MS03-039: Az RPCSS szolgáltatás puffertúlcsordulása rosszindulatú programok végrehajtására adhat lehetőséget a támadóknak

A Távoli eljáráshívás (RPC) a Windows egyik protokollja. Az RPC által biztosított folyamatközi kommunikációs mechanizmusok lehetővé teszik, hogy egy program egyszerűen hozzáférhessen egy másik számítógépen futó szolgáltatáshoz. A protokoll a Nyitott Szoftver Alapítvány (Open Software Foundation, OSF) RPC protokolljának kiegészítése néhány Microsoft-specifikus kiterjesztéssel.

A Windows Távoli eljáráshívás szolgáltatás (RPCSS) DCOM-aktiválási üzenetekkel foglalkozó részében három biztonsági rést fedeztek fel. Ezek közül kettő lehetővé teheti a támadó számára rosszindulatú programok futtatását, egy pedig szolgáltatásmegtagadást eredményezhet. A hibákat a helytelenül formázott üzenetek nem megfelelő kezelése okozza. A biztonsági rések az RPCSS DCOM (Distributed Component Object Model – elosztott komponensobjektum-modell) felületét érintik. Ez a felület kezeli DCOM objektumok azon aktiválási kérelmeit, amelyeket az ügyfélszámítógépek küldenek a kiszolgálónak.

A biztonsági réseket sikeresen kihasználó támadónak a megtámadott számítógépen Helyi rendszerfiók hozzáféréssel lehetősége nyílhat kód futtatására, illetve a Távoli eljáráshívás szolgáltatás leállítására. A támadó ezt követően bármilyen műveletet végrehajthat a számítógépen, beleértve alkalmazások telepítését, adatok megtekintését, módosítását és törlését, valamint teljes hozzáféréssel rendelkező új fiókok létrehozását.

A biztonsági rések kiaknázásához a támadó létrehozhat egy hibás RPC-üzeneteket küldő programot, amely ezeket az üzeneteket egy támadható kiszolgáló Távoli eljáráshívás szolgáltatásának címzi.

A hibát enyhítő tényezők

• A tűzfalakra vonatkozó gyakorlati tanácsok, valamint a szabványos alapértelmezett tűzfal-konfigurációk segítséget nyújtanak a hálózatokat érő, vállalaton kívülről eredő támadások kivédésében. A gyakorlati tanácsok értelmében minden olyan port blokkolandó, mely ténylegesen és aktuálisan nincs használatban. Eme ajánlás révén az internetre csatlakozó számítógépek nagy része az érintett portok közül csak igen keveset tesz közzé. Az RPC szolgáltatás által használt portokról a Microsoft alábbi webhelyén tájékozódhat:
  http://www.microsoft.com/technet/prodtechnol/windows2000serv/reskit/cnet/cnfc_por_gdqc.mspx?mfr=true (http://www.microsoft.com/technet/prodtechnol/windows2000serv/reskit/cnet/cnfc_por_gdqc.mspx?mfr=true)

Megjegyzés: A Microsoft ellenőrizte, hogy a tárgyalt biztonsági rések érinthetik-e a Windows NT Workstation 4.0, Windows NT Server 4.0, Windows NT Server 4.0, Terminal Server Edition, Windows 2000, Windows XP és Windows Server 2003 rendszereket. A Microsoft Windows Millennium Edition rendszer nem tartalmazza az ezekkel a biztonsági résekkel kapcsolatos szolgáltatásokat. A Windows korábbi verzióinak támogatása megszűnt, így arról nincs információ, hogy azokat az említett biztonsági rések érinthetik-e. A Microsoft támogatási életciklusáról a Microsoft alábbi webhelyén talál további információt: Megjegyzés: A biztonsági résekhez kapcsolódó szolgáltatások a Microsoft Windows 95, a Microsoft Windows 98 és a Microsoft Windows 98 Second Edition rendszernek sem részei, még akkor sem, ha azokban a DCOM telepítve van.

Információ a biztonsági javításról

E biztonsági rés megszüntetéséről a megfelelő hivatkozásra kattintva tájékozódhat:

• Windows Server 2003 (minden verzió)
• Windows XP (minden verzió)
• Windows 2000 (minden verzió)
• Windows NT 4.0 (minden verzió)

Windows Server 2003 (minden verzió)

Letöltési információ

A következő fájlok letölthetők a Microsoft letöltőközpontjából:

Windows Server 2003 Enterprise Edition, Windows Server 2003 Standard Edition, Windows Server 2003 Web Edition és Windows Server 2003 Datacenter Edition rendszer esetén:Windows Server 2003 64-Bit Enterprise Edition és Windows Server 2003 64-Bit Datacenter Edition Kiadás dátuma: 2003. szeptember 10.

A Microsoft terméktámogatási fájljainak letöltéséről további információt a Microsoft Tudásbázis következő cikkében talál a cikk számára kattintva: A Microsoft ellenőrizte a fájl vírusmentességét. A Microsoft a kiadás napján rendelkezésre álló legújabb víruskereső szoftverrel ellenőrizte a fájl vírusmentességét. A fájlt biztonságos kiszolgálók tárolják, megakadályozva annak jogosulatlan módosítását.

Előfeltételek

A biztonsági javítás telepítéséhez a Windows Server 2003 kereskedelmi verziója szükséges.

Telepítési információ

A biztonsági javítás a következő telepítési kapcsolókat támogatja:

• /?: A telepítési kapcsolók listájának megjelenítése.
• /u: Felügyelet nélküli üzemmód használata
• /f: A számítógép leállítása érdekében más programok bezárásának kényszerítése
• /n: A frissítés eltávolításához a fájlokról készítendő biztonsági mentés kihagyása
• /o: Az OEM-fájlok automatikus felülírása
• /z: A számítógép újraindításának kihagyása a telepítés befejeztével
• /q: Csendes üzemmód használata (nincs felhasználói beavatkozás)
• /l: A telepített gyorsjavítások felsorolása
• /x: A fájlok kicsomagolása a telepítő futtatása nélkül

A KB 824146 keresőeszközzel (KB824146scan.exe) és a Microsoft Baseline Security Analyzer (MBSA) eszközzel ellenőrizheti, hogy a biztonsági javítás telepítve van-e a számítógépen. A KB824146scan.exe programról a Microsoft Tudásbázis következő cikkében tájékozódhat: Az MBSA eszközről a Microsoft Tudásbázis alábbi cikkében tájékozódhat: Megjegyzés: Az MBSA eszköz 1.1.1-es verziója tévesen azt jelzi, hogy a 824146-os javítás nincs telepítve, ha az adott környezetben a biztonsági javítás fájljainak RTMQFE verzióit használja.

A biztonsági javítás számítógépen való jelenlétéről az alábbi rendszerleíró kulcs meglétének ellenőrzésével is meggyőződhet:

Információ a központi telepítéshez

A javítás felhasználói beavatkozás nélküli telepítéséhez használja a következő parancsot: A javítás újraindítás nélküli telepítésére az alábbi parancsot használja: Megjegyzés: Ezeket a kapcsolókat egyetlen parancssorban is használhatja.

A biztonsági javítás szoftverfrissítési szolgáltatásokkal történő központi telepítéséről a Microsoft alábbi webhelyén tájékozódhat:

Újraindítás szükségessége

A biztonsági javítás telepítését követően újra kell indítani a számítógépet.

Információ az eltávolításhoz

A frissítés eltávolításához használja a Vezérlőpult Programok telepítése és törlése segédprogramját.

A rendszergazdák a biztonsági javítás eltávolításához a Spuninst.exe segédprogramot is használhatják. Az Spuninst.exe a %Windir%\$NTUninstallKB824146$\Spuninst mappában található, és a következő telepítési kapcsolók használatát támogatja:

• /?: A telepítési kapcsolók listájának megjelenítése
• /u: Felügyelet nélküli üzemmód használata
• /f: A számítógép leállítása érdekében más programok bezárásának kényszerítése
• /z: A számítógép újraindításának kihagyása a telepítés befejeztével
• /q: Csendes üzemmód használata (nincs felhasználói beavatkozás)

Információ a biztonsági javítások lecseréléséről

Ez a biztonsági javítás az MS03-026-os (823980) javítás helyébe lép. Az MS03-026-os (823980) javításról a Microsoft Tudásbázis következő cikkében tájékozódhat:

Fájlinformáció

A biztonsági javítás angol nyelvű változata a következő táblázatban található (vagy újabb) fájlattribútumokkal rendelkezik. A fájlok dátuma és időpontja az egyezményes világidő (UTC) szerint van megadva. A fájlinformációk megtekintése során ezek a helyi időre konvertálódnak. A helyi idő és az egyezményes világidő közötti különbségről a Vezérlőpultról elérhető Dátum és idő párbeszédpanel Időzóna lapján tájékozódhat.

Windows Server 2003 Enterprise Edition, Windows Server 2003 Standard Edition, Windows Server 2003 Web Edition és Windows Server 2003, Datacenter Edition rendszer esetén: Windows Server 2003, 64-Bit Enterprise Edition és Windows Server 2003, 64-Bit Datacenter Edition: Megjegyzés: Ha Windows Server 2003 vagy Windows XP 64-Bit Edition Version 2003 rendszert futtató számítógépre telepíti a biztonsági javítást, a telepítő ellenőrzi, hogy a számítógépen frissítendő fájlokat egy korábbi Microsoft gyorsjavítás nem frissítette-e. Ha a fájlok valamelyikét korábban már frissítette egy gyorsjavítással, a telepítő az RTMQFE fájlokat másolja a számítógépre, ellenkező esetben pedig az RTMGDR fájlokat. A Microsoft Tudásbázis kapcsolódó cikke: A következő rendszerleíró kulcs megtekintésével is ellenőrizheti a biztonsági javítás által telepített fájlokat: Megjegyzés: Előfordulhat, hogy a rendszerleíró kulcs nem jön létre megfelelően, ha a rendszergazda vagy OEM-forgalmazó a biztonsági javítást a Windows telepítési forrásának fájljaiba építi be, vagy kiegészíti azokat vele.

Windows XP (minden verzió)

A probléma megoldásához szerezze be a Windows XP rendszerhez kiadott legújabb szervizcsomagot. A Microsoft Tudásbázis kapcsolódó cikke:

Letöltési információ

A következő fájlok letölthetők a Microsoft letöltőközpontjából:

Windows XP Home Edition, Windows XP Professional, Windows XP Tablet PC Edition és Windows XP Media Center Edition rendszer eseténWindows XP 64-Bit Edition Version 2002Windows XP 64-Bit Edition Version 2003Megjegyzés:Windows XP 64-Bit Edition, Version 2003 rendszer esetén a biztonsági javítás megegyezik a Windows Server 2003 64 bites verzióinak biztonsági javításával. Kiadás dátuma: 2003. szeptember 10.

A Microsoft terméktámogatási fájljainak letöltéséről további információt a Microsoft Tudásbázis következő cikkében talál a cikk számára kattintva: A Microsoft ellenőrizte a fájl vírusmentességét. A Microsoft a kiadás napján rendelkezésre álló legújabb víruskereső szoftverrel ellenőrizte a fájl vírusmentességét. A fájlt biztonságos kiszolgálók tárolják, megakadályozva annak jogosulatlan módosítását.

Előfeltételek

A javítás telepítéséhez a Windows XP vagy Windows XP Service Pack 1 (SP1) rendszer kereskedelmi verziója szükséges. A Microsoft Tudásbázis kapcsolódó cikke:

Telepítési információk

Ez a biztonsági javítás a következő telepítési kapcsolók használatát támogatja:

• /?: A telepítési kapcsolók listájának megjelenítése.
• /u: Felügyelet nélküli üzemmód használata
• /f: A számítógép leállítása érdekében más programok bezárásának kényszerítése
• /n: A frissítés eltávolításához a fájlokról készítendő biztonsági mentés kihagyása
• /o: Az OEM-fájlok automatikus felülírása
• /z: A számítógép újraindításának kihagyása a telepítés befejeztével
• /q: Csendes üzemmód használata (nincs felhasználói beavatkozás)
• /l: A telepített gyorsjavítások felsorolása
• /x: A fájlok kicsomagolása a telepítő futtatása nélkül

A KB 824146 keresőeszközzel (KB824146scan.exe) és a Microsoft Baseline Security Analyzer (MBSA) eszközzel ellenőrizheti, hogy a biztonsági javítás telepítve van-e a számítógépen. A KB824146scan.exe programról a Microsoft Tudásbázis alábbi cikkében tájékozódhat: Az MBSA eszközről a Microsoft Tudásbázis alábbi cikkében tájékozódhat: Megjegyzés: Az MBSA eszköz 1.1.1-es verziója tévesen azt jelzi, hogy a 824146-os javítás nincs telepítve, ha a biztonsági javítás fájljainak RTMQFE verzióit használja Windows XP 64-Bit Edition, Version 2003 rendszert futtató számítógépen.

A biztonsági javítás számítógépen való jelenlétéről az alábbi rendszerleíró kulcs meglétének ellenőrzésével is meggyőződhet:

Windows XP Windows XP Service Pack 1 (SP1) szervizcsomaggalWindows XP 64-Bit Edition Version 2003

Információ a központi telepítéshez

A javítás felhasználói beavatkozás nélküli telepítéséhez használja a következő parancsot: A javítás újraindítás nélküli telepítésére az alábbi parancs szolgál: Megjegyzés: Ezeket a kapcsolókat egyetlen parancssorban is használhatja.

A biztonsági javítás szoftverfrissítési szolgáltatásokkal történő központi telepítéséről a Microsoft alábbi webhelyén tájékozódhat:

Újraindítás szükségessége

A biztonsági javítás telepítését követően újra kell indítani a számítógépet.

Eltávolítási információk

A biztonsági javítás eltávolításához használja a Vezérlőpult Programok telepítése és törlése segédprogramját.

A rendszergazdák a biztonsági javítás eltávolításához a Spuninst.exe segédprogramot is használhatják. Az Spuninst.exe a %Windir%\$NTUninstallKB824146$\Spuninst mappában található, és a következő telepítési kapcsolók használatát támogatja:

• /?: A telepítési kapcsolók listájának megjelenítése
• /u: Felügyelet nélküli üzemmód használata
• /f: A számítógép leállítása érdekében más programok bezárásának kényszerítése
• /z: A számítógép újraindításának kihagyása a telepítés befejeztével
• /q: Csendes üzemmód használata (nincs felhasználói beavatkozás)

Információ a biztonsági javítások lecseréléséről

Ez a biztonsági javítás az MS03-026-os (823980) javítás helyébe lép. Az MS03-026-os (823980) javításról a Microsoft Tudásbázis alábbi cikkében tájékozódhat:

Fájlinformáció

A gyorsjavítás angol nyelvű változata a következő táblázatban található (vagy újabb) fájlattribútumokkal rendelkezik. A fájlok dátuma és időpontja az egyezményes világidő (UTC) szerint van megadva. A fájlinformációk megtekintése során ezek a helyi időre konvertálódnak. A helyi idő és az egyezményes világidő közötti különbségről a Vezérlőpultról elérhető Dátum és idő párbeszédpanel Időzóna lapján tájékozódhat.

Windows XP Home Edition, Windows XP Professional, Windows XP Tablet PC Edition és Windows XP Media Center Edition rendszer esetén Windows XP 64-Bit Edition Version 2002: Windows XP 64-Bit Edition Version 2003: Megjegyzések

• Ha Windows XP 64-Bit Edition Version 2003 rendszert futtató számítógépen telepíti a biztonsági javítást, a telepítő ellenőrzi, hogy a számítógépen frissítendő fájlokat egy korábbi Microsoft gyorsjavítás nem frissítette-e. Ha a fájlok valamelyikét korábban már frissítette egy gyorsjavítással, a telepítő az RTMQFE fájlokat másolja a számítógépre, ellenkező esetben pedig az RTMGDR fájlokat. A Microsoft Tudásbázis kapcsolódó cikke:
  824994  (http://support.microsoft.com/kb/824994/ ) A Windows XP Service Pack 2 és a Windows Server 2003 rendszerekhez készült szoftverfrissítési csomagok tartalma (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)
• A biztonsági javítás Windows XP és Windows XP 64-Bit Edition Version 2002 rendszerre készült verziója kettős módú csomag. A kettős módú csomagok mind a Windows XP eredeti verziójához, mint a Windows XP Service Pack 1 (SP1) rendszerhez szükséges fájlokat tartalmazzák. A kettős módú csomagokról további információt a Microsoft Tudásbázis következő cikkében talál a cikk számára kattintva:
  328848  (http://support.microsoft.com/kb/328848/ ) A Windows XP kettős módú gyorsjavítási csomagjainak ismertetése (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)

A következő rendszerleíró kulcsok megtekintésével is ellenőrizheti a biztonsági javítás által telepített fájlokat:

Windows XP Home Edition SP1; Windows XP Professional SP1; Windows XP 64-Bit Edition, Version 2002 SP1; Windows XP Tablet PC Edition és Windows XP Media Center Edition rendszer esetén:Windows XP Home Edition; Windows XP Professional és Windows XP 64-Bit Edition, Version 2002 rendszer esetén:Windows XP 64-Bit Edition, Version 2003 rendszer esetén:Megjegyzés: Előfordulhat, hogy a rendszerleíró kulcs nem jön létre megfelelően, ha a rendszergazda vagy OEM-forgalmazó a biztonsági javítást a Windows telepítési forrásának fájljaiba építi be, vagy kiegészíti azokat vele.
A probléma megoldása érdekében szerezze be a Windows 2000 SP4 rendszerhez kiadott 1. összesítő frissítőcsomagot. A Microsoft Tudásbázis kapcsolódó cikke:

Windows 2000

Letöltési információ

A következő fájl letölthető a Microsoft letöltőközpontjából:

Kiadás dátuma: 2003. szeptember 10.

A Microsoft terméktámogatási fájljainak letöltéséről a Microsoft Tudásbázis alábbi cikkében tájékozódhat: A Microsoft ellenőrizte a fájl vírusmentességét. A Microsoft a kiadás napján rendelkezésre álló legújabb víruskereső szoftverrel ellenőrizte a fájl vírusmentességét. A fájlt biztonságos kiszolgálók tárolják, megakadályozva annak jogosulatlan módosítását.

Előfeltételek

Windows 2000 Datacenter Server rendszer esetén Service Pack 3 (SP3) szervizcsomag szükséges. A Windows 2000 egyéb verziói esetén a Service Pack 2 (SP2), a Service Pack 3 (SP3) vagy a Service Pack 4 (SP4) szervizcsomagra van szükség.

Megjegyzés: A Windows 2000 Service Pack 2 szervizcsomag a korábban közzétett dokumentációknak megfelelően életciklusa végéhez ért, ennek értelmében a Microsoft rendszerint nem bocsát ki általánosan elérhető biztonsági javításokat e termékhez. Azonban a cikkben tárgyalt probléma természetéből, valamint abból adódóan, hogy a termék csak röviddel ezelőtt ért életciklusa végére, és jelenleg még igen sok vásárló használja a Windows 2000 Service Pack 2 rendszert, a Microsoft e biztonsági rés tekintetében kivételt tett.

A Microsoft azonban nem tervezi e gyakorlata folytatását a jövőbeli biztonsági résekkel kapcsolatban, de fenntartja a jogot, hogy szükség esetén további biztonsági javításokat készítsen és tegyen közzé. A Microsoft a jövőbeli biztonsági rések következményeként a felhasználóknál jelentkező kockázat elkerülése érdekében javasolja ügyfeleinek, hogy létező Windows 2000 Service Pack 2 alapú rendszereikről mihamarabb térjenek át a Windows jelenleg is támogatott verzióira. A Windows asztali termékek életciklusáról a Microsoft alábbi webhelyén tájékozódhat: A Microsoft Tudásbázis kapcsolódó cikke:

Telepítési információk

Ez a biztonsági javítás a következő telepítési kapcsolók használatát támogatja:

• /?: A telepítési kapcsolók listájának megjelenítése.
• /u: Felügyelet nélküli üzemmód használata
• /f: A számítógép leállítása érdekében más programok bezárásának kényszerítése
• /n: A frissítés eltávolításához a fájlokról készítendő biztonsági mentés kihagyása
• /o: Az OEM-fájlok automatikus felülírása
• /z: A számítógép újraindításának kihagyása a telepítés befejeztével
• /q: Csendes üzemmód használata (nincs felhasználói beavatkozás)
• /l: A telepített gyorsjavítások felsorolása
• /x: A fájlok kicsomagolása a telepítő futtatása nélkül

A KB 824146 keresőeszközzel (KB824146scan.exe) és a Microsoft Baseline Security Analyzer (MBSA) eszközzel ellenőrizheti, hogy a biztonsági javítás telepítve van-e a számítógépen. A KB824146scan.exe programról a Microsoft Tudásbázis következő cikkében tájékozódhat: Az MBSA eszközről a Microsoft Tudásbázis alábbi cikkében tájékozódhat: A biztonsági javítás számítógépen való jelenlétéről az alábbi rendszerleíró kulcs meglétének ellenőrzésével is meggyőződhet:

Információ a központi telepítéshez

A javítás felhasználói beavatkozás nélküli telepítéséhez használja a következő parancsot: A javítás újraindítás nélküli telepítésére az alábbi parancs szolgál: Megjegyzés: Ezeket a kapcsolókat egyetlen parancssorban is használhatja.

A biztonsági javítás szoftverfrissítési szolgáltatásokkal történő központi telepítéséről a Microsoft alábbi webhelyén tájékozódhat:

Újraindítás szükségessége

A biztonsági javítás telepítését követően újra kell indítani a számítógépet.

Információ az eltávolításhoz

A javítás eltávolításához használja a Vezérlőpult Programok telepítése és törlése segédprogramját.

A rendszergazdák a biztonsági javítás eltávolításához a Spuninst.exe segédprogramot is használhatják. Az Spuninst.exe a %Windir%\$NTUninstallKB824146$\Spuninst mappában található, és a következő telepítési kapcsolók használatát támogatja:

• /?: A telepítési kapcsolók listájának megjelenítése
• /u: Felügyelet nélküli üzemmód használata
• /f: A számítógép leállítása érdekében más programok bezárásának kényszerítése
• /z: A számítógép újraindításának kihagyása a telepítés befejeztével
• /q: Csendes üzemmód használata (nincs felhasználói beavatkozás)

Információ a biztonsági javítások lecseréléséről

Ez a biztonsági javítás az MS03-026-os (823980) javítás helyébe lép. Az MS03-026-os (823980) javításról a Microsoft Tudásbázis következő cikkében tájékozódhat:

Fájlinformáció

A gyorsjavítás angol nyelvű változata a következő táblázatban található (vagy újabb) fájlattribútumokkal rendelkezik. A fájlok dátuma és időpontja az egyezményes világidő (UTC) szerint van megadva. A fájlinformációk megtekintése során ezek a helyi időre konvertálódnak. A helyi idő és az egyezményes világidő közötti különbségről a Vezérlőpultról elérhető Dátum és idő párbeszédpanel Időzóna lapján tájékozódhat. A következő rendszerleíró kulcs megtekintésével is ellenőrizheti a biztonsági javítás által telepített fájlokat: Megjegyzés: Előfordulhat, hogy a rendszerleíró kulcs nem jön létre megfelelően, ha a rendszergazda vagy OEM-forgalmazó a biztonsági javítást a Windows telepítési forrásának fájljaiba építi be, vagy kiegészíti azokat vele.

Windows NT 4.0 (minden verzió)

Letöltési információ

A következő fájlok letölthetők a Microsoft letöltőközpontjából:

Windows NT Workstation 4.0 Windows NT Server 4.0 Windows NT Server 4.0, Terminal Server Edition Kiadás dátuma: 2003. szeptember 10.

A Microsoft terméktámogatási fájljainak letöltéséről a Microsoft Tudásbázis alábbi cikkében tájékozódhat: A Microsoft ellenőrizte a fájl vírusmentességét. A Microsoft a kiadás napján rendelkezésre álló legújabb víruskereső szoftverrel ellenőrizte a fájl vírusmentességét. A fájlt biztonságos kiszolgálók tárolják, megakadályozva annak jogosulatlan módosítását.

Előfeltételek

A frissítéshez Windows NT 4.0 Service Pack 6a (SP6a) vagy Windows NT Server 4.0 Terminal Server Edition Service Pack 6 (SP6) szervizcsomag szükséges.

Megjegyzés: A Windows NT Workstation 4.0 a korábbiakban dokumentáltaknak megfelelően életciklusa végéhez ért, ennek értelmében a Microsoft rendszerint nem bocsát ki általánosan elérhető biztonsági javításokat e termékhez. Azonban a cikkben tárgyalt probléma természetéből, valamint abból adódóan, hogy a termék csak röviddel ezelőtt ért életciklusa végére, és jelenleg még igen sok vásárló használja a Windows NT Workstation 4.0 rendszert, a Microsoft e biztonsági rés tekintetében kivételt tett.

A Microsoft azonban nem tervezi e gyakorlata folytatását a jövőbeli biztonsági résekkel kapcsolatban, de fenntartja a jogot, hogy szükség esetén további biztonsági javításokat készítsen és tegyen közzé. A Microsoft a jövőbeli biztonsági rések következményeként a felhasználóknál jelentkező kockázat elkerülése érdekében kifejezetten ajánlja vásárlóinak, hogy létező Windows NT Workstation 4.0 alapú rendszereikről mihamarabb térjenek át a Windows jelenleg is támogatott verzióira. A Windows asztali termékek életciklusáról a Microsoft alábbi webhelyén tájékozódhat: A Microsoft Tudásbázis kapcsolódó cikke:

Telepítési információk

Ez a biztonsági javítás a következő telepítési kapcsolók használatát támogatja:

• /y: Eltávolítás (csak a /m vagy a /q kapcsolóval használható).
• /f: A programok bezárásának kikényszerítése a rendszer leállítása során
• /n: Az eltávolítási mappa létrehozásának kihagyása
• /z: A frissítés befejezésekor ne indítsa újra a számítógépet.
• /q: Csendes vagy felügyelet nélküli mód használata felhasználói felület nélkül (felülbírálja a /m kapcsolót).
• /m: Felügyelet nélküli mód használata felhasználói felület megjelenítése mellett.
• /l: A telepített gyorsjavítások felsorolása.
• /x: A fájlok kicsomagolása a telepítő futtatása nélkül.

A KB 824146 keresőeszközzel (KB824146scan.exe) és a Microsoft Baseline Security Analyzer (MBSA) eszközzel ellenőrizheti, hogy a biztonsági javítás telepítve van-e a számítógépen. A KB824146scan.exe programról a Microsoft Tudásbázis következő cikkében tájékozódhat: Az MBSA eszközről a Microsoft Tudásbázis alábbi cikkében tájékozódhat: A biztonsági javítás számítógépen való jelenlétéről az alábbi rendszerleíró kulcs meglétének ellenőrzésével is meggyőződhet:

Információ a központi telepítéshez

A javítás felhasználói beavatkozás nélküli telepítéséhez használja a következő parancsot: A javítás újraindítás nélküli telepítésére az alábbi parancs szolgál: Megjegyzés: Ezeket a kapcsolókat egyetlen parancssorban is használhatja.

A biztonsági javítás szoftverfrissítési szolgáltatásokkal történő központi telepítéséről a Microsoft alábbi webhelyén tájékozódhat:

Újraindítás szükségessége

A biztonsági javítás telepítését követően újra kell indítani a számítógépet.

Információ az eltávolításhoz

A javítás eltávolításához használja a Vezérlőpult Programok telepítése és törlése segédprogramját.

A rendszergazdák a biztonsági javítás eltávolításához a Hotfix.exe segédprogramot is használhatják. A Hotfix.exe segédprogram a %Windir%\$NTUninstallKB824146$ mappában található. A segédprogram a következő kapcsolókat támogatja:

• /y: Eltávolítás (csak a /m vagy a /q kapcsolóval használható).
• /f: A programok bezárásának kikényszerítése a rendszer leállítása során
• /n: Az eltávolítási mappa létrehozásának kihagyása
• /z: A számítógép újraindításának kihagyása a telepítés befejeztével
• /q: Csendes vagy felügyelet nélküli mód használata felhasználói felület nélkül (felülbírálja a /m kapcsolót).
• /m: Felügyelet nélküli mód használata felhasználói felület megjelenítése mellett.
• /l: A telepített gyorsjavítások felsorolása.

Információ a biztonsági javítások lecseréléséről

Ez a biztonsági javítás az MS03-026-os (823980) javítás helyébe lép. Az MS03-026-os (823980) javításról a Microsoft Tudásbázis következő cikkében tájékozódhat:

Fájlinformáció

A gyorsjavítás angol nyelvű változata a következő táblázatban található (vagy újabb) fájlattribútumokkal rendelkezik. A fájlok dátuma és időpontja az egyezményes világidő (UTC) szerint van megadva. A fájlinformációk megtekintése során ezek a helyi időre konvertálódnak. A helyi idő és az egyezményes világidő közötti különbségről a Vezérlőpultról elérhető Dátum és idő párbeszédpanel Időzóna lapján tájékozódhat.

Windows NT Server 4.0:Windows NT Server 4.0, Terminal Server EditionWindows NT Workstation 4.0: A következő rendszerleíró kulcs megtekintésével is ellenőrizheti a biztonsági javítás által telepített fájlokat: Megjegyzés: Előfordulhat, hogy a rendszerleíró kulcs nem jön létre megfelelően, ha a rendszergazda vagy OEM-forgalmazó a biztonsági javítást a Windows telepítési forrásának fájljaiba építi be, vagy kiegészíti azokat vele.

A Microsoft az javasolja, hogy a biztonsági javítást a lehető legkorábban telepítse, de addig is sokféle módon megakadályozhatja a biztonsági rés kihasználását. Az azonban nem garantálható, hogy ezek a megoldások minden lehetséges támadási pontot védenek.

Megjegyzés: A tárgyalt kerülő megoldások csak átmeneti jellegűek lehetnek, mivel a rendszerben lévő biztonsági rés kijavítása helyett csak a támadási útvonalak blokkolására alkalmasak.

• A tűzfal szintjén blokkolja a 135-ös, a 137-es, a 138-as és a 445-ös UDP-, valamint a 135-ös, a 139-es, a 445-ös és az 593-as TCP-portot. Tiltsa le a COM internet-szolgáltatásokat (CIS) és a HTTP-n keresztüli RPC szolgáltatást. A CIS és a HTTP-n keresztüli RPC szolgáltatások az érintett számítógépek 80-as és 443-as portját figyelik.
  
  Ezek a portok távoli számítógéppel létesített RPC-kapcsolat kezdeményezésére használatosak. E portok tűzfal szintű blokkolása segít megelőzni, hogy a tűzfal mögötti számítógépeket a biztonsági rés kiaknázására irányuló támadási kísérletekkel megtámadhassák. Blokkolja továbbá a távoli számítógép egyéb, speciálisan konfigurált RPC-portjait is.
  
  Ha engedélyezve vannak, a CIS és a HTTP-n keresztüli RPC lehetővé teszi a DCOM-hívások számára, hogy a 80-as TCP-porton keresztül működjenek (valamint a 443-as porton keresztül Windows XP és Windows Server 2003 esetén). Győződjön meg arról, hogy a CIS és a HTTP-n keresztüli RPC minden érintett számítógépen le van tiltva. A CIS letiltásáról a Microsoft Tudásbázis következő cikkében tájékozódhat:
  825819  (http://support.microsoft.com/kb/825819/ ) A COM internet-szolgáltatások (CIS) és a HTTP-n keresztüli RPC proxytámogatás eltávolítása (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)
  A HTTP-n keresztüli RPC szolgáltatásról a Microsoft következő webhelyén tájékozódhat:
  http://msdn.microsoft.com/library/en-us/rpc/rpc/rpc_over_http_security.asp (http://msdn.microsoft.com/library/default.asp?url=/library/en-us/rpc/rpc/rpc_over_http_security.asp)
• Az Internetkapcsolat tűzfala (ICF) segítségével tiltsa le a COM internetes szolgáltatásokat (CIS), valamint a HTTP-n keresztüli RPC szolgáltatást. A CIS és a HTTP-n keresztüli RPC szolgáltatások az érintett számítógépek 80-as és 443-as portján figyelnek.
  
  Amennyiben Windows XP vagy Windows Server 2003 rendszerben az Internetkapcsolat tűzfala szolgáltatást használja az internetkapcsolat védelmére, a szolgáltatás alapértelmezés szerint blokkolja az internetről érkező bejövő RPC-adatforgalmat.
  
  Megjegyzés: Az Internetkapcsolat tűzfala szolgáltatás csak Windows XP; Windows Server 2003, Standard Edition és Windows Server 2003, Enterprise Edition rendszerben áll rendelkezésre. Az Egyszerű tűzfal szolgáltatás az Útválasztás és távelérés szolgáltatás egyik összetevője, amelyet bármely nyilvános felület esetében engedélyezhet olyan számítógépen, amely az Útválasztás és távelérés szolgáltatást és a Windows Server 2003 termékcsalád valamelyik operációs rendszerét futtatja.
  
  Győződjön meg arról, hogy a CIS és a HTTP-n keresztüli RPC minden érintett számítógépen le van tiltva. A CIS letiltásáról a Microsoft Tudásbázis következő cikkében tájékozódhat:
  825819  (http://support.microsoft.com/kb/825819/ ) A COM internet-szolgáltatások (CIS) és a HTTP-n keresztüli RPC proxytámogatás eltávolítása (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)
  A HTTP-n keresztüli RPC szolgáltatásról a Microsoft következő webhelyén tájékozódhat:
  http://msdn.microsoft.com/library/en-us/rpc/rpc/rpc_over_http_security.asp (http://msdn.microsoft.com/library/default.asp?url=/library/en-us/rpc/rpc/rpc_over_http_security.asp)
• Egy IPSec szűrő segítségével blokkolja az érintett portokat, valamint tiltsa le a COM internetes szolgáltatásokat (CIS) és a HTTP-n keresztüli RPC szolgáltatást. A CIS és a HTTP-n keresztüli RPC szolgáltatások az érintett számítógépek 80-as és 443-as portját figyelik.
  
  Az IPSec használatával növelheti a Windows 2000 alapú számítógépek hálózati kommunikációjának biztonságát. További információt az IPSec protokollról, valamint az IP-szűrőlisták Windows 2000 rendszerbeli használatáról a Microsoft Tudásbázis következő cikkében talál a cikk számára kattintva:
  313190  (http://support.microsoft.com/kb/313190/ ) Az IPSec IP-szűrőlisták használata Windows 2000 rendszerben (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)
  813878  (http://support.microsoft.com/kb/813878/ ) Hálózati protokollok és portok blokkolása az IPSec használatával (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)
  Győződjön meg arról, hogy a CIS és a HTTP-n keresztüli RPC minden érintett számítógépen le van tiltva. A CIS letiltásáról a Microsoft Tudásbázis következő cikkében tájékozódhat:
  825819  (http://support.microsoft.com/kb/825819/ ) A COM internet-szolgáltatások (CIS) és a HTTP-n keresztüli RPC proxytámogatás eltávolítása (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)
  A HTTP-n keresztüli RPC szolgáltatásról a Microsoft következő webhelyén tájékozódhat:
  http://msdn.microsoft.com/library/en-us/rpc/rpc/rpc_over_http_security.asp (http://msdn.microsoft.com/library/default.asp?url=/library/en-us/rpc/rpc/rpc_over_http_security.asp)
• Tiltsa le a DCOM szolgáltatást az összes érintett számítógépen. Ha a számítógép egy hálózat része, a DCOM protokoll lehetővé teszi, hogy a számítógép COM-objektumai más számítógépek COM-objektumaival kommunikáljanak.
  
  A biztonsági rés elleni védekezésül letilthatja a DCOM szolgáltatást a számítógépen, ezzel azonban meggátol minden kommunikációt az adott számítógépen és a többi gépen lévő objektumok között. Amennyiben egy távoli számítógépen letiltja a DCOM szolgáltatást, azt a számítógépet nem érheti el távolról a DCOM újraengedélyezéséhez. A DCOM újbóli engedélyezéséhez fizikai hozzáféréssel kell rendelkeznie a számítógéphez. A DCOM letiltásáról további információt a Microsoft Tudásbázis következő cikkében talál a cikk számára kattintva:
  825750  (http://support.microsoft.com/kb/825750/ ) A DCOM-támogatás letiltása Windows rendszerben (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)
  Megjegyzés: Windows 2000 rendszer esetén a Microsoft Tudásbázis 825750. számú cikkében ismertetett eljárások csak akkor működnek, ha a számítógépeken Service Pack 3 vagy újabb szervizcsomag telepítve van. A Service Pack 2 vagy korábbi szervizcsomagot tartalmazó rendszereket újabb szervizcsomagra kell frissíteni, vagy a kerülő megoldások egyikét kell használni.

A Microsoft megerősítette, hogy ez a hiba bizonyos fokú biztonsági kockázatot jelent a cikk elején felsorolt Microsoft-termékekben. A hiba első javítását a Windows 2000 Service Pack 4 szervizcsomag tartalmazza.

A biztonsági résről a Microsoft következő webhelyén talál további információt: Az ügyfelek és kiszolgálók RPC szolgáltatásának biztonságossá tételéről a Microsoft alábbi webhelyén tájékozódhat: Az RPC által használt portokról további információhoz juthat a Microsoft alábbi webhelyének meglátogatásával: