CERT-FI haavoittuvuustiedote 047/2010

9.3.2010

Vanhemmissa Internet Explorer -selaimissa haavoittuvuus


Kohde:	- työasemat ja loppukäyttäjäsovellukset	Lisätietoja
Hyökkäystapa:	- ilman kirjautumista	Lisätietoja
Hyväksikäyttö:	- komentojen mielivaltainen suorittaminen	Lisätietoja
Ratkaisu:	- korjaava ohjelmistopäivitys	Lisätietoja

Microsoft on korjannut haavoittuvuuden, joka liittyy Internet Explorer -selaimen tapaan käsitellä käytöstä poistettuja osoittimia iepeers.dll-kirjastossa. Tietyissä tilanteissa haavoittuvuutta voi olla mahdollista käyttää hyväksi niin, että hyökkääjä pääsee suorittamaan omaa ohjelmakoodia kohdejärjestelmässä. Haavoittuvuutta voi käyttää hyväksi siten, että käyttäjä tavalla tai toisella houkutellaan www-sivulle jossa on tietyllä tavalla muokattua sisältöä. Haavoittuvuus koskee Internet Explorer -selaimen versioita 6 ja 7.

Microsoftin mukaan haavoittuvuutta käytetään hyväksi hyökkäyksissä.

HAAVOITTUVAT OHJELMISTOT:

Internet Explorer 6 ja 7

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Päivitetty 29.3.2010: Microsoft ilmoittaa, että korjaus julkaistaan normaalin päivityssyklin ulkopuolella. Ilmoitettu päivitysajankohta on 30.3.2010.

Päivitetty 30.3.2010: Microsoft on julkaissut korjauksen haavoittuvuudelle. Samalla korjattiin myös yhdeksän muuta haavoittuvuutta. Päivitä haavoittuvat ohjelmistot valmistajan ohjeiden mukaisesti.

LISÄTIETOA:

PÄIVITYSHISTORIA:

9.3.2010, kello 19.57: Julkaistu
10.3.2010, kello 8.57: Lisätty haavoittuvan kirjaston nimi sekä linkki blogikirjoitukseen
29.3.2010, kello 20.15: Päivitetty tieto haavoittuvuuden korjausaikataulusta
30.3.2010, kello 19.53: Lisätty tieto korjauksen saatavuudesta

Kommentoi

Sivua päivitetty 30.03.2010

Tulostusversio