Background Print only logo
Viestintäviraston etusivulle
Etusivu | Varoitukset | Tietoturva nyt! | Haavoittuvuudet | Ohjeet | Katsaukset | Palvelut | Esitykset |

CERT-FI

PL 313
00181 Helsinki
Puh: 09 6966 510
Fax: 09 6966 515

Salausavaimet

Viestintävirasto

Itämerenkatu 3 A
00180 HELSINKI
Puh: 09 6966 500
Fax: 09 6966 410

Tarkat yhteystiedot

Tietoa evästeistä

CERT-FI Facebookissa

 Etusivu > Varoitukset > 2005 > CERT-FI varoitus 83/2005

CERT-FI varoitus 83/2005

22.11.2005

Haavoittuvuuksia Internet Explorer -selaimessa

Microsoft Internet Explorer -selainohjelmasta on löydetty uusia haavoittuvuuksia.

Ensimmäinen haavoittuvuus liittyy Internet Explorer -selaimen tapaan näyttää tiedostojen lataamisesta ilmoittava valintaikkuna. Haavoittuvuutta hyväksikäyttämällä hyökkääjän on mahdollista suorittaa kohdejärjestelmässä omia komentojaan järjestelmään kirjautuneen käyttäjän oikeuksilla. Haavoittuvuutta voidaan hyväksikäyttää houkuttelemalla käyttäjä hyökkääjän muokkaamalle www-sivustolle.

Toinen haavoittuvuus liittyy Basic-käyttäjäntunnistuksen käyttöön tilanteessa, jossa Internet Explorer -selain lähettää tietoja HTTPS-välityspalvelimelle. Haavoittuvuutta hyväksikäyttämällä hyökkääjä voi nähdä selaimelta välityspalvelimelle lähetetyt www-osoitteet HTTPS-yhteydestä huolimatta.

Kolmas haavoittuvuus liittyy Internet Explorerin tapaan käsitellä COM-objekteja. Haavoittuvuutta hyväksikäyttämällä hyökkääjän on mahdollista suorittaa kohdejärjestelmässä omia komentojaan järjestelmään kirjautuneen käyttäjän oikeuksilla. Haavoittuvuutta voidaan hyväksikäyttää houkuttelemalla käyttäjä hyökkääjän muokkaamalle www-sivustolle.

Neljäs haavoittuvuus liittyy selaimen tapaan käsitellä yhteensopimattomia DOM (Document Object Model) -objekteja, kuten esimerkiksi HTML-sivulla olevaa OnLoad-tapahtumaa, johon on liitetty kutsu Window-objektiin. Haavoittuvuutta hyväksikäyttämällä hyökkääjä voi suorittaa kohdejärjestelmässä omia komentojaan järjestelmään kirjautuneen käyttäjän oikeuksilla. Haavoittuvuutta voidaan hyväksikäyttää houkuttelemalla käyttäjä esimerkiksi hyökkääjän muokkaamalle www-sivustolle tai avaamaan muokattu sähköpostiviesti.

Neljättä haavoittuvuutta hyväksikäyttäviä haittaohjelmia on havaittu leviämässä www-sivujen välityksellä. CERT-FI suosittelee haavoittuvien tietojärjestelmien välitöntä päivittämistä.

VAROITUKSEN KOHDERYHMÄ:

  • Microsoft Windows 2000 (Service Pack 4)

  • Microsoft Windows XP (Service Pack 1 ja 2)

  • Microsoft Windows XP Professional x64 Edition

  • Microsoft Windows Server 2003 (alkuperäinen versio sekä Service Pack 1)

  • Microsoft Windows Server 2003 (alkuperäinen versio ja Service Pack 1- Itanium)

  • Microsoft Windows Server 2003 x64 Edition

  • Microsoft Windows 98, 98 Second Edition, ME

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Päivitä haavoittuva tietojärjestelmä korjaustiedostolla, joka on saatavilla osoitteesta:

http://update.microsoft.com

LISÄTIETOA:

http://www.microsoft.com/technet/security/Bulletin/MS05-054.mspx

http://www.microsoft.com/technet/security/advisory/911302.mspx

http://www.kb.cert.org/vuls/id/887861

http://www.computerterrorism.com/research/ie/ct21-11-2005

PÄIVITYSHISTORIA:

22.11.2005: Julkaistu.
13.12.2005: Lisätty tiedot kolmesta ensimmäisestä haavoittuvuudesta ja tieto saatavilla olevasta korjauspäivityksestä sekä muutettu otsikkoa.
Sivua päivitetty 30.11.2006   Tulostusversio Tulostusversio