Korjaus VML-haavoittuvuuteen julkistettu
Microsoft on eilen 26.9.2006 n. klo 22.00 normaaliaikataulusta poiketen julkistanut korjauksen Windowsissa viime viikolla havaittuun VML-haavoittuvuuteen. Korjauksesta on lisätietoja alla. Samassa yhteydessä on julkaistu uudelleen myös tietoturvatiedotteen MS06-049 mukainen korjaus. Alkuperäisessä, elokuussa julkaistussa korjauksessa havaittiin tietyissä tilanteissa ongelmia, jotka saattoivat aiheuttaa tiedon korruptoitumista, ja nämä ongelmat on korjattu nyt uudelleenjulkaistussa korjauksessa. Myös uudelleenjulkaistusta tiedotteesta on lisätietoja alla.
=======================
1. Tietoturvatiedote MS06-055
=======================
Luokitukseltaan kriittiset (Critical) tietoturvatiedotteet:
MS06-055 Haavoittuvuus Windowsin VML-toteutuksessa (925486)
Käyttöjärjestelmät, joita tiedote koskee:
=================================================
| Tiedote | Windows | Windows | Windows Server |
| | 2000 | XP | 2003 |
-------------------------------------------------
| MS06-055 | XXXX | XXXX | XXXX |
=================================================
Tietoja Microsoftin tietoturvatiedotteisiin liittyvästä tiedottamisesta löytyy osoitteesta https://www.microsoft.com/finland/security/info/. Yleisiä huomioita tietoturvatiedotteista löytyy osoitteesta https://www.microsoft.com/finland/security/info/bulletins.asp.
==============================
MS06-055 - Vulnerability in Vector Markup Language Could Allow Remote Code Execution (925486)
Luokitus: Kriittinen (Critical)
Tiedote MS06-055 sisältää korjauksen viime viikolla havaittuun haavoittuvuuteen Windowsin VML-tiedostojen (Vector Markup Language) käsittelyssä.
VML-tiedosto on XML-muotoinen kuvatiedosto, jonka avulla voidaan välittää vektorimuotoista kuvainformaatiota. Vihamielinen hyökkääjä voi hyödyntää haavoittuvuutta luomalla tietyllä tavalla muotoillun, VML-tietoa sisältävän web-sivun, ja houkuttelemalla käyttäjän avamaan sivun Internet
Explorer -selaimessa, tai välittämällä kuvan käyttäjälle sähköpostin välityksellä, jolloin kuvan avaaminen tai esikatselu Outlook-sähköpostisovelluksessa voi aiheuttaa puskuriylivuodon VML-tiedostoja käsittelevässä VGX.DLL-komponentissa.
Haavoittuvuus antaa hyökkääjälle mahdollisuuden suorittaa haluamaansa ohjelmakoodia kohteena olevassa järjestelmässä (Remote Code Execution –tyyppinen haavoittuvuus). Ohjelmakoodi suoritetaan järjestelmään kirjautuneen käyttäjän käyttöoikeuksilla.
Huomautuksia:
- Microsoft on aiemmin julkaissut haavoittuvuudesta Security Advisoryn 925568. Sekä Advisoryssä että tiedotteessa MS06-055 kuvataan keinoja, joilla haavoittuvuuden aiheuttamaa riskiä voidaan pienentää. Näitä keinoja ovat mm. VGX.DLL-tiedoston rekisteröinnin peruutus regsvr32-komennolla tai tiedoston käyttöoikeuksien muuttaminen.
ON EHDOTTOMAN TÄRKEÄÄ HUOMATA SEURAAVAA:
- Mikäli järjestelmässä on tehty Advisoryn mukaiset toimet – poistettu VGX.DLL-tiedoston rekisteröinti JA/TAI muutettu VGX.DLL-tiedoston käyttöoikeuksia - nämä toimet ON PERUUTETTAVA, eli palautettava tiedoston rekisteröinti regsvr32-komennolla JA/TAI palautettava VGX.DLL-tiedoston oletuskäyttöoikeudet. Muussa tapauksessa korjaus ei ehkä asennu oikein järjestelmään.
Lisätietoja on englanninkielisen tiedotteen Workarounds-osiossa.
* Korjaus vaatii yleensä järjestelmän uudelleenkäynnistyksen asennuksen jälkeen.
* Korjauksen asennus voidaan peruuttaa.
- Organisaatiot voivat hakea korjauksen Microsoftin Downloads-sivustosta (linkit korjauksen eri versioihin löytyvät englanninkielisestä tietoturvatiedotteesta osoitteessa
https://www.microsoft.com/technet/security/Bulletin/MS06-055.mspx) tai käyttämällä Windows Server Update Service- (WSUS) tai Software Update Service –palvelua (SUS).
- Korjaus voidaan asentaa Systems Management Server -palvelimen (SMS) avulla.
- Loppukäyttäjät voivat asentaa korjauksen käyttämällä Windowsin automaattista päivitystoimintoa tai lataamalla korjauksen Microsoft Update –sivustosta osoitteesta https://update.microsoft.com/microsoftupdate.
- Korjaus voidaan tunnistaa käyttämällä Microsoft Baseline Security Analyzer –ohjelmistoa (MBSA). Lisätietoja MBSA-ohjelmistosta löytyy osoitteesta https://www.microsoft.com/technet/security/tools/mbsahome.mspx.
Haavoittuvuus koskee seuraavia käyttöjärjestelmiä:
- Microsoft Windows 2000 (Service Pack 4)
- Erillinen korjaustiedosto sekä IE 5.01- että IE 6 Service Pack 1 -selaimille
- Microsoft Windows XP (Service Pack 1 ja Service Pack 2)
- Microsoft Windows XP Professional x64 Edition
- Microsoft Windows Server 2003 (alkuperäinen versio ja Service Pack 1)
- Microsoft Windows Server 2003 for Itanium-based Systems (alkuperäinen versio ja Service Pack 1)
- Microsoft Windows Server 2003 x64 Edition
Korjaus ja haavoittuvuuteen liittyviä lisätietoja löytyvät myös Microsoftin Web-sivustosta seuraavista osoitteista:
https://www.microsoft.com/technet/security/Bulletin/MS06-055.mspx
https://support.microsoft.com/kb/925486
===============================
2. Uudelleenjulkaistu tiedote MS06-049
===============================
Microsoft julkaisi elokuussa tiedotteen MS06-049, joka koski Windowsin Kernelissä havaittua Elevation of Privilege -haavoittuvuutta. Tiedotteen mukaisessa Windows 2000 Service Pack 4 -järjestelmille tarkoitetussa korjauksessa havaittiin myöhemmin ongelma, joka saattoi aiheuttaa tiedon korruptoitumista tietyissä tilanteissa. Lisätietoja ongelmista on Knowledge Base - artikkelissa 920958 osoitteessa https://support.microsoft.com/kb/920958.
Korjaus on nyt julkistettu uudelleen Windows 2000 Service Pack 4 -käyttöjärjestelmällä varustettuja järjestelmiä varten. Mikäli näihin järjestelmiin on asennettu tiedotteen mukainen alkuperäinen korjaus, on niihin syytä asentaa uudelleenjulkistettu korjaus.