CERT-FI haavoittuvuustiedote 056/2010

Kriittinen päivitys Internet Explorer -selaimille

Kohde:	- työasemat ja loppukäyttäjäsovellukset	Lisätietoja
Hyökkäystapa:	- etäkäyttö	Lisätietoja
Hyväksikäyttö:	- komentojen mielivaltainen suorittaminen - luottamuksellisen tiedon hankkiminen	Lisätietoja
Ratkaisu:	- korjaava ohjelmistopäivitys	Lisätietoja

Microsoft julkaisi tänään tavallisen päivityssyklin ulkopuolisen päivityksen Internet Explorer -selaimille. Kymmenen paikkaa sisältävä paketti koskee kaikkia tuettuja selainversiota. Useat haavoittuvuudet voivat paikkaamattomina mahdollistaa komentojen mielivaltaisen suorittamisen kohdejärjestelmässä. Yksi tällainen haavoittuvuus on CVE-2010-0806, jota käytetään hyväksi hyökkäyksissä ja josta kirjoitimme CERT-FI:n haavoittuvuustiedotteessa 047/2010.

Päivitetty 31.3.2010: Microsoftin blogi-artikkelin mukaan nyt korjatut haavoittuvuudet eivät paikkaa CanSecWest-konferenssissa esille tulleen Internet Explorer -selainta koskevan haavoittuvuuden.

HAAVOITTUVAT OHJELMISTOT:

• Microsoft Internet Explorer 5.01
• Microsoft Internet Explorer 6
• Microsoft Internet Explorer 7
• Microsoft Internet Explorer 8
  

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Päivitä haavoittuvat ohjelmistot valmistajan ohjeiden mukaisesti. Helpoin tapa päivittää Microsoft-järjestelmät on käyttää Microsoftin automaattista päivitystyökalua.

LISÄTIETOA:

• http://www.microsoft.com/technet/security/Bulletin/MS10-018.mspx
• http://blogs.technet.com/msrc/archive/2010/03/30/security-bulletin-ms10-018-released.aspx
• CVE-2010-0267, CVE-2010-0488, CVE-2010-0489, CVE-2010-0490,
• CVE-2010-0491, CVE-2010-0492, CVE-2010-0494, CVE-2010-0805,
• CVE-2010-0806, CVE-2010-0807
• CERT-FI haavoittuvuustiedote 047/2010
  

PÄIVITYSHISTORIA:

30.3.2010, kello 19.55: Julkaistu
31.3.2010, kello 7.48: Lisätty linkki MSRC:n blogiin

Sivua päivitetty 31.03.2010

Tulostusversio