 |
| Etusivu |  |
Varoitukset | |
Tietoturva nyt! | |
Haavoittuvuudet | |
Ohjeet | |
Katsaukset | |
Palvelut | |
Esitykset | |
CERT-FIPL 313 ViestintävirastoItämerenkatu 3 A |
CERT-FI haavoittuvuustiedote 123/2009
8.12.2009 Microsoftin joulukuun päivitykset
Microsoft on julkaissut kuusi tietoturvatiedotetta, jotka korjaavat yhteensä 12 haavoittuvuutta. Ohjelmistopäivityksistä kolme on luokiteltu korkeimmalta vakavuusluokitukseltaan kriittisiksi ja kolme tärkeiksi. Ensimmäinen tiedote (MS09-069):
Tämä tiedote liittyy Microsoft Windows käyttöjärjestelmän tapaan käsitellä IPSec:n kautta välitettyjä ISAKMP-viestejä. Hyökkääjä voi aiheuttaa kohdejärjestelmässä palvelunestotilan lähettämällä tietyllä tavalla muokatun viestin Local Security Authority Subsystem Service -palvelulle. Päivitys on luokiteltu tärkeäksi ja vaatii järjestelmän uudelleenkäynnistyksen. Toinen tiedote (MS09-070): Tämän tiedotteen päivitykset korjaavat Microsoft Windows käyttöjärjestelmässä olevan Active Directory Federation Services -palvelun (ADFS). Haavoittuvuuksien avulla hyökkääjän voi olla mahdollistaa suorittaa komentoja www-palvelimena toimivassa kohdejärjestelmässä lähettämällä tietyllä tavalla muotoillun HTTP-pyynnön. Päivitys on luokiteltu tärkeäksi ja vaatii järjestelmän uudelleenkäynnistyksen. Kolmas tiedote (MS09-071): Tämä tiedote liittyy Microsoft Windows käyttöjärjestelmän tapaan käsitellä Internet Authentication Service -palvelun vastaanottamia viestejä. Palvelussa löydetyt haavoittuvuudet voivat mahdollistaa komentojen mielivaltaisen suorittamisen kohdejärjestelmässä mikäli palvelua käytetään PEAP tai MS-CHAP v2 mukaisen tunnistautumisen yhteydessä. Päivitys on luokiteltu kriittiseksi ja vaatii järjestelmän uudelleenkäynnistyksen. Neljäs tiedote (MS09-072): Tämän tiedotteen viisi päivitystä korjaavat Internet Explorer -selaimesta löydettyjä haavoittuvuuksia jotka voivat mahdollistaa hyökkääjän komentojen suorittamisen kohdejärjestelmässä. Yhteen haavoittuvuuteen on olemassa julkinen hyväksikäyttömenetelmä. Tämä haavoittuvuus on kuvattu lähemmin CERT-FI:n haavoittuvuustiedotteessa 116/2009. Päivitys on luokiteltu kriittiseksi ja vaatii järjestelmän uudelleenkäynnistyksen. Viides tiedote (MS09-073): Tämän tiedotteen päivitys korjaa sekä WordPad-sovelluksesta että Microsoft Office konversiotyökaluista löytyneen haavoittuvuuden. Haavoittuvuuden avulla hyökkääjän voi olla mahdollista suorittaa kohdejärjestelmässä haluamansa ohjelmakoodia houkuttelemalla käyttäjä avaamaan tietyllä tavalla muokatun Word 97 -tiedoston. Päivitys on luokiteltu tärkeäksi ja vaatii järjestelmän uudelleenkäynnistyksen. Kuudes tiedote (MS09-074): Tämän tiedotteen päivitys korjaa sekä Microsoft Project että Microsoft Office Project -sovelluksista löytyneen haavoittuvuuden. Haavoittuvuuden avulla hyökkääjän voi olla mahdollista suorittaa kohdejärjestelmässä haluamansa ohjelmakoodia houkuttelemalla käyttäjä avaamaan tietyllä tavalla muokatun tiedoston. Päivitys on luokiteltu kriittiseksi ja vaatii mahdollisesti järjestelmän uudelleenkäynnistyksen. HAAVOITTUVAT OHJELMISTOT:
RATKAISU- JA RAJOITUSMAHDOLLISUUDET:Päivitä haavoittuvat ohjelmistot valmistajan ohjeiden mukaisesti. Helpoin tapa päivittää Microsoft-järjestelmät on käyttää Microsoftin automaattista päivitystyökalua. LISÄTIETOA:
PÄIVITYSHISTORIA:8.12.2009, kello 20.27: Julkaistu
|
|
