MS02-069: A Microsoft virtuális gép biztonsági rése veszélyeztetheti a Windows rendszer működését

A cikket archiválták. A továbbiakban a tartalma már nem frissül, csak jelenlegi állapotában lesz elérhető.
A jelenség
A Microsoft virtuális gép (Microsoft VM) a Win32 környezet virtuális számítógépe, amely a Windows rendszer legtöbb verziójában és a Microsoft Internet Explorer böngésző szinte minden egyes verziójában megtalálható.

A gyártó közzétette a Microsoft virtuális gép új verzióját, amelynek már része a Microsoft virtuális géphez korábban kiadott valamennyi javítás, illetve nyolc nemrégiben észlelt probléma javítása. Ezen új problémák biztonsági vonzatai valószínűleg megegyeznek: az esetleges támadó olyan webhelyet hozhat létre, amelynek megnyitásakor lehetősége nyílik az adott biztonsági rést kihasználni. A veszélyt jelentő elem tárolható webhelyen, de HTML formátumú e-mailben is elküldhető.

A nemrég észlelt biztonsági problémák a következők:
  • Biztonsági rés, amelyen keresztül nem megbízható Java kisalkalmazások COM-objektumokhoz szerezhetnek hozzáférést

    A COM-objektumok természetüknél fogva működésük közben adatokat szolgáltatnak, ezért csak megbízható Java programoknak szabad hozzáférést biztosítani hozzájuk. Egyes COM-objektumok olyan szolgáltatásokat nyújtanak, amelyeken keresztül a támadó átveheti az irányítást a rendszer fölött.
  • Biztonságirés-pár, amely képes elrejteni a kisalkalmazás „codebase” attribútuma által hivatkozott tényleges helyet

    Habár mindkét biztonsági rés más alapokból fakad, lehetséges hatásuk ugyanaz. Kialakításuk következtében a felhasználó tárolóeszközein vagy hálózati megosztáson tárolt Java kisalkalmazások olvasási jogosultsággal bírnak az őket tároló mappára és annak összes almappájára nézve. E két biztonsági rés olyan metódusokat biztosít, amelyek hatására az adott webhelyen tárolt kisalkalmazás tévesen jelölheti meg „codebase” attribútumában jelölt helyét. Ez azt jelenti, hogy a kisalkalmazás látszólag a felhasználó helyi rendszerében vagy egy hálózati megosztáson van, nem pedig ott, ahol ténylegesen elhelyezkedik.
  • Biztonsági rés, amely segítségével a támadó olyan URL-címet hozhat létre, amely értelmezésekor Java kisalkalmazást tölt be egy webhelyről, de azt egy másik webhelyhez tartozóként jelöli meg

    Ezt a biztonsági rést kihasználva a támadó kisalkalmazása a másik webhely tartományában futhat, így a felhasználó által a kisalkalmazásnak megadott összes adat visszajuttatható a támadóhoz.
  • Biztonsági rés, amely adatbázistartalom-módosítást tesz lehetővé kisalkalmazásoknak

    A biztonsági rés oka az, hogy a Microsoft virtuális gép engedélyezi a kisalkalmazásoknak a JDBC alapú (adatbázis-hozzáférési metódusokat biztosító) API felületek hívását. Ezen API-k kialakításuknál fogva lehetővé teszik az adatbázis-tartalom hozzáadását, módosítását és törlését, és használatukat csak felhasználói jogosultságok megléte szabályozza.
  • Biztonsági rés, amelyen keresztül a támadó ideiglenesen megakadályozhatja a megadott Java objektumok betöltését és futtatását

    A korábbi verziók szokásos biztonságkezelő segédprogramja (Standard Security Manager) lehetővé teszi a felhasználóknak, hogy korlátozásokat alkalmazzanak a Java kisalkalmazások tekintetében, például le is tilthassák azokat. A Microsoft virtuális gép azonban nem megfelelően szabályozza a biztonságkezelőhöz történő hozzáférést, így a támadó kisalkalmazása egyéb Java objektumokat adhat a tiltólistához.
  • Biztonsági rés, amelyet kihasználva a támadó megszerezheti a felhasználó helyi számítógépen alkalmazott felhasználónevét

    E biztonsági rés oka az, hogy a „user.dir” rendszertulajdonság nem megbízható kisalkalmazásoknak is elérhető. Bár a felhasználónév ismerete önmagában nem jelent biztonsági veszélyforrást, a támadó a név birtokában esetleg megfigyelést végezhet.
  • Biztonsági rés, amelynek oka az, hogy valamely Java kisalkalmazás csak részben hoz létre egy másik Java objektumpéldányt

    Ennek következtében a szülőprogram (Internet Explorer) leáll.
A megoldás
A probléma megoldásához telepítse a 810030. számú, a Microsoft virtuális géphez kiadott biztonságifrissítés-csomagot. A frissítés 5.00.3809 verziójúra frissíti a Microsoft virtuális gépet, amelynek összes, 5.00.3809 verziónál régebbi verzióját érintik a jelen cikk „A jelenség” című szakaszában felsorolt biztonsági problémák.

A frissítés helye

A frissítés megkereséséhez látogassa meg a Microsoft Windows Update webhely fontos frissítéseket tartalmazó részét: A rendszergazdák a frissítést a Windows Update katalógusból is letölthetik, majd központilag telepíthetik a Microsoft virtuális géppel rendelkező számítógépekre. Ha a frissítést később végrehajtandó telepítés céljából kívánja beszerezni, és több számítógépen szeretné elvégezni a telepítést, keresse meg e cikk számát a Windows Update katalógus speciális keresési beállításai segítségével. A javítások Windows Update katalógusból történő letöltésével kapcsolatban további információt a Microsoft Tudásbázis következő cikkében talál a cikk számára kattintva:
323166 Útmutató: Windows-frissítések és illesztőprogramok letöltése a Windows Update katalógusból
Megjegyzés: A Microsoft virtuális gép frissítésének Windows 2000 rendszerhez készített verziója csak a Windows 2000 Service Pack 2 (vagy újabb) szervizcsomag megléte esetén telepíthető, más operációs rendszerre nem. A frissítés Windows 2000 rendszerhez készített verziójának letöltéséhez operációs rendszerként válassza a Windows 2000 SP2 vagy a Windows 2000 SP3 lehetőséget.

Ha a frissítés Windows XP, Windows NT 4.0, Windows Millennium Edition (Me), Windows 98 Second Edition vagy Windows 98 rendszerhez írt verziójára van szüksége, operációs rendszerként válassza a Windows XP, a Windows Millennium Edition vagy a Windows 98 lehetőséget.

Megjegyzés: A Windows NT 4.0 rendszert futtató számítógépek nem használhatják a Windows Update katalógust. Amennyiben Windows NT 4.0 alapú csomagot kell letöltenie több számítógépre történő telepítés vagy későbbi telepítés céljából, nyissa meg a Windows Update katalógust Windows 98, Windows Millennium Edition (Me), Windows 2000, Windows XP vagy Windows Server 2003 rendszert futtató számítógépről, majd válassza a Windows 98, a Windows Millennium Edition (Me) vagy a Windows XP rendszert jelző lehetőséget. A biztonsági frissítés Windows NT 4.0 rendszerű számítógépekre is telepíthető. A Windows XP, Windows 98, Windows Millennium Edition, Windows 2000 vagy Windows Server 2003 rendszerű számítógéphez (így a Windows Update katalógushoz) hozzáféréssel nem rendelkező rendszergazdák a Microsoft terméktámogatási szolgálatának segítségével szerezhetik be a javítást. A Microsoft terméktámogatási szolgálata telefonszámainak teljes listáját és a támogatási költségekre vonatkozó információt a Microsoft következő webhelyén találja:

Információ a telepítéshez

A frissítés csak olyan számítógépekre telepíthető, amelyekre előzőleg már telepítették a Microsoft virtuális gép valamely korábbi verzióját. Ha többet szeretne tudni arról, hogy miként telepíthető a Microsoft virtuális gép csendes telepítéssel és a számítógép újraindítása nélkül, a Microsoft Tudásbázis következő cikke bővebb felvilágosítást nyújt a cikk számára kattintva:
304930 A Microsoft virtuális gép csendes telepítése a számítógép újraindítása nélkül (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)

Fájlinformáció

A javítás angol nyelvű verziója a következő táblázatban található tulajdonságokkal (vagy újabbakkal) rendelkezik. A fájlok dátuma és időpontja az egyezményes világidő (UTC) szerint van megadva, és a fájlinformáció megtekintése során ezen adatokat helyi időre konvertálja a program. A helyi idő és az egyezményes világidő közötti különbségről a Vezérlőpultról elérhető Dátum és idő párbeszédpanel Időzóna lapján tájékozódhat.
Dátum        Idő    Verziószám      Méret      Fájlnév -------------------------------------------------------------- 2002.03.20.  11:52                      2 678  Classes.cer 2002.11.18.  14:07                  5 751 849  Classes.zip 2002.11.18.  14:11  5.0.3809.0        404 752  Javart.dll 2002.11.18.  14:09  5.0.3809.0        172 304  Jview.exe 2002.11.18.  14:11  5.0.3809.0        947 984  Msjava.dll 2002.03.20.  11:52                      2 678  Msjdbc.cer 2002.11.18.  14:07                    137 482  Msjdbc.zip 2001.05.29.  00:58                     10 957  Osp.zip
Megjegyzés: A frissített virtuális gép telepítését követően a ZIP-fájlok neve megváltozik. Ez teljesen normális jelenség, így figyelmen kívül hagyható. A ZIP-csomagban lévő fájloknak csak egy része változott ebben a kiadásban. A fájlokat azonban nem lehet egyenként csomagolni.
Állapot
A Microsoft megerősítette, hogy ez a probléma bizonyos fokú biztonsági kockázatot okozhat a Microsoft virtuális gép használata esetén.
További információ
A Windows 98, Windows 98 Second Edition (SE) vagy Windows Millennium Edition (Me) rendszer Microsoft virtuális gép összetevője buildszámát a következőképpen állapíthatja meg:
  1. Kattintson a Start menü Futtatás parancsára.
  2. Írja be a Megnyitás mezőbe a command parancsot, majd kattintson az OK gombra.
  3. Írja be a parancssorba a jview parancsot, majd nyomja meg az ENTER billentyűt. A verzióadatok az első sorban a következő formában jelennek meg: „Verziószám: n.nn.nnnn”, ahol nnnn a buildszám. Az 5.00.3802 verziószám például a Microsoft virtuális gép 3802-es buildjét jelöli.
A Windows NT 4.0, a Windows 2000 vagy a Windows XP rendszer Microsoft virtuális gép összetevője buildszáma az alábbiak szerint azonosítható:
  1. Kattintson a Start menü Futtatás parancsára.
  2. Írja be a Megnyitás mezőbe a cmd parancsot, majd kattintson az OK gombra.
  3. Írja be a parancssorba a következő parancsot, majd nyomja meg az ENTER billentyűt:
    jview
    A verzióadatok az első sorban a következő formában jelennek meg: „Verziószám: n.nn.nnnn”, ahol az utolsó négy nnnn karakter a buildszám. Az 5.00.3802 verziószám például a Microsoft virtuális gép 3802-es buildjét jelöli.
A biztonsági résről a Microsoft következő webhelyén talál további információt:
security_patch
Tulajdonságok

Cikkazonosító: 810030 - Utolsó ellenőrzés: 12/08/2015 01:38:45 - Verziószám: 6.5

  • kbnosurvey kbarchive kbbug kbfix kbsecvulnerability kbqfe kbsecurity kbsecbulletin KB810030
Visszajelzés