Background Print only logo
Viestintäviraston etusivulle
Etusivu | Varoitukset | Tietoturva nyt! | Haavoittuvuudet | Ohjeet | Katsaukset | Palvelut | Esitykset |

CERT-FI

PL 313
00181 Helsinki
Puh: 09 6966 510
Fax: 09 6966 515

Salausavaimet

Viestintävirasto

Itämerenkatu 3 A
00180 HELSINKI
Puh: 09 6966 500
Fax: 09 6966 410

Tarkat yhteystiedot

Tietoa evästeistä

CERT-FI Facebookissa

 Etusivu > Haavoittuvuudet > 2007 > CERT-FI haavoittuvuustiedote 164/2007

CERT-FI haavoittuvuustiedote 164/2007

Palvelimet ja palvelinsovellukset Työasemat ja loppukäyttäjäsovellukset Verkon aktiivilaitteet Matkaviestimet Sulautetut järjestelmät Muut

19.11.2007

Haavoittuvuus Microsoft Jet Database Engine -ohjelmistossa

     
Kohde: - työasemat ja loppukäyttäjäsovellukset
Lisätietoja
Hyökkäystapa: - ilman kirjautumista
- etäkäyttö
Lisätietoja
Hyväksikäyttö: - komentojen mielivaltainen suorittaminen
- palvelunestohyökkäys
Lisätietoja
Ratkaisu: - korjaava ohjelmistopäivitys
Lisätietoja

Microsoft Jet Database Engine -ohjelmistosta on löydetty muistin ylivuotohaavoittuvuus, jota hyväksikäyttämällä hyökkääjän saattaa olla mahdollista aiheuttaa haavoittuvassa järjestelmässä palvelunestohyökkäys tai suorittaa siinä omia komentojaan haavoittuvaa sovellusta käyttävän käyttäjän käyttöoikeustasolla. Haavoittuvuus liittyy Microsoft Jet Database Engine -ohjelmiston msjet40.dll -kirjastoon. Haavoittuvuutta voi hyväksikäyttää houkuttelemalla hyökkäyksen kohde avaamaan tietyllä tavalla muotoiltu MDB-formaatissa oleva tiedosto haavoittuvaa msjet40.dll -kirjastoversiota käyttävällä ohjelmistolla. Hyväksikäyttö voi tapahtua esimerkiksi suoraan haavoittuvaa msjet40.dll -versiota käyttävää Microsoft Access -ohjelmistoa käyttäen tai Microsoft Word -ohjelmiston välityksellä siten, että käyttäjä avaa Microsoft Word -dokumentin, joka lataa käyttäjän työasemalle tallennetun tietyllä tavalla muotoillun MDB-muotoisen tiedoston haavoittuvaa msjet40.dll-versiota käyttäen. Jälkimmäisessä tapauksessa hyväksikäyttöön tarvitaan kaksi tiedostoa. Microsoft Word -dokumentin kautta ladattavan MDB-tiedoston ei tarvitse olla .mdb-päätteinen vaan sen tiedostopääte voi olla mikä tahansa, esimerkiksi .doc. Haavoittuvuuteen on olemassa julkinen hyväksikäyttömenetelmä.

HAAVOITTUVAT OHJELMISTOT:

  • Microsoft Jet Database Engine versiot ennen versiota 4.0.9505.0

Microsoft Jet Database Engine -ohjelmistoa käytetään muun muassa Microsoft Office Access -ohjelmistoissa, joten haavoittuvuus vaikuttaa myös joihinkin Microsoft Office Access -versioihin. Lisäksi Microsoft Word -dokumenttien välityksellä on mahdollista ladata saman työaseman kovalevyllä oleva MDB-tiedosto. Tässä tapauksessa MDB-tiedoston ei tarvitse olla .mdb-päätteinen. Hyväksikäyttö on mahdollista seuraavissa Microsoft Word -versioissa, kun käytössä on Windows 2000, Windows XP tai Windows Server 2003 SP1 -käyttöjärjestelmä:

  • Microsoft Word 2000 Service Pack 3
  • Microsoft Word 2002 Service Pack 3
  • Microsoft Word 2003 Service Pack 2
  • Microsoft Word 2003 Service Pack 3
  • Microsoft Word 2007
  • Microsoft Word 2007 Service Pack 1

Haavoittuvuus ei kuitenkaan kosketa Microsoft Officen Windows Server 2003 Service Pack 2, Windows Vista ja Windows Vista Service Pack 1 -versioiden käyttäjiä. Lisätietoja saa seuraavasta Microsoftin tiedotteesta:

http://www.microsoft.com/technet/security/advisory/950627.mspx

Mahdollinen hyökkäysskenaario on kuvattu seuraavassa artikkelissa:

http://www.avertlabs.com/research/blog/index.php/2008/03/21/microsoft-jet-database-engine-attacked-through-word/

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Päivitä haavoittuva ohjelmisto valmistajan ohjeiden mukaisesti:

http://www.microsoft.com/technet/security/bulletin/MS08-028.mspx

Ongelmaa voi rajoittaa olemalla avaamatta mahdollisesti epäluotettavista lähteistä peräisin olevia .mdb-tiedostoja ja .doc tiedostoja joiden mukana on tullut toinen tiedosto.

LISÄTIETOA:

  • http://www.securityfocus.com/bid/26468
  • http://www.securityfocus.com/bid/28398
  • http://www.securitytracker.com/alerts/2007/Nov/1018976.html
  • http://xforce.iss.net/xforce/xfdb/38499
  • CVE-2007-6026 CVE-2008-1092
  • http://www.microsoft.com/technet/security/advisory/950627.mspx
  • http://www.avertlabs.com/research/blog/index.php/2008/03/21/microsoft-jet-database-engine-attacked-through-word/
  • http://www.microsoft.com/technet/security/bulletin/MS08-028.mspx

    • PÄIVITYSHISTORIA:

    19.11.2007, kello 11.00: Julkaistu

    22.3.2008, kello 13.30: Lisätty tieto haavoittuvuuden hyväksikäyttömahdollisuudesta Microsoft Word -dokumenttien välityksellä

    14.5.2008, kello 9.20: Lisätty tieto korjauspäivityksen olemassaolosta

    Sivua päivitetty 14.05.2008   Tulostusversio Tulostusversio