Microsoftin joulupaketti poistaa lähes 30 haavoittuvuutta
Kuva: Lehtikuva
10.12.2008 09:01 Microsoftin joulukuun päivityspaketti ei ole mikään lahja yritysten it-vastaaville. Helpolla ei pääse, sillä paketti korjaa jopa 28 haavoittuvuutta lukuisista eri ohjelmistoista.
Haavoittuvuudet korjaavia tietoturvapäivityksiä julkaistiin kahdeksan kappaletta ja niistä kuusi on korkeimmalta luokitukseltaan kriittisiä, Cert-Fi kiteyttää. Korjaukset koskevat Windowsia ja sen komponentteja, Microsoft Officea, Microsoftin ohjelmistokehitystyökaluja sekä Sharepoint Serveriä.
Kriittinen päivitys MS08-070 korjaa kuusi haavoittuvuutta muun muassa Visual Basic 6.0 Runtime Extended Files -paketin activex-kontrolleista. Aukkoja voi hyödyntää rakentamalla ansoitetun verkkosivun, jonne uhrin on tultava Internet Explorerilla. Yhteen haavoittuvuuksista on olemassa julkinen hyväksikäyttömenetelmä.
Haavoittuvia activex-komponentteja saattaa olla käytetty myös kolmansien osapuolten ohjelmistotuotteissa, joista jotkut on päivitettävä erikseen.
Kuvalla kumoon
Päivitys MS08-071 on sekin kriittinen ja korjaa kaksi haavoittuvuutta Microsoftin gdi-rajapinnassa. Toinen sallii hyökkääjän komennot kohdejärjestelmässä ja toinen mahdollisen palvelunestotilan. Haavoittuvuudet liittyvät kaikkiin tuettuihin Windows-versioihin ja niiden gdi-kirjastoja käyttäviin sovelluksiin.
Hyödyntämiseen tarvitaan vihamielisesti muotoiltu wmf-kuva (Windows metafile). Myös kolmansien osapuolten tuotteet, joiden mukana jaetaan erikseen gdi -rajapinta, voivat olla haavoittuvia.
Kriittinen päivitys MS08-072 korjaa kahdeksan haavoittuvuutta Microsoft Wordin eri versioista (myös Mac-versioista), Microsoft Worksista, Outlook 2007:sta ja eri Compatibility Packeista. Rikollinen pääsee ajamaan ohjelmakoodiaan muun muassa houkuttelemalla käyttäjä avaamaan tietyllä tavalla muotoiltu Word- tai rtf-tiedosto.
Päivitys MS08-073 on kumulatiivinen päivitys Internet Explorer -ohjelmiston versioihin 5.01, 6 ja 7. Päivitys korjaa neljä Internet Explorerin haavoittuvuutta, jotka ovat korkeimmillaan kriittisiä. Vaarana on koneen hallinnan menettäminen väärille verkkosivuille eksymällä.
Excel, Windows Media,
Search ja Sharepoint
Päivitys MS08-074 korjaa Microsoft Office Excelin eri versioista (jälleen myös Mac), Excel Viewer-tuotteista ja Compatibility Packeista kolme korkeimmalta vakavuusluokitukseltaan kriittistä haavoittuvuutta.
Päivitys MS08-075 vie kaksi haavoittuvuutta Windows Vista - ja Windows Server 2008 -käyttöjärjestelmien Windows Search -komponenteista. Toinen haavoittuvuuksista on luokiteltu kriittiseksi, mutta molemmat antavat hyökkääjälle mahdollisuuden suorittaa omaa ohjelmakoodiaan.
Päivitys MS08-076 korjaa kaksi haavoittuvuutta Windows Media -komponenteissa ja niitä käyttävissä sovelluksissa. Toinen aukoista mahdollistaa hyökkääjälle koodiajot ja toinen luottamuksellisen tiedon hankkimisen, kun käyttäjä ottaa haavoittuvalla sovelluksella yhteyttä vihamieliseen palvelimeen.
Päivitys MS08-077 korjaa Microsoft Office Sharepoint Serverin hakupalvelimessa olevan käyttöoikeuksien laajentamisen mahdollistavan ja tärkeäksi luokitellun haavoittuvuuden.
- ArkistoMicrosoft varoittaa WordPad-aukosta 10.12.2008
Tuomas Linnake
tuomas.linnake@digitoday.fi
Teksti on lisensoitu Creative Commons Nimeä-Ei muutoksia-Epäkaupallinen -lisenssillä.
- Digitodayn tuoreimmat uutiset.
- 12:11 Salasanoja varastetaan Facebookin nimissä
- 10:40 Markkinavalvoja viittasi kintaalla Jungnerin laskelmille
- 10:40 HTC:n valmistama 4G-puhelin julki ensi viikolla?
- 10:08 Verkkokortti altistaa HP:n tietokoneita pahanteolle
- 07:45 4G-verkkosopua Venäjän kanssa odotetaan vasta 2012
- 07:30 Nokia palkkasi menestyneitä uranaisia E72-mannekiineiksi
- 07:15 Incap siirtää tehtaan Viroon - 124 irtisanotaan Suomessa
- 17.3. Suomalainen Supermatrix innostaa Inteliä
- 17.3. Facebookista värvätyt ahtaajat aloittivat työt
- 17.3. Motorola Droid päihitti iPhonen - Nexus One floppasi
- 17.3. Virolaisilla valtava kaula verkkolaskuissa
- 17.3. Luottaisitko sinä näihin sähköposteihin?
- 17.3. Seuraavan Internet Explorerin prototyyppi kokeiltavissa
- 17.3. Elehaku tulee myös vanhoihin Google-luureihin
- 17.3. Windows Phone luopuu leikepöydästä
- 17.3. Amiraali Kirk kokoaa tekijöitä scifi-hankkeisiin
- 17.3. Ikea vaihtoi sähköpostijärjestelmää
- 17.3. Spotifyn startti kompuroi Yhdysvalloissa
- 17.3. Jaana Pelkonen juontaa peligaalaa
- 16.3. HP pyysi anteeksi kiinalaisilta
- Uusimmat
- 48h luetuimmat kaikista uutisista.
- 16.3. Nokia kysyy kuluttajilta vinkkejä huippukännykkään
- 17.3. Luottaisitko sinä näihin sähköposteihin?
- 15.3. Kielletty omena himottaa monia Microsoftissa
- 15.3. Kevät tuo kauppoihin Android-vyörytyksen
- 17.3. Facebookista värvätyt ahtaajat aloittivat työt
- 15.3. Nokia: Applen haaste on harhaanjohtamista
- 16.3. Facebookissa värvätään ahtaajia lakkoilijoiden tilalle
- 15.3. Apple antaa uuden iPadin, jos vanhan akku rikkoutuu
- 15.3. Nettiosoite viettää tänään synttäreitä
- 17.3. Motorola Droid päihitti iPhonen - Nexus One floppasi
- Luetuimmat
- 48h suositelluimmat kaikista uutisista.
- 15.3. Nokia: Applen haaste on harhaanjohtamista
- 15.3. Kevät tuo kauppoihin Android-vyörytyksen
- 16.3. Nokia kysyy kuluttajilta vinkkejä huippukännykkään
- 16.3. Facebookissa värvätään ahtaajia lakkoilijoiden tilalle
- 17.3. Luottaisitko sinä näihin sähköposteihin?
- 17.3. Motorola Droid päihitti iPhonen - Nexus One floppasi
- Suositelluimmat
- 48h kommentoiduimmat kaikista uutisista.
- 16.3. Nokia kysyy kuluttajilta vinkkejä huippukännykkään
- 15.3. Kevät tuo kauppoihin Android-vyörytyksen
- 17.3. Motorola Droid päihitti iPhonen - Nexus One floppasi
- 15.3. Apple antaa uuden iPadin, jos vanhan akku rikkoutuu
- 16.3. Facebookissa värvätään ahtaajia lakkoilijoiden tilalle
- 17.3. Facebookista värvätyt ahtaajat aloittivat työt
- 15.3. Nokia: Applen haaste on harhaanjohtamista
- 17.3. Windows Phone luopuu leikepöydästä
- 15.3. Kielletty omena himottaa monia Microsoftissa
- 15.3. Nokia vei leivän Vodafonen kartantekijöiltä
- Kommentoiduimmat
Palautetta?
Lähetä risut, ruusut ja uutisvinkit toimitukselle.
Kevyt ja nopea
Oletko jo tutustunut m.digitoday.fi-mobiilisivustoon?
Uusimmat uutiset
- Salasanoja varastetaan Facebookin nimissä 12:11
- Verkkokortti altistaa HP:n tietokoneita pahanteolle 10:08
- Luottaisitko sinä näihin sähköposteihin? 15:27
- Venezuelan presidentti tulistui vapaalle internetille 13:14
- Twitter seuloo vaaralliset verkko-osoitteet 11:27
- Facebook tietää pian missä luuhailet 10:49
- Virolaismies kosti If-vakuutusyhtiölle viruksella 17:08
- Automaatti ansoitettiin 20 sekunnissa 15:03
- Lisää
-
-425 e
-
-320 e
-
-228 e
HP Compaq 8530W (Core 2 Duo T9400, 15", 4 Gt, Win Vista Business ja WinXP Pro), kannettava tietokone
-
-112 e
Lenovo ThinkPad R400 (Core 2 Duo T9400, 2 Gt, 14,1", Win Vista Business), kannettava tietokone
-
-105 e
Lenovo ThinkPad R400 (Core 2 Duo T9400, 1 Gt, 14,1", Win Vista Business), kannettava tietokone
Kommentit (3)
En tosin käytä netissä.
Joko päivän kernel on käännetty?
Entäs muistitko päivittää glibc:n. Muuten ei eiliset ohjelmat enää pelaa!
Entäs muistitko päivittää glibc:n. Muuten ei eiliset ohjelmat enää pelaa!
Meni vähän ohi.
10v linux-käyttöä, 0 kpl kernelin kääntöä, 0 kpl kernelin päivitystä, 0 kpl ongelmia uusista/vanhoista kirjastoista.
Riippuu mitä käyttää/miten käyttää, ei ole pakko vääntää geek-tasolla.
Kukaties ajelen joskus BSD:llä.