MS10-029: Windows ISATAP Bileþeni'ndeki güvenlik açýðý kimlik sahtekarlýðýna neden olabilir

Microsoft, MS10-029 güvenlik bültenini yayýmladý. Güvenlik bülteninin tamamýný görüntülemek için aþaðýdaki Microsoft Web sitelerinden birini ziyaret edin:

• Ev kullanýcýlarý:
  http://www.microsoft.com/turkiye/protect/computer/updates/bulletins/201004.mspx (http://www.microsoft.com/turkiye/protect/computer/updates/bulletins/201004.mspx)
  Ayrýntýlarý atla: Ev veya dizüstü bilgisayarýnýz için güncelleþtirmeleri þimdi Microsoft Update Web sitesinden yükleyin:
  http://update.microsoft.com/microsoftupdate (http://update.microsoft.com/microsoftupdate)
• BT uzmanlarý:
  http://www.microsoft.com/technet/security/bulletin/MS10-029.mspx (http://www.microsoft.com/technet/security/bulletin/MS10-029.mspx)

Bu güvenlik güncelleþtirmesiyle ilgili yardým ve destek alma

Ev kullanýcýlarý, ABD'de ve Kanada'da 1-866-PCSAFETY numarasýný arayarak veya yerel Microsoft temsilcisine baþvurarak ücretsiz destek alabilir. Güvenlik güncelleþtirmeleri sorunlarýyla ilgili olarak yerel Microsoft temsilcinize baþvurma konusunda daha fazla bilgi için, Microsoft Uluslararasý Destek Web sitesini ziyaret edin. Kuzey Amerika'daki müþteriler aþaðýdaki Microsoft Web sitesini ziyaret ederek ücretsiz e-posta desteðine veya sohbet yoluyla destek seçeneklerine sýnýrsýz eriþim saðlayabilir: Kurumsal müþteriler, normal destek ilgili kiþilerinden güvenlik güncelleþtirmeleriyle ilgili destek alabilir.

Bu güvenlik bültenindeki iþlevsellik deðiþikliklerinin açýklamasý

Bu güvenlik güncelleþtirmesi, IPv6 Site Ýçi Otomatik Tünel Adres Protokolü'nün (ISATAP) iki özelliðini kullanýr:

• Olasý Yönlendirici Listesi (PRL): PRL, ISATAP istemcilerinin gelen ISATAP paketlerinde kaynak adresi deneyimi gerçekleþtirmelerine olanak verir. PRL, Internet Standardý RFC 5214'te belgelenmiþtir. Bu güvenlik güncelleþtirmesi yüklendikten sonra, PRL'deki bilgilere baðlý olarak ek zorlama gerçekleþtirilir. Bu, müþterilerin güvenlik bülteni MS10-029'da açýklanan güvenlik açýðýna karþý korunmalarýna yardýmcý olur.
• Komþuya Eriþememe Algýlamasý (NUD): NUD, bir komþunun eriþilebilir olup olmadýðýný denetlemek üzere ISATAP yönlendiricileri tarafýndan kullanýlýr. NUD, Internet Standardý RFC 4861'de belgelenmiþtir. Yüksek uyumluluk gereksinimleri nedeniyle, bu güvenlik güncelleþtirmesi yüklendikten sonra NUD devre dýþý býrakýlýr. Bu nedenle NUD, el ile yapýlandýrma gerektirir.

Olasý Yönlendirici Listesi (PRL) nasýl çalýþýr?

Olasý Yönlendirici Listesi, her bir ISATAP istemcisinde kendi ISATAP yönlendiricilerinin listesini saklayan bir özelliktir. Bu adresler, ISATAP yönlendiricisindeki DNS çözümlemesinden alýnýr. Bu güncelleþtirme yüklendikten sonra, Windows, PRL'nin içerdiði bilgileri kullanarak ek doðrulama gerçekleþtirir.

Bir paket alýndýðýnda, bu paket yalnýzca aþaðýdaki iki koþul saðlanýyorsa iþlenir:

• IPv4 kaynak adresi, IPv6 kaynak adresinin son 32 bit deðeriyle eþleþir.
• IPv4 kaynak adresi, Olasý Yönlendirici Listesi'ndeki bir adresle eþleþir. Bu durum, paket için istemcinin ISATAP yönlendiricisi tarafýndan tünel oluþturulduðunu gösterir.

Örneðin, þu senaryoyu inceleyin: Bu senaryoda, A ana bilgisayarý B ana bilgisayarýna IPv4 kaynak adresi 1.1.1.1 ile tünel oluþturulmuþ bir ISATAP paketi gönderir. Tünel oluþturulmuþ pakette sýzdýrýlmýþ bir IPv6 kaynak adresi bulunur (örneðin, 2ffe::5efe:3.3.3.3). PRL olmadan, B ana bilgisayarý 1.1.1.1 yerine 3.3.3.3 adresine yanýt verir.

Ancak PRL kullanýldýðýnda, bu sýzdýrma giriþimi algýlanýr ve paket iþlenmez.

Komþuya Eriþememe Algýlamasý (NUD) nasýl çalýþýr?

Komþuya Eriþememe Algýlamasý (NUD), bu güncelleþtirme tarafýndan ISATAP yönlendiricilerine daðýtýlan yeni bir özelliktir. NUD paketleri iletmeden önce bir komþunun eriþilebilir olup olmadýðýný doðrular. Böylece að üzerinde doðru iþlemlerin gerçekleþtirilmesi saðlanýr ve belirli yönlendirme döngüleri engellenir.

Bu özellik etkinleþtirildiðinde, yönlendirici bir paket iletmeden önce hedef ISATAP düðümüne Komþu Bulma (NS) isteði gönderir. ISATAP düðümü bu istemi alýr ve söz konusu IPv6 adresini bilmiyorsa NS'ye yanýt vermeden paketi yok sayar. Bu adres istemi alan ISATAP düðümüne atanmýþsa, ISATAP düðümü bir Komþu Tanýtýmý (NA) ile yanýt verir. Bu NA alýndýktan sonra, kaynak düðüm paketi iletir.

NUD'yi aðýmda nasýl daðýtmalýyým?

Müþteriler NUD'yi daðýtýrken dikkatli olmalýdýr. Að üzerindeki tüm ISATAP düðümleri NUD'yi desteklemiyorsa, NUD'yi etkinleþtirmek baðlantý sorunlarýna neden olabilir. NUD'yi desteklemeyen bir aygýta Komþu Bulma isteði gönderen bir ISATAP yönlendiricisi yanýt almaz. Bu nedenle ISATAP yönlendiricisi, yolun kullanýlabilir olmadýðý sonucuna varýr.

NUD, Windows 7 ve Windows Server 2008 R2 tabanlý sistemlerde desteklenmektedir. Ancak el ile etkinleþtirilmesi gerekir.

Windows XP, Windows Server 2003, Windows Vista ve Windows Server 2008 tabanlý sistemlerde, güvenlik güncelleþtirmesi 978338'i yükledikten sonra NUD'yi el ile etkinleþtirmeniz gerekir.

ISATAP etkin olan yönlendiricilerin üçüncü taraf saðlayýcýlarýndan, aygýtlarýnda NUD kullanýlabildiðini ve NS ve NA paketlerinin iþlenmesinin desteklendiðini doðrulamanýzý öneririz.

Komþuya Eriþememe Algýlamasý'ný nasýl etkinleþtirebilirim?

Windows Vista, Windows Server 2008, Windows 7 ve Windows Server 2008 R2 tabanlý sistemlerde NUD'yi etkinleþtirme

Komþuya Eriþememe Algýlamasý'ný etkinleþtirmek için þu adýmlarý izleyin:

1. Komut istemine aþaðýdaki komutu yazýn ve ENTER tuþuna basýn:
   netsh int ipv6 set interface ISATAP arabirimi adý nud=enabled
2. Bilgisayarý yeniden baþlatýn.

Komþuya Eriþememe Algýlamasý'ný devre dýþý býrakmak için þu adýmlarý izleyin:

1. Komut istemine aþaðýdaki komutu yazýn ve ENTER tuþuna basýn:
   netsh int ipv6 set interface ISATAP arabirimi adý nud=di store=persistent
2. Bilgisayarý yeniden baþlatýn.

Windows XP ve Windows Server 2003 tabanlý sistemlerde NUD'yi etkinleþtirme

Önemli Bu bölüm, yöntem veya görev kayýt defterini nasýl deðiþtireceðinizin anlatýldýðý adýmlar içermektedir. Ancak kayýt defterini hatalý olarak deðiþtirirseniz önemli sorunlar oluþabilir. Bu nedenle, bu adýmlarý dikkatlice uyguladýðýnýzdan emin olun. Ek koruma için, kayýt defterini deðiþtirmeden önce yedeklemeyi unutmayýn. Bir sorun oluþursa kayýt defterini daha sonra geri yükleyebilirsiniz. Kayýt defterini yedekleme ve geri yükleme hakkýnda daha fazla bilgi için, Microsoft Bilgi Bankasý'ndaki makaleyi görüntülemek üzere aþaðýdaki makale numarasýný týklatýn: NUD'yi etkinleþtirmek için, aþaðýdaki kayýt defteri alt anahtarýna deðeri 1 olan NUDEnabledOnISATAP adlý bir DWORD deðeri ekleyin: Bu düzeltmeyi devre dýþý býrakmak için, NUDEnabledOnISATAP DWORD girdisinin deðerini 0 (sýfýr) olarak deðiþtirin.

Bu kayýt defteri deðerlerini eklemek için þu adýmlarý izleyin:

1. Baþlat'ý týklatýn, Çalýþtýr'ý týklatýn, Aç kutusuna regedit yazýn ve Tamam'ý týklatýn.
2. Kayýt defterinde aþaðýdaki alt anahtarý bulun ve týklatýn:
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\
3. Düzen menüsünde Yeni'nin üzerine gidin ve Anahtar'ý týklatýn.
4. Anahtar adý olarak GlobalParams yazýn ve ENTER tuþuna basýn.
5. GlobalParams anahtarýný açmak üzere çift týklatýn.
6. Düzen menüsünde Yeni'nin üzerine gelin ve sonra DWORD Deðeri'ni týklatýn.
7. DWORD adý olarak NUDEnabledOnISATAP yazýn ve ENTER tuþuna basýn.
8. NUDEnabledOnISATAP öðesini sað týklatýn ve ardýndan Deðiþtir'i týklatýn.
9. Deðer verisi kutusunda, NUD'yi etkinleþtirmek üzere 1 yazýn ve Tamam'ý týklatýn.
   
   Not NUD'yi devre dýþý býrakmak için, 0 (sýfýr) yazýn ve Tamam'ý týklatýn.
10. Kayýt Defteri Düzenleyicisi'nden çýkýn ve bilgisayarý yeniden baþlatýn.

Bu yazýlým güncelleþtirmesinin Ýngilizce (ABD) sürümü, aþaðýdaki tablolarda listelenen özniteliklere sahip dosyalarý yükler. Bu dosyalarla ilgili tarihler ve saatler UTC (eþgüdümlü evrensel saat) kullanýlarak listelenmiþtir. Bu dosyalarýn tarih ve saatleri, yerel bilgisayarýnýzda yerel saatinize ve geçerli gün ýþýðýndan yararlanma saatine (DST) göre görüntülenir. Bu tarih ve saatler ayrýca dosyalarda belirli iþlemleri gerçekleþtirdiðinizde deðiþebilir.

Windows XP ve Windows Server 2003 dosya bilgileri

• Belirli bir aþama (RTM, SPn) ve hizmet dalý (QFE, GDR) için geçerli olan dosyalar "SP gereksinimi" ve "Hizmet dalý" sütunlarýnda belirtilmiþtir.
• GDR hizmet dallarý yalnýzca yaygýn olarak karþýlaþýlan kritik sorunlarý gidermek üzere kapsamlý olarak yayýmlanmýþ düzeltmeleri içerir. QFE hizmet dallarý, kapsamlý olarak yayýmlanan düzeltmelerden baþka düzeltmeler de içerir.
• Bu tablolarda listelenen dosyalarýn yaný sýra, bu yazýlým güncelleþtirmesi ayný zamanda bir Microsoft dijital imzasý kullanýlarak imzalanmýþ iliþkili bir güvenlik kataloðu dosyasý yükler (BBnumara.cat).

Windows XP'nin tüm desteklenen x86 tabanlý sürümleri

Windows Server 2003'ün ve Windows XP Professional x64 Edition'ýn tüm desteklenen x64 tabanlý sürümleri

Windows Server 2003'ün tüm desteklenen x86 tabanlý sürümleri

Windows Server 2003'ün tüm desteklenen IA-64 tabanlý sürümleri

Windows Vista ve Windows Server 2008 dosya bilgileri

• Belirli bir ürün, aþama (RTM, SPn) ve hizmet dalý (LDR, GDR) için geçerli olan dosyalar, aþaðýdaki tabloda gösterildiði þekilde dosya sürümü numaralarý incelenerek belirlenebilir:
  Bu tabloyu kapaBu tabloyu aç

  Sürüm	Ürün	Aþama	Hizmet dalý
  6.0.6000.16xxx	Windows Vista	RTM	GDR
  6.0.6000.20xxx	Windows Vista	RTM	LDR
  6.0.6001.18xxx	Windows Vista SP1 ve Windows Server 2008 SP1	SP1	GDR
  6.0.6001.22xxx	Windows Vista SP1 ve Windows Server 2008 SP1	SP1	LDR
  6.0.6002.18xxx	Windows Vista SP2 ve Windows Server 2008 SP2	SP2	GDR
  6.0.6002.22xxx	Windows Vista SP2 ve Windows Server 2008 SP2	SP2	LDR

• Service Pack 1, Windows Server 2008'in yayýmlanan sürümüyle tümleþiktir. Dolayýsýyla, RTM aþama dosyalarý yalnýzca Windows Vista'ya uygulanýr. RTM aþama dosyalarý, 6.0.0000.xxxxxx sürüm numarasýna sahiptir.
• GDR hizmet dallarý yalnýzca yaygýn olarak karþýlaþýlan kritik sorunlarý gidermek üzere kapsamlý olarak yayýmlanmýþ düzeltmeleri içerir. LDR hizmet dallarý, kapsamlý olarak yayýmlanan düzeltmelerden baþka düzeltmeler de içerir.
• Her çalýþma ortamý için yüklenen MANIFEST dosyalarý (.manifest) ve MUM dosyalarý (.mum) ayrý olarak listelenmektedir. MUM ve MANIFEST dosyalarýnýn yaný sýra bunlarýn iliþkili güvenlik kataloðu (.cat) dosyalarý, güncelleþtirilmiþ bileþenin durumunu korumak açýsýndan kritik önem taþýmaktadýr. Güvenlik kataloðu dosyalarý (öznitelikler listelenmez) Microsoft dijital imzasýyla imzalanýr.

Windows Vista'nýn ve Windows Server 2008'in tüm desteklenen x86 tabanlý sürümleri

Windows Vista'nýn ve Windows Server 2008'in tüm desteklenen x64 tabanlý sürümleri

Windows Server 2008'in tüm desteklenen IA-64 tabanlý sürümleri

Windows Vista ve Windows Server 2008 için ek dosya bilgileri

Windows Vista'nýn ve Windows Server 2008'in tüm desteklenen x86 tabanlý sürümleri için ek dosyalar

Windows Vista'nýn ve Windows Server 2008'in tüm desteklenen x64 tabanlý sürümleri için ek dosyalar

Windows Server 2008'in tüm desteklenen IA-64 tabanlý sürümleri için ek dosyalar