Joulukuun 2005 tietoturvapäivitykset

Microsoft on eilen illalla Suomen aikaa julkistanut kuukausittaisen aikataulun mukaisesti kaksi (2) uutta tietoturvatiedotetta:

MS05-054 - Cumulative Security Update for Internet Explorer (905915)
Luokitus: Kriittinen (Critical)

Tiedote MS05-054 sisältää korjauksen neljään Microsoftin Internet Explorer -selainohjelmasta löytyneeseen haavoittuvuuteen:

Ensimmäinen haavoittuvuus liittyy tapaan, jolla Internet Explorer tuo näkyviin tiedostolatauksista ilmoittavan valintaikkunan. Vihamielinen hyökkääjä voi hyödyntää haavoittuvuutta luomalla tietyllä tavalla muotoillun Web-sivun ja houkuttelemalla käyttäjän sivulle. Haavoittuvuus antaa hyökkääjälle mahdollisuuden suorittaa haluamaansa ohjelmakoodia kohteena olevassa järjestelmässä (Remote Code Execution –tyyppinen haavoittuvuus).

Toinen haavoittuvuuksista liittyy Internet Explorerin tapaan välittää tietoja joillekin HTTPS-välityspalvelimille, kun palvelin edellyttää käyttäjältä Basic-käyttäjätunnistusta. Vihamielinen hyökkääjä voi haavoittuvuuuden ansiosta nähdä välityspalvelimelle välitettyjä Web-osoitteita huolimatta siitä, että yhteys on suojattu HTTPS-yhteys (Information Disclosure –tyyppinen haavoittuvuus).

Kolmas haavoittuvuus liittyy muistin korruptoitumiseen käytettäessä joitakin COM-objekteja Internet Explorerin välityksellä. Tietoturvatiedotteiden MS05-038 ja MS05-052 yhteydessä estettiin joidenkin COM-komponenttien käyttö Internet Explorerin välityksellä asettamalla näille objekteille rekisteriin ns. "kill-bitti" (lisätietoja kill-biteistä ja niiden käytöstä on Microsoftin KB-artikkelissa 240797 osoitteessa https://support.microsoft.com/kb/240797). Tässä päivityksessä asetetaan kill-bitti aiempien lisäksi myös First4Internetin tekemän XCP-ohjelmiston ActiveX-poistokomponentille. Tämän lisäksi päivitys sisältää myös kaikki aiemmissa kahdessa tiedotteessa asetetut kill-bitit.

Neljäs haavoittuvuus liittyy Internet Explorerin tapaan käsitellä joitakin DOM-objektimallin (Document Object Model) objekteja yhdessä, esimerkiksi window-objektin käyttöä Web-sivulla olevassa onLoad-tapahtumakäsittelijässä. Haavoittuvuudesta on aiemmin julkaistu Security Advisory 911302 (https://www.microsoft.com/technet/security/advisory/911302.mspx), jossa kerrotaan tietoja haavoittuvuudesta ja joitakin keinoja sen aiheuttaman riskin pienentämiseen. Tähän tiedotteeseen liittyvä päivitys korjaa haavoittuvuuden. Haavoittuvuus antaa hyökkääjälle mahdollisuuden suorittaa haluamaansa ohjelmakoodia kohteena olevassa järjestelmässä (Remote Code Execution –tyyppinen haavoittuvuus).

Edellä kuvattujen haavoittuvuuksien korjausten lisäksi korjauspaketti sisältää myös aiemmissa IE:n kumulatiivisissa korjauspaketeissa julkaistuja muutoksia, mm. kaikki tiedotteissa MS05-038 ja MS05-052 kuvatut kill-bitit, sekä muutoksia COM-objektien käsittelyyn. Lisätietoja jälkimmäisistä muutoksista on KB-artikkeleissa 909889, 909738 ja 906294 osoitteissa https://support.microsoft.com/kb/909889, https://support.microsoft.com/kb/909738 ja https://support.microsoft.com/kb/906294/.

Huomautuksia:
- Haavoittuvuuksien aiheuttamaa riskiä voidaan pienentää käyttämällä Internet Explorerin vyöhyke- ja tietoturva-asetuksia. Myös näistä keinoista on yksityiskohtaisia ohjeita englanninkielisen tietoturvatiedotteen Workarounds-osioissa.

* Korjaus vaatii järjestelmän uudelleenkäynnistyksen asennuksen jälkeen.
* Korjauksen asennus voidaan peruuttaa.

Haavoittuvuus koskee seuraavia käyttöjärjestelmiä:
- Microsoft Windows 2000 (Service Pack 4)
- Microsoft Windows XP (Service Pack 1 ja Service Pack 2)
- Microsoft Windows XP Professional x64 Edition
- Microsoft Windows Server 2003 (alkuperäinen versio ja Service Pack 1)
- Microsoft Windows Server 2003 for Itanium-based Systems (alkuperäinen versio ja Service Pack 1)
- Microsoft Windows Server 2003 x64 Edition
- Microsoft Windows 98, Microsoft Windows 98 Second Edition (SE), and Microsoft Windows Millennium Edition (ME) – Lisätietoja on tiedotteen FAQ-osiossa.

Korjaus on saatavana seuraaville Internet Explorerin versiolle em. käyttöjärjestelmäversioissa:
- Internet Explorer 5.01 (Service Pack 4) - käyttöjärjestelmä: Windows 2000 Service Pack 4
- Internet Explorer 6 (Service Pack 1) - käyttöjärjestelmä: Microsoft Windows 2000 Service Pack 4 tai Microsoft Windows XP Service Pack 1
- Internet Explorer 6 for Windows XP Service Pack 2
- Internet Explorer 6 for Windows Server 2003 (alkuperäinen versio ja Service Pack 1)
- Internet Explorer 6 for Windows Server 2003 for Itanium-based Systems (alkuperäinen versio ja Service Pack 1)
- Internet Explorer 6 for Microsoft Windows Server 2003 x64 Edition
- Internet Explorer 6 for Microsoft Windows XP Professional x64 Edition
- Internet Explorer 5.5 (Service Pack 2) - käyttöjärjestelmä: Microsoft Windows Millennium Edition – lisätietoja on tiedotteen FAQ-osiossa.
- Internet Explorer 6 (Service Pack 1) - käyttöjärjestelmä: Microsoft Windows 98, Microsoft Windows 98 SE tai Microsoft Windows Millennium Edition - lisätietoja on tiedotteen FAQ-osiossa.

Tiedotteessa kuvattuun haavoittuvuuteen on olemassa korjaus, joka on ladattavissa sivustoista https://update.microsoft.com/microsoftupdate ja https://www.microsoft.com/downloads. Korjaus ja haavoittuvuuksiin liittyviä lisätietoja löytyvät myös Microsoftin Web-sivustosta seuraavista osoitteista:

https://www.microsoft.com/technet/security/bulletin/ms05-dec.mspx
https://www.microsoft.com/technet/security/Bulletin/MS05-054.mspx
https://support.microsoft.com/kb/905915

Korjauksen luokitus on Kriittinen (Critical). Microsoft suosittelee, että korjaus asennetaan kaikkiin sellaisiin järjestelmiin, joissa on käytössä jokin edellä mainituista Windows-käyttöjärjestelmän ja Internet Explorer -selaimen versioista.

MS05-055 - Vulnerabilities in Windows Kernel Could Allow Elevation of Privilege (908523)
Luokitus: Tärkeä (Important)

Tiedote MS05-055 liittyy Windows 2000 –käyttöjärjestelmän tapaan käsitellä asynkronisia proseduurikutsuja (APC, Asynchronous Procedure Call). Haavoittuvuus antaa vihamieliselle hyökkääjälle kasvattaa kohteena olevassa tietojärjestelmässä käytössä olevia käyttöoikeuksiaan (Elevation of Privilege –tyyppinen haavoittuvuus).

Huomautuksia:
- Haavoittuvuuuden hyödyntäminen edellyttää, että vihamielinen hyökkääjä voi kirjautua kohteena olevaan järjestelmään, eli hyökkääjällä on oltava kelvollinen käyttäjätunnus ja salasana kohteena olevaan tietojärjestelmään. Haavoittuvuutta ei voi hyödyntää ilman kelvollista käyttäjätunnusta tai verkon välityksellä.

* Korjaus vaatii järjestelmän uudelleenkäynnistyksen asennuksen jälkeen.
* Korjauksen asennuksen voi peruuttaa.

Haavoittuvuus koskee seuraavia tuotteita:
- Microsoft Windows 2000 (Service Pack 4)

Haavoittuvuus EI koske seuravia tuotteita:
- Microsoft Windows XP (Service Pack 1 ja Service Pack 2)
- Microsoft Windows XP Professional x64 Edition
- Microsoft Windows Server 2003 (alkuperäinen versio ja Service Pack 1)
- Microsoft Windows Server 2003 for Itanium-based Systems (alkuperäinen versio ja Service Pack 1)
- Microsoft Windows Server 2003 x64 Edition
- Microsoft Windows 98, Microsoft Windows 98 Second Edition (SE) ja Microsoft Windows Millennium Edition (ME)

Tiedotteessa kuvattuihin haavoittuvuuksiin on olemassa korjaus, joka on ladattavissa sivustoista https://update.microsoft.com/microsoftupdate ja https://www.microsoft.com/downloads. Korjaus ja haavoittuvuuksiin liittyviä lisätietoja löytyvät myös Microsoftin Web-sivustosta seuraavista osoitteista:

https://www.microsoft.com/technet/security/bulletin/ms05-dec.mspx
https://www.microsoft.com/technet/security/bulletin/MS05-055.mspx
https://support.microsoft.com/kb/908523

Korjauksen luokitus on Tärkeä (Important). Microsoft suosittelee, että korjaus asennetaan kaikkiin sellaisiin järjestelmiin, joissa on käytössä jokin edellä mainituista Windows-käyttöjärjestelmän versioista.