Microsoft on eilen 17.12.2008 n. Klo 20.00 julkistanut yhden uuden tietoturvatiedotteen, tiedotteen MS08-078, normaalin tietoturvatiedotteiden julkaisuaikataulun ulkopuolella. Tiedote koskee kaikkia tällä hetkellä tuettuja Windows-käyttöjärjestelmän ja Internet Explorer -selaimen versioita. Tiedotteessa kuvattu haavoittuvuus antaa vihamieliselle hyökkääjälle mahdollisuuden suorittaa haluamaansa ohjelmakoodia kohteena olevassa järjestelmässä (Remote Code Execution -tyyppinen haavoittuvuus). Tiedotteessa kuvattu haavoittuvuus on ollut jo julkisesti tiedossa ja Microsoft on aiemmin tiedottanut siitä Security Advisoryn 961051 välityksellä. Tämän takia Microsoft julkaisi tiedotteen ja siihen liittyvät korjaukset normaalin aikataulun ulkopuolella.

 

Microsoft suosittelee korjauksen asentamista mahdollisimman nopeasti.

 

Englanninkielinen tietoturvatiedote löytyy osoitteesta http://www.microsoft.com/technet/security/bulletin/ms08-078.mspx.

 

=========================================== 

 

MS08-078 Security Update for Internet Explorer (960714)

Luokitus: Kriittinen (Critical)

Vaikutus: Remote Code Execution

 

Tiedote MS08-078 koskee Internet Explorer -selaimesta löydettyä haavoittuvuutta. Haavoittuvuus liittyy Internet Explorerin tapaan käyttää ns. data binding -toimintoja. Joissain tapauksissa Internet Explorer saattaa vapauttaa data binding -toiminnallisuuteen liittyvän objektin mutta jättää objektien listan päivittämättä. Tämä saattaa aiheuttaa sen, että käytöstä poistetun ja vapautetun objektin varaama muistialue jää edelleen käyttöön, ja jos vihamielinen hyökkääjä käyttää muistialuetta, aiheuttaa se Internet Explorerin kaatumisen niin, että hyökkääjä pääsee sitä kautta suorittamaan haluamaansa ohjelmakoodia (Remote Code Execution -tyyppinen haavoittuvuus). Ohjelmakoodi suoritetaan järjestelmään kirjautuneen käyttäjän käyttöoikeuksilla.

 

Vihamielinen hyökkääjä voi hyödyntää haavoittuvuutta luomalla tietyllä tavalla muotoillun webbisivun, ja sen jälkeen houkuttelemalla käyttäjän avaamaan kyseinen sivu Internet Explorer -selaimessa. Lisätietoja haavoittuvuudesta on englanninkielisessä tiedotteessa osoitteessa http://www.microsoft.com/technet/security/Bulletin/MS08-078.mspx.

 

Haavoittuvuutta on jo hyödynnetty Internetissä, minkä johdosta Microsoft suosittelee, että korjaus asennetaan mahdollisimman nopeasti.

 

Huomautuksia:

- Haavoittuvuuden aiheuttamaa riskiä voidaan pienentää käyttämällä Internet Explorerin tietoturva-asetuksia, tai poistamalla dta binding -ominaisuudet käytöstä tai rajoittamalla niiden käyttöä. Lisätietoja on englanninkielisen tiedotteen Workarounds-osiossa osoitteessa http://www.microsoft.com/technet/security/Bulletin/MS08-078.mspx.

 

* Korjaus saattaa vaatia järjestelmän uudelleenkäynnistyksen asennuksen jälkeen.

* Korjauksen asennuksen voi peruuttaa.

* Korjaus voidaan tunnistaa MBSA-ohjelmiston (Microsoft Baseline Security Analyzer) versiolla 2.1.

* Korjaus voidaan asentaa SMS-ohjelmiston (Systems Management Server) avulla.

* Korjaus voidaan asentaa Windows Update- ja Microsoft Update -sivustojen sekä Windows Server Update Services -palvelun avulla.

* Korjaus tulee saataville Microsoftin Downloads-sivustoon (http://www.microsoft.com/downloads, linkit yksittäisiin korjauksiin löytyvät englanninkielisestä tiedotteesta osoitteessa http://www.microsoft.com/technet/security/Bulletin/MS08-078.mspx).

 

Haavoittuvuus koskee seuraavia käyttöjärjestelmiä ja selaimen yhdistelmiä:

Internet Explorer 5.01 ja Internet Explorer 6:

- Microsoft Windows 2000 (Service Pack 4)

Internet Explorer 6 ja Internet Explorer 7:

- Microsoft Windows XP (Service Pack 2 ja Service Pack 3)

- Microsoft Windows XP Professional x64 Edition (alkuperäinen versio ja Service Pack 2)

- Microsoft Windows Server 2003 (Service Pack 1 ja Service Pack 2)

- Microsoft Windows Server 2003 for Itanium-based Systems (Service Pack 1 ja Service Pack 2)

- Microsoft Windows Server 2003 x64 Edition (alkuperäinen versio ja Service Pack 2) Internet Explorer 7:

- Microsoft Windows Vista (alkuperäinen versio ja Service Pack 1)

- Microsoft Windows Vista x64 Edition (alkuperäinen versio ja Service Pack 1)

- Microsoft Windows Server 2008 (kaikki versiot)

 

Edellä mainittujen versioiden lisäksi haavoittuvuus koskee myös Internet Explorerin version 8 beta 2 -versiota. Lisätietoja on englanninkielisen tiedotteen FAQ-osiossa.

 

Haavoittuvuuteen liittyviä lisätietoja ja linkit korjauksen eri versioihin löytyvät Microsoftin Web-sivustosta seuraavista osoitteista:

http://www.microsoft.com/technet/security/bulletin/ms08-dec.mspx

http://www.microsoft.com/technet/security/Bulletin/MS08-078.mspx

http://support.microsoft.com/kb/960714