Haavoittuvuuksia Microsoft Windows ja Microsoft Office -ohjelmistoissa

Microsoft on julkaissut helmikuun tietoturvapäivitykset. Päivitykset sisältävät korjaukset yhteensä 20 haavoittuvuuteen, joista kuusi on Microsoftin mukaan kriittiseksi luokiteltavia. Haavoittuvuudet koskettavat lähinnä Microsoft Windows ja Microsoft Office -ohjelmistoja, mutta myös muita Windows-ympäristöissä käytettäviä ohjelmistoja on mukana.

Ensimmäinen tässä varoituksessa kuvattava päivitys (MS07-005) liittyy Microsoft Step-By-Step Interactive Training -komponenttiin. Haavoituvuus liittyy Interactive Training -linkkitiedostojen (.CBO, .CBL, .CBM) käsittelyyn ja se mahdollistaa mielivaltaisen koodin suorittamisen kohdejärjestelmässä. Haavoittuvuutta on mahdollista hyväksikäyttää verkon kautta antamalla käyttäjälle tietyllä tavalla muokattu tiedosto, ja se on Microsoftin mukaan luokitukseltaan tärkeä.

Toisessa päivityksessä (MS07-006) kuvattu haavoittuvuus liittyy Windows Shell Hardware Detection -palvelun funktioparametrien käsittelyyn. Haavoittuvuus on Microsoftin mukaan luokitukseltaan tärkeä ja se antaa hyökkääjälle mahdollisuuden käyttöoikeustasonsa luvattomaan nostamiseen. Haavoittuvuuden hyväksikäyttö vaatii hyökkääjän kirjautumisen kohdejärjestelmään.

Kolmas päivitys (MS07-007) liittyy Windows Image Acquisition (WIA) -palveluun, jota monet ohjelmat tyypillisesti käyttävät kuvien hakemiseen skannereilta ja digitaalisilta kameroilta (mukaan lukien digitaaliset videokamerat ja eräät web-kamerat). Haavoittuvuutta hyväksikäyttämällä hyökkääjän on mahdollista kohottaa käyttöoikeuksiaan. Haavoittuvuuden hyväksikäyttö vaatii hyökkääjän kirjautumisen kohdejärjestelmään. Haavoittuvuus on Microsoftin mukaan luokiteltu tärkeäksi.

Neljäs päivitys (MS07-008) on Microsoftin mukaan luokiteltu kriittiseksi. Haavoittuvuus liittyy Microsoft Windows HTML Help ActiveX -komponentin (hhctrl.ocx) puutteelliseen parametrien tarkistukseen ja mahdollistaa hyökkääjän omien komentojen suorittamisen kohdetietojärjestelmässä. Haavoittuvuutta voidaan hyväksikäyttää suoraan verkon yli antamalla käyttäjälle tietyllä tavalla muokattu tiedosto.

Päivityksistä viides (MS07-009) liittyy Microsoft Data Access Components (MDAC) -toiminnallisuuteen kuuluvaan ADODB.Connection ActiveX-komponenttiin. Kyseinen haavoittuvuus on Microsoftin mukaan luokiteltu kriittiseksi Windows 2000 ja Windows XP -järjestelmissä, mutta melko vaarattomaksi Windows 2003 -järjestelmissä. Odottamattoman datan syöttäminen kyseiselle komponenteille mahdollistaa hyökkääjän omien komentojen suorittamisen kohdejärjestelmässä. Haavoittuvuutta voidaan hyväksikäyttää suoraan verkon yli antamalla käyttäjälle tietyllä tavalla muokattu tiedosto. Microsoftin tietoturvaryhmä Microsoft Security Response Center (MSRC) oli ennen päivityksiä käsitellyt haavoittuvuutta ja siihen julkistettua hyväksikäyttömenetelmää blogissaan.

Kuudes päivitys (MS07-010) liittyy Microsoft Malware Protection Engine -komponentin (mpengine.dll) PDF-tiedostojen käsittelyyn. Haavoittuvuus mahdollistaa omien komentojen suorittamisen kohdetietojärjestelmässä ja se on Microsoftin mukaan luokiteltu kriittiseksi. Haavoittuvuutta voidaan hyväksikäyttää suoraan verkon yli antamalla käyttäjälle tietyllä tavalla muokattu tiedosto.

Päivityksissä MS07-011, MS07-012 ja MS07-013 kuvatut kolme haavoittuvuutta liittyvät RTF-tiedostoissa olevien OLE-objektien käsittelyyn. Haavoittuvuudet ovat OLE Dialog- ja RichEdit-komponenteissa sekä MFC-luokkakirjastossa. Haavoittuvuuksia voidaan hyväksikäyttää suoraan verkon ylitse ja ne mahdollistavat hyökkääjän omien komentojen suorittamisen kohdejärjestelmässä. Microsoftin mukaan haavoittuvuudet on kuitenkin luokiteltu vain tärkeiksi, sillä niiden hyväksikäyttäminen vaatii käyttäjän toimia.

Kymmenes päivitys (MS07-014) on Microsoftin mukaan luokitukseltaan kriittinen. Päivitys korjaa kuusi haavoittuvuutta, jotka kaikki liittyvät Word-tiedostojen (.DOC) käsittelyyn. Haavoittuvuudet mahdollistavat omien komentojen suorittamisen kohdetietojärjestelmässä, ja ne on Microsoftin mukaan luokiteltu kriittisiksi Officen versiossa 2000 ja tärkeäksi muissa haavoittuvissa Officen versioissa. Haavoittuvuuksia voidaan hyväksikäyttää suoraan verkon yli antamalla käyttäjälle tietyllä tavalla muokattu tiedosto. Haavoittuvuuksista neljään on julkaistu hyväksikäyttömenetelmä, ja MSRC oli käsitellyt haavoittuvuuksia blogissaan useampaan otteeseen. Microsoft oli lisäksi julkaissut haavoittuvuuksista tiedotteet 929433 ja 932114.

Yhdestoista päivitys (MS07-015) korjaa Microsoft Officesta kaksi haavoittuvuutta, jotka voivat mahdollistaa hyökkääjän omien komentojen suorittamisen kohdejärjestelmässä. Haavoittuvuuksia voidaan hyväksikäyttää suoraan verkon yli antamalla käyttäjälle tietyllä tavalla muokattu tiedosto, ja Microsoftin niille antama luokitus on kriittinen Officen versiossa 2000 ja tärkeä muissa haavoittuvissa Officen versioissa. Toiseen haavoittuvuuksista on julkaistu hyväksikäyttömenetelmä, johon liitttyen Microsoft on julkaissut tiedotteen 932553.

Päivityksistä kahdestoista ja tällä erää viimeisin (MS07-016) on Internet Explorer-selaimen kumulatiivinen päivitys, joka korjaa kolme haavoittuvuutta. Haavoittuvuudet voivat mahdollistaa mielivaltaisen koodin suorittamisen kohdejärjestelmässä, ja niiden korkein luokitus on Microsoftin mukaan kriittinen.

Varoituksen kohderyhmä

Ensimmäinen päivitys (MS07-005) koskee kaikkia Windows-järjestelmiä, joihin on asennettu Microsoft Step-By-Step Interactive Training -komponentti.

Toinen päivitys (MS07-006) koskee Windows XP ja Windows 2003 Server -järjestelmiä.

Kolmas päivitys (MS07-007) koskee ainoastaan Windows XP SP2 -järjestelmiä.

Neljäs päivitys (MS07-008) koskee kaikkia Windows-järjestelmiä Windows Vistaa lukuun ottamatta.

Viides päivitys (MS07-009) koskee Windows 2000, XP ja 2003 -järjestelmiä.

Kuudes päivitys (MS07-010) koskee kaikkia Windows-järjestelmiä, joihin on asennettu Windows Live OneCare, Microsoft Antigen, Microsoft Windows Defender ja Microsoft Forefront -ohjelmisto.

Microsoftin tietoturvaohjeissa MS07-011, MS07-012 ja MS07-013 kuvatut haavoittuvuudet koskevat kaikkia Windows-järjestelmiä Vistaa lukuun ottamatta. MS07-013 koskee lisäksi useimpia Microsoft Office -ohjelmistoja Officen versiota 2007 lukuun ottamatta.

Kymmenes päivitys (MS07-014) koskee kaikkia Microsoft Office -ohjelmistoja versiota 2007 lukuun ottamatta, sekä kaikkia Microsoft Works -ohjelmistoja.

Yhdestoista päivitys (MS07-015) koskee useimpia Microsoft Office -ohjelmistoja Officen versiota 2007 lukuun ottamatta.

Kahdestoista päivitys (MS07-016) koskee kaikkia Internet Explorer -versioita kaikissa Windows-käyttöjärjestelmäversioissa lukuun ottamatta Internet Explorer 7:ää Windows Vistassa.

Tarkemmat tiedot haavoittuvista Microsoft Windows käyttöjärjestelmäversioista on saatavilla valmistajan julkaisemista tiedotteista.

Ratkaisu- ja rajoitusmahdollisuudet

Korjaavat ohjelmistopäivitykset voi ladata Windowsin päivitystyökalulla. Helpoin tapa päivitysten asentamiseen on Microsoftin päivityspalvelu:

http://update.microsoft.com

Osaa haavoittuvuuksista voi myös rajoittaa muuttamalla Internet Explorer -selaimen suojausasetukset korkeiksi. Katso tarkemmat ohjeet Microsoftin turvaohjeesta.

ActiveX-komponentin toiminnan estäminen

ActiveX-komponentteihin liittyviä haavoittuvuuksia voi rajoittaa estämällä väliaikaisesti haavoittuvan ActiveX-komponentin toiminnan, tai poistamalla ne toiminnasta kokonaan. Estotoimenpide tapahtuu Microsoftin tietoturvaohjeen mukaisesti. Estoon tarvittavat CLSID-arvot sekä muut rajoitustoimenpiteet mainitaan Microsoftin tietoturvaohjeissa MS07-008, MS07-009 ja MS07-016.

Haavoittuvan ohjelmiston poistaminen

Joitakin haavoittuvuuksista voi rajoittaa poistamalla haavoittuvat ohjelmistot. Ohjeet tähän löytyvät Microsoftin tietoturvaohjeista MS07-005, MS07-011, MS07-012 ja MS07-013.

Palvelun toiminnan estäminen

Palveluihin liittyviä haavoittuvuuksia voi rajoittaa poistamalla ne toiminnasta. Ohjeet tähän löytyvät Microsoftin tietoturvaohjeista MS07-006 ja MS07-007.

Lisätietoa

http://www.microsoft.com/technet/security/Bulletin/MS07-005.mspx
http://www.microsoft.com/technet/security/Bulletin/MS07-006.mspx
http://www.microsoft.com/technet/security/Bulletin/MS07-007.mspx
http://www.microsoft.com/technet/security/Bulletin/MS07-008.mspx
http://www.microsoft.com/technet/security/Bulletin/MS07-009.mspx
http://www.microsoft.com/technet/security/Bulletin/MS07-010.mspx
http://www.microsoft.com/technet/security/Bulletin/MS07-011.mspx
http://www.microsoft.com/technet/security/Bulletin/MS07-012.mspx
http://www.microsoft.com/technet/security/Bulletin/MS07-013.mspx
http://www.microsoft.com/technet/security/Bulletin/MS07-014.mspx
http://www.microsoft.com/technet/security/Bulletin/MS07-015.mspx
http://www.microsoft.com/technet/security/Bulletin/MS07-016.mspx

CVE-2006-3448 CVE-2007-0211 CVE-2007-0210 CVE-2007-0214
CVE-2006-5559 CVE-2006-5270 CVE-2007-0026 CVE-2007-0025
CVE-2007-1311 CVE-2006-5994 CVE-2006-6456 CVE-2006-6561
CVE-2007-0208 CVE-2007-0209 CVE-2007-0515 CVE-2006-3877
CVE-2007-0671 CVE-2006-4697 CVE-2007-0219 CVE-2007-0217

http://blogs.technet.com/msrc/archive/2006/10/27/adodb-connection-poc-published.aspx
http://blogs.technet.com/msrc/archive/2006/12/10/new-report-of-a-word-zero-day.aspx
http://blogs.technet.com/msrc/archive/2006/12/15/update-on-current-word-vulnerability-reports.aspx
http://www.microsoft.com/technet/security/advisory/929433.mspx
http://www.microsoft.com/technet/security/advisory/932114.mspx
http://www.microsoft.com/technet/security/advisory/932553.mspx
http://technet2.microsoft.com/WindowsServer/en/library/910d7a79-fd6f-447e-9bb1-bc9e57d54ec41033.mspx?mfr=true
http://support.microsoft.com/kb/240797

Päivityshistoria

Asiasanat: Tietoturva , Varoitukset

LinkedIn Print

Yhteystiedot

logo

Viestintävirasto

Kyberturvallisuuskeskus

PL 313, 00181 Helsinki


Mediayhteydenotot puhelimitse 0295 390 248