Lue uutinen mobiilisivustolla

Microsoft varoitti taas useista aukoista

24.7.2003 12:14 Microsoft julkisti keskiviikkona kolme tietoturvatiedonantoa yhtiön ohjelmistoista löytyneiden haavoittuvuuksien vuoksi. Vakavimpia ovat kaksi puskurinylivuotoihin johtavaa reikää DirectX-rajapinnassa.

Cert-Fi varoitti torstaina Microsoftin tiedonannon jälkeen vakavimmista eli DirectX-rajapinnan kahdesta haavoittuvuudesta. Microsoftin turvatiedote oli järjestyksessä 30. tänä vuonna.

Cert-Fi:n mukaan DirectX-rajapintaan liitetyn DirectShow-teknologian käyttämistä toiminnoista on löydetty kaksi haavoittuvuutta, joista molemmat aiheuttavat samantyyppisen puskurin ylivuototilanteen.

Microsoft DirectX on Windows-käyttöjärjestelmän ääni-, grafiikka- ja videorajapinta, jota pelit ja useimmat grafiikka- ja video-ohjelmat käyttävät tiedonsiirtoon laitteiston kanssa.

Hyökkäys miditiedostolla

Hyökkäys voidaan suorittaa www-sivun, levyjaon tai html-sähköpostin avulla. Hyväksikäyttämiseen riittää www-sivun tapauksessa pelkästään vieraileminen sivulla. Sähköpostin ja levyjakojen avulla toteutetussa hyökkäyksessä käyttäjä on saatava avaamaan haittatarkoitukseen muokattu midi-tiedosto.

Cert-Fi:n mukaan haavoittuvuuden hyväksikäyttö voi aiheuttaa DirectShow-teknologian tai sitä käyttävän sovelluksen kaatumisen. Pahimmillaan hyökkääjän voi olla myös mahdollista suorittaa kohdetietojärjestelmässä omaa ohjelmakoodia käyttäjän oikeuksilla.

MS03-029 ja -031

Kaksi muuta turvatiedoitetta koski vähemmän vakavia "important" ja "moderate" -luokituksen saaneita haavoittuvuuksia osassa SQL Server -ohjelmistoja ja Windows NT 4.0 -palvelimia.

SQL Serverin aukko mahdollistaa hyökkääjän oman ohjelmakoodin suorittamisen. Windows NT 4.0 -järjestelmiin on puolestaan mahdollista suorittaa palvelunestohyökkäys julkistetun aukon avulla.

-----
Cert-Fi:n lista haavoittuvista DirectX:istä:

* Microsoft DirectX 5.2 Windows 98 -käyttöjärjestelmälle

* Microsoft DirectX 6.1 Windows 98 SE -käyttöjärjestelmälle

* Microsoft DirectX 7.0a Windows Millennium Edition -käyttöjärjestelmälle

* Microsoft DirectX 7.0 Windows 2000 -käyttöjärjestelmälle

* Microsoft DirectX 8.1 Windows XP -käyttöjärjestelmälle

* Microsoft DirectX 8.1 Windows Server 2003 -käyttöjärjestelmälle

* Microsoft DirectX 9.0a asennettuna Windows Millennium Edition -käyttöjärjestelmään

* Microsoft DirectX 9.0a asennettuna Windows 2000 -käyttöjärjestelmään

* Microsoft DirectX 9.0a asennettuna Windows XP -käyttöjärjestelmään

* Microsoft DirectX 9.0a asennettuna Windows Server 2003 -käyttöjärjestelmään

* Microsoft Windows NT 4.0 joko Windows Media Player 6.4 tai Internet Explorer 6 Service Pack 1 asennettuna

* Microsoft Windows NT 4.0, Terminal Server Edition joko Windows Media Player 6.4 tai Internet Explorer 6 Service Pack 1 asennettuna.

Jaakko Kuivalainen toimitus@digitoday.fi

Kirjoita kommentti

Ohjeet: Pysy aiheessa ja kirjoita napakasti. Muista, että haastateltavilla, kanssakeskustelijoilla ja toimittajilla on oikeus omaan, eriävään mielipiteeseen. Ole kohtelias ja ystävällinen, äläkä tarkoituksella provosoi tai hauku muita keskustelijoita. Taloussanomat varaa oikeuden poistaa asiattomat viestit. Varauduthan siihen, että linkkejä sisältävät viestit tarkistetaan yksitellen roskapostin suodattamiseksi. Arvostamme mielipidettäsi!
Lue koko keskusteluetiketti

Bottivarmistus: mitä on kaksi ynnä viisi?

Viesti Nimi

Uutiset

Yksi kuoli ja kahdeksan haavoittui ammuskelussa Hyvinkäällä, ampuja yhä vapaana

• Intian rikkain perhe avasi kohukotinsa ovet Vanity Fairille
• Pitkämäen keihään vahingoittama Sdiri vie IAAF:n oikeuteen
• Afrikkalaisten maahanmuutto kiristää tunnelmia Tel Avivissa
• Tasmanian tuholaista pelastetaan sukupuutolta