Lue uutinen mobiilisivustolla

Microsoft paikkasi vain yhden kriittisen haavan

Kuva: VTT

12.9.2007 09:04 Microsoftin syyskuun päivityspaketti on suhteellisen kevyt. Yhtiö korjasi vain neljä haavoittuvuutta, joskin yksi niistä on kriittinen ja koskee Windows 2000 -järjestelmiä.

Kriittinen päivitys MS07-051 korjaa haavoittuvuuden, joka koskee Windows 2000 -järjestelmien Microsoft Agent ActiveX -komponenttia. Haavoittuvuus liittyy Agentin tapaan käsitellä muokattuja urleja ja se saattaa mahdollistaa mielivaltaisen koodin suorittamisen.

Hyökkääjän on jollain konstilla saatava haavoittuvan ohjelmiston käyttäjä tietyllä tavalla muokatulle www-sivulle, Viestintäviraston tietoturvayksikkö Cert-Fi sanoo.

Päivitys MS07-053 korjaa puolestaan Windows Services for Unix - ja Subsystem for Unix-based Applications -järjestelmien aukon. Haavoittuvuus liittyy järjestelmien tapaan käsitellä setuid-binääritiedostoja ja mahdollistaa käyttöoikeuksien kohottamisen, kunhan hyökkääjä on päässyt kirjautumaan järjestelmään.

Haavoittuvuutta voi hyväksikäyttää myös houkuttelemalla kirjautunut käyttäjä suorittamaan tiettyjä setuid-binääritiedostoja. Microsoft on luokitellut haavoittuvuuden korkeimmalta vakavuusluokitukseltaan tärkeäksi.

Vaarallisia videokutsuja

Microsoft julkaisi päivitykset myös Microsoft Visual Studio -, MSN Messenger - ja Windows Live Messenger -ohjelmistoihin. Korjattavat haavoittuvuudet on luokiteltu tärkeiksi.

Päivitys MS07-052 korjaa Crystal Reports -ohjelmistokomponentin sisältäviin Visual Studio -versioihin liittyvän haavoittuvuuden, joka koskee .rpt-raporttitiedostojen käsittelyä. Haavoittuvuus saattaa mahdollistaa ohjelmakoodin suorittamisen vihamielisen .rpt-tiedoston avanneen käyttäjän oikeuksilla.

Päivitys MS07-054 korjaa tiettyjen MSN Messenger - ja Windows Live Messenger -ohjelmistoversioiden videokeskusteluun liittyvän haavoittuvuuden. Jos käyttäjä hyväksyy hyökkääjän kutsun ottaa vastaan videokuvaa, hän päästää hyökkääjän samalla omia komentojaan ajamaan kohdekoneella.

Lisäksi Microsoft Virtual PC - ja Microsoft Virtual Server -ohjelmistoihin liittynyt päivitys MS07-049 julkaistaan uudelleen sen asennuksessa ilmenneiden ongelmien vuoksi.

Tuomas Linnake
tuomas.linnake@digitoday.fi

Teksti on lisensoitu Creative Commons Nimeä-Ei muutoksia-Epäkaupallinen -lisenssillä.

Kirjoita kommentti

Ohjeet: Pysy aiheessa ja kirjoita napakasti. Muista, että haastateltavilla, kanssakeskustelijoilla ja toimittajilla on oikeus omaan, eriävään mielipiteeseen. Ole kohtelias ja ystävällinen, äläkä tarkoituksella provosoi tai hauku muita keskustelijoita. Taloussanomat varaa oikeuden poistaa asiattomat viestit. Varauduthan siihen, että linkkejä sisältävät viestit tarkistetaan yksitellen roskapostin suodattamiseksi. Arvostamme mielipidettäsi!
Lue koko keskusteluetiketti

Bottivarmistus: mitä on kaksi ynnä viisi?

Viesti Nimi

Uutiset

Seksuaalirikoksesta epäilty valmentaja löytyi kuolleena sellistä

• Pohjanlahdelta löytyi upotettu konjakkilaiva
• Miljoonien viinakokoelma myyntiin vaimon vuoksi
• Tukholman teinit tilaavat vodkaa tekstiviestillä
• USA:n tiedustelupalvelu kumoaa huhut Kim Jong-unin salamurhasta