|
www.viestintävirasto.fi |
| Etusivu |  |
Varoitukset | |
Tietoturva nyt! | |
Haavoittuvuudet | |
Ohjeet | |
Katsaukset | |
Palvelut | |
Esitykset | |
CERT-FIPL 313 ViestintävirastoItämerenkatu 3 A |
CERT-FI haavoittuvuustiedote 066/2012
10.4.2012 Microsoftilta huhtikuussa 6 päivitystä 9 haavoittuvuuteen
Microsoft on julkaissut 6 tietoturvatiedotetta ohjelmistopäivityksistä, joissa on korjattu yhteensä 9 haavoittuvuutta Windows-käyttöjärjestelmässä ja muissa ohjelmistoissa. Microsoft on luokitellut neljä tiedotteista kriittisiksi (critical) ja loput tärkeiksi (important). MS12-023 (CVE-2012-0169 CVE-2012-0170 CVE-2012-0171 CVE-2012-0172) Päivityksessä korjataan viisi Internet Explorer -selaimen haavoittuvuutta, jotka voivat mahdollistaa koodin suorittamisen käyttäjän oikeuksin, jos käyttäjä vierailee tietyllä tavalla muokatulla sivustolla tai yrittää tulostaa tietyllä tavalla muokatun sivun. Microsoft on luokitellut päivityksen kriittiseksi (critical). MS12-024 (CVE-2012-0151) Päivityksessä korjataan kaksi Windows-käyttöjärjestelmän haavoittuvuus, joka voi mahdollistaa koodin suorittamisenkäyttäjän oikeuksin, jos käyttäjä ajaa paikallisesti tietyllä tavalla muokatun sovelluksen. Haavoittuvuus liittyy virheeseen sähköisten allekirjoitetusten tarkastamisessa. Allekirjoitettuun sovellukseen voidaan lisätä ohjelmakoodia siten, että allekirjoituksen tarkistusrutiinin mukaan sovellus ei ole muuttunut. Microsoft on luokitellut päivityksen kriittiseksi (critical). MS12-025 (CVE-2012-0163) Päivityksessä korjataan Microsoft .NET Frameworkin haavoittuvuus, joka voi mahdollistaa koodin suorittamisen kohdejärjestelmässä käyttäjän oikeuksin. Microsoft on luokitellut päivityksen kriittiseksi (critical). MS12-026 (CVE-2012-0147) Päivitys korjaa Microsoft Forefront Unified Access Gateway -yhdyskäytäväohjelmistosta haavoittuvuuden, jonka avulla hyökkääjä voi erehdyttää käyttäjän Forefront-palvelimelta haluamalleen palvelimelle. Hyökkäjä voi tällä tavoin muun muassa saada tietoonsa käyttäjän kirjautumistietoja. Microsoft on luokitellut päivityksen tärkeäksi (important).MS12-027 (CVE-2012-0158) Päivitys korjaa haavoittuvuuden Windows Common Controls -komponentista, joka kuuluu muun muassa Microsoft SQL-palvelimen oletusasennukseen. Haavoittuvuus voi mahdollistaa koodin suorittamisen käyttäjän oikeuksin, jos käyttäjä vierailee tietyllä tavalla muokatulla sivustolla. Microsoft on luokitellut päivityksen tärkeäksi (important). MS12-028 (CVE-2012-0177) Päivityksessä korjataan vMicrosoft Office- ja Works-ohjelmistojen haavoittuvuus, joka voi mahdollistaa koodin suorittamisen käyttäjän oikeuksin kohdejärjestelmässä, jos käyttäjä avaa tietyllä tavalla muokatun Works-tiedoston (.WPS). Microsoft on luokitellut päivityksen tärkeäksi (important). HAAVOITTUVAT OHJELMISTOT:
RATKAISU- JA RAJOITUSMAHDOLLISUUDET:Asenna korjauspäivitykset. Huomioi, että päivitysten asentamisen jälkeen järjestelmän voi joutua käynnistämään uudelleen. Helpoin tapa päivittää on käyttää automaattista päivitystyökalua. Päivityksen MS12-023 haavoittuvuuksien vaikutuksia voi lisäksi pyrkiä rajoittamaan välttämällä tuntemattomien sivustojen käyttämistä. Active Scripting -toiminnallisuuden estäminen ja turvatason asettaminen korkeaksi Internet- ja Local Intranet -vyöhykkeissä saattaa myös rajoittaa haavoittuvuuksia. Päivityksen MS12-025 haavoittuvuutta voi rajoittaa poistamalla XAML-sovellukset käytöstä Internet Explorer -selaimesta. Päivitysten MS12-023 ja MS12-025 haavoittuvuuksia voi rajoittaa käyttämällä Internet Explorerin Enhanced Security Configuration -tilaa. LISÄTIETOA:
PÄIVITYSHISTORIA:10.4.2012, kello 22.23: Julkaistu
|
|
