CERT-FI haavoittuvuustiedote 020/2003

20.3.2003

Haavoittuvuus Microsoft Windows -käyttöjärjestelmän skripti-moottorissa

Kohde:	- palvelimet ja palvelinsovellukset - työasemat ja loppukäyttäjäsovellukset	Lisätietoja
Hyökkäystapa:	- etäkäyttö	Lisätietoja
Hyväksikäyttö:	- komentojen mielivaltainen suorittaminen	Lisätietoja
Ratkaisu:	- korjaava ohjelmistopäivitys	Lisätietoja

Microsoft Windows-käyttöjärjestelmän skripti-moottori (Script-Engine) tarjoaa käyttöjärjestelmälle mahdollisuuden suorittaa skripti-koodia. Skripti-koodia käytetään tyypillisesti silloin, kun esimerkiksi halutaan lisätä toiminteita www-sivuille tai kun halutaan automatisoida käyttöjärjestelmän tai ohjelmiston toiminteita. Skripti-koodia voidaan kirjoittaa useilla eri skripti-ohjelmointikielillä, kuten Visual Basic:lla tai JScript:lla.

Microsoft Windows-käyttöjärjestelmän skripti-moottorista on löydetty haavoittuvuus, jota hyväksikäyttämällä hyökkääjän voi olla mahdollista suorittaa omia komentojaan kohdetietojärjestelmässä kohdetietojärjestelmän käyttäjän oikeuksilla. Hyökkääjä voi hyödyntää haavoittuvuuden hyödyntämismenetelmää käyttäen apunaan manipuloitua www-sivustoa tai lähettämällä se suoraan kohdetietojärjestelmän käyttäjälle sähköpostin välityksellä.

Microsoft on luokitellut haavoittuvuuden Critical-luokkaan.

HAAVOITTUVAT OHJELMISTOT:

• Microsoft Windows 98

• Microsoft Windows 98 Second Edition

• Microsoft Windows Me

• Microsoft Windows NT 4.0

• Microsoft Windows NT 4.0 Terminal Server Edition

• Microsoft Windows 2000

• Microsoft Windows XP

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Päivitä haavoittuva tietojärjestelmä korjaustiedostolla, joka on ladattavissa ohjeineen osoitteista:

http://www.microsoft.com/technet/security/bulletin/MS03-008.asp

http://www.microsoft.com/security/security_bulletins/ms03-008.asp

LISÄTIETOA:

http://www.microsoft.com/technet/security/bulletin/MS03-008.asp

PÄIVITYSHISTORIA:

20.03.2003: Julkaistu

Sivua päivitetty 09.08.2007

Tulostusversio