Background Print only logo
Viestintäviraston etusivulle
Etusivu | Varoitukset | Tietoturva nyt! | Haavoittuvuudet | Ohjeet | Katsaukset | Palvelut | Esitykset |

CERT-FI

PL 313
00181 Helsinki
Puh: 09 6966 510
Fax: 09 6966 515

Salausavaimet

Viestintävirasto

Itämerenkatu 3 A
00180 HELSINKI
Puh: 09 6966 500
Fax: 09 6966 410

Tarkat yhteystiedot

Tietoa evästeistä

CERT-FI Facebookissa

 Etusivu > Haavoittuvuudet > 2004 > CERT-FI haavoittuvuustiedote 054/2004

CERT-FI haavoittuvuustiedote 054/2004

Palvelimet ja palvelinsovellukset Työasemat ja loppukäyttäjäsovellukset Verkon aktiivilaitteet Matkaviestimet Sulautetut järjestelmät Muut

2.8.2004

Vakavia haavoittuvuuksia Internet Explorer-selaimessa

     
Kohde: - työasemat ja loppukäyttäjäsovellukset
Lisätietoja
Hyökkäystapa: - ilman kirjautumista
- etäkäyttö
Lisätietoja
Hyväksikäyttö: - komentojen mielivaltainen suorittaminen
- palvelunestohyökkäys
Lisätietoja
Ratkaisu: - korjaava ohjelmistopäivitys
- ongelman rajoittaminen
Lisätietoja

Microsoft on julkaissut normaalista kuukausittaisesta aikataulusta poiketen korjauspäivityksen kolmeen uuteen Internet Explorer -selainohjelman haavoittuvuuteen. Haavoittuvuudet ovat luokiteltu kriittisiksi.

Ensimmäinen haavoittuvuus on navigointitoimintoon liittyvässä turvavyöhykkeen tarkistuksessa. Toinen haavoittuvuus on tietyllä tavalla muokatun BMP-kuvatiedostojen käsittelyssä tapahtuva puskuriylivuoto. Kolmas haavoittuvuuksista on tietyllä tavalla muokatun GIF-tiedoston käsittelyyn liittyvä muistin kaksinkertainen vapauttaminen, mikä johtaa muistin korruptoitumiseen.

Kaikkia haavoittuvuuksia voidaan hyväksikäyttää WWW-sivun ja HTML-sähköpostin välityksellä. Ensimmäistä ja toista haavoittuvuutta hyväksikäyttämällä hyökkääjän on mahdollista suorittaa kohdejärjestelmässä omia komentojaan. Kolmas haavoittuvuuksista on luonteeltaan palvelunestohyökkäyksen mahdollistava haavoittuvuus, mutta myös sen avulla hyökkääjän voi olla mahdollista suorittaa kohdejärjestelmässä omia komentojaan.

Julkaistu päivitys on kumulatiivinen, eli korjaustiedosto sisältää myös aikaisemmat Internet Explorer -selainohjelmiston tietoturvapäivitykset.

HAAVOITTUVAT OHJELMISTOT:

  • Internet Explorer 5.01 (SP 2, SP 3 ja SP 4)

  • Internet Explorer 5.5 (SP 2)

  • Internet Explorer 6 (alkuperäinen versio ja SP 1)

  • Internet Explorer 6 (SP 1 64-Bit Edition)

  • Internet Explorer 6 for Windows Server 2003

  • Internet Explorer 6 for Windows Server 2003 (64-Bit Edition)

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Päivitä haavoittuva selain valmistajan ohjeiden mukaisesti:

http://www.microsoft.com/technet/security/bulletin/MS04-025.mspx

HTML-muotoisen sähköpostin kautta tapahtuvaa haavoittuvuuksien hyväksikäyttöä voidaan rajoittaa myös lukemalla sähköposti tekstimuotoisena.

Yleisohjeena CERT-FI suosittelee käyttämään selainohjelmistoja vain tavallisen käyttäjän oikeuksilla.

LISÄTIETOA:

http://www.microsoft.com/security/bulletins/200407_windows.mspx

http://www.microsoft.com/technet/security/bulletin/MS04-025.mspx

CVE-2004-0549 CVE-2004-0566 CVE-2003-1048

PÄIVITYSHISTORIA:

02.08.2004: Julkaistu
Sivua päivitetty 27.07.2007   Tulostusversio Tulostusversio