Background Print only logo
Viestintäviraston etusivulle
Etusivu | Varoitukset | Tietoturva nyt! | Haavoittuvuudet | Ohjeet | Katsaukset | Palvelut | Esitykset |

CERT-FI

PL 313
00181 Helsinki
Puh: 09 6966 510
Fax: 09 6966 515

Salausavaimet

Viestintävirasto

Itämerenkatu 3 A
00180 HELSINKI
Puh: 09 6966 500
Fax: 09 6966 410

Tarkat yhteystiedot

Tietoa evästeistä

CERT-FI Facebookissa

 Etusivu > Varoitukset > 2006 > CERT-FI varoitus 34/2006

CERT-FI varoitus 34/2006

14.6.2006

Haavoittuvuuksia Internet Explorer -selaimissa

Microsoft on julkaissut kumulatiivisen päivityksen Internet Explorer -selainohjelmistoon. Päivitys korjaa kahdeksan uutta haavoittuvuutta, joista viisi ensin mainittua mahdollistaa hyökkääjän omien komentojen suorittamisen kohdejärjestelmässä.

Ensimmäinen haavoittuvuuksista liittyy poikkeuksien käsittelyyn. Selain sallii virheellisesti objektien rekisteröitymisen poikkeuksien käsittelijäksi ja turvaton poikkeuksien käsittelijä voi aiheuttaa muistin korruptoitumisen.

Toinen haavoittuvuuksista liittyy UTF-8 koodatun HTML:n käsittelyssä tapahtuvaan muistin korruptoitumiseen. Haavoittuvuutta on mahdollista hyväksikäyttää myös HTML-sähköpostin välityksellä.

Kolmas haavoittuvuuksista liittyy DXImageTransform.Microsoft.Light ActiveX kontrolliin.

Neljäs haavoittuvuus johtuu virheestä, mikä tapahtuu selaimen luodessa COM-objekteja ActiveX-kontrolleina.

Viides haavoittuvuuksista liittyy mht (multipart HTML) -tiedoston käsittelyyn. Haavoittuvuuden hyväksikäyttö vaatii, että käyttäjä tallentaa tietyllä tavalla muokatun www-sivun mht-tiedostoksi.

Kuudes haavoittuvuuksista liittyy tietyllä tavalla muokatun CSS (Cascading Style Sheet) -dokumentin käsittelyyn. Jos käyttäjällä on useita yhtäaikaisia istuntoja eri www-sivustoille, hyökkääjä voi haavoittuvuutta hyväksikäyttämällä päästä käsiksi muilla auki olevilla www-sivustolla oleviin tietoihin. Haavoittuvuuteen on julkisesti saatavilla oleva hyväksikäyttömenetelmä.

Seitsemäs ja kahdeksas haavoittuvuus liittyy selaimen näyttämän osoiterivin väärentämiseen. Näistä haavoittuvuuksista toiseen on saatavilla julkinen hyväksikäyttömenetelmä. Haavoittuvuuksia hyväksikäyttämällä on mahdollista näyttää selaimen osoiterivillä luotetun www-sivuston osoite, vaikka selaimen näyttämä sivuston sisältö tulee hyökkääjän www-sivustolta.

VAROITUKSEN KOHDERYHMÄ:

  • Microsoft Internet Explorer -selainohjelmisto

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Päivitä haavoittuva järjestelmä valmistajan ohjeiden mukaisesti. Internet Explorer -selaimen päivitykset ovat ladattavissa osoitteesta

http://windowsupdate.microsoft.com

LISÄTIETOA:

http://www.microsoft.com/technet/security/Bulletin/MS06-021.mspx

Päivitykseen sisältyy myös ActiveX-komponenttien käsittelyyn liittyvä toiminnallinen muutos, joka voi aiheuttaa ongelmia AxtiveX-komponentteja hyödyntävien palveluiden käytölle. Lisätietoa tästä muutoksesta on saatavilla dokumentista

http://support.microsoft.com/kb/912945

PÄIVITYSHISTORIA:

14.06.2006: Julkaistu
Sivua päivitetty 05.12.2006   Tulostusversio Tulostusversio