Background Print only logo
Viestintäviraston etusivulle
Etusivu | | | | | | | |

CERT-FI

PL 313
00181 Helsinki
Puh: 09 6966 510
Fax: 09 6966 515

Salausavaimet

Viestintävirasto

Itämerenkatu 3 A
00180 HELSINKI
Puh: 09 6966 500
Fax: 09 6966 410

Tarkat yhteystiedot

Tietoa evästeistä

 Etusivu > Haavoittuvuudet > 2004 > CERT-FI haavoittuvuustiedote 050/2004

CERT-FI haavoittuvuustiedote 050/2004

Palvelimet ja palvelinsovellukset Työasemat ja loppukäyttäjäsovellukset Verkon aktiivilaitteet Matkaviestimet Sulautetut järjestelmät Muut

14.7.2004

Haavoittuvuus Windows-käyttöjärjestelmän HTML Help -toiminnossa

     
Kohde: - palvelimet ja palvelinsovellukset
- työasemat ja loppukäyttäjäsovellukset
Lisätietoja
Hyökkäystapa: - ilman kirjautumista
- etäkäyttö
Lisätietoja
Hyväksikäyttö: - komentojen mielivaltainen suorittaminen
Lisätietoja
Ratkaisu: - korjaava ohjelmistopäivitys
Lisätietoja

HTML Help on Windows-käyttöjärjestelmissä käytössä oleva mm. ohjeiden tuottamiseen tarkoitettu toiminto. HTML Help -toiminnosta on löydetty haavoittuvuus, jota hyväksikäyttämällä hyökkääjän on mahdollista suorittaa kohdejärjestelmässä omia komentojaan. Haavoittuvuus koskettaa myös ShowHelp -toimintoa, jota käytetään Windows-käyttöjärjestelmässä mm. ohjeiden sisältämien HTML-sivustojen esittämiseen.

Hyökkääjän on mahdollista hyväksikäyttää edellä mainittuja haavoittuvuuksia mm. vihamielisen www-sivuston avulla tai HTML-pohjaisen sähköpostin, joka sisältää linkin vihamieliselle www-sivustolle, välityksellä.

Microsoft on luokitellut haavoittuvuudet Critical-luokituksen mukaisesti.

HAAVOITTUVAT OHJELMISTOT:

  • Microsoft Windows 2000 varustettuna Service Pack 2:lla, Service Pack 3:lla tai Service Pack 4:lla.

  • Microsoft Windows XP sekä Microsoft Windows XP varustettuna Service Pack 1:lla

  • Microsoft Windows XP 64-Bit Edition varustettuna Service Pack 1:lla

  • Microsoft Windows XP 64-Bit Edition Version 2003

  • Microsoft Windows Server 2003

  • Microsoft Windows Server 2003 64-Bit Edition

  • Microsoft Windows 98, Microsoft Windows 98 SE, ME

Lisätietoja haavoittuvista järjestelmistä on saatavilla osoitteesta:

http://www.microsoft.com/technet/security/bulletin/ms04-023.mspx

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Päivitä haavoittuva tietojärjestelmä korjaustiedostolla, joka on ladattavissa osoitteesta:

http://www.microsoft.com/technet/security/bulletin/ms04-023.mspx

Korjaustiedosto on ladattavissa kotitietojärjestelmään osoitteesta:

http://windowsupdate.microsoft.com

LISÄTIETOA:

http://www.microsoft.com/technet/security/bulletin/ms04-023.mspx

CVE-2004-0201 CVE-2003-1041

PÄIVITYSHISTORIA:

14.07.2004: Julkaistu
 Kommentoi 
Sivua päivitetty 27.07.2007   Tulostusversio Tulostusversio