Haavoittuvuuksia Internet Explorer -selaimessa

Microsoft on julkaissut päivityksen neljään Internet Explorer -haavoittuvuuteen. Haavoittuvuuksista kolme ensin mainittua on erittäin vakavia.

Ensimmäinen haavoittuvuuksista liittyy IE:n virheellisesti sallimaan tapaan tallentaa tiedosto www-sivulta kohdejärjestelmään (ns. drag and drop -operaatio). Haavoittuvuutta hyväksikäyttämällä hyökkääjän voi olla mahdollista tallentaa vihamielinen ohjelmatiedosto kohdejärjestelmään haluamaansa hakemistoon. Tiettyihin hakemistoihin tallennetut tiedostot suoritetaan automaattisesti esimerkiksi järjestelmän käynnistymisvaiheessa. Www-sivun lisäksi haavoittuvuutta voi olla mahdollista hyväksikäyttää HTML-muotoisen sähköpostin välityksellä. Haavoittuvuuteen on julkisesti saatavilla oleva hyödyntämismenetelmä.

Toinen haavoittuvuuksista liittyy tiettyjen koodattujen URL:ien (Uniform Resource Locator) käsittelyyn. Kolmas haavoittuvuuksista liittyy DHTML-toiminteiden prosessointiin. Molempia haavoittuvuuksia voi olla mahdollista hyväksikäyttää www-sivun tai sähköpostin välityksellä. Haavoittuvuuksia hyväksikäyttämällä hyökkääjän voi pahimmassa tapauksessa suorittaa kohdejärjestelmässä omia komentojaan.

Neljäs haavoittuvuuksista liittyy CDF (Channel Definition Format) -tiedostoista löytyvien URL:ien käsittelyyn. Haavoittuvuus johtaa eri turvavyöhykkeiden välisen suojauksen pettämiseen. Haavoittuvuutta hyväksikäyttämällä hyökkääjän voi olla mahdollista suorittaa omia komentojaan kohdetietojärjestelmässä tai päästä käsiksi oikeudettomasti järjestelmän tietoihin.

Varoituksen kohderyhmä

  • Microsoft Internet Explorer

Ratkaisu- ja rajoitusmahdollisuudet

Päivitä haavoittuva selainohjelmisto valmistajan ohjeiden mukaan.

Lisätietoa

http://www.microsoft.com/technet/security/bulletin/MS05-014.mspx

http://jouko.iki.fi/adv/zonespoof-fi.html

Päivityshistoria


Asiasanat: Tietoturva, Varoitukset


Google+ Print