Security Advisory 2219475 - haavoittuvuus Windowsin Ohje ja tukikeskuksessa

Microsoft on hetki sitten julkaissut uuden Security Advisoryn 2219475 otsikolla Vulnerability in Windows Help and Support Center Could Allow Remote Code Execution. Security Advisory koskee Microsoft Windows XP:n ja WIndows Server 2003:n Ohje ja tukikeskuksesta (Help and Support center) löytynyttä haavoittuvuutta. Haavoittuvuus liittyy HCP-protokollan käyttöön. HCP-protokollamääritystä voidaan HTTP-protokollan tavoin käyttää URLissa kutsumaan Ohje ja tukikeskuksen toiminnallisuutta esimerkiksi selaimen välityksellä (hcp://). Haavoittuvuus johtuu siitä, että Ohje ja tukikeskus ei tarkista oikein HCP-protokollaa käytettäessä välitettävää URLia. Vihamielinen hyökkääjä voi hyödyntää haavoittuvuutta luomalla tietyllä tavalla muotoillun Web-svun ja houkuttelemalla käyttäjän avaamaan Web-sivun selaimessa. Sivun avaaminen saattaa aiheuttaa mistivirheen, jonka turvin hyökkääjä pääsee suorittamaan haluamaansa ohjelmakoodia kohteena olevassa järjestelmässä.    

Haavoittuvuus koskee seuraavia käyttöjärjestelmiä:
- Microsoft Windows XP (Service Pack 2 ja Service Pack 3)
- Microsoft Windows XP Professional x64 Edition (Service Pack 2)
- Microsoft Windows Server 2003 (Service Pack 2)
- Microsoft Windows Server 2003 for Itanium-based Systems (Service Pack 2)
- Microsoft Windows Server 2003 x64 Edition (Service Pack 2)

Haavoittuvuuteen ei siis vielä ole korjausta saatavilla - mitä voin tehdä haavoittuvuuden aiheuttaman riskin pienentämiseksi? No, ihan ensimmäisenä kannattaa lukaista itse Advisory - Advisoryn loppuosassa, kohdan Workarounds alla kerrotaan keino, jonka avulla haavoittuvuuden aiheuttamaa riskiä voidaan pienentää. Keino liittyy HCP-protokollan rekisteröinnin peruuttamiseen.   

Lisätietoja haavoittuvuudesta löytyy MSRC:n blogista osoitteessa https://blogs.technet.com/msrc/ sekä Security Research and Defense -blogista osoitteesta https://blogs.technet.com/b/srd/archive/2010/06/10/help-and-support-center-vulnerability-full-disclosure-posting.aspx.