Päivitys Security Advisoryyn 961051

  • Article

Viime viikon lopulla Microsoft julkisti Security Advisoryn 961051, joka koskee Internet Explorer -selaimesta havaittua haavoittuvuutta. Security Advisorya on päivitetty viikonlopun aikana pariinkin otteeseen - päivitykset koskevat lähinnä kahta asiaa:

  1. Alkuperäisestä tiedotteesta poiketen haavoittuvuus koskee kaikkia Internet Explorerin tällä hetkellä tuettuja versioita (5.01, 6.0 ja 7.0, ja näiden lisäksi myös 8.0 beta).
  2. Tiedotteeseen on lisätty uusia Workaround-keinoja, joiden avulla haavoittuvuuden aiheuttamaa riskiä voidaan pienentää.

Haavoittuvuus sijaitsee siis Internet Explorerissa, ja tarkemmin IE:n DHTML-käsittelyssä. Hyvä kuvaus haavoittuvuudesta ja myös keinoista, joilla riskiä voidaan pienentää, löytyy Security Vulnerability Research & Defense -blogista.

Kuten mainittu, advisoryssä on mainittu uusia workaroundeja, eli keinoja haavoittuvuuden aiheuttaman riskin pienentämiseen. Keinot voidaan karkeasti jakaa kolmeen ryhmään:

  1. Keinot, joidan avulla estetään tällä hetkellä tunnetut hyökkäysvektorit, eli MSHTML.DLL-tiedoston ja/tai OLEDB-toiminnallisuuden käyttö IE:n kautta:
    1. ns. XML Island -toiminnallisuuden poistaminen käytöstä
    2. Row Position -toiminnallisuuden poistaminen käytöstä OLEDB32.DLL-tiedostossa
    3. OLEDB32.DLL-tiedoston käytön estäminen IE:ssä käyttämällä ACL-määrityksiä
    4. OLEDB32.DLL-tiedoston rekisteröinnin peruutus tai käytön esto käyttämällä ACL-määrityksiä
    5. Data Binding -toiminnallisuuden poistaminen käytöstä (vain IE 8).
  2. Keinot, joiden avulla suojellaan järjestelmää laajemmin haavoittuvuuden aiheuttamalta riskiltä, eli jo aiemmin Advisoryssä mainitut keinot:   
    1. Active Scripting -toiminnallisuuden estäminen Internet- ja Local Intranet -vyöhykkeissä.
    2. Internet- ja Local Intranet -vyöhykkeiden tietoturvan asettaminen tilaan High, jolloin käyttäjältä kysytään lupa aina, kun jokin sivusto haluaa käyttää Active SCripting -toiminnallisuutta.
  3. Keinot, joilla vaikeutetaan Heap-muistin käsittelyä hyökkäystarkoituksessa:
    1. DEP-toiminnallisuuden käyttöönotto Internet Explorer 7:ssä ja Windows Vistassa tai Windows Server 2008:ssa.

Ryhmän 1. keinojen avulla voidaan estää tällä hetkellä tunnettujen hyökkäyksien toiminta. On kuitenkin suositeltavaa näiden keinojen lisäksi käyttää jotain ryhmän 2. keinoa, jotta IE:tä suojellaan myös laajemmin. Lisätietoja näistä kaikista keinoista on varsinaisessa englanninkielisessä Advisoryssä sekä edellä mainitussa SWI-blogin artikkelissa:

https://www.microsoft.com/technet/security/advisory/961051.mspx
https://blogs.technet.com/swi/archive/2008/12/12/Clarification-on-the-various-workarounds-from-the-recent-IE-advisory.aspx