Background Print only logo
Viestintäviraston etusivulle
Etusivu | | | | | | | |

CERT-FI

PL 313
00181 Helsinki
Puh: 09 6966 510
Fax: 09 6966 515

Salausavaimet

Viestintävirasto

Itämerenkatu 3 A
00180 HELSINKI
Puh: 09 6966 500
Fax: 09 6966 410

Tarkat yhteystiedot

Tietoa evästeistä

 Etusivu > Haavoittuvuudet > 2008 > CERT-FI haavoittuvuustiedote 145/2008

CERT-FI haavoittuvuustiedote 145/2008

Palvelimet ja palvelinsovellukset Työasemat ja loppukäyttäjäsovellukset Verkon aktiivilaitteet Matkaviestimet Sulautetut järjestelmät Muut

9.12.2008

Microsoftin joulukuun 2008 ohjelmistopäivitykset

     
Kohde: - palvelimet ja palvelinsovellukset
- työasemat ja loppukäyttäjäsovellukset
Lisätietoja
Hyökkäystapa: - paikallisesti
- etäkäyttö
Lisätietoja
Hyväksikäyttö: - komentojen mielivaltainen suorittaminen
- käyttövaltuuksien laajentaminen
- luottamuksellisen tiedon hankkiminen
Lisätietoja
Ratkaisu: - korjaava ohjelmistopäivitys
- ongelman rajoittaminen
Lisätietoja

Microsoft on julkaissut 8 ohjelmistopäivitystä, jotka korjaavat 28 Windows-käyttöjärjestelmän ja sen komponenttien, Microsoft Officen, Microsoftin ohjelmistokehitystyökalujen sekä Sharepoint Serverin haavoittuvuutta. Ohjelmistopäivityksistä kuusi on luokiteltu korkeimmalta vakavuusluokitukseltaan kriittisiksi ja kaksi tärkeiksi.

Päivitys MS08-070 korjaa kuusi haavoittuvuutta Visual Basic 6.0 Runtime Extended Files -paketin ActiveX-kontrolleista. Osa näistä kuudesta haavoittuvuudesta liittyy myös Visual Studio .NET, Visual FoxPro ja Office FrontPage -tuotteisiin. Haavoittuvuudet mahdollistavat hyökkääjän oman ohjelmakoodin suorittamisen. Haavoittuvuuksia voi hyväksikäyttää muun muassa houkuttelemalla käyttäjä tietyllä tavalla laaditulle www-sivustolle Internet Explorer -selainta käyttäen. Yhteen haavoittuvuuksista on olemassa julkinen hyväksikäyttömenetelmä. Haavoittuvia ActiveX-komponentteja saattaa olla käytetty myös kolmannen osapuolen ohjelmistotuotteissa. Joissakin tapauksissa nämä kolmansien osapuolten tuotteet täytyy päivittää erikseen.

Päivitys MS08-071 korjaa kaksi haavoittuvuutta Microsoftin GDI -rajapinnassa. Toinen haavoittuvuuksista antaa hyökkääjälle mahdollisuuden suorittaa omia komentojaan kohdejärjestelmässä ja toisen hyväksikäyttö voi johtaa haavoittuvan järjestelmän palvelunestotilaan. Haavoittuudet liittyvät kaikkiin tuettuihin Windows-versiohin (2000, XP, Server 2003, Vista ja Server 2008) ja niiden GDI-kirjastoja käyttäviin sovelluksiin. Haavoittuvuudet liittyvät WMF (Windows Metafile) -tiedostojen käsittelyyn. Haavoittuvuuksia voi hyväksikäyttää houkuttelemalla käyttäjä tietyllä tavalla muokatun WMF-kuvan sisältävälle www-sivustolle tai muulla tavalla houkuttelemalla käyttäjä avaamaan vihamielisesti muotoillun WMF-kuvan. Myös kolmansien osapuolten tuotteet, joiden mukana jaetaan erikseen GDI -rajapinta, voivat olla haavoittuvia. Joissakin tapauksissa nämä kolmansien osapuolten tuotteet täytyy päivittää erikseen.

Päivitys MS08-072 korjaa kahdeksan haavoittuvuutta Microsoft Wordin eri versioista (2000, 2002, 2003, 2007, Mac-versiot), Microsoft Worksista, Outlook 2007:sta ja eri Compatibility Packeista. Viisi haavoittuvuuksista liittyy Wordin ja muiden edellä mainittujen sovellusten tapaan käsitellä RTF -tiedostoja. Loput kolme haavoittuvuutta liittyvät kyseisten sovellusten tapaan käsitellä Word-tiedostoja. Microsoft luokittelee päivityksen kriittiseksi. Haavoittuvuudet mahdollistavat hyökkääjän oman ohjelmakoodin suorittamisen kohdejärjestelmässä. Haavoittuvuutta voi hyväksikäyttää houkuttelemalla käyttäjä avaamaan tietyllä tavalla muotoiltu Word- tai RTF-tiedosto. Hyväksikäyttö onnistuu myös houkuttelemalla haavoittuvaa Outlook-versiota käyttävä käyttäjä avaamaan tai esikatselemaan tietyllä tavalla muotoiltu RTF-muodossa oleva sähköposti. Tällöin Microsoft Wordin tulee kuitenkin olla asetettu Outlookin oletussähköpostieditoriksi.

Päivitys MS08-073 on kumulatiivinen päivitys Internet Explorer -ohjelmiston versioihin 5.01, 6 ja 7. Päivitys korjaa neljä Internet Explorerin haavoittuvuutta. Haavoittuvuudet on luokiteltu korkeimmalta vakavuusluokitukseltaan kriittisiksi. Haavoittuvuuksien hyväksikäyttö mahdollistaa hyökkääjän omien komentojen suorittaminen kohdejärjestelmässä. Haavoittuvuuksia voi hyväksikäyttää houkuttelemalla käyttäjä tietyllä tavalla muotoillulle www-sivustolle.

Päivitys MS08-074 korjaa Microsoft Office Excelin eri versioista (2000, 2002, 2003, 2007 ja Mac-versiot), Excel Viewer-tuotteista ja Compatibility Packeista kolme korkeimmalta vakavuusluokitukseltaan kriittistä haavoittuvuutta. Kaikki kolme haavoittuvuutta mahdollistavat hyökkääjän oman ohjelmakoodin suorittamisen. Haavoittuvuuksia voi hyväksikäyttää houkuttelemalla käyttäjä avaamaan tietyllä tavalla muotoiltu Excel-dokumentti.

Päivitys MS08-075 korjaa kaksi haavoittuvuutta Windows Vista ja Windows Server 2008 käyttöjärjestelmien Windows Search -komponenteista. Toinen haavoittuvuuksista on luokiteltu kriittiseksi ja toinen tärkeäksi. Molemmat antavat hyökkääjälle mahdollisuuden suorittaa omaa ohjelmakoodiaan. Toisen haavoittuvuuden hyväksikäyttö tapahtuu houkuttelemalla käyttäjä tallentamaan tietyllä tavalla muokattu Windows Search -hakutiedosto Windows Explorerilla. Toista haavoittuvuutta voi hyväksikäyttää houkuttelemalla käyttäjä tietyllä tavalla muotoillulle www-sivustolle.

Päivitys MS08-076 korjaa kaksi haavoittuvuutta Windows Media komponenteissa ja niitä käyttävissä sovelluksissa (Windows Media Player versio 6.4, Windows Media Format Runtime versiot 7.1, 9.0, 9.5 ja 11 sekä Windows Media Services versiot 4.1, 9 ja 2008). Toinen haavoittuvuuksista mahdollistaa hyökkääjän oman ohjelmakoodin suorittamisen ja toinen luottamuksellisen tiedon hankkimisen. Haavoittuuksien hyväksikäyttö vaatii, että käyttäjä ottaa haavoittuvaa komponenttia käyttävällä sovelluksella yhteyttä vihamieliseen palvelimeen.

Päivitys MS08-077 korjaa Microsoft Office Sharepoint Serverin hakupalvelimessa (versiot Sharepoint Server 2007 ja Search Server 2008) olevan käyttöoikeuksien laajentamisen mahdollistavan haavoittuvuuden. Haavoittuvuus on luokiteltu tärkeäksi.

HAAVOITTUVAT OHJELMISTOT:

  • Windows 2000, XP, Server 2003, Vista, Server 2008
  • Microsoft Office Word 2000, 2002, 2003 ja 2007 ja Microsoft Office Word Viewer 2003
  • Microsoft Office Excel 2000, 2002, 2003, 2007 ja Microsoft Office Excel Viewer 2003
  • Microsoft Works 8.0 ja 8.5, Microsoft Office Outlook 2007
  • Microsoft Office 2004 for Mac, Microsoft Office 2008 for Mac
  • Microsoft Visual Basic 6.0 Runtime Extended Files, Visual Studio .NET 2002, Visual Studio .NET 2003
  • Microsoft Visual FoxPro, Microsoft Office Frontpage
  • Microsoft Internet Explorer 5.01, 6 ja 7
  • Windows Media Player versio 6.4, Windows Media Format Runtime versiot 7.1, 9.0, 9.5 ja 11
  • Windows Media Services versiot 4.1, 9 ja 2008
  • Microsoft Office Sharepoint Server 2007 ja Microsoft Search Server 2008

Tarkemmat tiedot haavoittuvista ohjelmistoista saa Microsoftin julkaisemista tiedotteista.

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Päivitä haavoittuvat ohjelmistot ohjelmistovalmistajan ohjeiden mukaisesti. Helpoin tapa päivittää käyttöjärjestelmä on Microsoftin automaattinen päivityspalvelu:

http://update.microsoft.com

LISÄTIETOA:

  • http://www.microsoft.com/technet/security/bulletin/MS08-070.mspx
  • http://www.microsoft.com/technet/security/bulletin/MS08-071.mspx
  • http://www.microsoft.com/technet/security/bulletin/MS08-072.mspx
  • http://www.microsoft.com/technet/security/bulletin/MS08-073.mspx
  • http://www.microsoft.com/technet/security/bulletin/MS08-074.mspx
  • http://www.microsoft.com/technet/security/bulletin/MS08-075.mspx
  • http://www.microsoft.com/technet/security/bulletin/MS08-076.mspx
  • http://www.microsoft.com/technet/security/bulletin/MS08-077.mspx

  • CVE-2008-2249, CVE-2008-3009, CVE-2008-3010, CVE-2008-3465
  • CVE-2008-3704, CVE-2008-4024, CVE-2008-4025, CVE-2008-4026
  • CVE-2008-4027, CVE-2008-4028, CVE-2008-4030, CVE-2008-4031
  • CVE-2008-4032, CVE-2008-4252, CVE-2008-4253, CVE-2008-4254
  • CVE-2008-4255, CVE-2008-4256, CVE-2008-4258, CVE-2008-4259
  • CVE-2008-4260, CVE-2008-4261, CVE-2008-4264, CVE-2008-4265
  • CVE-2008-4266, CVE-2008-4268, CVE-2008-4269, CVE-2008-4837

    • PÄIVITYSHISTORIA:

    9.12.2008, kello 20.51: Julkaistu

     Kommentoi 
    Sivua päivitetty 09.12.2008   Tulostusversio Tulostusversio