CERT-FI haavoittuvuustiedote 069/2008

10.6.2008

Microsoft julkaisi korjauksia ohjelmistohaavoittuvuuksiin

Kohde:	- palvelimet ja palvelinsovellukset - työasemat ja loppukäyttäjäsovellukset	Lisätietoja
Hyökkäystapa:	- paikallisesti - ilman kirjautumista - etäkäyttö	Lisätietoja
Hyväksikäyttö:	- komentojen mielivaltainen suorittaminen - käyttövaltuuksien laajentaminen - palvelunestohyökkäys	Lisätietoja
Ratkaisu:	- korjaava ohjelmistopäivitys	Lisätietoja

Microsoft on tänään julkaissut seitsemän ohjelmistopäivitystä, jotka korjaavat Windows-käyttöjärjestelmän ja sovellusten haavoittuvuuksia. Päivityksistä kolme korjaa korkeimmalta vakavuusluokitukseltaan kriittiseksi luokitellun haavoittuvuuden.

Päivitys MS08-030 korjaa Windows-käyttöjärjestelmän Bluetooth-pinon toteutuksessa olevan haavoittuvuuden, joka voi mahdollistaa hyökkääjän koodin suorittamisen työasemassa. Haavoittuvuus koskee Windows XP- ja Windows Vista -käyttöjärjestelmiä. Microsoft on luokitellut haavoittuvuuden kriittiseksi.

Päivitys MS08-031 on kumulatiivinen päivitys Internet Explorer -ohjelmiston versioihin 5.1, 6 ja 7. Päivitys korjaa HTML-objektien käsittelyyn liittyvän haavoittuvuuden, joka voi mahdollistaa hyökkääjän koodin suorittamisen työasemassa käyttäjän oikeuksin, jos käyttäjä vierailee hyökkäyskoodia sisältävällä www-sivulla. Microsoft on luokitellut haavoittuvuuden kriittiseksi. Lisäksi päivitys korjaa HTTP-pyyntöjen käsittelyyn liittyvän haavoittuvuuden, joka voi mahdollistaa tietojen vuotamisen Internet Explorerissa.

Päivitys MS08-032 korjaa Windows-käyttöjärjestelmän puheentunnistukseen liittyvän haavoittuvuuden, joka voi mahdollistaa hyökkääjän komentojen suorittamisen tietokoneella käyttäjän oikeuksin, jos hyökkäystarkoituksessa tehty äänitiedosto soitetaan Internet Explorerin avulla puheentunnistuksen ollessa käytössä.

Päivitys MS08-033 korjaa DirectX-haavoittuvuuden sellaisten ASF- ja AVI-tiedostojen käsittelyssä, jotka sisältävät MJPEG-videosisältöä. Haavoittuvuus voi mahdollistaa hyökkääjän koodin suorittamisen työasemassa käyttäjän oikeuksin. Microsoft on luokitellut haavoittuvuuden kriittiseksi.

Päivitys MS08-034 korjaa WINS -palveluun liittyvän haavoittuvuuden, joka voi mahdollistaa hyökkääjän koodin suorittamisen WINS-palvelimella lähettämällä sille hyökkäystarkoituksessa tehty WINS-paketti.

Päivitys MS08-035 korjaa LDAP-pakettien käsittelyyn liittyvän haavoittuvuuden Active Directory Application Mode-, Active Directory- ja Active Directory LDS-palveluista. Haavoittuvuudella voidaan pakottaa kohdejärjestelmä käynnistymään uudelleen lähettämällä sille hyökkäystarkoituksessa tehty LDAP-paketti.

Päivitys MS08-036 korjaa Pragmatic General Multicast (PGM) -protokollan pakettien käsittelyyn liittyvän haavoittuvuuden, joka voi mahdollistaa kohdejärjestelmän toiminnan pysäyttämisen siten, että se täytyy käynnistää uudelleen, lähettämällä sillehyökkäystarkoituksessa tehty PGM-paketti.

HAAVOITTUVAT OHJELMISTOT:

• Microsoft Windows 2000 Service Pack 4
  
• Microsoft Windows XP Service Pack 2, 3
  
• Microsoft Windows XP Professional x64 Edition
• Microsoft Windows XP Professional x64 Edition Service Pack 2
  
• Microsoft Windows Server 2003
• Microsoft Windows Server 2003 Service Pack 1, 2
• Microsoft Windows Server 2003 x64 Edition
• Microsoft Windows Server 2003 x64 Edition Service Pack 2
• Microsoft Windows Server 2003 with SP1, SP2 for Itanium-based systems
  
• Microsoft Windows Vista
• Microsoft Windows Vista Service pack 1
• Microsoft Windows Server 2008 for 32-bit systems
• Microsoft Windows Server 2008 for x64-based systems
• Microsoft Windows Server 2008 for Itanium-based systems
  
• Microsoft Internet Explorer 5.01 Service Pack 4
• Microsoft Internet Explorer 6 Service Pack 1
• Microsoft Internet Explorer 6
• Microsoft Internet Explorer 7
• DirectX 9.0, 9.0a, 9.0b, 9.0c, 10.0
  
• Active Directory, Active Directory Application Mode, AD LDS

Tarkemmat tiedot haavoittuvista ohjelmistoista saa Microsoftin julkaisemista tiedotteista.

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Päivitä haavoittuvat ohjelmistot valmistajan ohjeen mukaisesti. Helpoin tapa päivittää on Microsoftin automaattinen päivityspalvelu:

http://update.microsoft.com

LISÄTIETOA:

• http://www.microsoft.com/technet/security/bulletin/ms08-jun.mspx
  
• http://www.microsoft.com/technet/security/bulletin/MS08-030.mspx
• http://www.microsoft.com/technet/security/bulletin/MS08-031.mspx
• http://www.microsoft.com/technet/security/bulletin/MS08-032.mspx
• http://www.microsoft.com/technet/security/bulletin/MS08-033.mspx
• http://www.microsoft.com/technet/security/bulletin/MS08-034.mspx
• http://www.microsoft.com/technet/security/bulletin/MS08-035.mspx
• http://www.microsoft.com/technet/security/bulletin/MS08-036.mspx
• http://www.microsoft.com/technet/security/bulletin/MS08-037.mspx
• http://www.microsoft.com/technet/security/bulletin/MS08-038.mspx
• http://www.microsoft.com/technet/security/bulletin/MS08-039.mspx
• http://www.microsoft.com/technet/security/bulletin/MS08-040.mspx
• CVE-2008-1453
• CVE-2008-1442
• CVE-2008-1544
• CVE-2008-2243
• CVE-2007-0675
• CVE-2008-0011
• CVE-2008-1444
• CVE-2008-1451
• CVE-2008-1445
• CVE-2008-1440
• CVE-2008-1441

PÄIVITYSHISTORIA:

10.6.2008, kello 21.26: Julkaistu

17.7.2008, kello 10.55: Lisätty haavoittuvien ohjelmistojen listaan DirectX 9.0a

Sivua päivitetty 17.07.2008

Tulostusversio