Background Print only logo
Viestintäviraston etusivulle
Etusivu | Varoitukset | Tietoturva nyt! | Haavoittuvuudet | Ohjeet | Katsaukset | Palvelut | Esitykset |

CERT-FI

PL 313
00181 Helsinki
Puh: 09 6966 510
Fax: 09 6966 515

Salausavaimet

Viestintävirasto

Itämerenkatu 3 A
00180 HELSINKI
Puh: 09 6966 500
Fax: 09 6966 410

Tarkat yhteystiedot

Tietoa evästeistä

CERT-FI Facebookissa

 Etusivu > Haavoittuvuudet > 2004 > CERT-FI haavoittuvuustiedote 049/2004

CERT-FI haavoittuvuustiedote 049/2004

Palvelimet ja palvelinsovellukset Työasemat ja loppukäyttäjäsovellukset Verkon aktiivilaitteet Matkaviestimet Sulautetut järjestelmät Muut

14.7.2004

Haavoittuvuus Microsoft Windows 2000 ja XP -käyttöjärjestelmissä

     
Kohde: - työasemat ja loppukäyttäjäsovellukset
Lisätietoja
Hyökkäystapa: - paikallisesti
Lisätietoja
Hyväksikäyttö: - komentojen mielivaltainen suorittaminen
Lisätietoja
Ratkaisu: - korjaava ohjelmistopäivitys
Lisätietoja

Microsoft Windows 2000 ja XP -käyttöjärjestelmien Task Scheduler -ohjelmasta on löydetty puskurinylivuotohaavoittuvuus. Task Scheduler on Windows-käyttöjärjestelmän mukana toimitettava ohjelma, jonka avulla voidaan ajastaa erilaisten komentojen ja ohjelmien suorittamista tietojärjestelmässä.

Haavoittuvuus liittyy Task Scheduler -ohjelman puskurinylivuototilanteeseen. Haavoittuvuutta hyväksikäyttämällä hyökkääjä voi suorittaa tietojärjestelmässä omaa koodiaan sisään kirjautuneen käyttäjän oikeuksilla. Haavoittuvuutta voidaan hyväksikäyttää muun muassa houkuttelemalla käyttäjä hyökkääjän muokkaamalle www-sivustolle.

Microsoft on luokitellut haavoittuvuuden Critical-luokkaan.

HAAVOITTUVAT OHJELMISTOT:

  • Microsoft Windows 2000 Service Pack 2

  • Microsoft Windows 2000 Service Pack 3

  • Microsoft Windows 2000 Service Pack 4

  • Microsoft Windows XP

  • Microsoft Windows XP Service Pack 1

  • Microsoft Windows XP 64-Bit Edition Service Pack 1

  • Internet Explorer 6 Service Pack 1 asennettuna Windows NT 4.0 SP6a -käyttöjärjestelmään

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Päivitä haavoittuva tietojärjestelmä Microsoftin turvatiedotteen MS04-022 mukaisesti:

http://www.microsoft.com/technet/security/bulletin/ms04-022.mspx

Korjaustiedosto kotitietojärjestelmään on ladattavissa myös osoitteesta:

http://windowsupdate.microsoft.com

LISÄTIETOA:

http://www.microsoft.com/security/bulletins/200407_windows.mspx

http://www.microsoft.com/technet/security/bulletin/ms04-022.mspx

http://support.microsoft.com/default.aspx?scid=kb;en-us;841873

http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0212

PÄIVITYSHISTORIA:

14.07.2004: Julkaistu
Sivua päivitetty 25.07.2007   Tulostusversio Tulostusversio