CERT-FI haavoittuvuustiedote 021/2006

11.4.2006

Haavoittuvuuksia Microsoft Windows -ohjelmistoissa


Kohde:	- palvelimet ja palvelinsovellukset - työasemat ja loppukäyttäjäsovellukset	Lisätietoja
Hyökkäystapa:	- ilman kirjautumista - etäkäyttö	Lisätietoja
Hyväksikäyttö:	- komentojen mielivaltainen suorittaminen	Lisätietoja
Ratkaisu:	- korjaava ohjelmistopäivitys	Lisätietoja

Microsoft Windows -ohjelmistoista on löydetty useita uusia haavoittuvuuksia, joista vakavimpia hyväksikäyttämällä hyökkääjän voi olla mahdollista suorittaa kohdetietojärjestelmässä omia komentojaan ja saavuttaa näin kohdetietojärjestelmän hallinnan.

1. Kumulatiivinen päivitys Internet Explorer -selaimelle
2. Kriittinen haavoittuvuus MDAC -komponenteissa
3. Kriittinen haavoittuvuus Windows Explorer -ohjelmistossa
4. Kumulatiivinen päivitys Outlook Express -ohjelmistolle
5. Haavoittuvuus Frontpage -ohjelmistossa

Internet Explorer -selaimelle on julkaistu kumulatiivinen päivitys, joka sisältää korjauksia useisiin kriittisiin haavoittuvuuksiin. Haavoittuvuuksia hyväksikäyttämällä hyökkääjän on mahdollista suorittaa kohdetietojärjestelmässä omia komentojaan. Haavoittuvuutta hyväksikäytetään jo www-sivustoilla. Lisätietoja päivityksestä on saatavissa osoitteesta

http://www.microsoft.com/technet/security/Bulletin/MS06-013.mspx

Toinen haavoittuvuus liittyy MDAC-komponentteihin. Haavoittuvuutta hyväksikäyttämällä hyökkääjän voi olla mahdollista suorittaa kohdetietojärjestelmässä omia komentojaan. Haavoittuvuudesta on saatavissa lisätietoa osoitteessa:

http://www.microsoft.com/technet/security/Bulletin/MS06-014.mspx

Kolmas haavoittuvuus koskee Windows Explorer -ohjelmistoa. Haavoittuvuutta hyväksikäyttämällä hyökkääjän voi olla mahdollista suorittaa kohdetietojärjestelmällä omia komentojaan. Haavoittuvuudesta on saatavissa lisätietoa osoitteessa:

http://www.microsoft.com/technet/security/Bulletin/MS06-015.mspx

Outlook Express -sähköpostiohjelmistolle on julkaistu kumulatiivinen päivitys, joka sisältää korjauksen kriittiseen haavoittuvuuteen. Haavoittuvuutta hyväksikäyttämällä hyökkääjän voi olla mahdollista suorittaa kohdetietojärjestelmässä omia komentojaan. Haavoittuvuudesta on saatavissa lisätietoa osoitteessa:

http://www.microsoft.com/technet/security/Bulletin/MS06-016.mspx

Viides haavoittuvuus koskee Frontpage -ohjelmiston palvelinlaajennuksia. Haavoittuvuutta hyväksikäyttämällä hyökkääjän voi olla mahdollista suorittaa kohdetietojärjestelmässä omia komentojaan. Haavoittuvuudesta on saatavissa lisätietoa osoitteessa:

http://www.microsoft.com/technet/security/Bulletin/MS06-017.mspx

HAAVOITTUVAT OHJELMISTOT:

Varoitus koskee tietyin rajoituksin useimpia Microsoftin käyttöjärjestelmä- ja toimistosovelluksia. Kattava lista haavoittuvuuksille alttiista tietojärjestelmistä löytyy ylläolevista Microsoftin tietoturvatiedotteista.