Microsoftin joulupaketti poistaa lähes 30 haavoittuvuutta
Kuva: Lehtikuva
10.12.2008 09:01 Microsoftin joulukuun päivityspaketti ei ole mikään lahja yritysten it-vastaaville. Helpolla ei pääse, sillä paketti korjaa jopa 28 haavoittuvuutta lukuisista eri ohjelmistoista.
Haavoittuvuudet korjaavia tietoturvapäivityksiä julkaistiin kahdeksan kappaletta ja niistä kuusi on korkeimmalta luokitukseltaan kriittisiä, Cert-Fi kiteyttää. Korjaukset koskevat Windowsia ja sen komponentteja, Microsoft Officea, Microsoftin ohjelmistokehitystyökaluja sekä Sharepoint Serveriä.
Kriittinen päivitys MS08-070 korjaa kuusi haavoittuvuutta muun muassa Visual Basic 6.0 Runtime Extended Files -paketin activex-kontrolleista. Aukkoja voi hyödyntää rakentamalla ansoitetun verkkosivun, jonne uhrin on tultava Internet Explorerilla. Yhteen haavoittuvuuksista on olemassa julkinen hyväksikäyttömenetelmä.
Haavoittuvia activex-komponentteja saattaa olla käytetty myös kolmansien osapuolten ohjelmistotuotteissa, joista jotkut on päivitettävä erikseen.
Kuvalla kumoon
Päivitys MS08-071 on sekin kriittinen ja korjaa kaksi haavoittuvuutta Microsoftin gdi-rajapinnassa. Toinen sallii hyökkääjän komennot kohdejärjestelmässä ja toinen mahdollisen palvelunestotilan. Haavoittuvuudet liittyvät kaikkiin tuettuihin Windows-versioihin ja niiden gdi-kirjastoja käyttäviin sovelluksiin.
Hyödyntämiseen tarvitaan vihamielisesti muotoiltu wmf-kuva (Windows metafile). Myös kolmansien osapuolten tuotteet, joiden mukana jaetaan erikseen gdi -rajapinta, voivat olla haavoittuvia.
Kriittinen päivitys MS08-072 korjaa kahdeksan haavoittuvuutta Microsoft Wordin eri versioista (myös Mac-versioista), Microsoft Worksista, Outlook 2007:sta ja eri Compatibility Packeista. Rikollinen pääsee ajamaan ohjelmakoodiaan muun muassa houkuttelemalla käyttäjä avaamaan tietyllä tavalla muotoiltu Word- tai rtf-tiedosto.
Päivitys MS08-073 on kumulatiivinen päivitys Internet Explorer -ohjelmiston versioihin 5.01, 6 ja 7. Päivitys korjaa neljä Internet Explorerin haavoittuvuutta, jotka ovat korkeimmillaan kriittisiä. Vaarana on koneen hallinnan menettäminen väärille verkkosivuille eksymällä.
Excel, Windows Media,
Search ja Sharepoint
Päivitys MS08-074 korjaa Microsoft Office Excelin eri versioista (jälleen myös Mac), Excel Viewer-tuotteista ja Compatibility Packeista kolme korkeimmalta vakavuusluokitukseltaan kriittistä haavoittuvuutta.
Päivitys MS08-075 vie kaksi haavoittuvuutta Windows Vista - ja Windows Server 2008 -käyttöjärjestelmien Windows Search -komponenteista. Toinen haavoittuvuuksista on luokiteltu kriittiseksi, mutta molemmat antavat hyökkääjälle mahdollisuuden suorittaa omaa ohjelmakoodiaan.
Päivitys MS08-076 korjaa kaksi haavoittuvuutta Windows Media -komponenteissa ja niitä käyttävissä sovelluksissa. Toinen aukoista mahdollistaa hyökkääjälle koodiajot ja toinen luottamuksellisen tiedon hankkimisen, kun käyttäjä ottaa haavoittuvalla sovelluksella yhteyttä vihamieliseen palvelimeen.
Päivitys MS08-077 korjaa Microsoft Office Sharepoint Serverin hakupalvelimessa olevan käyttöoikeuksien laajentamisen mahdollistavan ja tärkeäksi luokitellun haavoittuvuuden.
- ArkistoMicrosoft varoittaa WordPad-aukosta 10.12.2008
Tuomas Linnake
tuomas.linnake@digitoday.fi
Teksti on lisensoitu Creative Commons Nimeä-Ei muutoksia-Epäkaupallinen -lisenssillä.
- Digitodayn tuoreimmat uutiset.
- 25.5. Robottikäsivarsi hinasi Dragonin asemalle
- 25.5. Googlen Android-kauppa sai uusia rahastuskeinoja
- 25.5. Zuckerberg unohti sulhasen ohjeen - antoi 20 000 euron vihkisormuksen
- 25.5. Diablo III:n julkaisija hekumoi myyntiä ja pahoittelee bugeja
- 25.5. Lumialla voi katsella videoklippejä
- 25.5. Applen Cook kieltäytyy optioiden osingoista
- 25.5. ZTE toimittaa suomalaisella 3d-tekniikalla tehtyjä Android-puhelimia
- 25.5. Tämä käkikello muni Pebblen Kickstarter- pesään
- 25.5. Facebook Camera ottaa ja jakaa kuvia iPhonessa
- 24.5. IPhoneen uusi alihankkija
- 24.5. IBM pitää iPhonen Siriä tietoturvariskinä
- 24.5. Yle siirtää seuraavaksi Pasilan teräväpiirtoon
- 24.5. Nokia luopuu isosta massatapahtumasta
- 24.5. Huhu: Symbianiin ei enää päivityksiä
- 24.5. Blackberryn joukot harvenevat
- 24.5. Adoben flash saa saattohoitoa Windows 8:ssa
- 24.5. HP irtisanoo ja palaa taulutietokoneisiin
- 24.5. Motorola Mobilityn johdossa on nyt myyntimies
- Uusimmat
- 48h luetuimmat kaikista uutisista.
- 24.5. Huhu: Symbianiin ei enää päivityksiä
- 25.5. Zuckerberg unohti sulhasen ohjeen - antoi 20 000 euron vihkisormuksen
- 25.5. Lumialla voi katsella videoklippejä
- 25.5. Googlen Android-kauppa sai uusia rahastuskeinoja
- 24.5. IBM pitää iPhonen Siriä tietoturvariskinä
- 24.5. HP irtisanoo ja palaa taulutietokoneisiin
- 25.5. ZTE toimittaa suomalaisella 3d-tekniikalla tehtyjä Android-puhelimia
- 24.5. Nokia luopuu isosta massatapahtumasta
- 24.5. IPhoneen uusi alihankkija
- 24.5. Adoben flash saa saattohoitoa Windows 8:ssa
- Luetuimmat
- 48h suositelluimmat kaikista uutisista.
- Suositelluimmat
- 48h kommentoiduimmat kaikista uutisista.
- 24.5. Huhu: Symbianiin ei enää päivityksiä
- 25.5. Lumialla voi katsella videoklippejä
- 25.5. Applen Cook kieltäytyy optioiden osingoista
- 25.5. ZTE toimittaa suomalaisella 3d-tekniikalla tehtyjä Android-puhelimia
- 24.5. IBM pitää iPhonen Siriä tietoturvariskinä
- 24.5. IPhoneen uusi alihankkija
- 24.5. Nokia luopuu isosta massatapahtumasta
- 24.5. HP irtisanoo ja palaa taulutietokoneisiin
- 24.5. Adoben flash saa saattohoitoa Windows 8:ssa
- 25.5. Zuckerberg unohti sulhasen ohjeen - antoi 20 000 euron vihkisormuksen
- Kommentoiduimmat
Uutispäivä
Vuorokauden kaikki uutiset yhdellä sivulla.
RSS-feedit
Seuraa Digitodayn kaikkia uutisia tai vain tiettyä osiota RSS:llä.
Uusimmat uutiset
- IBM pitää iPhonen Siriä tietoturvariskinä 15:40
- Adoben flash saa saattohoitoa Windows 8:ssa 09:17
- Googlen Larry Page: Facebook pitää käyttäjiä panttivankeina 07:00
- Anonymous löysi reitin jenkkiministeriön palvelimelle 22:24
- ”Apple ei anna kehittää virustorjuntaa iPhoneen” 16:55
- Uutuustuotteen lupaus verkkopelaajille: ei enää ärsyttäviä salasanoja 13:55
- Mobiilikonnat entistä ovelampia: Esimerkkinä uusi Angry Birds 14:24
- Äärijuutalaisten nettikokous täyttää kaksi stadionia 07:00
- Lisää
Poiminnat
Digiyesterday
Viisi vuotta sitten
Suuri tietokantavarkaus johti luottokorttipetoksiin Britanniassa
27.05.2007 Cable & Wireless syyttää entistä johtajaansa tietokantavarkaudesta. Kannasta oli 100 000 asiakkaan tiedot.
Kolme vuotta sitten
AKEn it-urakka meni pahasti pieleen
27.05.2009 Heikko johtaminen ja liian suuri työmäärä puskivat AKEn tietojärjestelmähankkeen reippaasti yli kustannusarvion ja aikataulun, Valtiontalouden tarkastusvirasto tukistaa.
Taloussanomat
- Asuntopula ja 24 600 tyhjää asuntoa, mikä kaupunki? 06:01
- Suomikin oli hukkua liian vahvaan valuuttaan 06:09
- Yritysguru: Facebook tappaa Piilaakson 10:17
- Tämäkin vielä: Turistitkin kaihtavat Kreikkaa 15:08
- Muhkean muovinen Nissan Juke 06:05
- Unohda hameenhelmaindeksi – ensitreffit kertovat talouden tilan 16:19
- Yle: Katainen torjuu ajatuksen valtion kaivosyhtiöstä 16:54
- Konkareiden neuvot koulunsa päättäville: Intohimoa ja tasapainoa 17:47
- Jos Kreikka lähtee, Saksa kärsii 11:08
- Yllätys? Aurinkohan säteilee täällä Saksan malliin 06:09
- » Taloussanomat.fi
Kommentit (3)
En tosin käytä netissä.
Joko päivän kernel on käännetty?
Entäs muistitko päivittää glibc:n. Muuten ei eiliset ohjelmat enää pelaa!
Entäs muistitko päivittää glibc:n. Muuten ei eiliset ohjelmat enää pelaa!
Meni vähän ohi.
10v linux-käyttöä, 0 kpl kernelin kääntöä, 0 kpl kernelin päivitystä, 0 kpl ongelmia uusista/vanhoista kirjastoista.
Riippuu mitä käyttää/miten käyttää, ei ole pakko vääntää geek-tasolla.
Kukaties ajelen joskus BSD:llä.