Dela via

Säkerhetsbulletin

Microsoft Security Bulletin MS02-022 – Kritisk

Omarkerad buffert i MSN-chattkontroll kan leda till kodkörning (Q321661)

Publicerad: Maj 08, 2002 | Uppdaterad: 28 februari 2003

Version: 2.1

Ursprungligen postat: Maj 08, 2002

Uppdaterad: 28 februari 2003

Sammanfattning

Vem bör läsa den här bulletinen: Alla kunder som använder Microsoft® MSN Chat-kontrollen, som är tillgänglig för direkt nedladdning och levereras med MSN Messenger och Exchange Instant Messenger.

Sårbarhetens inverkan: Kör kod för angriparens val

Högsta allvarlighetsgrad: Kritisk

Rekommendation: Kunder som inte installerade uppdateringarna när de ursprungligen släpptes bör installera de uppgraderade uppdateringarna omedelbart. Kunder som installerade de ursprungliga uppdateringarna bör överväga att installera de uppgraderade uppdateringarna.

Programvara som påverkas:

  • Microsoft MSN-chattkontroll
  • Microsoft MSN Messenger 4.5 och 4.6, som innehåller MSN Chat-kontrollen
  • Microsoft Exchange Instant Messenger 4.5 och 4.6, som innehåller MSN Chat-kontrollen

Allmän information

Teknisk information

Teknisk beskrivning:

Den 8 maj 2002 släppte Microsoft den ursprungliga versionen av denna bulletin. Den 11 juni 2002 uppdaterades bulletinen för att meddela att även om korrigeringarna som utfärdades den 8 maj 2002 löste sårbarheten, skyddade de inte i alla fall mot återinförandet av den sårbara kontrollen. Därför frigörs en ny uppsättning korrigeringar för att säkerställa att systemen skyddas fullt ut mot återinförandet av den sårbara kontrollen. En ny MSN Chat-kontroll, uppdaterad korrigering, uppdaterad version av MSN Messenger och en uppdaterad version av Exchange Instant Messenger har gjorts tillgänglig. Kunder som har tillämpat någon av korrigeringarna som släpptes den 8 maj 2002 uppmanas att överväga att tillämpa de uppdaterade korrigeringarna.

MSN Chat-kontrollen är en ActiveX-kontroll som gör att grupper av användare kan samlas på en enda virtuell plats online för att delta i textmeddelanden. Kontrollen erbjuds för nedladdning som en enda ActiveX-kontroll från ett antal MSN-webbplatser. Dessutom ingår den i MSN Messenger sedan version 4.5 och Exchange Instant Messenger. Även om MSN Chat-kontrollen ingår i dessa produkter används den inte för att tillhandahålla funktioner för snabbmeddelanden, utan i stället för att lägga till chattfunktioner i dessa produkter.

Det finns en omarkerad buffert i en av de funktioner som hanterar indataparametrar i MSN Chat-kontrollen. En säkerhetsrisk resulterar eftersom det är möjligt för en obehörig användare att ta ut en buffertöverskridningsattack och försöka utnyttja den här bristen. En lyckad attack kan tillåta att kod körs i användarens kontext.

Det skulle vara möjligt för en angripare att försöka utnyttja den här sårbarheten antingen via en skadlig webbplats eller via HTML-e-post. Outlook Express 6.0 och Outlook e-postsäkerhetsuppdatering, som är tillgänglig för Outlook 98 och Outlook 2000, Outlook 2002 och kan förhindra sådana försök via standardsäkerhetsinställningarna.

Förmildrande faktorer:

  • En lyckad attack kräver att användaren har installerat MSN Chat-kontrollen, MSN Messenger eller Exchange Instant Messenger.
  • MSN Chat-kontrollen installeras inte med någon version av Windows eller Internet Explorer som standard.
  • Windows Messenger som levereras med Windows XP innehåller inte MSN Chat-kontrollen. Windows XP-användare skulle bara vara sårbara om de har valt att installera MSN Chat-kontrollen från MSN-webbplatser.
  • HTML-e-postattackvektorn blockeras av följande Microsoft-e-postprodukter: Outlook 98 och Outlook 2000 med Outlook Email Security Update, Outlook 2002 och Outlook Express. Det beror på att alla dessa produkter öppnar HTML-e-post i zonen Begränsade webbplatser som standard.

Allvarlighetsgrad:

Internetservrar Intranätservrar Klientsystem
MSN-chattkontroll Låg Låg Kritiskt
MSN Messenger Låg Låg Kritiskt
Exchange Instant Messenger Låg Låg Kritiskt

Ovanstående utvärdering baseras på de typer av system som påverkas av sårbarheten, deras typiska distributionsmönster och den effekt som sårbarheten skulle ha på dem. Komponenten i fråga är ett klientprogram som inte är avsett att användas på servrar.

Sårbarhetsidentifierare:CAN-2002-0155

Testade versioner:

Microsoft testade MSN Chat-kontrollen, MSN Messenger 4.5 och 4.6 och Exchange Instant Messenger för att bedöma om de påverkas av den här säkerhetsrisken. Tidigare versioner stöds inte längre och kan påverkas eller kanske inte påverkas av dessa säkerhetsrisker.

Vanliga frågor och svar

Varför uppdaterades den här bulletinen?

Den 11 juni 2002 uppdaterade vi denna bulletin för att informera kunderna om att korrigeringarna som släpptes den 8 maj 2002 inte helt skyddade system mot återinförande av den sårbara kontrollen. Mer specifikt, om den sårbara kontrollen erbjöds för nedladdning och en användare accepterade kontrollen, kan det vara möjligt för en angripare att läsa in kontrollen, även om uppdateringen hade tillämpats. Dessa korrigeringar åtgärdade säkerhetsrisken fullt ut och är inte själva sårbara för de problem som beskrivs i den här bulletinen. Vi har uppdaterat bulletinen till råd till kunder om detta och för att meddela tillgängligheten för en uppdaterad MSN Chat-kontroll och en uppdaterad korrigering och för att uppmuntra kunder som tillämpade de tidigare korrigeringarna att överväga att tillämpa de uppdaterade korrigeringarna. Dessutom pågår arbete med en uppdaterad MSN Messenger och Exchange Instant Messenger och de bör publiceras inom kort. Kunder som har tillämpat någon av korrigeringarna som släpptes den 8 maj 2002 bör installera de uppdaterade korrigeringarna för att säkerställa att deras system är helt skyddade mot återintroduktion av den gamla, sårbara kontrollen. Kunder kan tillämpa de nya uppdateringarna direkt: de tidigare uppdateringarna behöver inte avinstalleras.

Vad är omfattningen av säkerhetsrisken?
Det här är en sårbarhet för buffertspill . En angripare som har utnyttjat den här sårbarheten skulle kunna köra program på en annan användares system. Ett sådant program kan vidta alla åtgärder som systemets ägare kan vidta, till exempel att lägga till, ändra eller ta bort data eller konfigurationsinformation. Koden kan till exempel sänka säkerhetsinställningarna i webbläsaren eller skriva en fil till hårddisken. Den berörda komponenten levereras inte som standard med någon version av Windows eller IE. Kunder som använder de senaste e-postprodukterna från Microsoft, Outlook 2002 och Outlook Express 6.0 skyddas som standard mot HTML-e-postburna attacker. Outlook 98- och Outlook 2000-kunder som har tillämpat outlook-e-postsäkerhetsuppdateringen skyddas också som standard mot HTML-e-postburna attacker. Eftersom koden skulle köras som användaren och inte operativsystemet, skulle eventuella säkerhetsbegränsningar för användarens konto också vara tillämpliga för all kod som körs genom att utnyttja den här säkerhetsrisken. I miljöer där användarkonton är begränsade, till exempel företagsmiljöer, begränsas åtgärderna som en angripares kod kan vidta av dessa begränsningar.

Vad orsakar sårbarheten?
Säkerhetsrisken resulterar på grund av en omarkerad buffert i koden som hanterar indata för en parameter i MSN Chat-kontrollen. Genom att anropa den här parametern på ett visst sätt kan en angripare spilla över bufferten och få möjlighet att köra kod i användarens säkerhetskontext.

Vad är MSN Chat?
MSN Chat är en onlinetjänst som erbjuds av MSN som låter användare prata med varandra i virtuella "chattrum". Dessa rum kan tillåta flera användare att samlas på en enda virtuell plats och utbyta textbaserade meddelanden. MSN Chat fungerar av användare som kör ett lokalt klientchattprogram, i det här fallet MSN Chat-kontrollen och loggar sedan in på en central chattserver. När användarna har loggat in på chattservern kan de komma in i chattrum och utbyta meddelanden med varandra.

Vad är MSN Chat-kontrollen?
MSN Chat-kontrollen är en ActiveX-kontroll som används på en mängd olika MSN-webbplatser, inklusive MSN Chat-webbplatsen. I grund och botten är kontrollen ett fristående chattprogram

Vad är en ActiveX-kontroll?
ActiveX är en teknik som gör det möjligt för utvecklare att distribuera program på ett litet, självständigt sätt. Dessa program kallas kontroller och kan användas av webbsidor, Visual Basic-program eller andra program. ActiveX-kontroller kan distribueras på flera olika sätt, inklusive installation med programvaruprodukter eller för nedladdning från en webbplats. Oavsett hur en användare installerar en ActiveX-kontroll är den fullt funktionell och tillgänglig för användaren när den har installerats och registrerats i användarens system.

Hur gör jag för att hämta MSN Chat-kontrollen?
Du kan hämta MSN Chat-kontrollen på två sätt:

  • Via webbnedladdning från MSN Chat-webbplatser.
  • Genom inkludering med Microsoft Instant Messaging-produkter, särskilt MSN Messenger och Exchange Instant Messenger.

Hur gör jag för att hämta MSN Chat-kontrollen från webben?
Varje gång en användare besöker ett chattrum på MSN kontrollerar webbplatsen om användarens system har den senaste versionen av MSN Chat-kontrollen. Om ingen kontroll hittas i användarens system eller om en nyare version av kontrollen är tillgänglig än vad som finns i användarens system, erbjuds MSN Chat-kontrollen automatiskt för nedladdning. Användaren kan sedan välja att acceptera och installera kontrollen eller avbryta nedladdningen. Om användaren väljer att acceptera kontrollen installeras den. Det är viktigt att observera att den här kontrollen används för chattrum på flera MSN-webbplatser utöver den huvudsakliga MSN Chat-webbplatsen. Om du har använt chatt på någon MSN-webbplats har du laddat ned och installerat chattkontrollen.

Hur gör jag för att hämta MSN Chat-kontrollen från Microsoft Instant Messaging-produkter?
Förutom att vara tillgänglig för nedladdning direkt från MSN Chat-webbplatsen installeras MSN Chat-kontrollen med MSN Messenger, sedan version 4.5 och Exchange Instant Messenger. Det är dock viktigt att notera att den här sårbarheten inte påverkar själva dessa tekniker. MSN Chat skiljer sig från MSN Messenger, Windows Messenger eller Exchange Instant Messenger eftersom dessa tekniker är peer-to-peer-meddelandeprodukter och tillåter användare att prata direkt med varandra. Användare av dessa tekniker loggar in på en katalogserver, men för att meddela att de är tillgängliga finns det inga "rum" som i MSN Chat och användarna utbyter meddelanden direkt med varandra. Säkerhetsrisken i fråga påverkar bara MSN Chat-kontrollen och inte MSN Messenger eller Exchange Instant Messenger.

Ingår MSN Chat-kontrollen med Windows Messenger i Windows XP?
Nej. MSN Chat-kontrollen ingår inte i Windows Messenger i Windows XP. Windows XP-användare kan dock installera kontrollen genom att besöka en MSN Chat-webbplats och ladda ned kontrollen.

Vad är det för fel på MSN Chat-kontrollen?
Det finns en omarkerad buffert i en av de funktioner som hanterar indata för vissa parametrar till kontrollen.

Vad skulle den här säkerhetsrisken göra det möjligt för en angripare att göra?
En angripare som utnyttjade den här sårbarheten kan köra ett program på ett system som hade kontrollen installerad. Eftersom MSN Chat-kontrollen körs i användarens säkerhetskontext skulle programmet kunna vidta alla åtgärder som den legitima användaren kunde vidta, inklusive att lägga till eller ta bort data eller konfigurationsinformation. Å andra sidan innebär det också att eventuella begränsningar som gäller för användarens konto även gäller för angriparens kod. Om en företagsadministratör till exempel hade implementerat principer så att användaren inte kunde ändra sin IE-säkerhetsinställning skulle angriparens kod också hindras från att ändra dessa inställningar.

Hur kan en angripare försöka utnyttja den här sårbarheten?
En angripare kan försöka utnyttja den här säkerhetsrisken genom att skapa en webbsida som anropade MSN Chat-kontrollen och inkluderade ett anrop till parametern i fråga på ett visst sätt. När användaren öppnade webbsidan och koden på sidan kördes skulle attacken utföras. Angriparen skulle troligen försöka få användaren att öppna den här skadliga webbsidan på något av två sätt:

  • Genom att publicera sidan på en webbplats. Om han har lockat användaren att besöka sin webbplats anropas kontrollen när sidan har lästs in.
  • Genom att skicka webbsidan som ett HTML-e-postmeddelande till användaren. Om användaren använder en e-postklient som läser e-post i zonen Begränsade webbplatser, till exempel Outlook 2002, läses kontrollen bara in om användaren har lockats att klicka på en länk i e-postmeddelandet. Om användaren däremot inte använde en produkt som läser e-post i zonen Begränsade webbplatser anropas kontrollen när webbsidan renderades, antingen genom att öppna e-postmeddelandet eller via ett förhandsgranskningsfönster.

Hur kan jag minska risken för den webbburna attacken?
För att den webbaserade attacken ska lyckas måste angriparen locka användaren till en webbplats under hans kontroll. Användare som är försiktiga med sitt val av webbplatser och endast besökte betrodda webbplatser kan potentiellt skydda sig mot angrepp genom att undvika angriparens webbplats.

Jag har hört att om jag använder IE är det möjligt för en angripare att utnyttja denna sårbarhet även om jag aldrig har installerat MSN Chat-kontrollen eller Messenger-produkterna, är det sant?
Det är sant att det är möjligt för en angripare att vara värd för en kopia av den sårbara versionen av kontrollen på sin webbplats som kan erbjudas för nedladdning när en användare besökte webbplatsen. Angriparen måste dock locka användaren att besöka sin webbplats och övertyga användaren att acceptera och installera kontrollen när den erbjuds. Eftersom chattkontrollen är avsedd att användas tillsammans med chattwebbplatser är det värt att ifrågasätta tillförlitligheten hos alla webbplatser som oväntat erbjöd en chattkontroll för nedladdning. Den bästa åtgärden skulle vara att vägra den nedladdning som erbjuds.

Men jag har hört att det är möjligt för en angripare att tvinga den här kontrollen att ladda ner utan att jag vet om det, är det sant?
Inte exakt. Det finns ett alternativ som kan göra det möjligt för en användare att alltid acceptera signerad kod, till exempel MSN Chat-kontrollen, utan att fråga. Mer specifikt kan en användare markera kryssrutan "Lita alltid på innehåll från" som visas när en signerad kontroll erbjuds för nedladdning. Alternativet beviljar dock endast förtroende för det specifika certifikat som användes för att signera den kontrollen, det beviljar inte allmänt förtroende till företaget eller organisationen som helhet. Det innebär att även om du har valt att lita på innehåll som signerats av Microsoft betyder det inte nödvändigtvis att det specifika certifikat som används för att signera den här kontrollen. Certifikat används för att signera endast en handfull kontroller. Det innebär att endast någon som har laddat ned chattkontrollen eller andra relaterade kontroller från MSN och valt alternativet "Lita alltid på innehåll från" skulle ha valt att alltid lita på innehåll som signerats av det här certifikatet. Även då kunde kontrollen inte erbjudas för nedladdning om inte en användare väljer att navigera till en webbplats under en angripares kontroll. Det finns inget sätt för en angripare att erbjuda den här kontrollen utan att en användare besöker deras webbplats. Med det sagt kommer "killbit" att ställas in för denna sårbara kontroll i ett kommande IE-servicepaket, för att säkerställa att detta ovanliga scenario inte utgör en risk för kunderna.

Vad är "killbiten"?
Det finns en säkerhetsfunktion i Internet Explorer som gör det möjligt att förhindra att en ActiveX-kontroll någonsin läses in av HTML-återgivningsmotorn i Internet Explorer. Detta uppnås genom att göra en registerinställning och kallas för att ange "killbit". När "killbit" har angetts kan kontrollen aldrig läsas in, även när den är helt installerad. Inställningen säkerställer att även om en sårbar komponent introduceras eller introduceras på nytt i ett system förblir den inert och ofarlig. Det finns mer information om den här funktionen i Q240797.

Hur kan jag minska risken för den e-postburna attacken?
Kunder som använder någon av följande produkter skyddas som standard mot e-postburna attacker:

  • Outlook 98 och Outlook 2000 om säkerhetsuppdateringen för e-post i Outlook har installerats.

  • Outlook 2002

  • Outlook Express 6

Det beror på att dessa produkter läser e-post i zonen "Begränsade webbplatser". Som standard inaktiverar zonen Begränsade platser skriptning av ActiveX-kontrollen. Det innebär att ett HTML-e-postmeddelande som försöker utnyttja den här sårbarheten som läss med någon av dessa produkter blir ofarligt.

Jag använder en av de e-postprodukter som anges ovan och besöker inte opålitliga webbplatser. Betyder det att jag inte behöver plåstret?
Även om dessa produkter och vanor kan hjälpa dig att skydda dig från angrepp utan korrigeringen, bör användarna fortfarande uppgradera sin version av MSN Chat, MSN Messenger eller Exchange Instant Messenger eller tillämpa korrigeringen för att helt skydda sig själva.

Hur kan jag eliminera säkerhetsrisken?
Det finns tre rekommenderade sätt som användare kan eliminera säkerhetsrisken på.

  • Användare kan ladda ned en uppdaterad version av MSN Chat-kontrollen från MSN Chat-webbplatserna.
  • Användare kan installera en uppdaterad version av MSN Messenger
  • Användare kan installera en uppdaterad version av Exchange Instant Messenger

Dessutom kan användare ladda ned och tillämpa korrigeringen som en omedelbar, tillfällig åtgärd för att eliminera sårbarheten genom att avregistrera den sårbara kontrollen och ange "killbit". Det rekommenderas dock att användarna endast tillämpar den här korrigeringen som en tillfällig lösning tills de kan installera rätt uppdaterad programvara.

Hur gör jag för att installera en uppdaterad version av MSN Chat-kontrollen från MSN Chat-webbplatserna?
Användare som vill eliminera säkerhetsrisken genom att ladda ned och installera en uppdaterad version av MSN Chat-kontrollen kan gå till MSN Chat-webbplatsen chat.msn.com och gå in i ett chattrum. Den uppdaterade MSN Chat-kontrollen visas sedan för nedladdning automatiskt och användarna kan följa anvisningarna där för att installera den uppdaterade komponenten.

Vad gör den uppdaterade versionen av MSN Chat-kontrollen?
Den uppdaterade versionen av MSN Chat-kontrollen eliminerar säkerhetsrisken genom att implementera korrekt kontroll i den berörda bufferten. Dessutom avregistrerar den automatiskt alla tidigare versioner av MSN Chat-kontrollen och anger "killbit" för att göra dem oanvändbara i HTML-återgivningsmotorn i Internet Explorer.

Hur gör jag för att installera en uppdaterad version av MSN Messenger?
Användare som kör MSN Messenger och vill eliminera säkerhetsrisken genom att installera den senaste versionen av MSN Messenger kan följa anvisningarna i MSN Messengers AutoUpdate-funktion eller ladda ned den senaste versionen från den plats som anges i avsnittet "Korrigeringstillgänglighet".

Vad gör den uppdaterade versionen av MSN Messenger?
Den uppdaterade versionen av MSN Messenger installerar den uppdaterade MSN Chat-kontrollen, vilket eliminerar säkerhetsrisken genom att implementera lämpliga kontroller av parameterindatabufferten. Dessutom avregistrerar den uppdaterade MSN Chat-kontrollen som ingår i den uppdaterade versionen av MSN Messenger alla tidigare versioner av MSN Chat-kontrollen och anger "killbit" för att göra dem oanvändbara i HTML-renderingsmotorn i Internet Explorer.

Hur gör jag för att installera en uppdaterad version av Exchange Instant Messenger?
Administratörer som vill eliminera säkerhetsrisken genom att installera en uppdaterad version av Exchange Instant Messenger i sina miljöer kan ladda ned den uppdaterade versionen från den plats som anges i avsnittet "Korrigeringstillgänglighet".

Vad gör den uppdaterade versionen av Exchange Instant Messenger?
Den uppdaterade versionen av Exchange Instant Messenger installerar den uppdaterade MSN Chat-kontrollen, vilket eliminerar säkerhetsrisken genom att implementera lämpliga kontroller av parameterindatabufferten. Dessutom avregistrerar den uppdaterade MSN Chat-kontrollen som ingår i den uppdaterade versionen av Exchange Instannt Messenger alla tidigare versioner av MSN Chat-kontrollen och anger "killbit" för att göra dem oanvändbara i HTML-renderingsmotorn i Internet Explorer.

Hur gör jag för att installera korrigeringen?
Användare kan installera korrigeringen genom att ladda ned korrigeringen från den plats som anges i avsnittet "Korrigeringstillgänglighet".

Vad gör korrigeringen?
Korrigeringen eliminerar säkerhetsrisken genom att avregistrera den sårbara MSN Chat-kontrollen och anger "killbit", vilket gör den oanvändbar i HTML-återgivningsmotorn i Internet Explorer.

Installerar korrigeringen en uppdaterad version av MSN Chat-kontrollen?
Nej. Nästa gång en användare besöker MSN Chat-webbplatsen efter att ha tillämpat korrigeringen erbjuds dock den uppdaterade versionen av MSN Chat-kontrollen för nedladdning.

Jag tillämpade korrigeringarna som släpptes den 8 maj 2002, vad behöver jag göra?
Kunder som tillämpade de ursprungliga korrigeringarna som släpptes den 8 maj 2002 bör överväga att tillämpa de uppdaterade korrigeringarna.

Behöver jag avinstallera de tidigare uppdateringarna?
Nej. De nya uppdateringarna kan installeras ovanpå de tidigare korrigeringarna

Jag har fortfarande problem med att tillämpa de uppdaterade korrigeringarna, vad ska jag göra?
Om du fortfarande har problem till följd av korrigeringen kontaktar du Microsoft Product Support Services. Alla samtal som rör säkerhetskorrigeringar är kostnadsfria. Det finns information om hur du kontaktar Produktsupport på:

https:

Korrigeringstillgänglighet

Ladda ned platser för den här korrigeringen

Ladda ned platser för uppdaterade programvaruversioner

  • Hämta plats för uppdaterad version av MSN Chat-kontroll:

    https://chat.msn.com

  • Ladda ned platsen för den uppdaterade versionen av MSN Messenger med den korrigerade kontrollen:

    </https:>https:

  • Ladda ned platsen för den uppdaterade versionen av Exchange Instant Messenger med den korrigerade kontrollen:

    </https:>https:

Ytterligare information om den här korrigeringen

Installationsplattformar:

Den här korrigeringen kan installeras på system som kör Internet Explorer version 4.0 eller senare.

Omstart krävs: Nej

Ersatta korrigeringar: Ingen.

Verifierar korrigeringsinstallation:

Microsoft MSN Messenger och Exchange Instant Messenger:

  • I huvudfönstret klickar du på "Hjälp".
  • Klicka på "Om MSN Messenger"
  • Den version som visas bör vara 4.6 (4.6.0082)

MSN-chattkontroll:

  • Öppna IE
  • Välj verktyg
  • Välj Internetalternativ
  • Välj Inställningar på fliken "allmänt"
  • Välj Visa objekt
  • Högerklicka på "MSN Chat Control 4.2"
  • Välj egenskaper
  • Klicka på Version
  • Version # är 7,0,206,401

Varningar:

Ingen

Lokalisering:

Ingen lokalisering krävs för den här korrigeringen. Lokaliserade versioner av MSN Messenger och Exchange Instant Messenger är tillgängliga på de platser som anges ovan.

Hämta andra säkerhetskorrigeringar:

Korrigeringar för andra säkerhetsproblem är tillgängliga från följande platser:

  • Säkerhetskorrigeringar är tillgängliga från Microsoft Download Center och kan hittas enklast genom att göra en nyckelordssökning efter "security_patch".
  • Korrigeringar för konsumentplattformar är tillgängliga från Webbplatsen WindowsUpdate

Övrig information:

Erkännanden

Microsoft tackar eEye Digital Security (https://www.eeye.com) för att ha rapporterat det här problemet till oss och arbetat med oss för att skydda kunder.

Support:

  • Microsoft Knowledge Base-artikeln Q321661 diskuterar det här problemet och kommer att vara tillgänglig cirka 24 timmar efter lanseringen av den här bulletinen. Kunskapsbasartiklar finns på webbplatsen för Microsoft Online Support .
  • Teknisk support är tillgänglig från Microsoft Product Support Services. Det kostar inget för supportsamtal som är associerade med säkerhetskorrigeringar.

Säkerhetsresurser: Webbplatsen Microsoft TechNet Security innehåller ytterligare information om säkerhet i Microsoft-produkter.

Friskrivning:

Informationen som tillhandahålls i Microsoft Knowledge Base tillhandahålls "som den är" utan garanti av något slag. Microsoft frånsäger sig alla garantier, antingen uttryckliga eller underförstådda, inklusive garantier för säljbarhet och lämplighet för ett visst syfte. Under inga omständigheter ska Microsoft Corporation eller dess leverantörer vara ansvariga för eventuella skador, inklusive direkta, indirekta, tillfälliga, följdskador, förlust av företagsvinster eller särskilda skador, även om Microsoft Corporation eller dess leverantörer har informerats om risken för sådana skador. Vissa stater tillåter inte undantag eller begränsning av ansvar för följdskador eller oförutsedda skador, så den föregående begränsningen kanske inte gäller.

Revideringar:

  • V1.0 (08 maj 2002): Bulletin skapad.
  • V2.0 (11 juni 2002): Bulletinen uppdaterades för att informera kunderna om att korrigeringarna som släpptes den 8 maj 2002 inte helt skyddade system mot återintroduktion av äldre, sårbara kontroller och att ogiltigförklara tillgängligheten av uppdaterade korrigeringar.
  • V2.1 (28 februari 2003): Uppdaterade nedladdningslänkar till Windows Update.

Byggd 2014-04-18T13:49:36Z-07:00</https:>