CERT-FI haavoittuvuustiedote 009/2009

10.2.2009

Microsoftilta neljä tietoturvapäivitystä


Kohde:	- palvelimet ja palvelinsovellukset - työasemat ja loppukäyttäjäsovellukset	Lisätietoja
Hyökkäystapa:	- paikallisesti - ilman kirjautumista - etäkäyttö - ilman käyttäjän toimia	Lisätietoja
Hyväksikäyttö:	- komentojen mielivaltainen suorittaminen - palvelunestohyökkäys	Lisätietoja
Ratkaisu:	- korjaava ohjelmistopäivitys	Lisätietoja

Microsoft on julkaissut neljä ohjelmistopäivitystä, jotka korjaavat yhteensä kahdeksan haavoittuvuutta Microsoft Exchange sähköpostipalvelimessa, Microsoft SQL Server tietokantapalvelimessa, Microsoft Visiossa sekä Internet Explorer 7:ssä. Ohjelmistopäivityksistä kaksi on luokiteltu korkeimmalta vakavuusarvoltaan kriittisiksi ja kaksi tärkeiksi. Tietoturvapäivitysten asentaminen voi vaatia tietokoneen tai palvelimen uudelleenkäynnistyksen.

Päivitys MS09-002 korjaa kaksi haavoittuvuutta Internet Explorer 7:ssa. Haavoittuvuuksista ensimmäinen, CVE-2009-0075, mahdollistaa hyökkääjän oman ohjelmistokoodin suorittamisen muistin korruptoitumisen aiheuttavan haavoittuvuuden avulla. Haavoittuvuuteen on saatavilla julkinen hyväksikäyttömenetelmä. Haavoittuvuuden hyväksikäytöstä on myös raportoitu. Toinen haavoittuvuus, CVE-2009-0076, mahdollistaa myös hyökkääjän oman ohjelmistokoodin suorittamisen CSS-tyylitiedostojen käsittelyyn liittyvän haavoittuvuuden vuoksi. Microsoft on luokitellut päivityksen kriittiseksi.

Päivitys MS09-003 korjaa kaksi haavoittuvuutta Exchange-palvelimessa. Ensimmäinen haavoittuvuus, CVE-2009-0098, liittyy Exchangen käyttämään TNEF-muotoiseen (Transport Neutral Encapsulation Format) sähköpostin liitetiedostoformaattiin ja sen käsittelyyn Exchange-palvelimen vastaanottaessa sähköpostia. Lähettämällä tietyllä tavalla muotoillun TNEF-muotoisen sähköpostin liitetiedoston hyökkääjä voi mahdollisesti aiheuttaa palvelimen muistin korruptoitumisen ja suorittaa omaa ohjelmakoodia kohdejärjestelmässä.

Toinen päivityksessä korjattu haavoittuvuus, CVE-2009-0099 liittyy Exchange-palvelimen tapaan käsitellä MAPI-komentoja. Tietyllä tavalla muotoiltu, palvelimelle lähetetty MAPI-komento voi aiheuttaa palvelunestotilan jumiuttamalla Exchange-palvelimen tietokantakäsittelijän. Microsoft luokittelee päivityksen kriittiseksi.

Päivitys MS09-004 korjaa haavoittuvuuden (CVE-2008-5416) Microsoft SQL-palvelimessa. Haavoittuvuuden avulla tunnistautunut käyttäjä voi aiheuttaa palvelunestotilan tietokantapalvelimessa, tai suorittaa omaa ohjelmakoodiaan. Microsoft on luokitellut päivityksen tärkeäksi. Haavoittuvuudelle on olemassa julkinen hyväksikäyttömenetelmä.

Päivitys MS09-005 korjaa kolme haavoittuvuutta (CVE-2009-0095, CVE-2009-0096 ja CVE-2009-0097) Microsoft Visiossa. Kaikki kolme haavoittuvuutta liittyvät muistin korruptoitumiseen houkuteltaessa käyttäjä avaamaan tietyllä tavalla muotoiltu Visio-tiedosto. Haavoittuvuuksien avulla hyökkääjä voi suorittaa omaa ohjelmakoodia kohdejärjestelmässä. Microsoft on luokitellut päivityksen tärkeäksi.

HAAVOITTUVAT OHJELMISTOT:

Exchange Server 2000 Service Pack 4
Exchange Server 2003 Service Pack 2
Exchange Server 2007 Service Pack 1
Internet Explorer 7
Microsoft SQL Server 2000 Service Pack 4
Microsoft SQL Server 2005 Service Pack 2
Microsoft SQL Server 2000 Desktop Engine Service Pack 4
Microsoft SQL Server 2005 Express Edition Service Pack 2
Microsoft SQL Server Express Edition with Advanced Services Service Pack 2
Microsoft Visio 2002 Service Pack 2
Microsoft Visio 2003 Service Pack 3
Microsoft Visio 2007 Service Pack 1

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Päivitä haavoittuva ohjelmisto valmistajan ohjeiden mukaisesti, mikäli mahdollista. Helpoin tapa päivittää on Microsoftin automaattinen päivitystyökalu.

LISÄTIETOA:

PÄIVITYSHISTORIA:

10.2.2009, kello 22:40: Julkaistu

18.2.2009, kello 8.04: Lisätty tieto MS09-002 hyväksikäyttömenetelmän olemassaolosta ja sen käytöstä

Sivua päivitetty 20.02.2009

Tulostusversio