Background Print only logo
Cert logo
på svenska | in English
www.viestintävirasto.fi
Etusivu | Varoitukset | Tietoturva nyt! | Haavoittuvuudet | Ohjeet | Katsaukset | Palvelut | Esitykset |

Kyberturvallisuuskeskus

PL 313
00181 Helsinki

Mediayhteydenotot puhelimitse:
0295 390 248 (pvm/mpm)

Salausavaimet

Viestintävirasto

Itämerenkatu 3 A
00180 HELSINKI
Puhelinvaihde: 0295 390 100 (pvm/mpm)

Tarkat yhteystiedot

Tietoa evästeistä

Kyberturvallisuuskeskus Facebookissa

Etusivu > Varoitukset > 2005 > Varoitus 14/2005

CERT-FI varoitus 14/2005

9.2.2005

Haavoittuvuuksia Internet Explorer -selaimessa

Microsoft on julkaissut päivityksen neljään Internet Explorer -haavoittuvuuteen. Haavoittuvuuksista kolme ensin mainittua on erittäin vakavia.

Ensimmäinen haavoittuvuuksista liittyy IE:n virheellisesti sallimaan tapaan tallentaa tiedosto www-sivulta kohdejärjestelmään (ns. drag and drop -operaatio). Haavoittuvuutta hyväksikäyttämällä hyökkääjän voi olla mahdollista tallentaa vihamielinen ohjelmatiedosto kohdejärjestelmään haluamaansa hakemistoon. Tiettyihin hakemistoihin tallennetut tiedostot suoritetaan automaattisesti esimerkiksi järjestelmän käynnistymisvaiheessa. Www-sivun lisäksi haavoittuvuutta voi olla mahdollista hyväksikäyttää HTML-muotoisen sähköpostin välityksellä. Haavoittuvuuteen on julkisesti saatavilla oleva hyödyntämismenetelmä.

Toinen haavoittuvuuksista liittyy tiettyjen koodattujen URL:ien (Uniform Resource Locator) käsittelyyn. Kolmas haavoittuvuuksista liittyy DHTML-toiminteiden prosessointiin. Molempia haavoittuvuuksia voi olla mahdollista hyväksikäyttää www-sivun tai sähköpostin välityksellä. Haavoittuvuuksia hyväksikäyttämällä hyökkääjän voi pahimmassa tapauksessa suorittaa kohdejärjestelmässä omia komentojaan.

Neljäs haavoittuvuuksista liittyy CDF (Channel Definition Format) -tiedostoista löytyvien URL:ien käsittelyyn. Haavoittuvuus johtaa eri turvavyöhykkeiden välisen suojauksen pettämiseen. Haavoittuvuutta hyväksikäyttämällä hyökkääjän voi olla mahdollista suorittaa omia komentojaan kohdetietojärjestelmässä tai päästä käsiksi oikeudettomasti järjestelmän tietoihin.

VAROITUKSEN KOHDERYHMÄ:

  • Microsoft Internet Explorer

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Päivitä haavoittuva selainohjelmisto valmistajan ohjeiden mukaan.

LISÄTIETOA:

http://www.microsoft.com/technet/security/bulletin/MS05-014.mspx

http://jouko.iki.fi/adv/zonespoof-fi.html

PÄIVITYSHISTORIA:

09.02.2005: Julkaistu
Sivua päivitetty 30.11.2006   Tulostusversio Tulostusversio