Background Print only logo
Cert logo
på svenska | in English
www.viestintävirasto.fi
Etusivu | Varoitukset | Tietoturva nyt! | Haavoittuvuudet | Ohjeet | Katsaukset | Palvelut | Esitykset |

Kyberturvallisuuskeskus

PL 313
00181 Helsinki

Mediayhteydenotot puhelimitse:
0295 390 248 (pvm/mpm)

Salausavaimet

Viestintävirasto

Itämerenkatu 3 A
00180 HELSINKI
Puhelinvaihde: 0295 390 100 (pvm/mpm)

Tarkat yhteystiedot

Tietoa evästeistä

Kyberturvallisuuskeskus Facebookissa

Etusivu > Tietoturva nyt! > 2009 > Heinäkuu > DirectShow-haavoittuvuuden korjaustoimet jatkuvat

Tietoturva nyt!

31.7.2009

DirectShow-haavoittuvuuden korjaustoimet jatkuvat

Laajavaikutteisten haavoittuvuuksien vaikutusaluetta on usein hankala määrittää.

Microsoft julkaisi kuluvan viikon tiistaina 28.7 korjauksen VisualStudio-kehitysympäristön ATL-kirjastoon. Haavoittuvuudet havaittiin ensimmäiseksi haavoittuvuustiedotteessa 58/2009 mainitun DirectShow-kehyksen haavoittuvuuden korjausprosessin yhteydessä. Haavoittuvuuksien vaikutukset eivät rajoitu pelkkään kehitysympäristöön, sillä virheellistä kirjastoversiota käyttäen luodut komponentit ja kontrollit ovat myös haavoittuvia.

Microsoftin ecostrat-blogiartikkelin mukaan haavoittuvuuksien korjausprosessiin on kuulunut poikkeuksellisen paljon kommunikaatiota kirjastoa käyttävien kolmansien osapuolten kanssa. Tähän mennessä Adobe ja Cisco ovat julkaisseet päivityksensä ATL-haavoittuvuuteen liittyen. Microsoft on pyytänyt ohjelmistovalmistajia kertomaan heille komponenttiensa haavoittuvista versioista, jotta nämä voitaisiin lisätä tuleviin kill bit -päivityksiin. Ns. kill bit -toiminnallisuudella estetään rekisterissä lueteltujen haavoittuvien ActiveX-kontrollien ajo Windows-järjestelmissä.

Viimeksi kirjastot tuottivat harmia Microsoftille viime vuoden syyskuussa, kun haavoittuvaa GDI-kirjastoa levitettiin Microsoftin omien komponenttien lisäksi myös kolmansien osapuolten toimesta. Nämä tapaukset osoittavat, että yksittäisen haavoittuvuuden laskeumaa voi olla mahdoton arvioida, mikä monimutkaistaa niiden korjausprosessia tavattomasti. CERT-FI kehottaa asentamaan sekä Microsoftin haavoittuvuudet korjaavan päivityksen että kill bit -päivitykset, ja seuraamaan korjaustilannetta aktiivisesti muiden käytettyjen komponenttien osalta.

Lisätietoa

Sivua päivitetty 31.07.2009   Tulostusversio Tulostusversio