Microsoftin joulukuun päivityspaketti julkaistu

Microsoftin joulukuun päivityspaketti sisältää 12 päivitystä, jotka korjaavat yhteensä 58 haavoittuvuutta. Korjauspäivityksistä 8 on luokiteltu kriittisiksi.

Päivityspaketit MS15-124 - MS15-131 on luokireltu kriittisiksi.

MS15-124 ja MS15-125 korjaavat Internet Explorer ja Microsoft Edge -selainten haavoittuvuuksia, joista vakavimmat voivat mahdollistaa haitallisen ohjelmakoodin suorittamisen kohdejärjestelmässä käyttäjän oikeuksin, jos käyttäjä avaa tietyllä tavalla muotoillun www-sivun.

MS15-126 korjaa haavoittuvuuksia VBScript- ja JScript-käsittelyssä Windows- käyttöjärjestelmissä. Vakavimmat haavoittuvuudet voivat johtaa haitallisen ohjelmakoodin suorittamiseen käyttäjän vieraillessa tietyllä tavalla muotoillulla www-sivulla. Haavoittuvuuksien hyväksikäyttäminen on mahdollista myös lisäämällä tietyllä tavalla muotoiltu ActiveX-komponentti sovellukseen tai Microsoft Office-dokumenttiin, joka on asetettu käyttämään Internet Exploreria sisällön näyttämiseen.

MS15-127 korjaa haavoittuvuuden Windowsin DNS-palvelussa, joka voi mahdollistaa haitallisen ohjelmakoodin suorittamisen, mikäli hyökkääjä lähettää sopivasti muotoiltuja DNS-kyselyitä palvelimelle.

MS15-128 korjaa haavoittuvuuksia Windows -käyttöjärjestelmässä sekä Microsoft .NET Framwork, Microsoft Office, Skype for Business, Microsoft Lync ja Silverlight -ohjelmistoissa. Vakavimmat haavoittuvuudet voivat johtaa haitallisen ohjelmakoodin suorittamiseen käyttäjän avatessa haitallisen dokumentin tai vieraillessa tietyllä tavalla muotoiltuja kirjaisimia sisältävällä www-sivulla.

MS15-129 korjaa haavoittuvuuksia Microsoft Silverlight -ohjelmistossa, joista vakavimmat voivat johtaa haitallisen ohjelmakoodin suorittamiseen.

MS15-130 ja MS15-131 korjaavat haavoittuvuuksia Windows -käyttöjärjestelmässä ja Microsoft Office -ohjelmistossa. Vakavimmat haavoittuvuudet voivat johtaa haitallisen ohjelmakoodin suorittamiseen.

Tärkeäksi luokitellut päivityspaketit MS15-132 - MS15-135 korjaavat haavoittuvuuksia, joista vakavimmat voivat johtaa haitallisen koodin suorittamiseen tai käyttövaltuuksien laajentamiseen. Haavoittuvuuksien hyväksikäyttö vaatii kohdejärjestelmään kirjautumista.


Päivitys 10.12.2015: Microsoft on poistanut Outlookille tarkoitetun päivityksen KB3114409 jakelusta. Päivityksen asentaminen on voinut aiheuttaa tilanteen, jossa Microsoft Outlook 2010 käynnistyy vain vikasietotilassa (safe mode). Microsoft suosittelee poistamaan päivityksen, mikäli näin tapahtuu. Lisätietoja


  • Palvelimet ja palvelinsovellukset
  • Työasemat ja loppukäyttäjäsovellukset
  • Verkon aktiivilaitteet
  • Matkaviestinjärjestelmät
  • Sulautetut järjestelmät
  • Muut

Kohde

  • Palvelimet ja palvelinsovellukset
  • Työasemat ja loppukäyttäjäsovellukset
Lisätietoa +

Hyökkäystapa

  • Paikallisesti
  • Ilman kirjautumista
  • Etäkäyttö
  • Ilman käyttäjän toimia
Lisätietoja hyökkäystavasta +

Hyväksikäyttö

  • Komentojen mielivaltainen suorittaminen
  • Käyttövaltuuksien laajentaminen
  • Luottamuksellisen tiedon hankkiminen
  • Suojauksen ohittaminen
Lisätietoja hyväksikäytöstä +

Ratkaisu

  • Korjaava ohjelmistopäivitys
Lisätietoja ratkaisusta +

Haavoittuvat ohjelmistot:

  • Microsoftin käyttöjärjestelmät
  • Microsoftin palvelinohjelmistot
  • Microsoftin työasemaohjelmistot

Ratkaisu- ja rajoitusmahdollisuudet:

  • Korjaava ohjelmistopäivitys
  • Korjausten käyttöönotto vaatii uudelleenkäynnistyksen useimpien päivitysten kohdalla.

Lisätietoa:

Päivityshistoria

Asiasanat: Tietoturva , CERT

LinkedIn Print

Yhteystiedot

logo

Viestintävirasto

Kyberturvallisuuskeskus

PL 313, 00561 Helsinki


Mediayhteydenotot puhelimitse 0295 390 248