CERT-FI varoitus 46/2006

8.8.2006

Haavoittuvuuksia Microsoft Windows -käyttöjärjestelmissä

Microsoft on julkaissut korjauksia lukuisiin Windows-käyttöjärjestelmistä löydettyihin haavoittuvuuksiin.

Haavoittuvuuksista ensimmäinen on Server Service -komponentissa oleva puskuriylivuoto. Haavoittuvuutta voi olla mahdollista hyväksikäyttää suoraan verkon kautta lähettämällä tietyllä tavalla muokattuja viestejä TCP-porttiin 139 tai 445. Haavoittuvuutta voidaan pitää erityisen vakavana.

Toinen ja kolmas haavoittuvuus liittyvät verkko-osoitemuunnoksiin. Toista, Winsock-sovellusohjelmointiliittymän puskuriylivuotohaavoittuvuutta, voidaan hyväksikäyttää houkuttelemalla käyttäjä avaamaan tietyllä tavalla muokattu tiedosto tai mahdollisesti suoraan www-sivuston kautta. Kolmas haavoittuvuus on DNS-asiakkaassa oleva puskuriylivuoto. Kolmatta haavoittuvuutta voidaan hyväksikäyttää lähettämällä nimipalvelukyselyn tehneelle järjestelmälle tietyllä tavalla muokattu vastaus.

Neljäs haavoittuvuuksista on Outlook Express -komponentissa oleva MHTML-tiedostoformaatin käsittelyyn liittyvä haavoittuvuus. Haavoittuvuutta voidaan hyväksikäyttää www-sivun tai HTML-sähköpostin välityksellä.

Viides haavoittuvuuksista liittyy MMC (Microsoft Management Console) -konsoliin. Haavoittuvuutta voidaan hyväksikäyttää tietyllä tavalla muokatun www-sivuston ja mahdollisesti HTML-sähköpostiviestin välityksellä. Haavoittuvuuden hyväksikäyttökoodi on julkisesti saatavilla.

Kuudes haavoittuvuuksista on jo aiemmin julki tullut Windows Explorerin niin sanottuun "drag and drop" -toimintoon liittyvä haavoittuvuus. Haavoittuvuutta voidaan hyväksikäyttää www-sivun kautta houkuttelemalla käyttäjä lataamaan ja tallentamaan tietyllä tavalla muokattu tiedosto.

Seitsemäs haavoittuvuuksista on HTML Help ActiveX -kontrollista jo aiemmin julkaistu puskuriylivuoto. Haavoittuvuutta voidaan hyväksikäyttää www-sivun kautta tietyllä tavalla muokatulla HTML Help -objektilla.

Haavoittuvuuksista kahdeksas on paikallisesti hyväksikäytettävä Windows 2000 -käyttöjärjestelmän ytimestä löydetty haavoittuvuus.

Yhdeksäs ja kymmenes haavoittuvuus on puskuriylivuotoja Hyperlink Object -kirjastossa (hlink.dll). Molempia haavoittuvuuksia voidaan hyväksikäyttää houkuttelemalla käyttäjä klikkaamaan sähköpostiviestissä tai Office-dokumentissa olevaa hyperlinkkiä. Yhdeksänteen (Hyperlink COM Object) haavoittuvuuteen on julkisesti saatavilla oleva hyväksikäyttökoodi.

Yhdestoista ja kahdestoista haavoittuvuuksista on Windows-käyttöjärjestelmän ytimessä. Yhdestoista haavoittuvuus liittyy Winlogon-komponentin puutteelliseen hakemistopolkujen tarkastamiseen. Kahdestoista haavoittuvuuksista liittyy poikkeuksien käsittelyyn ja sitä voidaan hyväksikäyttää www-sivun tai HTML-sähköpostin välityksellä.

Kahdeksatta ja yhdettätoista haavoittuvuutta hyväksikäyttämällä järjestelmään kirjautunut hyökkääjä voi kohottaa oikeuksiaan. Kaikkia muita haavoittuvuuksia hyväksikäyttämällä hyökkääjän voi olla mahdollista suorittaa omia komentojaan kohdejärjestelmässä.

VAROITUKSEN KOHDERYHMÄ:

Microsoft Windows käyttöjärjestelmät.

Neljännelle haavoittuvuudelle ovat alttiita ainoastaan ne Windows 2003 ja Windows XP SP2 käyttöjärjestelmät, jotka ovat varustettu Outlook Express 6 ohjelmistolla. Viidennelle ja kahdeksannelle haavoittuvuudelle ovat alttiita vain Windows 2000 käyttöjärjestelmät.

Tarkemmat tiedot haavoittuvista käyttöjärjestelmäversioista on saatavilla valmistajan julkaisemista tiedotteista.