CERT-FI haavoittuvuustiedote 108/2012

14.6.2012

Microsoft XML Core Services -haavoittuvuus riski www-selailussa

Kohde:	- työasemat ja loppukäyttäjäsovellukset	Lisätietoja
Hyökkäystapa:	- ilman kirjautumista - etäkäyttö	Lisätietoja
Hyväksikäyttö:	- komentojen mielivaltainen suorittaminen	Lisätietoja
Ratkaisu:	- korjaava ohjelmistopäivitys - ongelman rajoittaminen - ei päivitystä tai rajoitusmenetelmää	Lisätietoja

Microsoft XML Core Services sisältää muistin käsittelyyn liittyvän haavoittuvuuden. Haavoittuvuus mahdollistaa hyökkääjän ohjelmakoodin suorittamisen käyttäjän oikeuksin, jos käyttäjä lataa tietyllä tavalla muokatun verkkosivun Internet Explorer -selaimella. Haavoittuvuutta käytetään tällä hetkellä aktiivisesti hyväksi hyökkäyksissä.

HAAVOITTUVAT OHJELMISTOT:

• Microsoft XML Core Services versiot 3.0, 4.0, 5.0 ja 6.0 kaikissa tuetuissa Windows-käyttöjärjestelmän versioissa
• Microsoft Office 2003, kaikki tuetut versiot
• Microsoft Office 2007, kaikki tuetut versiot

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Haavoittuvuus on korjattu Microsoftin heinäkuun päivitysten yhteydessä päivityspaketissa MS12-043. Päivitä haavoittuvat ohjelmistot kun mahdollista esimerkiksi Microsoft- tai Windows Updaten avulla.

Haavoittuvuuden vaikutuksia voi vähentää suorittamalla ajamalla Internet Explorer -selainta korkeamman turvallisuustason asetuksilla. Microsoft on julkaissut Fix It -korjauksen, joka estää haavoittuvuuden hyväksikäyttämisen.

LISÄTIETOA:

• http://technet.microsoft.com/en-us/security/bulletin/MS12-043
• http://technet.microsoft.com/en-us/security/advisory/2719615
• http://support.microsoft.com/kb/2719615
• CVE-2012-1889

PÄIVITYSHISTORIA:

14.6.2012, kello 16.25: Julkaistu
10.7.2012, kello 23.34: Päivitetty haavoittuvuuden korjaus.

Sivua päivitetty 10.07.2012

Tulostusversio