Haavoittuvuuksia Internet Explorer -selaimessa

Microsoft Internet Explorer -selainohjelmasta on löydetty uusia haavoittuvuuksia.

Ensimmäinen haavoittuvuus liittyy Internet Explorer -selaimen tapaan näyttää tiedostojen lataamisesta ilmoittava valintaikkuna. Haavoittuvuutta hyväksikäyttämällä hyökkääjän on mahdollista suorittaa kohdejärjestelmässä omia komentojaan järjestelmään kirjautuneen käyttäjän oikeuksilla. Haavoittuvuutta voidaan hyväksikäyttää houkuttelemalla käyttäjä hyökkääjän muokkaamalle www-sivustolle.

Toinen haavoittuvuus liittyy Basic-käyttäjäntunnistuksen käyttöön tilanteessa, jossa Internet Explorer -selain lähettää tietoja HTTPS-välityspalvelimelle. Haavoittuvuutta hyväksikäyttämällä hyökkääjä voi nähdä selaimelta välityspalvelimelle lähetetyt www-osoitteet HTTPS-yhteydestä huolimatta.

Kolmas haavoittuvuus liittyy Internet Explorerin tapaan käsitellä COM-objekteja. Haavoittuvuutta hyväksikäyttämällä hyökkääjän on mahdollista suorittaa kohdejärjestelmässä omia komentojaan järjestelmään kirjautuneen käyttäjän oikeuksilla. Haavoittuvuutta voidaan hyväksikäyttää houkuttelemalla käyttäjä hyökkääjän muokkaamalle www-sivustolle.

Neljäs haavoittuvuus liittyy selaimen tapaan käsitellä yhteensopimattomia DOM (Document Object Model) -objekteja, kuten esimerkiksi HTML-sivulla olevaa OnLoad-tapahtumaa, johon on liitetty kutsu Window-objektiin. Haavoittuvuutta hyväksikäyttämällä hyökkääjä voi suorittaa kohdejärjestelmässä omia komentojaan järjestelmään kirjautuneen käyttäjän oikeuksilla. Haavoittuvuutta voidaan hyväksikäyttää houkuttelemalla käyttäjä esimerkiksi hyökkääjän muokkaamalle www-sivustolle tai avaamaan muokattu sähköpostiviesti.

Neljättä haavoittuvuutta hyväksikäyttäviä haittaohjelmia on havaittu leviämässä www-sivujen välityksellä. CERT-FI suosittelee haavoittuvien tietojärjestelmien välitöntä päivittämistä.

Varoituksen kohderyhmä

  • Microsoft Windows 2000 (Service Pack 4)

  • Microsoft Windows XP (Service Pack 1 ja 2)

  • Microsoft Windows XP Professional x64 Edition

  • Microsoft Windows Server 2003 (alkuperäinen versio sekä Service Pack 1)

  • Microsoft Windows Server 2003 (alkuperäinen versio ja Service Pack 1- Itanium)

  • Microsoft Windows Server 2003 x64 Edition

  • Microsoft Windows 98, 98 Second Edition, ME

Ratkaisu- ja rajoitusmahdollisuudet

Päivitä haavoittuva tietojärjestelmä korjaustiedostolla, joka on saatavilla osoitteesta:

http://update.microsoft.com

Lisätietoa

http://www.microsoft.com/technet/security/Bulletin/MS05-054.mspx

http://www.microsoft.com/technet/security/advisory/911302.mspx

http://www.kb.cert.org/vuls/id/887861

http://www.computerterrorism.com/research/ie/ct21-11-2005

Päivityshistoria

Asiasanat: Tietoturva , Varoitukset

LinkedIn Print

Yhteystiedot

logo

Viestintävirasto

Kyberturvallisuuskeskus

PL 313, 00561 Helsinki


Mediayhteydenotot puhelimitse 0295 390 248