CERT-FI haavoittuvuustiedote 116/2009

23.11.2009

Haavoittuvuus Internet Explorer -selaimessa

Kohde:	- työasemat ja loppukäyttäjäsovellukset	Lisätietoja
Hyökkäystapa:	- etäkäyttö	Lisätietoja
Hyväksikäyttö:	- komentojen mielivaltainen suorittaminen	Lisätietoja
Ratkaisu:	- korjaava ohjelmistopäivitys	Lisätietoja

Microsoft Internet Explorer (IE) on laajassa käytössä oleva selainohjelma. Selaimeen on raportoitu tyylitiedostojen käsittelyyn liittyvä haavoittuvuus, jonka avulla hyökkääjän on mahdollista suorittaa käyttöjärjestelmässä omia komentojaan selaimen käyttäjän oikeuksin. Haavoittuvuutta voidaan hyväksikäyttää vain, jos selaimen JavaScript-tuki on käytössä. Haavoittuvuuteen on olemassa julkinen hyväksikäyttömenetelmä.

HAAVOITTUVAT OHJELMISTOT:

• Internet Explorer -selaimen versiot 6 ja 7
  

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Microsoft on julkaissut ohjemistopäivityksen joulukuun päivitysten yhteydessä. Päivitä haavoittuvat ohjelmistot valmistajan ohjeiden mukaisesti. Helpoin tapa päivittää Microsoft-järjestelmät on käyttää Microsoftin automaattista päivitystyökalua.

LISÄTIETOA:

• http://www.microsoft.com/technet/security/advisory/977981.mspx
• http://www.microsoft.com/technet/security/Bulletin/MS09-072.mspx
  
• http://isc.sans.org/diary.html?storyid=7624
• http://www.securityfocus.com/archive/1/507984
• http://www.securityfocus.com/archive/1/508006
• CVE-2009-3672
  
• CVE-2009-4054
  

PÄIVITYSHISTORIA:

23.11.2009, kello 15.08: Julkaistu
24.11.2009, kello 9.40: Lisätty tieto Microsoftin tiedotteesta sekä epävirallisesta korjaustiedostosta
25.11.2009, kello 12.50: Lisätty CVE-numero
8.12.2009, kello 20.28: Poistettu tieto epävirallisesta korjaustiedostosta sekä lisätty tieto virallisesta ohjelmistopäivityksestä

Sivua päivitetty 08.12.2009

Tulostusversio