IE:n haavoittuvuudet kielivät pahasta suunnitteluvirheestä
19.8.2005 09:04 Internet Explorerin uusi msdds.dll-haavoittuvuus on läheistä sukua Microsoftin viime viikolla korjaamille haavoittuvuuksille selaimessa. Perimmäinen syy ongelmiin on Internet Explorerin vapaus käyttää niin kutsuttuja COM-objekteja.
Ranskalainen Frsirt julkaisi keskiviikkona hyödyntämismenetelmän aiemmin tuntemattomaan haavoittuvuuteen IE:ssä.
Haavoittuvuus liittyy Microsoft DDS Library Shape Control (msdds.dll) -nimisen COM-objektin käsittelyyn. Msdds.dll:ää ei oletuksena löydy tavallisesta Windowsista, mutta se asennetaan muun muassa Office XP:n mukana.
Lukuisia COM-ongelmia
Microsoftin COM eli Component Object Model on tekniikka, jolla ohjelmistojen kehittäjät voivat luoda uudelleenkäytettäviä komponentteja. COM-objekteja käytetään Office-sovelluksien yhteistoiminnassa ja niihin kuuluvat myös IE:lle tarkoitetut ActiveX-kontrollit.
Internet Explorer pääsee käsiksi vapaasti käyttöjärjestelmän COM-objekteihin ja niitä voi kutsua ActiveX-kontrolleina www-sivujen komentosarjoilla.
Elokuun päivitysten (MS05-037 ja MS05-038) ja tämän viikon msdds.dll-haavoittuvuuden perusteella lukuisat COM-objektit aiheuttavat ongelmia IE:lle.
Todennäköisesti vastaavia haavoittuvuuksia löytyy lähiaikoina vielä lisää.
"Ei IE:n käyttöön"
Microsoftin torstaina julkaiseman tiedotteen mukaan msdds.dll:ää ei ole tarkoitettu IE:n käytettäväksi. Objektin kutsuminen kaataa selaimen ja syntyvää virhetilaa voidaan edelleen hyödyntää komentojen suorittamiseen.
Microsoft opastaa jälleen käyttäjiä asettamaan rekisteriin niin kutsutun "killbitin", joka estää IE:n pääsyn msdds:ään. Vastaavaa korjausta tarjottiin myös heinäkuussa ennen päivitystä javaprxy.dll:n aukkoon.
ISC vaihtoi Infoconin keltaiseksi
Sans-instituutin Internet Storm Center huomauttaa, että jokaisen ongelmia aiheuttavan COM-objektin kieltämisen sijaan oikeaoppinen tapa olisi sallia IE:lle vain turvallisten COM-objektien käyttö.
ISC patistaakin Microsoftia korjaaman COM-ongelmat yhdellä päivityksellä nykyisen muutama "killbit" kerrallaan -käytännön sijasta.
ISC nosti torstaina Infocon-hälytysjärjestelmänsä keltaiseksi haavoittuvuuden julkisen hyödyntämismenetelmän vuoksi.
Microsoftin tietoturvatiedote 906267, jonka kohdasta Suggested Actions->Workarounds löytyvät yhtiön opastamat suojautumiskonsit. Päivitystä ei ole saatavilla.
Bugtraq:n lista msdds.dll:ää käyttävistä sovelluksista
Microsoft Visual Studio .NET Trial Edition
Microsoft Visual Studio .NET Professional Edition
Microsoft Visual Studio .NET Enterprise Developer Edition
Microsoft Visual Studio .NET Enterprise Architect Edition
Microsoft Visual Studio .NET Academic Edition
Microsoft Visual Studio .NET 2003 Enterprise Architect
Microsoft Visual Studio .NET 2003
Microsoft Visual Studio .NET 2002
Microsoft Visio Professional 2002
Microsoft Visio 2003 Standard
Microsoft Visio 2003 Professional
Microsoft Visio 2003 SP1
Microsoft Visio 2003
Microsoft Visio 2002 Standard SP2
Microsoft Visio 2002 Professional SP2
Microsoft Visio 2002 SP2
Microsoft Visio 2002 SP1
Microsoft Visio 2002
Microsoft Visio 2000 Enterprise Edition SR1
Microsoft Visio 2000 Enterprise Edition
Microsoft Project 98
Microsoft Project 2003 SP1
Microsoft Project 2003
Microsoft Project 2002 SP1
Microsoft Project 2002
Microsoft Project 2000
Microsoft Office XP Developer Edition
Microsoft Office XP SP3
Microsoft Office XP SP2
Microsoft Office XP SP1
Microsoft Office XP
Microsoft Office 2000 Korean Version
Microsoft Office 2000 Japanese Version
Microsoft Office 2000 Chinese Version
Microsoft Office 2000 SP3
Microsoft Office 2000 SP2
Microsoft Office 2000 SP1
Microsoft Office 2000
Microsoft .NET Framework 1.1 SP3
Microsoft .NET Framework 1.1 SP2
Microsoft .NET Framework 1.1 SP1
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1
ATI Catalyst Driver
Jaakko Kuivalainen toimitus@digitoday.fi
- Digitodayn tuoreimmat uutiset.
- 10.2. Facebook-kaverin poisto johti kaksoismurhaan
- 10.2. Googlen lompakko hakkeroitiin helposti
- 10.2. Google pystyttää kilpailijaa Dropboxille
- 10.2. Alcatel-Lucent lopettaa työpaikkoja
- 10.2. Pirate Bay uhmaa muistitikulla estoja
- 10.2. Comptel puolittaa osingon
- 10.2. Kodak keskittyy kuvien tulostamiseen
- 10.2. Yle: Piraattiradio häiriköi Turun seudulla
- 10.2. Windows XP:lle harvinaisen vähän korjauksia
- 10.2. Itsemurhatehtaan johtajalta vohkittiin salasana
- 10.2. Googlen ensimmäinen työntekijä lähtee
- 10.2. Microsoft keskeytti yllättäen Lumia 900:n varaukset
- 10.2. FBI: Steve Jobsilla oli top-secret -luokitus
- 9.2. Uusi iPad tulee maaliskuun alussa?
- 9.2. Siri opiskelee kiinaa ja venäjää
- 9.2. Peliskene poimi presidentin palkinnon
- 9.2. Google: Näytä surfailusi, saat rahaa
- 9.2. Skimmaajat teettivät erikoislaitteita Suomen oloihin
- 9.2. Samsungilta ei julkistuksia Barcelonassa
- 9.2. Ciscon tulos parani reippaasti
- Uusimmat
- 48h luetuimmat kaikista uutisista.
- 10.2. FBI: Steve Jobsilla oli top-secret -luokitus
- 8.2. Nokia-pomo: Puhelimet ovat Designed in Finland
- 8.2. Nokian Salon tehdasta on ajettu alas pitkään
- 10.2. Microsoft keskeytti yllättäen Lumia 900:n varaukset
- 8.2. Kaksi minuuttia Iron Skyta – Elokuva "täynnä vastoinkäymisiä"
- 9.2. Sadan tonnin sakot kuluttajien harhauttamisesta
- 8.2. Nokia julkistaa huippupuhelimen Barcelonassa
- 8.2. Applen televisio voi saada liikeohjauksen
- 8.2. Yllätys: Nokia on ylivoimainen web-johtaja
- 9.2. Yllättävä ongelma: iPhone 4S ei toimi kiinalaisten sim-kortilla
- Luetuimmat
- 48h suositelluimmat kaikista uutisista.
- 8.2. IPadille haetaan porttikieltoa Kiinaan
- 8.2. Kiinassa tarjolla miljardien eurojen verkkourakat
- 8.2. Nokian potkut uhkaavat tuhatta Salon tehtaalla
- 9.2. Microsoft tarjoaa Lumia 800 -kimppua ystävänpäivänä
- 9.2. Windows 8:n testiversio ilmestyy karkauspäivänä
- 9.2. Apple myy vihdoin iPhone 4S:ää Kiinassa
- Suositelluimmat
- 48h kommentoiduimmat kaikista uutisista.
- 8.2. Nokia-pomo: Puhelimet ovat Designed in Finland
- 9.2. Yllättävä ongelma: iPhone 4S ei toimi kiinalaisten sim-kortilla
- 10.2. FBI: Steve Jobsilla oli top-secret -luokitus
- 10.2. Microsoft keskeytti yllättäen Lumia 900:n varaukset
- 8.2. Nokian Salon tehdasta on ajettu alas pitkään
- 8.2. Applen televisio voi saada liikeohjauksen
- 9.2. Microsoft tarjoaa Lumia 800 -kimppua ystävänpäivänä
- 8.2. Nokia julkistaa huippupuhelimen Barcelonassa
- 8.2. Yllätys: Nokia on ylivoimainen web-johtaja
- 9.2. Uusi iPad tulee maaliskuun alussa?
- Kommentoiduimmat
Kevyt ja nopea
Oletko jo tutustunut m.digitoday.fi-mobiilisivustoon?
Palautetta?
Lähetä risut, ruusut ja uutisvinkit toimitukselle.
Uusimmat uutiset
- Googlen lompakko hakkeroitiin helposti 16:26
- Pirate Bay uhmaa muistitikulla estoja 14:02
- Itsemurhatehtaan johtajalta vohkittiin salasana 10:03
- FBI: Steve Jobsilla oli top-secret -luokitus 07:00
- Skimmaajat teettivät erikoislaitteita Suomen oloihin 14:16
- Brittilehti sekaantui sähköpostien vakoiluun 15:46
- Suomalaiset taitavat tietoturvan hopean arvoisesti 21:47
- Tietoturvayhtiöltä yritettiin kiristää lunnasrahoja 13:15
- Lisää
Digiyesterday
Viisi vuotta sitten
Kuriiri kadotti 80 000:n potilastiedot
11.02.2007 Amerikkalaisen Johns Hopkins -organisaation 52 000 työntekijän ja 83 000 potilaan tiedot sisältäneet nauhat ovat kadonneet matkalla alihankkijalle, joka tekee nauhoista varmuuskopioita.
Kolme vuotta sitten
Ms-päivitykset poistavat kahdeksan haavoittuvuutta
11.02.2009 Microsoftin neljä helmikuun tietoturvapäivitystä korjaavat tuplamäärän haavoittuvuuksia Exchangesta, SQL Serveristä, Visiosta ja Internet Explorerista.
Taloussanomat
- Kilpailuta asuntolaina, voit säästää 3 300 euroa 06:01
- Helsingissä marssittiin verkon vapauden puolesta 16:29
- Osuusliike myy samppanjaa alle Alkon hintojen 06:06
- Kymmenien italialaispankkien luottoluokitus laski 16:05
- HS: SAK ei enää torju eläkeiän nostoa 10:13
- Kreikan hallitus hyväksyi säästöt uudestaan 15:29
- Professori Ylelle: Valtiollisten lentoyhtiöiden aika on ohi 10:31
- Skoda somisti Roomsterinsa partiopoikatyylillä 06:10
- TS: "Luonnonkalojen lääkejäämien riskit selvitettävä" 11:13
- Koulutettu, ole iloinen huonosta palkastasi 06:01
- » Taloussanomat.fi
-
177 e
Lenovo ThinkCentre M81 TW (Core I5-2400, 2 GB, 320 GB, Windows 7 Professional), keskusyksikkö
-
65 e
HP Z600 (Xeon E5620, 8 GB, 1 TB, Win 7 Professional), keskusyksikkö
-
56 e
Lenovo ThinkStation S20 (Xeon W3550, 4 GB, 500 GB, Win 7 Professional), keskusyksikkö
-
55 e
HP Z600 (Xeon E5645, 6 GB, 1 TB, Win 7 Professional), keskusyksikkö
-
37 e
HP Z400 (Xeon W3565, 6 GB, 1 TB, Win 7 Professional), keskusyksikkö
