CERT-FI haavoittuvuustiedote 094/2007

14.8.2007

Päivitys saatavilla Microsoft Windows -ohjelmistoihin

Kohde:	- palvelimet ja palvelinsovellukset - työasemat ja loppukäyttäjäsovellukset	Lisätietoja
Hyökkäystapa:	- etäkäyttö	Lisätietoja
Hyväksikäyttö:	- komentojen mielivaltainen suorittaminen - käyttövaltuuksien laajentaminen	Lisätietoja
Ratkaisu:	- korjaava ohjelmistopäivitys	Lisätietoja

Microsoft on julkaissut elokuun ohjelmistopäivitykset Microsoft Windows -käyttöjärjestelmän eri versioille. Mukana on korjauksia kriittiseksi luokiteltuihin haavoittuvuuksiin.

Päivitys MS07-042 korjaa kriittiseksi luokitellun haavoittuvuuden XML Core Services -komponentissa. Haavoittuvuutta voidaan hyödyntää ohjaamalla käyttäjä tietyllä tavalla muokatulle www-sivulle. Haavoittuvuus mahdollistaa hyökkääjän oman ohjelmakoodin suorittamisen kohdetietojärjestelmässä.

Päivitys MS07-043 korjaa Object Linking and Embedding (OLE) -protokollaan liittyvän haavoittuvuuden. Haavoittuvuutta voidaan hyödyntää ohjaamalla käyttäjä tietyllä tavalla muokatulle www-sivulle. Haavoittuvuus on luokiteltu kriittiseksi kaikissa tuetuissa Windows 2000, XP, Office 2004 for Mac ja Visual Basic 6 -ympäristöissä.

Päivitys MS07-046 korjaa kriittiseksi luokitellun haavoittuvuuden Graphics Rendering Engine -komponentissa. Haavoittuvuutta voidaan hyödyntää ohjaamalla käyttäjä avaamaan tietyllä tavalla laadittu kuvatiedosto, esimerkiksi sähköpostiviestin liitetiedosto. Haavoittuvuus mahdollistaa hyökkääjän oman ohjelmakoodin suorittamisen kohdetietojärjestelmässä. Haavoittuvuus koskee kaikkia tuettuja Windows-ympäristöjä lukuunottamatta Windows 2003 Server SP2 ja Windows Vista.

Päivitys MS07-047 korjaa kaksi tärkeäksi luokiteltua haavoittuvuutta Windows Media Player -mediaohjelmiston muokkaustiedostojen (skin file) käsittelyssä. Haavoittuvuutta voidaan hyödyntää ohjaamalla käyttäjä avaamaan tietyllä tavalla muokattu skin file -tiedosto. Haavoittuvuus mahdollistaa hyökkääjän oman ohjelmakoodin suorittamisen kohdetietojärjestelmässä skin file -tiedoston avaajan oikeuksilla.

Päivitys MS07-048 korjaa tärkeiksi luokitellut haavoittuvuudet Windows Wista -käyttöjärjestelmän Feed Headlines Gadget, Contacts Gadget ja Weather Gadget -minisovelluksissa. Haavoittuvuutta voidaan hyödyntää ohjaamalla käyttäjä syöttämään tietyllä tavalla muokattu RSS-syöte, kontaktitiedosto tai säälinkki sovelluksille esimerkiksi www-selainohjelmiston kautta. Haavoittuvuus mahdollistaa hyökkääjän oman ohjelmakoodin suorittamisen kohdetietojärjestelmässä.

Päivitys MS07-049 korjaa tärkeäksi luokitellun haavoittuvuuden Microsoft Virtual PC ja Microsoft Virtual Server -ohjelmistoissa. Haavoittuvuus mahdollistaa pääkäyttäjäoikeuksilla varustetulle virtuaalikäyttöjärjestelmän käyttäjälle ohjelmakoodin suorittamisen emokäyttöjärjestelmässä tai muissa saman virtualisointipalvelimen virtuaalikäyttöjärjestelmissä.

HAAVOITTUVAT OHJELMISTOT:

• Microsoft XML Core Services, versiot 3.0, 4.0, 5.0 ja 6.0
  
• Microsoft Windows 2000, 2003, XP ja Vista -järjestelmät
• Windows Media Player, versioit 7.1, 9, 10 ja 11
• Office 2004 for Mac, Visual Basic 6
  

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Päivitä haavoittuvat ohjelmistot valmistajan ohjeen mukaisesti. Helpoin tapa päivitysten asentamiseen on automaattinen päivityspalvelu.

http://update.microsoft.com

LISÄTIETOA:

• http://www.microsoft.com/technet/security/bulletin/ms07-042.mspx
• http://www.microsoft.com/technet/security/bulletin/ms07-043.mspx
• http://www.microsoft.com/technet/security/bulletin/ms07-046.mspx
• http://www.microsoft.com/technet/security/bulletin/ms07-047.mspx
• http://www.microsoft.com/technet/security/bulletin/ms07-048.mspx
• http://www.microsoft.com/technet/security/bulletin/ms07-049.mspx

PÄIVITYSHISTORIA:

14.8.2007, kello 23.15: Julkaistu

Sivua päivitetty 15.08.2007

Tulostusversio