Security Advisory 972890
Microsoft on viime yönä julkaissut uuden Security Advisoryn 972890 otsikolla Vulnerability in Microsoft Video ActiveX Control Could Allow Remote Code Execution. Advisory koskee Windowsin mukana toimitettavaa videonkäsittelyyn tarkoitettua ActiveX-komponenttia. Raportoitujen tietojen mukaan komponentista on löydetty haavoittuvuus, jota voidaan hyödyntää, kun ActiveX-komponenttia käytetään Internet Explorer -selaimessa. Haavoittuvuus antaa hyökkääjälle mahdollisuuden suorittaa haluamaansa ohjelmakoodia kohteena olevassa järjestelmässä. Haavoittuvuus on edelleen MSRC:n tutkinnassa. Kunhan tutkimus päättyy, Microsoft julkaisee aiheesta lisätietoja ja tarvittaessa korjauksen.
Haavoittuvuus koskee siis msvidctl.dll-komponenttia seuraavissa Windows-käyttöjärjestelmän versioissa:
- Windows XP (Service Pack 2 ja Service Pack 3)
- Windows XP Professional x64 Edition (Service Pack 2)
- Windows Server 2003 (Service Pack 2)
- Windows Server 2003 x64 Edition (Service Pack 2)
- Windows Server 2003 with SP2 for Itanium-based Systems
Haavoittuvuus EI koske Windows 2000-, Windows Vista- tai Windows Server 2008 -käyttöjärjestelmällä varustetuja järjestelmiä.
Haavoittuvuuteen ei siis vielä ole korjausta saatavilla - mitä voin tehdä haavoittuvuuden aiheuttaman riskin pienentämiseksi? No, ihan ensimmäisenä kannattaa lukaista itse Advisory - Advisoryn loppuosassa, kohdan Suggested Actions alla on Workarounds-otsikon alla dokumentoitu keino, jolla haavoittuvuuden aiheuttamaa riskiä voidaan pienentää - keino liittyy kill bit -määritysten käyttöön, eli haavoittuvuuden sisältävän ActiveX-komponentin käytön estämiseen Internet Explorerissa. Lisätietoja kill bit -määrityksistä yleensä löytyy KB-artikkelista 240797.
Lisätietoja löytyy mm. seuraavista paikoista: