CERT-FI haavoittuvuustiedote 041/2010

Internet Explorerissa haavoittuvuus .HLP-tiedostojen käsittelyssä

Kohde:	- työasemat ja loppukäyttäjäsovellukset	Lisätietoja
Hyökkäystapa:	- ilman kirjautumista - etäkäyttö	Lisätietoja
Hyväksikäyttö:	- komentojen mielivaltainen suorittaminen	Lisätietoja
Ratkaisu:	- korjaava ohjelmistopäivitys - ongelman rajoittaminen	Lisätietoja

Microsoft tutkii haavoittuvuutta, joka liittyy Windowsin ohjetiedostojen (.HLP) käsittelyyn, ja jota voidaan käyttää hyväksi VBScript-ohjelmointikielen avulla Internet Explorer-selaimessa.

Haavoittuvuutta voi käyttää hyväksi siten, että käyttäjä houkutellaan www-sivulle, johon on upotettu hyökkäystarkoituksessa luotua VBScript-koodia. Koodi avaa valintaikkunan, jossa käyttäjää kehotetaan painamaan F1-näppäintä. Näppäimen painaminen lataa koneelle .HLP-tiedoston, jonka kautta hyökkääjä pääsee suorittamaan omaa ohjelmakoodia.

Haavoittuvuutta voi tämänhetkisen tiedon mukaan käyttää hyväksi vain Windows XP:ssä ja Windows Server 2003 –palvelimissa, jotka on määritetty siten, että oletuksena käytössä oleva Enhanced Security Configuration –tila Internet Explorerissa ei ole käytössä. Uudemmat Windows-versiot eivät ole haavoittuvia. Tiedossa ei ole, että haavoittuvuutta olisi käytetty hyväksi.

Microsoft on julkaissut haavoittuvuudesta tietoturvatiedotteen.

HAAVOITTUVAT OHJELMISTOT:

Internet Explorer ja VBScript seuraavissa käyttöjärjestelmissä:

• Microsoft Windows 2000 Service Pack 4
• Windows XP Service Pack 2, Windows XP Service Pack 3 ja Windows XP Professional x64 Edition Service Pack 2
• Windows Server 2003 Service Pack 2, Windows Server 2003 with SP2 for Itanium-based Systems ja Windows Server 2003 x64 Edition Service Pack 2

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Microsoft julkaisi haavoittuvuuden korjaavan päivityksen huhtikuun tiedotteissaan. Korjaukset jaetaan Windowsin automaattisten ohjelmistopäivitysten mukana. (Päivitetty 13.4.2010)

Haavoittuvuuden hyväksikäyttöä voi torjua käyttämällä Internet Explorerin Enhanced Security Configuration -tilaa, joka on myös oletusasetus.

Haavoittuvuuden vaikutukset voi estää olemalla käyttämättä Windowsin Ohje-toimintoa tai poistamalla toiminnon tilapäisesti käytöstä antamalla Järjestelmänvalvojan oikeuksin seuraavan komennon:

echo Y | cacls "%windir%\winhlp32.exe" /E /P everyone:N

Muutoksen voi perua seuraavasti:

echo Y | cacls "%windir%\winhlp32.exe" /E /R everyone

Haavoittuvuuden hyväksikäyttöä voi torjua myös tiukentamalla selaimen turvallisuusasetuksia Microsoftin ohjeiden mukaisesti.

LISÄTIETOA:

• http://www.cert.fi/haavoittuvuudet/2010/haavoittuvuus-2010-067.html
  
• http://www.microsoft.com/technet/security/bulletin/MS10-022.mspx
  
• http://www.microsoft.com/technet/security/advisory/981169.mspx
• http://blogs.technet.com/msrc/archive/2010/02/28/investigating-a-new-win32hlp-and-internet-explorer-issue.aspx
• http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=b7d03027-9791-443b-8bbe-0542b3aa4bfe
• CVE-2010-0483
• http://blogs.technet.com/tietoturvan_weblogi/archive/2010/03/02/security-advisory-981169-haavoittuvuus-vbscriptiss.aspx
  

PÄIVITYSHISTORIA:

1.3.2010, kello 12.40: Julkaistu
2.3.2010, kello 9.50: Lisätty CVE-numero ja linkki Microsoftin tiedotteeseen, tarkennettu haavoittuvia järjestelmiä ja lisätty rajoitusmenetelmiä
2.3.2010, kello 10.30: Lisätty linkki suomenkieliseen blogiin
13.4.2010, kello 22.00: Lisätty tieto päivityksestä

Sivua päivitetty 13.04.2010

Tulostusversio