Background Print only logo
Viestintäviraston etusivulle
Etusivu | Varoitukset | Tietoturva nyt! | Haavoittuvuudet | Ohjeet | Katsaukset | Palvelut | Esitykset |

CERT-FI

PL 313
00181 Helsinki
Puh: 09 6966 510
Fax: 09 6966 515

Salausavaimet

Viestintävirasto

Itämerenkatu 3 A
00180 HELSINKI
Puh: 09 6966 500
Fax: 09 6966 410

Tarkat yhteystiedot

Tietoa evästeistä

CERT-FI Facebookissa

 Etusivu > Haavoittuvuudet > 2006 > CERT-FI haavoittuvuustiedote 016/2006

CERT-FI haavoittuvuustiedote 016/2006

Palvelimet ja palvelinsovellukset Työasemat ja loppukäyttäjäsovellukset Verkon aktiivilaitteet Matkaviestimet Sulautetut järjestelmät Muut

23.3.2006

Haavoittuvuuksia Microsoft Internet Explorer -selaimessa

     
Kohde: - työasemat ja loppukäyttäjäsovellukset
Lisätietoja
Hyökkäystapa: - ilman kirjautumista
- etäkäyttö
Lisätietoja
Hyväksikäyttö: - komentojen mielivaltainen suorittaminen
- palvelunestohyökkäys
Lisätietoja
Ratkaisu: - korjaava ohjelmistopäivitys
Lisätietoja

Microsoft Internet Explorer -selainohjelmasta on löydetty neljä uutta haavoittuvuutta.

Haavoittuvuuksista ensimmäinen liittyy Internet Explorerin tapaan käsitellä createTextRange-funktiokutsuja väärille komponenteille. Haavoittuvuutta hyväksikäyttämällä hyökkääjän voi olla mahdollista suorittaa kohdetietojärjestelmässä omia komentojaan. Haavoittuvuutta voidaan hyväksikäyttää houkuttelemalla käyttäjä esimerkiksi hyökkääjän muokkaamalle sivustolle. Haavoittuvuutta hyödyntävää haittaohjelmakoodia on julkaistu tietoturva-aiheisella www-sivustolla.

Haavoittuvuuksista toinen liittyy Internet Explorerin tapaan käsitellä .hta-tiedostoja. Haavoittuvuutta hyväksikäyttämällä hyökkääjän voi olla mahdollista suorittaa kohdetietojärjestelmässä omia komentojaan. Haavoittuvuutta voidaan hyväksikäyttää houkuttelemalla käyttäjä esimerkiksi hyökkääjän muokkaamalle sivustolle.

Kolmas haavoittuvuus liittyy Internet Explorerin tapaan käsitellä skripteissä olevia toiminteita. Haavoittuvuutta hyväksikäyttämällä hyökkääjän voi olla mahdollista suorittaa palvelunestohyökkäys kohdetietojärjestelmää vastaan. Haavoittuvuutta voidaan hyväksikäyttää houkuttelemalla käyttäjä esimerkiksi hyökkääjän muokkaamalle sivustolle.

Neljäs haavoittuvuus liittyy Internet Explorerin tapaan käsitellä removeAttribute-funktiokutsuja tietyille komponenteille. Haavoittuvuutta hyväksikäyttämällä hyökkääjän voi olla mahdollista suorittaa kohdetietojärjestelmässä omia komentojaan. Haavoittuvuutta voidaan hyväksikäyttää houkuttelemalla käyttäjä esimerkiksi hyökkääjän muokkaamalle sivustolle.

HAAVOITTUVAT OHJELMISTOT:

  • Internet Explorerin versiot 6 ja 7

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Haavoittuvuuksiin ei ole saatavilla päivitystä. CERT-FI suosittelee mahdollisuuksien mukaan Active Scripting -toiminnallisuuden kytkemistä pois päältä. On myös syytä noudattaa erityistä varovaisuutta satunnaisessa www-sivujen selailussa.

LISÄTIETOA:

http://isc.sans.org/diary.php?storyid=1209

http://secunia.com/advisories/18680/

http://www.microsoft.com/technet/security/advisory/917077.mspx

http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-1359

PÄIVITYSHISTORIA:

23.03.2006: Julkaistu
23.03.2006: Lisätty tieto hyväksikäyttökoodista ja neljännestä haavoittuvuudesta.

Sivua päivitetty 11.03.2007   Tulostusversio Tulostusversio