Haavoittuvuuksia Internet Explorer -selaimissa

Microsoft on julkaissut kumulatiivisen päivityksen Internet Explorer -selainohjelmistoon. Päivitys korjaa kahdeksan uutta haavoittuvuutta, joista viisi ensin mainittua mahdollistaa hyökkääjän omien komentojen suorittamisen kohdejärjestelmässä.

Ensimmäinen haavoittuvuuksista liittyy poikkeuksien käsittelyyn. Selain sallii virheellisesti objektien rekisteröitymisen poikkeuksien käsittelijäksi ja turvaton poikkeuksien käsittelijä voi aiheuttaa muistin korruptoitumisen.

Toinen haavoittuvuuksista liittyy UTF-8 koodatun HTML:n käsittelyssä tapahtuvaan muistin korruptoitumiseen. Haavoittuvuutta on mahdollista hyväksikäyttää myös HTML-sähköpostin välityksellä.

Kolmas haavoittuvuuksista liittyy DXImageTransform.Microsoft.Light ActiveX kontrolliin.

Neljäs haavoittuvuus johtuu virheestä, mikä tapahtuu selaimen luodessa COM-objekteja ActiveX-kontrolleina.

Viides haavoittuvuuksista liittyy mht (multipart HTML) -tiedoston käsittelyyn. Haavoittuvuuden hyväksikäyttö vaatii, että käyttäjä tallentaa tietyllä tavalla muokatun www-sivun mht-tiedostoksi.

Kuudes haavoittuvuuksista liittyy tietyllä tavalla muokatun CSS (Cascading Style Sheet) -dokumentin käsittelyyn. Jos käyttäjällä on useita yhtäaikaisia istuntoja eri www-sivustoille, hyökkääjä voi haavoittuvuutta hyväksikäyttämällä päästä käsiksi muilla auki olevilla www-sivustolla oleviin tietoihin. Haavoittuvuuteen on julkisesti saatavilla oleva hyväksikäyttömenetelmä.

Seitsemäs ja kahdeksas haavoittuvuus liittyy selaimen näyttämän osoiterivin väärentämiseen. Näistä haavoittuvuuksista toiseen on saatavilla julkinen hyväksikäyttömenetelmä. Haavoittuvuuksia hyväksikäyttämällä on mahdollista näyttää selaimen osoiterivillä luotetun www-sivuston osoite, vaikka selaimen näyttämä sivuston sisältö tulee hyökkääjän www-sivustolta.

Varoituksen kohderyhmä

  • Microsoft Internet Explorer -selainohjelmisto

Ratkaisu- ja rajoitusmahdollisuudet

Päivitä haavoittuva järjestelmä valmistajan ohjeiden mukaisesti. Internet Explorer -selaimen päivitykset ovat ladattavissa osoitteesta

http://windowsupdate.microsoft.com

Lisätietoa

http://www.microsoft.com/technet/security/Bulletin/MS06-021.mspx

Päivitykseen sisältyy myös ActiveX-komponenttien käsittelyyn liittyvä toiminnallinen muutos, joka voi aiheuttaa ongelmia AxtiveX-komponentteja hyödyntävien palveluiden käytölle. Lisätietoa tästä muutoksesta on saatavilla dokumentista

http://support.microsoft.com/kb/912945

Päivityshistoria

Asiasanat: Tietoturva , Varoitukset

LinkedIn Print

Yhteystiedot

logo

Viestintävirasto

Kyberturvallisuuskeskus

PL 313, 00561 Helsinki


Mediayhteydenotot puhelimitse 0295 390 248