Background Print only logo
Viestintäviraston etusivulle
Etusivu | Varoitukset | Tietoturva nyt! | Haavoittuvuudet | Ohjeet | Katsaukset | Palvelut | Esitykset |

CERT-FI

PL 313
00181 Helsinki
Puh: 09 6966 510
Fax: 09 6966 515

Salausavaimet

Viestintävirasto

Itämerenkatu 3 A
00180 HELSINKI
Puh: 09 6966 500
Fax: 09 6966 410

Tarkat yhteystiedot

Tietoa evästeistä

CERT-FI Facebookissa

 Etusivu > Haavoittuvuudet > 2003 > CERT-FI haavoittuvuustiedote 054/2003

CERT-FI haavoittuvuustiedote 054/2003

Palvelimet ja palvelinsovellukset Työasemat ja loppukäyttäjäsovellukset Verkon aktiivilaitteet Matkaviestimet Sulautetut järjestelmät Muut

21.8.2003

Haavoittuvuuksia Microsoft Internet Explorer -selainohjelmassa

     
Kohde: - palvelimet ja palvelinsovellukset
- työasemat ja loppukäyttäjäsovellukset
Lisätietoja
Hyökkäystapa: - paikallisesti
- etäkäyttö
Lisätietoja
Hyväksikäyttö: - komentojen mielivaltainen suorittaminen
- luottamuksellisen tiedon hankkiminen
Lisätietoja
Ratkaisu: - korjaava ohjelmistopäivitys
Lisätietoja

Microsoft Internet Explorer (IE) on laajassa käytössä oleva selainohjelma. Selainohjelmasta on löydetty kaksi uutta haavoittuvuutta.

Haavoittuvuuksista ensimmäinen liittyy selainohjelman tapaan käsitellä kahden eri www-sivuston tietoja erillisissä ikkunoissa. Haavoittuvuutta hyväksikäyttämällä hyökkääjän voi olla mahdollista pahimmassa tapauksessa ladata kohdetietojärjestelmään omaa ohjelmakoodiaan. Hyökkääjän voi olla myös mahdollista tätä haavoittuvuutta hyväksikäyttämällä käynnistää kohdetietojärjestelmässä jo olevia ohjelmistoja sekä päästä lukemaan kohdetietojärjestelmän sisältämiä tietoja.

Haavoittuvuuksista toinen liittyy selainohjelman www-sivuilta saamien tietueiden tyypin määrittämiseen. Haavoittuvuutta hyväksikäyttämällä hyökkääjän voi suorittaa kohdetietojärjestelmässä omia komentojaan. Haavoittuvuutta voidaan hyväksikäyttää myös HTML-pohjaisen sähköpostiviestin avulla.

Microsoft on luokitellut haavoittuvuudet Critical-luokkaan.

HAAVOITTUVAT OHJELMISTOT:

  • Microsoft Internet Explorer 5.01

  • Microsoft Internet Explorer 5.5

  • Microsoft Internet Explorer 6.0

  • Microsoft Internet Explorer 6.0 Windows Server 2003-käyttöjärjestelmälle

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Päivitä haavoittuva tietojärjestelmä korjaustiedostolla, joka on ladattavissa osoitteesta:

http://www.microsoft.com/technet/security/bulletin/MS03-032.asp

Korjaustiedosto on kumulatiivinen, joten se sisältää kaikki aikaisemmin Microsoft Internet Explorer-selainohjelmaversioihin 5.01, 5.5 ja 6.0 ilmestyneet korjaustiedostot.

Huomautus: On havaittu, ettei Microsoftin julkaisema tietoturvapäivitys korjaa täysin tietueiden tyypin määrittämiseen liittyvää haavoittuvuutta. Haavoittuvuuden hyväksikäyttöä voidaan rajoittaa välttämällä Active X -toiminnon suorittamista selaimen turvallisuusasetuksilla. Lisätietoja mahdollisista haavoittuvuuden hyväksikäytön rajoittamismenetelmistä on saatavilla osoitteesta:

http://www.kb.cert.org/vuls/id/865940#solution

LISÄTIETOA:

http://www.microsoft.com/technet/security/bulletin/MS03-032.asp

http://www.cert.org/advisories/CA-2003-22.html

PÄIVITYSHISTORIA:

21.08.2003: Julkaistu
10.09.2003: Lisätty huomautus, ettei Microsoftin julkaisema tietoturvapäivitys korjaa täysin tietueiden tyypin määrittämiseen liittyvää haavoittuvuutta
Sivua päivitetty 31.07.2007   Tulostusversio Tulostusversio