CERT-FI haavoittuvuustiedote 066/2004

15.9.2004

Haavoittuvuus Microsoft-ohjelmistojen JPEG-tiedostokäsittelyssä


Kohde:	- palvelimet ja palvelinsovellukset - työasemat ja loppukäyttäjäsovellukset	Lisätietoja
Hyökkäystapa:	- etäkäyttö	Lisätietoja
Hyväksikäyttö:	- komentojen mielivaltainen suorittaminen	Lisätietoja
Ratkaisu:	- korjaava ohjelmistopäivitys	Lisätietoja

Useista Microsoftin ohjelmistoista on löytynyt JPEG-kuvatiedostojen käsittelyyn liittyvä puskuriylivuoto-haavoittuvuus. Haavoittuvuutta hyväksikäyttämällä hyökkääjän voi olla mahdollista suorittaa kohdejärjestelmässä omia komentojaan ja saada tätä kautta kohdejärjestelmä hallintaansa.

Hyökkääjä voi hyväksikäyttää haavoittuvuutta mm. lähettämällä haavoittuvan tietojärjestelmän käyttäjälle HTML-muotoisen sähköpostiviestin, joka sisältää hyökkäystä varten muotoillun JPEG-kuvatiedoston tai houkuttelemalla käyttäjä vihamieliselle www-sivustolle.

Microsoft on luokitellut haavoittuvuuden Critical-luokituksen mukaisesti.

HAAVOITTUVAT OHJELMISTOT:

Microsoft Windows XP and Microsoft Windows XP Service Pack 1

Microsoft Windows XP 64-Bit Edition Service Pack 1

Microsoft Windows XP 64-Bit Edition Version 2003

Microsoft Windows Server 2003

Microsoft Windows Server 2003 64-Bit Edition

Microsoft Office XP Service Pack 3
Seuraavat Microsoft Office XP Service Pack 3 ohjelmistot:

Outlook 2002
Word 2002
Excel 2002
PowerPoint 2002
FrontPage 2002
Publisher 2002

Microsoft Office 2003
Seuraavat Microsoft Office 2003 ohjelmistot:

Outlook 2003
Word 2003
Excel 2003
PowerPoint 2003
FrontPage 2003
Publisher 2003
InfoPath 2003
OneNote 2003

Microsoft Project 2002 Service Pack 1 (kaikki versiot)

Microsoft Project 2003 (kaikki versiot)

Microsoft Visio 2002 Service Pack 2 (kaikki versiot)

Microsoft Visio 2003 kaikki versiot

Microsoft Visual Studio .NET 2002
Seuraavat Microsoft Visual Studio .NET 2002 ohjelmistot:

Visual Basic .NET Standard 2002
Visual C# .NET Standard 2002
Visual C++ .NET Standard 2002

Microsoft Visual Studio .NET 2003
Seuraavat Microsoft Visual Studio .NET 2003 ohjelmistot:

Visual Basic .NET Standard 2003
Visual C# .NET Standard 2003
Visual C++ .NET Standard 2003
Visual J# .NET Standard 2003

The Microsoft .NET Framework version 1.0 SDK Service Pack 2

Microsoft Picture It! 2002 (kaikki versiot)

Microsoft Greetings 2002

Microsoft Picture It! version 7.0 (kaikki versiot)

Microsoft Digital Image Pro version 7.0

Microsoft Picture It! version 9 (kaikki versiot, sisältäen Picture It! Library)

Microsoft Digital Image Pro version 9

Microsoft Digital Image Suite version 9

Microsoft Producer for Microsoft Office PowerPoint (kaikki versiot)

Microsoft Platform SDK Redistributable: GDI+

Seuraavat komponentit:

Internet Explorer 6 Service Pack 1
The Microsoft .NET Framework version 1.0 Service Pack 2
The Microsoft .NET Framework version 1.1

Lisätietoa haavoittuvista tietojärjestelmistä on saatavilla Microsoftin julkaisemasta turvatiedotteesta.

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Päivitä haavoittuva tietojärjestelmä korjaustiedostolla, joka on ladattavissa osoitteesta:

http://www.microsoft.com/technet/security/bulletin/ms04-028.mspx

Microsoft on julkaissut tietojärjestelmien JPEG-haavoittuvuudelle alttiiden ohjelmistojen tarkistukseen tarkoitetun työkalun, joka on saatavilla osoitteesta:

http://www.microsoft.com/security/bulletins/200409_jpeg.mspx

LISÄTIETOA:

http://www.microsoft.com/technet/security/bulletin/ms04-028.mspx

http://www.microsoft.com/security/bulletins/200409_jpeg.mspx

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2004-0200

PÄIVITYSHISTORIA:

15.09.2004: Julkaistu

Sivua päivitetty 27.07.2007

Tulostusversio