CERT-FI haavoittuvuustiedote 001/2010

12.1.2010

Microsoftin tammikuun päivitykset

Kohde:	- työasemat ja loppukäyttäjäsovellukset	Lisätietoja
Hyökkäystapa:	- etäkäyttö	Lisätietoja
Hyväksikäyttö:	- komentojen mielivaltainen suorittaminen	Lisätietoja
Ratkaisu:	- korjaava ohjelmistopäivitys	Lisätietoja

Microsoft on julkaissut ohjelmistopäivityksen, joka korjaa haavoittuvuuden Windowsin Embedded OpenType (EOT) kirjasinkäsittelijässä. EOT-kirjasimia voidaan sisällyttää Office-dokumentteihin ja sivustoihin. Haavoittuvuuksia voi hyödyntää tietyllä tavalla muotoillun kirjasintiedoston avulla, ja ne voivat mahdollistaa hyökkääjän oman ohjelmakoodin suorittamisen kohdejärjestelmässä käyttäjän oikeuksin. Haavoittuvuus on Microsoftin mukaan luokiteltu kriittiseksi Windows 2000 -järjestelmissä ja vaikutukseltaan matalaksi muissa Windows-järjestelmissä. Päivitys täydentää aikaisempaa MS09-029 -päivitystä.

Microsoft julkaisi lisäksi tänään tietoturvatiedotteen, jossa Windows XP-järjestelmän käyttäjiä kehotetaan joko päivittämään järjestelmän mukana asennettu Adobe Flash Player-ohjelmisto uusimpaan versioonsa, tai poistamaan se käytöstä.

HAAVOITTUVAT OHJELMISTOT:

• Kaikki tuetut Windows-versiot

Lue tarkemmat tiedot haavoittuvista versioista Microsoftin haavoittuvuustiedotteesta.

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Päivitä haavoittuva ohjelmisto valmistajan ohjeen mukaisesti.

Haavoittuvuutta voidaan rajoittaa poistamalla haavoittuva kirjasto käytöstä, tai estämällä sen käyttö Internet Explorer -selaimessa. Tarkempia tietoja rajoituskeinosta on saatavilla Microsoftin haavoittuvuustiedotteessa.

LISÄTIETOA:

• http://www.microsoft.com/technet/security/Bulletin/MS10-001.mspx
• http://www.microsoft.com/technet/security/advisory/979267.mspx
• CVE-2010-0018

PÄIVITYSHISTORIA:

12.1.2010, kello 23.00: Julkaistu

Sivua päivitetty 15.01.2010

Tulostusversio