CERT-FI haavoittuvuustiedote 067/2010

13.4.2010

Microsoftin huhtikuun päivitykset korjaavat 25 haavoittuvuutta


Kohde:	- palvelimet ja palvelinsovellukset - työasemat ja loppukäyttäjäsovellukset	Lisätietoja
Hyökkäystapa:	- paikallisesti - etäkäyttö	Lisätietoja
Hyväksikäyttö:	- komentojen mielivaltainen suorittaminen - käyttövaltuuksien laajentaminen - luottamuksellisen tiedon hankkiminen - palvelunestohyökkäys	Lisätietoja
Ratkaisu:	- korjaava ohjelmistopäivitys - ongelman rajoittaminen	Lisätietoja

Microsoft on julkaissut 11 tiedotetta, joiden 25 ohjelmistopäivitystä korjaavat haavoittuvuuksia Microsoft Windows-käyttöjärjestelmästä ja Microsoft Office -ohjelmistoista. Tiedotteista viisi on luokiteltu Microsoftin mukaan kriittisiksi.

Ensimmäinen turvallisuuspäivitys (MS10-019) korjaa kaksi haavoittuvuutta Windowsissa joiden avulla hyökkääjä voi saada kohdejärjestelmän hallintaansa ja suorittaa siellä mielivaltaisia komentoja pääkäyttäjän oikeuksin. Haavoittuvuutta voidaan hyväksikäyttää sisällyttämällä tietyillä keinoilla haitallista ohjelmakoodia allekirjoitettuun cab-tiedostoon tai suoritettavaan tiedostoon ilman että tiedoston allekirjoitus muuttuu, ja houkuttelemalla järjestelmän käyttäjä avaamaan tiedosto. Päivitys korjaa haavoittuvuudet, joiden CVE-numerot ovat CVE-2010-0486 ja CVE-2010-0487.

Toinen turvallisuuspäivitys (MS10-020) korjaa haavoittuvuuden Windowsin SMB-toteutuksessa, jonka avulla hyökkääjän on mahdollista suorittaa omaa ohjelmakoodiaan kohdejärjestelmässä. Haavoittuvuutta voidaan hyväksikäyttää houkuttelemalla hyökkäyksen kohde avaamaan SMB-yhteys hyökkääjän muokatulle SMB-palvelimelle. Päivitys korjaa haavoittuvuudet, joiden CVE-numerot ovat CVE-2009-3676, CVE-2010-0269, CVE-2010-0270, CVE-2010-0476 ja CVE-2010-0477. CERT-FI on julkaissut haavoittuvuudesta haavoittuvuustiedotteen 114/2009.

Kolmas turvallisuuspäivitys (MS10-021) korjaa useita haavoittuvuuksia Windowsin ytimessä, joiden avulla kirjautunut käyttäjä voi saada korkeammat käyttöoikeudet järjestelmään tai aiheuttaa järjestelmässä palvelunestotilan. Päivitys korjaa haavoittuvuudet, joiden CVE-numerot ovat CVE-2010-0234, CVE-2010-0235, CVE-2010-0236, CVE-2010-0237, CVE-2010-0238, CVE-2010-0481, CVE-2010-0482 ja CVE-2010-0810.

Neljäs turvallisuuspäivitys (MS10-022) korjaa haavoittuvuuden Windowsin VBScrip-komentokielessä, jonka avulla hyökkääjän on mahdollista suorittaa omaa ohjelmakoodiaan kohdejärjestelmässä. Haavoittuvuutta voidaan hyväksikäyttää houkuttelemalla käyttäjä tietyllä tavalla muokatulle, kysely-ikkunan avaavalle www-sivulle, ja pyytämällä käyttäjää painamaan ohjetoiminnon avaavaa F1-näppäintä. Haavoittuvuus ei Microsoftin mukaan koske käyttöjärjestelmiä Windows Vista, Windows Server 2008, Windows Server 2008 R2 ja Windows 7. Päivitys korjaa haavoittuvuuden, jonka CVE-numero on CVE-2010-0483. CERT-FI on julkaissut haavoittuvuudesta haavoittuvuustiedotteen 41/2010.

Viides turvallisuuspäivitys (MS10-023) korjaa puskurin ylivuotohaavoittuvuuden Microsoft Publisher -julkaisutyökalussa, jonka avulla hyökkääjän on mahdollista suorittaa omaa ohjelmakoodiaan kohdejärjestelmässä kirjautuneen käyttäjän oikeustasolla. Hyökkäyksen onnistunut hyväksikäyttö edellyttää että käyttäjä avaa hyökkääjän tietyllä tavalla muotoillun Publisher-tiedoston. Päivitys korjaa haavoittuvuuden, jonka CVE-numero on CVE-2010-0479.

Kuudes turvallisuuspäivitys (MS10-024) korjaa kaksi haavoittuvuutta Microsoft Exchangessa ja Windows SMTP-sähköpostipalvelussa. Ensimmäisen haavoittuvuuden avulla hyökkääjä voi aiheuttaa palvelunestotilan lähettämällä tietyllä tavalla muotoillun nimipalvelukyselyn vastauksen kohdejärjestelmälle. Hyökkääjä voi toisen haavoittuvuuden avulla lukea paivelimelle tallennettujen sähköpostien katkelmia tietyllä tavalla muotoiltujen komentojen avulla. SMTP-palvelu ei kuulu Windows Server 2003-käyttöjärjestelmäversioiden eikä Windows XP Professional -käyttöjärjestelmän 64-bittisen version oletusasennukseen. Päivitys korjaa kaksi haavoittuvuutta, joiden CVE-numerot ovat CVE-2010-0024 ja CVE-2010-0025.

Seitsemäs turvallisuuspäivitys (MS10-025) korjaa ylivuotohaavoittuvuuden Windows Server 2000:aan asennetussa Windows Media Services-palvelussa. Haavoittuvuuden avulla hyökkääjän on mahdollista suorittaa omaa ohjelmakoodiaan kohdejärjestelmässä. Windows Media Services ei ole asennettuna Windows Server 2000:ssa oletuksena. Päivitys korjaa haavoittuvuuden, jonka CVE-numero on CVE-2010-0478.

Kahdeksas turvallisuuspäivitys (MS10-026) korjaa ylivuotohaavoittuvuuden Microsoftin MPEG Layer-3 äänikoodekeissa. Haavoittuvuuden avulla hyökkääjän on mahdollista ja suorittaa omaa ohjelmakoodiaan kirjautuneen käyttäjän käyttöoikeustasolla. Päivitys korjaa haavoittuvuuden jonka CVE-numero on CVE-2010-0480.

Yhdeksäs turvallisuuspäivitys (MS10-027) korjaa haavoittuvuuden Windows Media Player 9 -mediasoittimen ActiveX-kontrollissa. Haavoittuvuuden avulla hyökkääjän on mahdollista suorittaa omaa ohjelmakoodiaan kohdejärjestelmässä kirjautuneen käyttäjän käyttöoikeuksin. Haavoittuvuutta voidaan hyväksikäyttää houkuttelemalla käyttäjä tietyllä tavalla muokatun mediatiedoston sisältävälle www-sivulle. Päivitys korjaa haavoittuvuuden, jonka CVE-numero on CVE-2010-0268.

Kymmenes turvallisuuspäivitys (MS10-028) korjaa haavoittuvuuden Microsoft Office Visio -kuvitustyökalussa. Haavoittuvuuden avulla hyökkääjän on mahdollista suorittaa omaa ohjelmakoodiaan kohdejärjestelmässä. Haavoittuvuutta voidaan hyväksikäyttää houkuttelemalla käyttäjä avaamaan tietyllä tavalla muotoiltu Visio-tiedosto. Päivitys korjaa kaksi haavoittuvuutta, joiden CVE-numerot ovat CVE-2010-0254 ja CVE-2010-0256.

Yhdestoista turvallisuuspäivitys (MS10-029) korjaa haavoittuvuuden Windowsin ISATAP-komponentissa. Haavoittuvuuden avulla hyökkääjän on mahdollista väärentää IPv4-osoite ja ohittaa sen avulla turvallisuusominaisuuksia jotka perustuvat IPv4-osoitteiden suodatukseen. Päivitys korjaa haavoittuvuuden, jonka CVE-numero on CVE-2010-0812.

HAAVOITTUVAT OHJELMISTOT:

Microsoft Windows, kaikki tuetut versiot.
Microsoft Office Publisher 2002 Service Pack 3
Microsoft Office Publisher 2003 Service Pack 3
Microsoft Office Publisher 2007 Service Pack 1
Microsoft Office Publisher 2007 Service Pack 2
Microsoft Office Visio 2002 Service Pack 2
Microsoft Office Visio 2003 Service Pack 3
Microsoft Office Visio 2007 Service Pack 1
Microsoft Office Visio 2007 Service Pack 2
Microsoft Exchange Server 2000 Service Pack 3
Microsoft Exchange Server 2003 Service Pack 2
Microsoft Exchange Server 2007 Service Pack 1 for x64-based Systems
Microsoft Exchange Server 2007 Service Pack 2 for x64-based Systems
Microsoft Exchange Server 2010 for x64-based Systems

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Päivitä haavoittuvat ohjelmistot valmistajan ohjeen mukaisesti. Helpoin tapa päivittää Microsoft-järjestelmät on käyttää Microsoftin automaattista päivitystyökalua.

Päivityksiin MS10-020 ja MS10-029 liittyviä haavoittuvuuksia voi rajoittaa suodattamalla kohdekoneen liikennettä palomuurisäännöin.

Päivitysten MS10-022 ja MS10-027 haavoittuvuuksia voi rajoittaa estämällä selaimen Active Scripting -toiminnallisuuden tai asettamalla selaimen turvatason korkeaksi Internet- ja Local Intranet -vyöhykkeissä saattaa myös rajoittaa haavoittuvuutta.Tarkemmat ohjeet Internet Explorer-rajoituskeinojen käyttöön löytyvät Microsoftin tiedotteesta.

Päivityksessä MS10-025 korjattua haavoittuvuutta voi rajoittaa poistamalla haavoittuvan palvelun pois käytöstä.

Päivitysten MS10-026 ja MS10-027 haavoittuvuuksia voi rajoittaa estämällä pääsyn haavoittuvaan komponenttiin.

Päivityksen MS10-029 haavoittuvuutta voi rajoittaa poistamalla IPv6 käytöstä.

Katso tarkemmat tiedot haavoittuvuksien rajoituskeinoista Microsoftin tiedotteista.

LISÄTIETOA:

PÄIVITYSHISTORIA:

13.4.2010, kello 21.50: Julkaistu

Sivua päivitetty 13.04.2010

Tulostusversio