Bruk uovervåket modus.
• /f: Tving andre programmer til å avslutte når datamaskinen slås av.
• /z: Ikke start maskinen på nytt når installasjonen er fullført.
• /q: Bruk stille modus (ingen brukermedvirkning).

Informasjon om erstatning av sikkerhetsoppdatering

For Windows XP-baserte datamaskiner erstatter denne sikkerhetsoppdateringen 331953 (MS03-010).

Denne oppdateringen er erstattet av 824146 (MS03-039). Hvis du vil ha mer informasjon om sikkerhetsoppdatering 824146 (MS03-039), kan du klikke følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:

Filinformasjon

Den engelskspråklige versjonen av denne feilrettingsfilen har filattributtene som er oppført i følgende tabell (eller senere). Datoene og klokkeslettene for disse filene er oppført i Coordinated Universal Time (UTC). Når du viser filinformasjonen, konverteres den til lokal tid. Hvis du vil finne forskjellen mellom UTC og lokal tid, bruker du kategorien Tidssone i verktøyet Dato og klokkeslett i Kontrollpanel.

Windows XP Professional og Windows XP Home Edition:

Windows XP 64-biters versjon 2002:


Obs! Windows XP-versjoner av denne oppdateringen er pakket som pakker for dobbel modus. Hvis du vil ha mer informasjon om dobbelmoduspakker, klikker du følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:
Du kan kontrollere filene som ble installert med denne sikkerhetsoppdateringen, ved å se gjennom følgende registernøkkel:

Windows XP: Windows XP med Service Pack 1 (SP1):

Windows 2000 (alle versjoner)

Nedlastingsinformasjon

Følgende fil kan lastes ned fra Microsoft Download Center:

Utgivelsesdato: 16.07.03

Hvis du vil ha mer informasjon om hvordan du laster ned Microsoft-støttefiler, kan du klikke dette artikkelnummeret for å vise artikkelen i Microsoft Knowledge Base: Microsoft søkte etter virus i denne filen. Microsoft brukte det nyeste antivirusprogrammet som var tilgjengelig den datoen filen ble gjort tilgjengelig. Filen er lagret på servere med forbedret sikkerhet, noe som bidrar til å forhindre at uvedkommende gjør endringer i filen.

Obs! Denne oppdateringen støttes ikke på Windows 2000 Datacenter Server. Hvis du vil ha informasjon om hvordan du får tak i en sikkerhetsoppdatering for Windows 2000 Datacenter Server, kontakter du den opprinnelige utstyrsleverandøren. Hvis du vil ha mer informasjon om Windows 2000 Datacenter Server, klikker du følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:

Forutsetninger

Denne sikkerhetsoppdateringen krever Windows 2000 Service Pack 2 (SP2), Windows 2000 Service Pack 3 (SP3) eller Windows 2000 Service Pack 4 (SP4).

Hvis du vil ha mer informasjon, kan du klikke følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:

Installasjonsinformasjon

Denne sikkerhetsoppdateringen støtter følgende kommandolinjebrytere for installasjonsprogrammet:

• /? : Vis listen over kommandolinjebrytere for installasjonsprogrammet.
• /u: Bruk uovervåket modus.
• /f: Tving andre programmer til å avslutte når datamaskinen slås av.
• /n: Ikke sikkerhetskopier filer som skal fjernes.
• /o: Skriv over OEM-filer uten å spørre.
• /z: Ikke start maskinen på nytt når installasjonen er fullført.
• /q: Bruk stille modus (ingen brukermedvirkning).
• /l: List opp installerte hurtigreparasjoner.
• /x: Pakk ut filene uten å kjøre installasjonsprogrammet.

Microsoft har lansert et verktøy som du kan bruke til å skanne et nettverk for systemer som ikke har installert denne sikkerhetsoppdateringen. Hvis du vil ha mer informasjon om dette verktøyet, klikker du følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base: Du kan også kontrollere om sikkerhetsoppdateringen er installert på datamaskinen ved hjelp av Microsoft Baseline Security Analyzer (MBSA), ved å sammenligne filversjonene på datamaskinen med listen over filer i Filinformasjon-delen i denne artikkelen, eller ved å bekrefte at følgende registernøkkel finnes: Hvis du vil ha mer informasjon om Microsoft Baseline Security Analyzer (MBSA), klikker du følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:

Distribusjonsinformasjon

Hvis du vil installere sikkerhetsoppdateringen uten brukermedvirkning, bruker du følgende kommando: Hvis du vil installere sikkerhetsoppdateringen uten å tvinge datamaskinen til å starte på nytt, bruker du følgende kommando: Obs! Du kan kombinere disse bryterne i én kommando.

Hvis du vil ha informasjon om hvordan du distribuerer denne sikkerhetsoppdateringen med Software Update Services, går du til følgende Microsoft-webområde:

Omstartskrav

Du må starte datamaskinen på nytt etter at du har installert denne sikkerhetsoppdateringen.

Informasjon om fjerning

Hvis du vil fjerne denne oppdateringen, bruker du verktøyet Legg til eller fjern programmer i Kontrollpanel.

Systemansvarlige kan bruke Spuninst.exe-verktøyet til å fjerne denne sikkerhetsoppdateringen. Spuninst.exe-verktøyet ligger i mappen %Windir%\$NTUninstallKB823980$\Spuninst. Verktøyet støtter følgende kommandolinjebrytere for installasjonsprogrammet:

• /? : Vis listen over kommandolinjebrytere for installasjonsprogrammet.
• /u: Bruk uovervåket modus.
• /f: Tving andre programmer til å avslutte når datamaskinen slås av.
• /z: Ikke start maskinen på nytt når installasjonen er fullført.
• /q: Bruk stille modus (ingen brukermedvirkning).

Informasjon om erstatning av sikkerhetsoppdatering

For Windows 2000-baserte datamaskiner erstatter denne sikkerhetsoppdateringen 331953 (MS03-010).

Denne oppdateringen er erstattet av 824146 (MS03-039). Hvis du vil ha mer informasjon om sikkerhetsoppdatering 824146 (MS03-039), kan du klikke følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:

Filinformasjon

Den engelskspråklige versjonen av denne feilrettingsfilen har filattributtene som er oppført i følgende tabell (eller senere). Datoene og klokkeslettene for disse filene er oppført i Coordinated Universal Time (UTC). Når du viser filinformasjonen, konverteres den til lokal tid. Hvis du vil finne forskjellen mellom UTC og lokal tid, bruker du kategorien Tidssone i verktøyet Dato og klokkeslett i Kontrollpanel.

Du kan kontrollere filene som ble installert med denne sikkerhetsoppdateringen, ved å se gjennom følgende registernøkkel:En støttet hurtigreparasjon er nå tilgjengelig fra Microsoft, men den er bare ment å løse problemet som er beskrevet i denne artikkelen. Bruk den bare på systemer som har dette spesifikke problemet.

Hvis du vil løse dette problemet, kontakter du Microsofts kundestøtte (PSS) for å få hurtigreparasjonen. Hvis du vil ha en fullstendig liste over telefonnumre og informasjon om kundestøttekostnader fra Microsofts kundestøttetjenester, kan du gå til følgende Microsoft-webområde:Obs!  I noen tilfeller kan det hende at avgifter som vanligvis påløper for kundestøttesamtaler, faller bort hvis en Microsoft-tekniker avgjør at en bestemt oppdatering løser problemet. Vanlige kundestøttekostnader gjelder for ytterligere kundestøttespørsmål og problemer som ikke løses av den gjeldende oppdateringen.

Windows NT 4.0 (alle versjoner)

Nedlastingsinformasjon

Følgende filer kan lastes ned fra Microsoft Download Center:

Windows NT 4.0 Server: Windows NT 4.0 Server, Terminal Server Edition: Utgivelsesdato: 16.07.03

Hvis du vil ha mer informasjon om hvordan du laster ned Microsoft-støttefiler, kan du klikke dette artikkelnummeret for å vise artikkelen i Microsoft Knowledge Base: Microsoft søkte etter virus i denne filen. Microsoft brukte det nyeste antivirusprogrammet som var tilgjengelig den datoen filen ble gjort tilgjengelig. Filen er lagret på servere med forbedret sikkerhet, noe som bidrar til å forhindre at uvedkommende gjør endringer i filen.

Forutsetninger

Denne sikkerhetsoppdateringen krever Windows NT 4.0 Service Pack 6a (SP6a) eller Windows NT Server 4.0, Terminal Server Edition Service Pack 6 (SP6).

Obs! Denne sikkerhetsoppdateringen kan installeres på Windows NT 4.0 Workstation. Microsoft støtter imidlertid ikke lenger denne versjonen, i henhold til Microsoft-policyen for støtte for livssyklus. Denne sikkerhetsoppdateringen er heller ikke testet på Windows NT 4.0 Workstation. Hvis du vil ha informasjon om Microsoft-policyen for støtte for livssyklus, kan du gå til følgende Microsoft-webområde: Hvis du vil ha mer informasjon, kan du klikke følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:

Installasjonsinformasjon

Denne sikkerhetsoppdateringen støtter følgende kommandolinjebrytere for installasjonsprogrammet:

• /y : Utfør fjerning (bare med /m eller /q ).
• /f: Tving programmer til å lukkes når maskinen slås av.
• /n: Ikke opprett en avinstallasjonsmappe.
• /z: Ikke start på nytt når oppdateringen er fullført.
• /q: Bruk stille eller uovervåket modus uten noe brukergrensesnitt (denne bryteren er et overordnet sett for /m ).
• /m : Bruk uovervåket modus med brukergrensesnitt.
• /l: List opp installerte hurtigreparasjoner.
• /x: Pakk ut filene uten å kjøre installasjonsprogrammet.

Microsoft har lansert et verktøy som du kan bruke til å skanne et nettverk for systemer som ikke har installert denne sikkerhetsoppdateringen. Hvis du vil ha mer informasjon om dette verktøyet, klikker du følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base: Du kan også kontrollere om sikkerhetsoppdateringen er installert på datamaskinen ved hjelp av Microsoft Baseline Security Analyzer (MBSA), ved å sammenligne filversjonene på datamaskinen med listen over filer i Filinformasjon-delen i denne artikkelen, eller ved å bekrefte at følgende registernøkkel finnes: Hvis du vil ha mer informasjon om Microsoft Baseline Security Analyzer (MBSA), klikker du følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:

Distribusjonsinformasjon

Hvis du vil installere sikkerhetsoppdateringen uten brukermedvirkning, bruker du følgende kommando: Hvis du vil installere sikkerhetsoppdateringen uten å tvinge datamaskinen til å starte på nytt, bruker du følgende kommando: Obs! Du kan kombinere disse bryterne i én kommando.

Hvis du vil ha informasjon om hvordan du distribuerer denne sikkerhetsoppdateringen med Software Update Services, går du til følgende Microsoft-webområde:

Omstartskrav

Du må starte datamaskinen på nytt etter at du har installert denne sikkerhetsoppdateringen.

Informasjon om fjerning

Hvis du vil fjerne denne oppdateringen, bruker du verktøyet Legg til eller fjern programmer i Kontrollpanel.

Systemansvarlige kan bruke Spuninst.exe-verktøyet til å fjerne denne sikkerhetsoppdateringen. Spuninst.exe-verktøyet ligger i mappen %Windir%\$NTUninstallKB823980$\Spuninst. Verktøyet støtter følgende kommandolinjebrytere for installasjonsprogrammet:

• /? : Vis listen over kommandolinjebrytere for installasjonsprogrammet.
• /u: Bruk uovervåket modus.
• /f: Tving andre programmer til å avslutte når datamaskinen slås av.
• /z: Ikke start maskinen på nytt når installasjonen er fullført.
• /q: Bruk stille modus (ingen brukermedvirkning).

Informasjon om erstatning av sikkerhetsoppdatering

For Windows NT 4.0-baserte datamaskiner erstattes sikkerhetsoppdateringen i Microsofts sikkerhetsbulletin MS01-048 med denne sikkerhetsoppdateringen.

Denne oppdateringen er erstattet av 824146 (MS03-039). Hvis du vil ha mer informasjon om sikkerhetsoppdatering 824146 (MS03-039), kan du klikke følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:

Filinformasjon

Den engelskspråklige versjonen av denne feilrettingsfilen har filattributtene som er oppført i følgende tabell (eller senere). Datoene og klokkeslettene for disse filene er oppført i Coordinated Universal Time (UTC). Når du viser filinformasjonen, konverteres den til lokal tid. Hvis du vil finne forskjellen mellom UTC og lokal tid, bruker du kategorien Tidssone i verktøyet Dato og klokkeslett i Kontrollpanel.

Windows NT 4.0 Server: Windows NT 4.0 Server, Terminal Server Edition:Du kan kontrollere at sikkerhetsoppdateringen er installert på datamaskinen ved å kontrollere at alle filene som er oppført i tabellen, finnes på datamaskinen.

Selv om Microsoft oppfordrer alle kunder på det sterkeste til å ta i bruk sikkerhetsoppdateringen så raskt som mulig, kan du i mellomtiden på flere måter forhindre at vektoren kan brukes til å utnytte dette sikkerhetsproblemet.

Disse løsningene er bare midlertidige. De bidrar bare til å blokkere angrepsbanene. De retter ikke opp det underliggende sikkerhetsproblemet.

Følgende avsnitt inneholder informasjon om hvordan du kan beskytte datamaskinen mot angrep. Hvert avsnitt beskriver løsningene du kan bruke avhengig av datamaskinens konfigurasjon og hvilket funksjonalitetsnivå du krever.

• Blokker UDP-portene 135, 137, 138 og 445 samt TCP-portene 135, 139, 445 og 593 i brannmuren, og deaktiver COM Internet Services (CIS) og RPC via HTTP, som lytter på port 80 og 443, på de aktuelle maskinene. Disse portene brukes til å starte en RPC-tilkobling til en ekstern datamaskin. Blokkering av disse portene i brannmuren bidrar til å forhindre at systemer bak brannmuren blir utsatt for angrep som forsøker å utnytte disse sikkerhetsproblemene. Du bør også blokkere eventuelle andre spesielt konfigurerte RPC-porter på den eksterne maskinen.
  
  Hvis CIS og RPC via HTTP er aktivert, tillater de at DCOM-kall bruker TCP-port 80 (og port 443 på Windows XP og Windows Server 2003). Kontroller at CIS og RPC via HTTP er deaktivert på alle aktuelle maskiner. Hvis du vil ha mer informasjon om hvordan du deaktiverer CIS, klikker du artikkelnummeret nedenfor for å vise artikkelen i Microsoft Knowledge Base:
  825819

  (http://support.microsoft.com/kb/825819/ )

  Slik fjerner du COM Internet Services (CIS) og RPC via HTTP Proxy-støtte (denne artikkelen kan være på engelsk)
  Hvis du vil ha mer informasjon om RPC via HTTP, går du til følgende webområde for Microsoft:
  http://msdn.microsoft.com/library/en-us/rpc/rpc/rpc_over_http_security.asp

  (http://msdn.microsoft.com/library/default.asp?url=/library/en-us/rpc/rpc/rpc_over_http_security.asp)
  Kunder kan imidlertid ha konfigurert tjenester eller protokoller som bruker RPC, som også kan være tilgjengelig fra Internett. Systemansvarlige anbefales på det sterkeste å undersøke RPC-porter som er åpne for Internett, og blokkere disse portene i brannmuren eller bruke oppdateringen umiddelbart.
• Bruk brannmuren for Internett-tilkoblingen, og deaktiver COM Internet Services (CIS) og RPC via HTTP, som lytter på port 80 og 443, på de aktuelle maskinene. Hvis du bruker ICF-funksjonen i Windows XP eller Windows Server 2003 til å beskytte Internett-tilkoblingen, blokkerer den som standard innkommende RPC-trafikk fra Internett. Kontroller at CIS og RPC via HTTP er deaktivert på alle aktuelle maskiner. Hvis du vil ha mer informasjon om hvordan du deaktiverer CIS, klikker du artikkelnummeret nedenfor for å vise artikkelen i Microsoft Knowledge Base:
  825819

  (http://support.microsoft.com/kb/825819/ )

  Slik fjerner du COM Internet Services (CIS) og RPC via HTTP Proxy-støtte (denne artikkelen kan være på engelsk)
  Hvis du vil ha mer informasjon om RPC via HTTP, går du til følgende Microsoft-webområde:
  http://msdn.microsoft.com/library/en-us/rpc/rpc/rpc_over_http_security.asp

  (http://msdn.microsoft.com/library/default.asp?url=/library/en-us/rpc/rpc/rpc_over_http_security.asp)
• Blokker de aktuelle portene ved hjelp av et IPSEC-filter, og deaktiver COM Internet Services (CIS) og RPC via HTTP, som lytter til port 80 og 443, på de aktuelle maskinene. Du kan sikre nettverkstilkoblinger på Windows 2000-baserte datamaskiner hvis du bruker Internet Protocol Security (IPSec). Hvis du vil ha mer informasjon om IPSec og hvordan du bruker filtre, klikker du artikkelnummeret nedenfor for å vise artikkelen i Microsoft Knowledge Base:
  313190

  (http://support.microsoft.com/kb/313190/ )

  Slik bruker du IPSec IP-filterlister i Windows 2000 (denne artikkelen kan være på engelsk)
  813878

  (http://support.microsoft.com/kb/813878/ )

  Slik blokkerer du bestemte nettverksprotokoller og porter ved hjelp av IPSec (denne artikkelen kan være på engelsk)
  Kontroller at CIS og RPC via HTTP er deaktivert på alle aktuelle maskiner. Hvis du vil ha mer informasjon om hvordan du deaktiverer CIS, klikker du artikkelnummeret nedenfor for å vise artikkelen i Microsoft Knowledge Base:
  825819

  (http://support.microsoft.com/kb/825819/ )

  Slik fjerner du COM Internet Services (CIS) og RPC via HTTP Proxy-støtte (denne artikkelen kan være på engelsk)
• Deaktiver DCOM på alle berørte datamaskiner: Når en datamaskin inngår i et nettverk, gjør DCOM-ledningsprotokollen det mulig for COM-objekter på den datamaskinen å kommunisere med COM-objekter på andre datamaskiner.
  
  Du kan deaktivere DCOM for en bestemt datamaskin for å beskytte mot denne svakheten, men da forhindrer du all kommunikasjon mellom objekter på denne datamaskinen og objekter på andre datamaskiner. Hvis du deaktiverer DCOM på en ekstern datamaskin, kan du ikke få ekstern tilgang til datamaskinen for å aktivere DCOM på nytt. Hvis du vil aktivere DCOM på nytt, må du ha fysisk tilgang til datamaskinen. Hvis du vil ha mer informasjon om hvordan du deaktiverer DCOM, klikker du artikkelnummeret nedenfor for å vise artikkelen i Microsoft Knowledge Base:
  825750

  (http://support.microsoft.com/kb/825750/ )

  Slik deaktiverer du DCOM-støtte i Windows (denne artikkelen kan være på engelsk)
  Obs! For Windows 2000 vil metodene som er beskrevet i Microsoft Knowledge Base-artikkel 825750 for deaktivering av DCOM, bare fungere på datamaskiner som kjører Windows 2000 Service Pack 3 eller senere. Kunder som bruker Service Pack 2 eller tidligere, bør oppgradere til en senere oppdateringspakke eller bruke en av de andre løsningene.

Microsoft har bekreftet at dette problemet kan forårsake et visst sikkerhetsproblem i Microsoft-produktene som er oppført i begynnelsen av denne artikkelen.

Hvis du vil ha mer informasjon om dette sikkerhetsproblemet, går du til følgende Microsoft-webområde: Hvis du vil ha mer informasjon om hvordan du sikrer RPC for klienter og servere, går du til følgende Microsoft-webområde: Hvis du vil ha mer informasjon om portene som RPC bruker, går du til følgende Microsoft-webområde: Hvis du vil ha mer informasjon om Blaster-ormviruset som prøver å utnytte sikkerhetsproblemet som rettes opp av denne sikkerhetsoppdateringen, klikker du følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base: Hvis du vil ha mer informasjon om Nachi-ormviruset som prøver å utnytte sikkerhetsproblemet som rettes opp av denne sikkerhetsoppdateringen, klikker du følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base: Hvis du vil ha mer informasjon om hvordan du får tak i en hurtigreparasjon for Windows 2000 Datacenter Server, klikker du artikkelnummeret nedenfor for å vise artikkelen i Microsoft Knowledge Base: