CERT-FI haavoittuvuustiedote 095/2007

14.8.2007

Haavoittuvuuksia Internet Explorer -ohjelmistossa ja VML-kielen Windows-toteutuksessa

Kohde:	- työasemat ja loppukäyttäjäsovellukset	Lisätietoja
Hyökkäystapa:	- etäkäyttö	Lisätietoja
Hyväksikäyttö:	- komentojen mielivaltainen suorittaminen	Lisätietoja
Ratkaisu:	- korjaava ohjelmistopäivitys	Lisätietoja

Microsoft on julkaissut päivityksiä Internet Explorer -selainohjelmistoon ja VML -grafiikkakuvauskielen Windows-toteutukseen. Osa haavoittuvuuksista on luokiteltu kriittisiksi.

Päivitys MS07-045 korjaa kolme haavoittuvuutta Internet Explorer -selainohjelmistossa. Haavoittuvuudet liityvät CSS-muotoilujen parsimiseen sekä vahingollisiin ActiveX -objekteihin. Haavoittuvuudet mahdollistavat hyökkääjän oman ohjelmakoodin suorittamisen kohdetietojärjestelmässä. Haavoittuvuuksia voidaan hyödyntää ohjaamalla käyttäjä tietyllä tavalla muotoillulle www-sivulle. Osa haavoittuvuuksista on luokiteltu kriittisiksi.

Päivitys MS07-050 korjaa haavoittuvuuden Windows-ympäristön Vector Markup Language (VML) -toteutuksessa. Kriitiseksi luokiteltua haavoittuvuutta voidaan hyödyntää ohjaamalla käyttäjä tietyllä tavalla muotoilluille www-sivuille. Haavoittuvuus koskee Internet Explorer -selaimen kaikkia tuettuja versoita.

HAAVOITTUVAT OHJELMISTOT:

• Microsoft Internet Explorer, versiot 5.01, 6, 6 SP1, 7
  

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Päivitä haavoittuvat ohjelmistot valmistajan ohjeiden mukaisesti. Helpoin tapa päivitysten asentamiseen on automaattinen päivityspalvelu.

http://update.microsoft.com

LISÄTIETOA:

• http://www.microsoft.com/technet/security/bulletin/ms07-045.mspx
  
• http://www.microsoft.com/technet/security/bulletin/ms07-050.mspx
  

PÄIVITYSHISTORIA:

14.8.2007, kello 23.29: Julkaistu

Sivua päivitetty 15.08.2007

Tulostusversio