Background Print only logo
Viestintäviraston etusivulle
Etusivu | Varoitukset | Tietoturva nyt! | Haavoittuvuudet | Ohjeet | Katsaukset | Palvelut | Esitykset |

CERT-FI

PL 313
00181 Helsinki
Puh: 09 6966 510
Fax: 09 6966 515

Salausavaimet

Viestintävirasto

Itämerenkatu 3 A
00180 HELSINKI
Puh: 09 6966 500
Fax: 09 6966 410

Tarkat yhteystiedot

Tietoa evästeistä

CERT-FI Facebookissa

 Etusivu > Haavoittuvuudet > 2002 > CERT-FI haavoittuvuustiedote 069/2002

CERT-FI haavoittuvuustiedote 069/2002

Palvelimet ja palvelinsovellukset Työasemat ja loppukäyttäjäsovellukset Verkon aktiivilaitteet Matkaviestimet Sulautetut järjestelmät Muut

3.10.2002

Haavoittuvuuksia Microsoft Windows –käyttöjärjestelmien HTML Help -toiminnossa

     
Kohde: - palvelimet ja palvelinsovellukset
- työasemat ja loppukäyttäjäsovellukset
Lisätietoja
Hyökkäystapa: - etäkäyttö
Lisätietoja
Hyväksikäyttö: - komentojen mielivaltainen suorittaminen
- luottamuksellisen tiedon hankkiminen
Lisätietoja
Ratkaisu: - korjaava ohjelmistopäivitys
Lisätietoja

Microsoft Windows –käyttöjärjestelmien HTML Help -toiminnosta on löydetty kaksi haavoittuvuutta.

  • Ensimmäinen haavoittuvuus on HTML Help -toiminnon sisältämässä ActiveX-kontrollissa, jonka avulla on toteutettu suurin osa HTML Help -toiminnoista. Eräs näistä ActiveX-kontrollin avulla toteutetuista toiminnoista sisältää haavoittuvuuden, jota voidaan hyväksikäyttää joko hyökkääjän WWW-sivujen kautta tai lähettämällä tietyntyyppisen HTML-muotoisen sähköpostiviestin kohdetietojärjestelmään

  • Toinen haavoittuvuus liittyy käännettyihin HTML Help (.chm) -tiedostoihin, jotka sisältävät pikakuvakkeen. Löydetyn haavoittuvuuden takia HTML Help -toiminto käsittelee tällaisia tiedostoja väärässä turvallisuusvyöhykkeessä (Local Computer Zone), mikä mahdollistaa pikakuvakkeen käytön.

Haavoittuvuuksia hyväksikäyttämällä hyökkääjän voi olla mahdollista saada kohdetietojärjestelmä haltuunsa. Haavoittuvuuksien Microsoft-vakavuusluokitus on Critical.

HAAVOITTUVAT OHJELMISTOT:

Microsoft Windows –käyttöjärjestelmät:

- Microsoft Windows 98
- Microsoft Windows 98 Second Edition
- Microsoft Windows Millennium Edition
- Microsoft Windows NT 4.0
- Microsoft Windows NT 4.0, Terminal Server Edition
- Microsoft Windows 2000
- Microsoft Windows XP

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Päivitä haavoittuva tietojärjestelmä Microsoft turvallisuustiedotteen MS02-055 mukaisesti.

http://www.microsoft.com/technet/security/bulletin/MS02-055.asp

LISÄTIETOA:

http://www.microsoft.com/technet/security/bulletin/MS02-055.asp

PÄIVITYSHISTORIA:

21.09.2006: Julkaistu
Sivua päivitetty 20.08.2007   Tulostusversio Tulostusversio