Security Advisory 973472

Microsoft on eilen julkaissut uuden Security Advisoryn 973472 otsikolla Vulnerability in Microsoft Office Web Components Control Could Allow Remote Code Execution. Advisory koskee Officen ns. Web-komponentteja, eli joukkoa Officen ja joidenkin muiden tuotteiden mukana tomitettavia ActiveX-komponentteja, joiden avulla tuotteista voidaan julkaista webiin taulukoita, kaavioita ja tietokantoja, ja joiden avulla näitä julkaistuja tietoja voidaan tarkastella. Komponenteista on löydetty haavoittuvuus, jota voidaan hyödyntää, kun ActiveX-komponenttia käytetään Internet Explorer -selaimessa. Haavoittuvuus antaa hyökkääjälle mahdollisuuden suorittaa haluamaansa ohjelmakoodia kohteena olevassa järjestelmässä. Korjaus on tekeillä, mutta tässä vaiheessa sitä ei vielä julkaistu. Advisoryssä olevien ohjeiden avulla haavoittuvuuden aiheuttamaa riskiä voidaan pienentää.

Haavoittuvuus koskee siis seuraavien tuotteiden mukana toimitettavia Web-komponentteja:

• Microsoft Office XP (Service Pack 3)
• Microsoft Office 2003 (Service Pack 3)
• Microsoft Office XP Web Components (Service Pack 3)
• Microsoft Office 2003 Web Components (Service Pack 3)
• Microsoft Office 2003 Web Components for the 2007 Microsoft Office system (Service Pack 1)
• Microsoft Internet Security and Acceleration Server 2004 Standard Edition (Service Pack 3)
• Microsoft Internet Security and Acceleration Server 2004 Enterprise Edition (Service Pack 3)
• Microsoft Internet Security and Acceleration Server 2006 (alkuperäinen versio ja Service Pack 1)
• Microsoft Internet Security and Acceleration Server 2006 Supportability Update
• Microsoft Office Small Business Accounting 2006

Haavoittuvuuteen ei siis vielä ole korjausta saatavilla - mitä voin tehdä haavoittuvuuden aiheuttaman riskin pienentämiseksi? No, ihan ensimmäisenä kannattaa lukaista itse Advisory - Advisoryn loppuosassa, kohdan Suggested Actions alla on Workarounds-otsikon alla dokumentoitu keino, jolla haavoittuvuuden aiheuttamaa riskiä voidaan pienentää - keino liittyy kill bit -määritysten käyttöön, eli haavoittuvuuden sisältävän ActiveX-komponentin käytön estämiseen Internet Explorerissa. Lisätietoja kill bit -määrityksistä yleensä löytyy KB-artikkelista 240797.

Lisätietoja löytyy mm. seuraavista paikoista:

• MSRC:n blogi - https://blogs.technet.com/msrc/archive/2009/07/13/microsoft-security-advisory-973472-released.aspx
• Security Research & Defense -blogi - https://blogs.technet.com/srd/archive/2009/07/13/more-information-about-the-office-web-components-activex-vulnerability.aspx