CERT-FI haavoittuvuustiedote 059/2009

14.7.2009

Microsoftin heinäkuun päivitykset

Kohde:	- palvelimet ja palvelinsovellukset - työasemat ja loppukäyttäjäsovellukset	Lisätietoja
Hyökkäystapa:	- paikallisesti - ilman kirjautumista - etäkäyttö - ilman käyttäjän toimia	Lisätietoja
Hyväksikäyttö:	- komentojen mielivaltainen suorittaminen - käyttövaltuuksien laajentaminen - tietojen muokkaaminen - luottamuksellisen tiedon hankkiminen - palvelunestohyökkäys - suojauksen ohittaminen	Lisätietoja
Ratkaisu:	- korjaava ohjelmistopäivitys - ongelman rajoittaminen	Lisätietoja

Microsoft on julkaissut kuusi ohjelmistopäivitystä, jotka korjaavat yhteensä yhdeksän haavoittuvuutta. Ohjelmistopäivityksistä kuusi on luokiteltu korkeimmalta vakavuusluokitukseltaan kriittisiksi ja kolme tärkeiksi.

Ensimmäinen päivitys (MS09-028):
CVE-2009-1537
CVE-2009-1538
CVE-2009-1539

Ensimmäinen päivitys korjaa haavoittuvuustiedotteessa 45/2009 kuvatun Microsoft DirectShow-komponentin haavoittuvuuden, sekä kaksi muuta haavoittuvuutta QuickTime-mediatiedostojen käsittelyssä. Haavoittuvuudet voivat mahdollistaa hyökkääjän oman ohjelmakoodin suorittamisen kohdejärjestelmässä käyttäjän oikeuksin.

Päivitys on luokiteltu kriittiseksi ja se voi vaatia järjestelmän uudelleenkäynnistyksen.

Toinen päivitys (MS09-029):
CVE-2009-0231
CVE-2009-0232

Päivitys korjaa kaksi haavoittuvuutta Embedded OpenType (EOT) kirjasinkäsittelijässä. EOT-kirjasimia voidaan sisällyttää Office-dokumentteihin ja sivustoihin. Haavoittuvuuksia voi hyödyntää tietyllä tavalla muotoillun kirjasintiedoston avulla, ja ne voivat mahdollistaa hyökkääjän oman ohjelmakoodin suorittamisen kohdejärjestelmässä käyttäjän oikeuksin.

Päivitys on luokiteltu kriittiseksi ja se vaatii järjestelmän uudelleenkäynnistyksen.

Kolmas päivitys (MS09-030):
CVE-2009-0655

Kolmas päivitys korjaa Microsoft Officen versioon 2007 liittyvän Publisher-tiedostoformaatin muunnosohjelmiston haavoittuvuuden. Muunnosohjelmiston avulla Office 2007 voi avata vanhempien Office-versioiden Publisher-tiedostoja. Haavoittuvuuden avulla voi suorittaa hyökkääjän ohjelmakoodia käyttäjän oikeuksilla jos käyttäjä avaa hyökkäystarkoituksessa muodostetun Publisher-tiedoston.

Päivitys on luokiteltu tärkeäksi ja se voi vaatia järjestelmän uudelleenkäynnistyksen.

Neljäs päivitys (MS09-031):
CVE-2009-1135

Kolmas päivitys korjaa haavoittuvuuden Microsoft ISA Server -web-palvelinohjelmistossa. Kun palvelimessa käytetään Radius-todennusta kertakäyttösalasanoin, hyökkääjän on mahdollista ohittaa todennus ja saada pääsy järjestelmään. Haavoittuvuutta hyväksikäyttääkseen hyökkääjän tarvitsee tietää käyttäjätunnus järjestelmässä.

Päivitys on luokiteltu tärkeäksi ja se vaatii järjestelmän uudelleenkäynnistyksen.

Viides päivitys (MS09-032):
CVE-2008-0015

Viides haavoittuvuus on Internet Explorer -selaimen kumulatiivinen kill bit -päivitys. Päivitys ei ei sisällä muutoksia ohjelmakoodiin, vaan rekisterimuutoksia, jotka estävät tiettyjen ActiveX-kontrollien latautumisen selaimessa. Muutokset estävät haavoittuvuustiedotteessa 58/2009 kuvatun Microsoft Video ActiveX -kontrollin lataamisen ja toimivat näin haavoittuvuuden rajoituskeinona.

Päivitys on luokiteltu kriittiseksi ja se voi vaatia järjestelmän uudelleenkäynnistyksen.

Kuudes päivitys (MS09-033):
CVE-2008-1542

Kuudes päivitys korjaa Microsoft Virtual PC -virtuaalikoneista haavoittuvuuden, jonka avulla hyökkääjä voi nostaa käyttöoikeuksiaan virtuaalikoneessa. Haavoittuvuuden hyväksikäyttäminen vaatii pääsyn virtuaalikoneeseen.

Päivitys on luokiteltu tärkeäksi ja se vaatii järjestelmän uudelleenkäynnistyksen.

HAAVOITTUVAT OHJELMISTOT:

• Microsoft Windows 2000 Service Pack 4
• Windows XP Service Pack 2 ja 3
  
• Windows XP Professional x64 Edition Service Pack 2
• Windows Server 2003 Service Pack 2
• Windows Server 2003 x64 Edition Service Pack 2
• Windows Server 2003 with SP2 for Itanium-based Systems
• Windows Vista Service Pack 1 ja 2
  
• Windows Vista x64 Edition Service Pack 1 ja 2
  
• Windows Server 2008 for 32-bit Systems Service Pack 2
• Windows Server 2008 for x64-based Systems Service Pack 2
• Windows Server 2008 for Itanium-based Systems Service Pack 2
• Microsoft Virtual PC 2004 Service Pack 1
• Microsoft Virtual PC 2007 Service Pack 1
• Microsoft Virtual PC 2007 x64 Edition Service Pack 1
• Microsoft Virtual Server 2005 R2 Service Pack 1
• Microsoft Virtual Server 2005 R2 x64 Edition Service Pack 1
• Microsoft Internet Security and Acceleration Server 2006
• Microsoft Internet Security and Acceleration Server 2006 Supportability Update
• Microsoft Internet Security and Acceleration Server 2006 Service Pack 1
• 2007 Microsoft Office System Service Pack 1
  

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Päivitä haavoittuvat ohjelmistot valmistajan ohjeiden mukaisesti. Helpoin tapa päivittää Microsoft-järjestelmät on käyttää Microsoftin automaattista päivitystyökalua.

Haavoittuvuutta MS09-029 voidaan rajoittaa poistamalla EOT-kirjasimet käytöstä. Haavoittuvuuksia MS09-028, MS09-029 ja MS09-030 voidaan rajoittaa poistamalla haavoittunut kirjasto käytöstä. Tarkemmat ohjeet rajoituskeinojen käyttöön löytyvät Microsoftin tiedotteista.

LISÄTIETOA:

• http://www.microsoft.com/technet/security/bulletin/ms09-jul.mspx
• http://www.microsoft.com/technet/security/bulletin/MS09-028.mspx
• http://www.microsoft.com/technet/security/bulletin/MS09-029.mspx
• http://www.microsoft.com/technet/security/bulletin/MS09-030.mspx
• http://www.microsoft.com/technet/security/bulletin/MS09-031.mspx
• http://www.microsoft.com/technet/security/bulletin/MS09-032.mspx
• http://www.microsoft.com/technet/security/bulletin/MS09-033.mspx
• http://blogs.technet.com/srd/archive/2009/07/14/ms09-033-the-virtual-pc-vulnerability-is-not-a-vm-breakout-issue.aspx
• http://blogs.technet.com/srd/archive/2009/07/14/ms09-031-more-information-about-the-isa-issue.aspx
• http://blogs.technet.com/srd/archive/2009/07/14/ms09-029-vulnerabilities-in-the-eot-parsing-engine.aspx
  

PÄIVITYSHISTORIA:

14.7.2009, kello 23.20: Julkaistu

Sivua päivitetty 14.07.2009

Tulostusversio