Background Print only logo
Viestintäviraston etusivulle
Etusivu | Varoitukset | Tietoturva nyt! | Haavoittuvuudet | Ohjeet | Katsaukset | Palvelut | Esitykset |

CERT-FI

PL 313
00181 Helsinki
Puh: 09 6966 510
Fax: 09 6966 515

Salausavaimet

Viestintävirasto

Itämerenkatu 3 A
00180 HELSINKI
Puh: 09 6966 500
Fax: 09 6966 410

Tarkat yhteystiedot

Tietoa evästeistä

CERT-FI Facebookissa

 Etusivu > Haavoittuvuudet > 2003 > CERT-FI haavoittuvuustiedote 040/2003

CERT-FI haavoittuvuustiedote 040/2003

Palvelimet ja palvelinsovellukset Työasemat ja loppukäyttäjäsovellukset Verkon aktiivilaitteet Matkaviestimet Sulautetut järjestelmät Muut

5.6.2003

Vakavia haavoittuvuuksia Microsoft Internet Explorer -selainohjelmassa

     
Kohde: - palvelimet ja palvelinsovellukset
- työasemat ja loppukäyttäjäsovellukset
Lisätietoja
Hyökkäystapa: - ilman kirjautumista
- etäkäyttö
Lisätietoja
Hyväksikäyttö: - komentojen mielivaltainen suorittaminen
Lisätietoja
Ratkaisu: - korjaava ohjelmistopäivitys
Lisätietoja

Microsoft Internet Explorer (IE) on laajassa käytössä oleva Internet-sivustojen selailuun tarkoitettu selainohjelma. Internet Explorer -selainohjelmasta on löytynyt kaksi vakavaa haavoittuvuutta, joita hyväksikäyttämällä hyökkääjän voi olla mahdollista suorittaa kohdetietojärjestelmässä omia komentojaan ja saavuttaa tätä kautta kohdetietojärjestelmän hallinnan.

Haavoittuvuuksista ensimmäinen liittyy Internet Explorer -selainohjelman tapaan käsitellä Web-palvelimen lähettämiä tietoja. Hyökkääjä voi hyväksikäyttää haavoittuvuutta ylläpitämänsä Web-sivuston avulla.

Haavoittuvuuksista toinen liittyy Internet Explorer-selainohjelman tapaan käsitellä ladattavia tiedostoja. Hyökkääjä voi hyväksikäyttää myös tätä haavoittuvuutta ylläpitämänsä Web-sivuston avulla.

On huomioitavaa, että molempien haavoittuvuuksien hyväksikäyttö ei vaadi merkittäviä toimia hyökkääjän osalta. Hyökkääjä voi hyväksikäyttää näitä kahta haavoittuvuutta myös lähettämällä hyökkäystä varten suunnitellun HTML-sähköpostiviestin kohdetietojärjestelmän käyttäjälle.

Microsoft on luokitellut haavoittuvuudet Critical-luokkaan.

HAAVOITTUVAT OHJELMISTOT:

  • Microsoft Internet Explorer 5.01

  • Microsoft Internet Explorer 5.5

  • Microsoft Internet Explorer 6.0

  • Windows 2003 Server-käyttöjärjestelmälle tarkoitettu Microsoft Internet Explorer-selainohjelmaversio 6.0

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Päivitä haavoittuva Internet Explorer-selainohjelma korjaustiedostolla, joka on ladattavissa osoitteista:

http://www.microsoft.com/technet/security/bulletin/MS03-020.asp

http://www.microsoft.com/security/security_bulletins/ms03-020.asp

Korjaustiedosto on kumulatiivinen ja se korjaa näin myös kaikki aiemmat haavoittuvuudet Microsoft Internet Explorer-selainohjelmaversioista 5.01, 5.5 ja 6.0 näiden kahden uuden haavoittuvuuden lisäksi.

LISÄTIETOA:

http://www.microsoft.com/technet/security/bulletin/MS03-020.asp

http://www.microsoft.com/security/security_bulletins/ms03-020.asp

http://www.eeye.com/html/Research/Advisories/AD20030604.html

PÄIVITYSHISTORIA:

05.06.2003: Julkaistu
Sivua päivitetty 06.08.2007   Tulostusversio Tulostusversio