CERT-FI haavoittuvuustiedote 089/2010

8.6.2010

Microsoftin päivitykset korjaavat Officen ja Windowsin haavoittuvuuksia

Kohde:	- palvelimet ja palvelinsovellukset - työasemat ja loppukäyttäjäsovellukset	Lisätietoja
Hyökkäystapa:	- paikallisesti - ilman kirjautumista - etäkäyttö	Lisätietoja
Hyväksikäyttö:	- komentojen mielivaltainen suorittaminen - käyttövaltuuksien laajentaminen - tietojen muokkaaminen - luottamuksellisen tiedon hankkiminen - palvelunestohyökkäys - suojauksen ohittaminen	Lisätietoja
Ratkaisu:	- korjaava ohjelmistopäivitys	Lisätietoja

Microsoft on julkaissut kymmenen ohjelmistopäivitystä, joissa korjataan yhteensä 34 haavoittuvuutta Windows-, Internet Explorer, .NET Framework, Office-, SharePoint ja Exchange -ohjelmistoista.

MS10-032: Windows kernel mode -ajurien haavoittuvuus voi mahdollistaa käyttöoikeuksien korottamisen käsiteltäessä haitalliseksi muokattua TrueType-fonttia käyttävää sisältöä. Microsoft on luokitellut päivityksen tärkeäksi.

MS10-033: Microsoft Windowsin Media Decompression -komponentin haavoittuvuudet voivat mahdollistaa koodin suorittamisen kohteena olevassa järjestelmässä, jos käyttäjä avaa haitallisen mediatiedoston tai vastaanottaa haitallista mediavirtaa. Microsoft on luokitellut päivityksen kriittiseksi.

MS10-034: ActiveX killbittien päivitys korjaa kaksi haavoittuvuutta, jotka voivat mahdollistaa koodin suorittamisen kohteena olevassa järjestelmässä, jos käyttäjä avaa Internet Explorer -selaimella haitallisen www-sivun, joka käynnistää haavoittuvan ActiveX-kontrollin. Microsoft on luokitellut päivityksen kriittiseksi.

MS10-035: Internet Explorer -selaimen päivitys korjaa kuusi haavoittuvuutta, jotka voivat mahdollistaa koodin suorittamisen kohteena olevassa järjestelmässä, jos käyttäjä avaa haitallisen www-sivun. Microsoft on luokitellut päivityksen kriittiseksi.

MS10-036: Microsoft Officen COM validation -toiminnallisuuden haavoittuvuus voi mahdollistaa koodin suorittamisen kohteena olevassa järjestelmässä, jos käyttäjä avaa haitallisen Excel-, Word-, Visio-, Publisher- tai PowerPoint-tiedoston haavoittuvalla Office-ohjelmistolla. Microsoft on luokitellut päivityksen tärkeäksi.

MS10-037: OpenType Compact Font Format (CFF) -ajurin haavoittuvuus voi mahdollistaa käyttöoikeuksien korottamisen käsiteltäessä haitalliseksi muokattua CFF-fonttia käyttävää sisältöä. Microsoft on luokitellut päivityksen tärkeäksi.

MS10-038: Microsoft Excel -ohjelmiston päivitys korjaa neljätoista eri haavoittuvuutta, joista vakavimmat voivat mahdollistaa koodin suorittamisen käyttäjän oikeuksin kohteena olevassa järjestelmässä, jos käyttäjä avaa haitallisen Excel-tiedoston. Microsoft on luokitellut päivityksen tärkeäksi.

MS10-039: Microsoft SharePoint -ohjelmiston päivitys korjaa kolme eri haavoittuvuutta, joista vakavin voi mahdollistaa käyttöoikeuksien korottamisen, jos Sharepoint-palvelimen käyttäjä seuraa haitalliseksi muotoiltua linkkiä. Microsoft on luokitellut päivityksen tärkeäksi.

MS10-040: Internet Information Services (IIS) -palvelimen haavoittuvuus voi mahdollistaa koodin suorittamisen kohteena olevassa järjestelmässä. Microsoft on luokitellut päivityksen tärkeäksi.

MS10-041: Microsoft .NET frameworkin haavoittuvuus voi mahdollistaa sähköisesti allekirjoitetun XML-sisällön huomaamattoman muokkaamisen, jos sisältöä ei siirretä SSL-yhteyden kautta. Microsoft on luokitellut päivityksen tärkeäksi.

HAAVOITTUVAT OHJELMISTOT:

• Microsoft Windows, kaikki tuetut versiot
• Microsoft Office XP, 2003 ja 2007
• Microsoft Office 2004 for Mac ja Office 2008 for Mac
• Microsoft Office InfoPath 2003 ja 2007
• Microsoft Office SharePoint Server 2007
• Microsoft Windows SharePoint Services 3.0
• Microsoft Internet Information Services 6.0, 7.0 ja 7.5
• Internet Explorerin lisäosat Microsoft Data Analyzer ActiveX Control ja Microsoft Internet Explorer 8 Developer Tools

Tarkemmat tiedot haavoittuvista ohjelmistoista saa valmistajan julkaisemista tiedotteista.

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Päivitä haavoittuvat ohjelmistot korjattuihin versioihin valmistajan ohjeiden mukaisesti. Helpoin tapa päivittää Microsoft-järjestelmät on käyttää Microsoftin automaattista päivitystyökalua.

LISÄTIETOA:

• http://blogs.technet.com/b/msrc/archive/2010/06/08/june-2010-security-bulletin-release.aspx
  
• http://www.microsoft.com/technet/security/bulletin/ms10-jun.mspx
  
• http://www.microsoft.com/technet/security/current.aspx
• http://blogs.technet.com/srd/
• CVE-2010-0485, CVE-2010-0817, CVE-2010-0822, CVE-2010-0824
• CVE-2010-1245, CVE-2010-1246, CVE-2010-1247, CVE-2010-1248
• CVE-2010-1249, CVE-2010-1250, CVE-2010-1253, CVE-2010-1254
• CVE-2010-1259, CVE-2010-1262, CVE-2010-1263, CVE-2010-1879
• CVE-2010-0255, CVE-2010-0484, CVE-2010-0819, CVE-2010-0821
• CVE-2010-0823, CVE-2010-1251, CVE-2010-1252, CVE-2010-1255
• CVE-2010-1256, CVE-2010-1880, CVE-2009-0217, CVE-2010-1257
• CVE-2010-1264
  

PÄIVITYSHISTORIA:

8.6.2010, kello 20.17: Julkaistu

Sivua päivitetty 08.06.2010

Tulostusversio