 |
| Etusivu |  |
Varoitukset | |
Tietoturva nyt! | |
Haavoittuvuudet | |
Ohjeet | |
Katsaukset | |
Palvelut | |
Esitykset | |
CERT-FIPL 313 ViestintävirastoItämerenkatu 3 A |
Tietoturva nyt!31.7.2009 DirectShow-haavoittuvuuden korjaustoimet jatkuvat
Laajavaikutteisten haavoittuvuuksien vaikutusaluetta on usein hankala määrittää. Microsoft julkaisi kuluvan viikon tiistaina 28.7 korjauksen VisualStudio-kehitysympäristön ATL-kirjastoon. Haavoittuvuudet havaittiin ensimmäiseksi haavoittuvuustiedotteessa 58/2009 mainitun DirectShow-kehyksen haavoittuvuuden korjausprosessin yhteydessä. Haavoittuvuuksien vaikutukset eivät rajoitu pelkkään kehitysympäristöön, sillä virheellistä kirjastoversiota käyttäen luodut komponentit ja kontrollit ovat myös haavoittuvia. Microsoftin ecostrat-blogiartikkelin mukaan haavoittuvuuksien korjausprosessiin on kuulunut poikkeuksellisen paljon kommunikaatiota kirjastoa käyttävien kolmansien osapuolten kanssa. Tähän mennessä Adobe ja Cisco ovat julkaisseet päivityksensä ATL-haavoittuvuuteen liittyen. Microsoft on pyytänyt ohjelmistovalmistajia kertomaan heille komponenttiensa haavoittuvista versioista, jotta nämä voitaisiin lisätä tuleviin kill bit -päivityksiin. Ns. kill bit -toiminnallisuudella estetään rekisterissä lueteltujen haavoittuvien ActiveX-kontrollien ajo Windows-järjestelmissä. Viimeksi kirjastot tuottivat harmia Microsoftille viime vuoden syyskuussa, kun haavoittuvaa GDI-kirjastoa levitettiin Microsoftin omien komponenttien lisäksi myös kolmansien osapuolten toimesta. Nämä tapaukset osoittavat, että yksittäisen haavoittuvuuden laskeumaa voi olla mahdoton arvioida, mikä monimutkaistaa niiden korjausprosessia tavattomasti. CERT-FI kehottaa asentamaan sekä Microsoftin haavoittuvuudet korjaavan päivityksen että kill bit -päivitykset, ja seuraamaan korjaustilannetta aktiivisesti muiden käytettyjen komponenttien osalta. Lisätietoa
|
Tuoreimmat kirjoitukset:
|
