DirectShow-haavoittuvuuden korjaustoimet jatkuvat

Laajavaikutteisten haavoittuvuuksien vaikutusaluetta on usein hankala määrittää.

Microsoft julkaisi kuluvan viikon tiistaina 28.7 korjauksen VisualStudio-kehitysympäristön ATL-kirjastoon. Haavoittuvuudet havaittiin ensimmäiseksi haavoittuvuustiedotteessa 58/2009 mainitun DirectShow-kehyksen haavoittuvuuden korjausprosessin yhteydessä. Haavoittuvuuksien vaikutukset eivät rajoitu pelkkään kehitysympäristöön, sillä virheellistä kirjastoversiota käyttäen luodut komponentit ja kontrollit ovat myös haavoittuvia.

Microsoftin ecostrat-blogiartikkelin mukaan haavoittuvuuksien korjausprosessiin on kuulunut poikkeuksellisen paljon kommunikaatiota kirjastoa käyttävien kolmansien osapuolten kanssa. Tähän mennessä Adobe ja Cisco ovat julkaisseet päivityksensä ATL-haavoittuvuuteen liittyen. Microsoft on pyytänyt ohjelmistovalmistajia kertomaan heille komponenttiensa haavoittuvista versioista, jotta nämä voitaisiin lisätä tuleviin kill bit -päivityksiin. Ns. kill bit -toiminnallisuudella estetään rekisterissä lueteltujen haavoittuvien ActiveX-kontrollien ajo Windows-järjestelmissä.

Viimeksi kirjastot tuottivat harmia Microsoftille viime vuoden syyskuussa, kun haavoittuvaa GDI-kirjastoa levitettiin Microsoftin omien komponenttien lisäksi myös kolmansien osapuolten toimesta. Nämä tapaukset osoittavat, että yksittäisen haavoittuvuuden laskeumaa voi olla mahdoton arvioida, mikä monimutkaistaa niiden korjausprosessia tavattomasti. CERT-FI kehottaa asentamaan sekä Microsoftin haavoittuvuudet korjaavan päivityksen että kill bit -päivitykset, ja seuraamaan korjaustilannetta aktiivisesti muiden käytettyjen komponenttien osalta.


Asiasanat: Tietoturva, Tietoturva nyt!


Google+ Print