Background Print only logo
Viestintäviraston etusivulle
Etusivu | Varoitukset | Tietoturva nyt! | Haavoittuvuudet | Ohjeet | Katsaukset | Palvelut | Esitykset |

CERT-FI

PL 313
00181 Helsinki
Puh: 09 6966 510
Fax: 09 6966 515

Salausavaimet

Viestintävirasto

Itämerenkatu 3 A
00180 HELSINKI
Puh: 09 6966 500
Fax: 09 6966 410

Tarkat yhteystiedot

Tietoa evästeistä

CERT-FI Facebookissa

 Etusivu > Haavoittuvuudet > 2004 > CERT-FI haavoittuvuustiedote 072/2004

CERT-FI haavoittuvuustiedote 072/2004

Palvelimet ja palvelinsovellukset Työasemat ja loppukäyttäjäsovellukset Verkon aktiivilaitteet Matkaviestimet Sulautetut järjestelmät Muut

13.10.2004

Haavoittuvuuksia Internet Explorer -selaimessa

     
Kohde: - työasemat ja loppukäyttäjäsovellukset
Lisätietoja
Hyökkäystapa: - etäkäyttö
Lisätietoja
Hyväksikäyttö: - tietojen muokkaaminen
- luottamuksellisen tiedon hankkiminen
Lisätietoja
Ratkaisu: - korjaava ohjelmistopäivitys
Lisätietoja

Microsoft on julkaissut Internet Explorer -selaimeen korjauspäivityksen, mikä korjaa kahdeksan uutta haavoittuvuutta. Osa haavoittuvuuksista on luokiteltu kriittisiksi.

Haavoittuvuuksista viisi mahdollistaa hyökkääjän omien komentojen suorittamisen kohdejärjestelmässä. Näistä haavoittuvuuksista kaksi on puskuriylivuotoja, yksi liittyy koodin suorittamiseen virheellisesti paikallisessa turvavyöhykkeessä ja kaksi virheellisesti tapahtuvaan suoritettavan ohjelmatiedoston tallentamiseen kohdejärjestelmään.

Kaksi muuta haavoittuvuutta liittyy käyttäjälle näkyvän sivuston osoitteen (URL) muokkaamiseen. Näitä haavoittuvuuksia hyväksikäyttämällä hyökkääjän on mahdollista väärentää selainikkunan osoiterivillä näkyvä sivuston osoite.

Viimeinen haavoittuvuus liittyy IE:n tapaan tallentaa välimuistiin SSL-suojatun sivuston sisältö. Tätä haavoittuvuutta hyväksikäyttämällä hyökkääjän voi olla mahdollista päästä käsiksi käyttäjän SSL-suojatulle sivustolle syöttämiin tietoihin tai väärentää käyttäjälle näkyvän SSL-suojatun sivuston sisältö.

Kaikkia haavoittuvuuksia voidaan hyväksikäyttää hyökkääjän muokkaaman www-sivun välityksellä. Osaa haavoittuvuuksista voidaan hyväksikäyttää myös tietyllä tavalla muokatun HTML-sähköpostin välityksellä.

Useita edellä mainituista haavoittuvuuksista on aktiivisesti hyväksikäytetty. CERT-FI suosittelee haavoittuvan selaimen välitöntä päivittämistä.

HAAVOITTUVAT OHJELMISTOT:

  • Microsoft Internet Explorer

Tarkemmat tiedot haavoittuvista versioista on saatavilla Microsoftin turvatiedotteesta MS04-038:

http://www.microsoft.com/technet/security/bulletin/MS04-038.mspx

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Päivitä haavoittuva selain valmistajan ohjeiden mukaan:

http://www.microsoft.com/technet/security/bulletin/MS04-038.mspx

LISÄTIETOA:

http://www.microsoft.com/technet/security/bulletin/MS04-038.mspx

CVE-2004-0842 CVE-2004-0727 CVE-2004-0216
CVE-2004-0839 CVE-2004-0844 CVE-2004-0843
CVE-2004-0841 CVE-2004-0845

PÄIVITYSHISTORIA:

13.10.2004: Julkaistu
Sivua päivitetty 27.07.2007   Tulostusversio Tulostusversio