DirectShow-haavoittuvuuden korjaustoimet jatkuvat

Laajavaikutteisten haavoittuvuuksien vaikutusaluetta on usein hankala määrittää.

Microsoft julkaisi kuluvan viikon tiistaina 28.7 korjauksen VisualStudio-kehitysympäristön ATL-kirjastoon. Haavoittuvuudet havaittiin ensimmäiseksi haavoittuvuustiedotteessa 58/2009 mainitun DirectShow-kehyksen haavoittuvuuden korjausprosessin yhteydessä. Haavoittuvuuksien vaikutukset eivät rajoitu pelkkään kehitysympäristöön, sillä virheellistä kirjastoversiota käyttäen luodut komponentit ja kontrollit ovat myös haavoittuvia.

Microsoftin ecostrat-blogiartikkelin mukaan haavoittuvuuksien korjausprosessiin on kuulunut poikkeuksellisen paljon kommunikaatiota kirjastoa käyttävien kolmansien osapuolten kanssa. Tähän mennessä Adobe ja Cisco ovat julkaisseet päivityksensä ATL-haavoittuvuuteen liittyen. Microsoft on pyytänyt ohjelmistovalmistajia kertomaan heille komponenttiensa haavoittuvista versioista, jotta nämä voitaisiin lisätä tuleviin kill bit -päivityksiin. Ns. kill bit -toiminnallisuudella estetään rekisterissä lueteltujen haavoittuvien ActiveX-kontrollien ajo Windows-järjestelmissä.

Viimeksi kirjastot tuottivat harmia Microsoftille viime vuoden syyskuussa, kun haavoittuvaa GDI-kirjastoa levitettiin Microsoftin omien komponenttien lisäksi myös kolmansien osapuolten toimesta. Nämä tapaukset osoittavat, että yksittäisen haavoittuvuuden laskeumaa voi olla mahdoton arvioida, mikä monimutkaistaa niiden korjausprosessia tavattomasti. CERT-FI kehottaa asentamaan sekä Microsoftin haavoittuvuudet korjaavan päivityksen että kill bit -päivitykset, ja seuraamaan korjaustilannetta aktiivisesti muiden käytettyjen komponenttien osalta.

Asiasanat: Tietoturva , Tietoturva nyt!

LinkedIn Print

Yhteystiedot

logo

Viestintävirasto

Kyberturvallisuuskeskus

PL 313, 00181 Helsinki


Mediayhteydenotot puhelimitse 0295 390 248