CERT-FI haavoittuvuustiedote 004/2010

15.1.2010

Haavoittuvuus Internet Explorer -selaimessa

Kohde:	- työasemat ja loppukäyttäjäsovellukset	Lisätietoja
Hyökkäystapa:	- etäkäyttö	Lisätietoja
Hyväksikäyttö:	- komentojen mielivaltainen suorittaminen	Lisätietoja
Ratkaisu:	- korjaava ohjelmistopäivitys - ongelman rajoittaminen	Lisätietoja

Internet Explorerista on löydetty HTML-dokumenttimallin objektien käsittelyyn liittyvä haavoittuvuus. Tietyissä tilanteissa tuhottuihin objekteihin viittaaminen voi mahdollistaa ohjelmakoodin suorituksen.

Haavoittuvuutta hyväksikäyttämällä hyökkääjän on mahdollista suorittaa kohdejärjestelmässä omia komentojaan järjestelmään kirjautuneen käyttäjän käyttöoikeustasolla tai aiheuttaa siinä palvelunestotila. Haavoittuvuutta voi hyväksikäyttää houkuttelemalla käyttäjä tietyllä tavalla muotoillulle www-sivulle.

Haavoittuvuus on Microsoftin mukaan luokiteltu kriittiseksi. Microsoftin mukaan haavoittuvuutta käytetään hyväksi hyökkäyksissä Internet Explorer -selaimen version 6 käyttäjiä kohtaan.

Päivitys 19.1.2010

Haavoittuvuus vaikuttaa myös muihin Windows-käyttöjärjestelmän osiin ja ohjelmistoihin, jotka käyttävät haavoittuvaa HTML-sisällön käsittelyyn liittyvää kirjastoa mshtml.dll.

Päivitys 20.1.2010

Myös Microsoft Access, Word, Excel ja PowerPoint ovat haavoittuvia, jos niillä avataan hyökkäystarkoituksessa tehty ActiveX-kontrollin sisältävä tiedosto.

Päivitys 21.1.2010

Microsoftin tiedotteessa MS10-002 on tarkempia tietoja haavoittuvuuksista. Päivityksessä korjataan kaikkiaan kahdeksan eri haavoittuvuutta.

HAAVOITTUVAT OHJELMISTOT:

• Microsoft Internet Explorer 5.x
• Microsoft Internet Explorer 6.x
• Microsoft Internet Explorer 7.x
• Microsoft Internet Explorer 8.x

• Microsoft Windows 2000 Service Pack 4
• Microsoft Windows XP Service Pack 3
• Microsoft Windows XP Service Pack 2
• Microsoft Windows XP Professional x64 Edition Service Pack 2
• Microsoft Windows Vista x64 Edition Service Pack 2
• Microsoft Windows Vista x64 Edition Service Pack 1
• Microsoft Windows Vista x64 Edition
• Microsoft Windows Vista Service Pack 2
• Microsoft Windows Vista Service Pack 1
• Microsoft Windows Vista
• Microsoft Windows Server 2008 R2 (x64)
• Microsoft Windows Server 2008 R2 (Itanium)
• Microsoft Windows Server 2008 (x64) Service Pack 2
• Microsoft Windows Server 2008 (x64)
• Microsoft Windows Server 2008 (Itanium) Service Pack 2
• Microsoft Windows Server 2008 (Itanium)
• Microsoft Windows Server 2008 (32-bit) Service Pack 2
• Microsoft Windows Server 2008 (32-bit)
• Microsoft Windows Server 2003 x64 Edition Service Pack 2Microsoft Windows Server 2003 SP2 (Itanium)
• Microsoft Windows Server 2003 Service Pack 2
• Microsoft Windows 7 (x64)
• Microsoft Windows 7 (32-bit)

Lisäksi HTML-sisältöä käsitteleviä sovelluksia:

• Microsoft Outlook (Outlook 2003 ja aikaisemmat)
• Microsoft Outlook Express
• Microsoft Windows Mail
• Microsoft Windows Live Mail
• Microsoft Ohje (Help)
• Microsoft Sivupalkki (Sidebar)
• Microsoft Access
• Microsoft Word
• Microsoft Excel
• Microsoft PowerPoint

Tarkempi luettelo haavoittuvista sovelluksista on Microsoftin tiedotteessa MS10-002.

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Microsoft on julkaissut haavoittuvuudet korjaavan ohjelmistopäivityksen 21.1.2010. Korjaukset jaetaan Windowsin automaattisten ohjelmistopäivitysten mukana. (Päivitetty 21.1.2010)

Haavoittuvuuden vaikutuksia voi pyrkiä rajoittamaan välttämällä tuntemattomien sivustojen käyttämistä. Active Scripting -toiminnallisuuden estäminen ja turvatason asettaminen korkeaksi Internet- ja Local Intranet -vyöhykkeissä saattaa myös rajoittaa haavoittuvuutta. Haavoittuvuuden hyväksikäyttöä voi vaikeuttaa asettamalla DEP-suorituksenestotoiminnon (Data Execution Prevention) päälle Internet Explorer -selaimeen. Tarkemmat ohjeet rajoituskeinojen käyttöön löytyvät Microsoftin tiedotteesta.

Päivitys 19.1.2010: Microsoft on julkaissut sivuillaan lisätietoja haavoittuvuudesta. Microsoft suosittelee edelleen päivittämään selaimen versioon 8 ja käyttämään DEP-toimintoa. Lisätietolinkit lisätty listaan.

Toinen päivitys 19.1.2010: Muiden haavoittuvien ohjelmistojen osalta voi sen vaikutuksia pyrkiä vähentämään edellä mainitun lisäksi seuraavilla toimenpiteillä:

Microsoft Outlook Express, Windows Mail, Microsoft Windows Live Mail, Microsoft Outlook:
Tulee käyttää suojaustasoa Rajoitetut sivustot (Restricted zone) luettaessa sähköpostia, jolloin Active Scripting -toiminnallisuus on pois päältä. Lisäksi tulee estää HTML-muotoisten viestien näyttäminen.

Outlook 2003-ohjelmiston asetukset voidaan asettaa keskitetysti Group Policyn avulla.

Microsoft Ohje -järjestelmä (Help):
Tuntemattomista lähteistä peräisin olevia .chm-tiedostoja ei tule avata.

Microsoft Sivupalkki (Sidebar):
Sidebarin kautta haavoittuvuuden hyväksikäyttäminen on vaikeampaa. Jos haluaa välttää riskin kokonaan, tulee olla käyttämättä Sivupalkkia kunnes haavoittuvuus on korjattu.

Päivitys 20.1.2010:

Microsoft Office:
ActiveX-kontrollien tuki tulee poistaa käytöstä.

LISÄTIETOA:

• http://www.microsoft.com/technet/security/bulletin/ms10-002.mspx
• http://www.microsoft.com/technet/security/advisory/979352.mspx
• http://blogs.technet.com/msrc/archive/2010/01/20/advance-notification-for-out-of-band-bulletin-release.aspx
• http://blogs.technet.com/srd/archive/2010/01/20/reports-of-dep-being-bypassed.aspx
• http://blogs.technet.com/tietoturvan_weblogi/archive/2010/01/20/korjaus-ie-haavoittuvuuteen-tulee-normaalin-aikataulun-ulkopuolella.aspx
• http://blogs.technet.com/msrc/archive/2010/01/19/security-advisory-979352-going-out-of-band.aspx
• http://www.buerger-cert.de/techwarnung_archiv.aspx?param=Zxo7YT%2f0plfLqIWJ5YT%2fUA%253d%253dhttp://www.microsoft.com/security/updates/ie.aspx
• http://blogs.technet.com/tietoturvan_weblogi/archive/2010/01/19/lis-tietoja-ie-haavoittuvuudesta-ja-depist.aspx
• http://blogs.technet.com/msrc/archive/2010/01/18/advisory-979352-update-for-monday-january-18.aspx
• http://blogs.technet.com/srd/archive/2010/01/18/additional-information-about-dep-and-the-internet-explorer-0day-vulnerability.aspx
• http://blogs.technet.com/msrc/archive/2010/01/14/security-advisory-979352.aspx
• http://www.kb.cert.org/vuls/id/492515
• CVE-2010-4074, CVE-2009-0027
• CVE-2010-0244, CVE-2010-0245, CVE-2010-0246, CVE-2010-0247,
• CVE-2010-0248, CVE-2010-0249
  

PÄIVITYSHISTORIA:

15.1.2010, kello 9.57: Julkaistu
19.1.2010, kello 10.50: Lisätty lisätietolinkkejä
19.1.2010, kello 23.00: Lisätty tieto muista haavoittuvista ohjelmistoista ja Microsoftin tulevasta päivityksestä
20.1.2010, kello 21.50: Lisätty tieto päivitysajasta
20.1.2010, kello 22.20: Lisätty tieto Office-sovelluksista
21.1.2010, kello 21.00: Lisätty tietoja haavoittuvista sovelluksista, CVE-numerot ja tieto saatavilla olevasta päivityksestä

Sivua päivitetty 21.01.2010

Tulostusversio