CERT-FI haavoittuvuustiedote 069/2003

16.10.2003

Haavoittuvuus Microsoft Windows 2000 -käyttöjärjestelmän Troubleshooter ActiveX -kontrollissa

Kohde:	- työasemat ja loppukäyttäjäsovellukset	Lisätietoja
Hyökkäystapa:	- paikallisesti - etäkäyttö	Lisätietoja
Hyväksikäyttö:	- komentojen mielivaltainen suorittaminen	Lisätietoja
Ratkaisu:	- korjaava ohjelmistopäivitys	Lisätietoja

Microsoft Windows 2000 -käyttöjärjestelmän Troubleshooter ActiveX -kontrollista (Tshoot.ocx) on löydetty puskuriylivuoto-haavoittuvuus. Haavoittuvuutta hyväksikäyttämällä hyökkääjän voi olla mahdollista suorittaa kohdetietojärjestelmässä haluamaansa koodia käyttäjän oikeuksilla. Troubleshooter ActiveX -kontrolli asennetaan oletuksena Windows 2000 -käyttöjärjestelmän asennuksessa.

Hyökkääjä voi hyväksikäyttää haavoittuvuutta lähettämällä HTML-koodatun sähköpostiviestin kohdetietojärjestelmän käyttäjälle tai luomalla vihamielisen WWW-sivun, jolla käyminen mahdollistaa haavoittuvuuden hyödyntämisen.

Microsoft on luokitellut haavoittuvuuden Critical -luokkaan.

HAAVOITTUVAT OHJELMISTOT:

• Microsoft Windows 2000, Service Pack 2
  

• Microsoft Windows 2000, Service Pack 3, Service Pack 4

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Päivitä käyttöjärjestelmä Microsoft Security Bulletin -turvatiedotteen MS03-042 mukaisesti:

http://www.microsoft.com/technet/security/bulletin/ms03-042.asp

MS03-042 -turvatiedotteessa kuvataan useita rajoitusmenetelmiä haavoittuvuuden hyödyntämisreitin väliaikaiseksi estämiseksi.

LISÄTIETOA:

http://www.microsoft.com/technet/security/bulletin/ms03-042.asp

PÄIVITYSHISTORIA:

16.10.2003: Julkaistu

Sivua päivitetty 30.07.2007

Tulostusversio