CERT-FI varoitus 14/2005

9.2.2005

Haavoittuvuuksia Internet Explorer -selaimessa

Microsoft on julkaissut päivityksen neljään Internet Explorer -haavoittuvuuteen. Haavoittuvuuksista kolme ensin mainittua on erittäin vakavia.

Ensimmäinen haavoittuvuuksista liittyy IE:n virheellisesti sallimaan tapaan tallentaa tiedosto www-sivulta kohdejärjestelmään (ns. drag and drop -operaatio). Haavoittuvuutta hyväksikäyttämällä hyökkääjän voi olla mahdollista tallentaa vihamielinen ohjelmatiedosto kohdejärjestelmään haluamaansa hakemistoon. Tiettyihin hakemistoihin tallennetut tiedostot suoritetaan automaattisesti esimerkiksi järjestelmän käynnistymisvaiheessa. Www-sivun lisäksi haavoittuvuutta voi olla mahdollista hyväksikäyttää HTML-muotoisen sähköpostin välityksellä. Haavoittuvuuteen on julkisesti saatavilla oleva hyödyntämismenetelmä.

Toinen haavoittuvuuksista liittyy tiettyjen koodattujen URL:ien (Uniform Resource Locator) käsittelyyn. Kolmas haavoittuvuuksista liittyy DHTML-toiminteiden prosessointiin. Molempia haavoittuvuuksia voi olla mahdollista hyväksikäyttää www-sivun tai sähköpostin välityksellä. Haavoittuvuuksia hyväksikäyttämällä hyökkääjän voi pahimmassa tapauksessa suorittaa kohdejärjestelmässä omia komentojaan.

Neljäs haavoittuvuuksista liittyy CDF (Channel Definition Format) -tiedostoista löytyvien URL:ien käsittelyyn. Haavoittuvuus johtaa eri turvavyöhykkeiden välisen suojauksen pettämiseen. Haavoittuvuutta hyväksikäyttämällä hyökkääjän voi olla mahdollista suorittaa omia komentojaan kohdetietojärjestelmässä tai päästä käsiksi oikeudettomasti järjestelmän tietoihin.