CERT-FI haavoittuvuustiedote 132/2007

11.10.2007

Haavoittuvuus Microsoft Windows käyttöjärjestelmän ShellExecute -rutiinissa

Kohde:	- työasemat ja loppukäyttäjäsovellukset	Lisätietoja
Hyökkäystapa:	- etäkäyttö	Lisätietoja
Hyväksikäyttö:	- komentojen mielivaltainen suorittaminen	Lisätietoja
Ratkaisu:	- korjaava ohjelmistopäivitys	Lisätietoja

Microsoft on julkaissut turvallisuustiedotteen Internet Explorer 7 -selaimen URI/URL -osoitteiden käsittelyssä havaitusta haavoittuvuudesta. Vihamielisesti laaditulla URI/URL -osoitteella voidaan saada käyttöjärjestelmän ShellExecute() -rutiini suortittamaan hyökkäjän omaa ohjelmakoodia. Virheellinen syöte on tultava selainohjelmalle toisen ohjelman kautta. Käytännössä esimerkiksi sähköpostiviestistä aktivoitu URL-linkki voi hyödyntää haavoittuvuuden.

HAAVOITTUVAT OHJELMISTOT:

• Windows XP ja Windows Server 2003 -käyttöjärjestelmäympäristöt. Haavoittuvuus on hyödynnettävissä tämän hetken tietojen mukaan jos Internet Explorer 7 -selainohjelmisto on asennettuna.
  
• Mahdollisia hyödyntämismenetelmiä voi olla myös käyttäen muitakin ohjelmia.
  

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Päivitä haavoittuva järjestelmä valmistajan ohjeen mukaisesti. Helpoin tapa päivitysten asentamiseen on automaattinen päivityspalvelu.

http://update.microsoft.com

LISÄTIETOA:

• http://www.microsoft.com/technet/security/advisory/943521.mspx
• http://support.microsoft.com/kb/943521
• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-3896
• http://blogs.technet.com/msrc/archive/2007/10/10/msrc-blog-additional-details-and-background-on-security-advisory-943521.aspx
• http://www.microsoft.com/technet/security/bulletin/ms07-061.mspx
  

PÄIVITYSHISTORIA:

11.10.2007, kello 9.25: Julkaistu

11.10.2007, klo 15:06: Korjattu haavoittuva ohjelmistokomponentti, lisätty linkki MSRC-blogiin

14.11.2007, klo 11:37: Lisätty tieto korjauksen olemassaolosta

Sivua päivitetty 14.11.2007

Tulostusversio