Digitoday

Valikko

IE:n haavoittuvuudet kielivät pahasta suunnitteluvirheestä

Julkaistu:

Internet Explorerin uusi haavoittuvuus on läheistä sukua Microsoftin viime viikolla korjaamille haavoittuvuuksille. Perimmäinen syy ongelmiin on Internet Explorerille annetut vapaudet käyttää niin kutsuttuja COM-objekteja.

Ranskalainen Frsirt julkaisi keskiviikkona hyödyntämismenetelmän aiemmin tuntemattomaan msdds.dll-haavoittuvuuteen.

Haavoittuvuus liittyy Microsoft DDS Library Shape Control (msdss.dll) -nimisen COM-objektin käsittelyyn. Msdds.dll:ää ei oletuksena löydy tavallisesta Windowsista, mutta se asennetaan muun muassa Office XP:n mukana.

Lukuisia COM-ongelmia

Microsoftin COM eli Component Object Model on tekniikka, jolla ohjelmistojen kehittäjät voivat luoda uudelleenkäytettäviä komponentteja. COM-objekteja käytetään Office-sovelluksien yhteistoiminnassa ja niihin kuuluvat myös IE:lle tarkoitetut ActiveX-kontrollit.

Internet Explorer pääsee käsiksi vapaasti käyttöjärjestelmän COM-objekteihin ja niitä voi kutsua ActiveX-kontrolleina www-sivujen komentosarjoilla. Elokuun päivitysten (MS05-037 ja MS05-038) ja tämän viikon msdds.dll-haavoittuvuuden perusteella lukuisat COM-objektit aiheuttavat ongelmia IE:lle.

Todennäköisesti vastaavia haavoittuvuuksia löytyy lähiaikoina vielä lisää.

"Ei IE:n käyttöön"

Microsoftin torstaina julkaiseman tiedotteen mukaan msdds.dll:ää ei ole tarkoitettu IE:n käytettäväksi. Objektin kutsuminen kaataa selaimen ja syntyvää virhetilaa voidaan edelleen hyödyntää komentojen suorittamiseen.

Microsoft opastaa jälleen käyttäjiä asettamaan rekisteriin niin kutsutun "killbitin", joka estää IE:n pääsyn msdds:ään. Vastaavaa korjausta tarjottiin myös heinäkuussa ennen päivitystä julkitulleeseen Javaprxy.dll:n aukkoon.

ISC vaihtoi Infoconin keltaiseksi

Sans-instituutin Internet Storm Center huomauttaa, että jokaisen ongelmia aiheuttavan COM-objektin rekisterimuutosten sijaan oikeaoppinen tapa olisi sallia IE:lle vain turvallisten COM-objektien käyttö.

ISC patistaakin Microsoftia korjaaman COM-ongelmat yhdellä päivityksellä nykyisen "killbit" kerrallaan -käytännön sijasta. ISC nosti Infocon-hälytysjärjestelmänsä keltaiseksi haavoittuvuuden julkisen hyödyntämismenetelmän vuoksi.

Microsoftin tietoturvatiedote 906267, jonka kohdasta Suggested Actions->Workarounds löytyvät yhtiön opastamat suojautumiskonsit. Päivitystä ei ole saatavilla.

Bugtraq:n lista msdds.dll:ää käyttävistä sovelluksista

Microsoft Visual Studio .NET Trial Edition

Microsoft Visual Studio .NET Professional Edition

Microsoft Visual Studio .NET Enterprise Developer Edition

Microsoft Visual Studio .NET Enterprise Architect Edition

Microsoft Visual Studio .NET Academic Edition

Microsoft Visual Studio .NET 2003 Enterprise Architect

Kommentit

    Näytä lisää

    Näitä luetaan!
    1. 1

      Samu Haber tuhlasi viimeiset rahansa ökyautoon: ”Pitää näyttää, että menestyn”

    2. 2

      Ei herkille! Suomalaisnäyttelijä syö ihmislihaa televisiossa – reaktio yllättää kaikki

    3. 3

      Kuva pientä tyttöä lohduttavasta poliisista särkee sydämen – Millien, 12, äiti kuoli Manchesterin iskussa

    4. 4

      Jussi Halla-aholla on 1,5-vuotias avioton lapsi: ”Pitää paikkansa”

    5. 5

      Ali pelasti naisen hengen Turussa – piteli puukottajaa toisella kädellä, soitti toisella hätänumeroon

    6. 6

      Öljysheikki tilasi 50 euron ruoat ja antoi Veeralle liki tonnin tipin: ”Ei ollut mikään polttariseurue”

    7. 7

      Näin perunat keitetään oikein – yksi virhe saa ruoka-ammattilaiselta täystyrmäyksen

    8. 8

      Ariana Grandelta koskettava ele: Haluaa maksaa Manchesterin iskun uhrien hautajaiset

    9. 9

      20-vuotias Hailey nappasi maailman seksikkäimmän naisen tittelin – hehkuu viettelevissä bikinikuvissa

    10. 10

      Yle näyttää suomalaisen K18-elokuvan – Marianne Träskman esiintyi elokuvassa teini-ikäisenä ja kertoo nyt eroottisista kohukohtauksista

    11. Näytä lisää
    1. 1

      Yle näyttää suomalaisen K18-elokuvan – Marianne Träskman esiintyi elokuvassa teini-ikäisenä ja kertoo nyt eroottisista kohukohtauksista

    2. 2

      Myyntimies pyöritti kahdeksaa tyttöystävää vaimon selän takana – yksityisetsivä paljasti touhut

    3. 3

      Trumpilta hämmentävä viesti Israelin holokaustimuseon vieraskirjaan

    4. 4

      Jussi Halla-aholla on 1,5-vuotias avioton lapsi: ”Pitää paikkansa”

    5. 5

      Nämä kuvat Kimi Räikkösestä eivät unohdu – teki täysin poikkeuksellisen ratkaisun

    6. 6

      Näin perunat keitetään oikein – yksi virhe saa ruoka-ammattilaiselta täystyrmäyksen

    7. 7

      Katso video: Kieltäytyikö Melania Trump jo toistamiseen miehensä tarjoamasta kädestä valtiovierailulla?

    8. 8

      Brittilehdet julkaisivat kuvia Manchesterin pommimieheksi epäillystä Salman Abedista

    9. 9

      Ariana Grandelta koskettava ele: Haluaa maksaa Manchesterin iskun uhrien hautajaiset

    10. 10

      Lehti: Tällainen oli Manchesterin terroristin pirullinen pommi: ”Kuin sata luotia kerralla”

    11. Näytä lisää
    1. 1

      IS seuraa hetki hetkeltä: Ainakin 22 kuoli Manchesterin iskussa – epäilty tallentui valvontakameraan

    2. 2

      Vain harva tajusi: prinsessa Dianan käsilaukulla oli salainen tarkoitus – hämäsi valokuvaajia ovelalla kikalla

    3. 3

      Sami Hedbergin fanit raivostuivat jäähallikeikan jälkeen – ”P**ka maku jäi tästä”

    4. 4

      Elastisen 220 neliön merenrantatalosta repesi oikeusriita – kovia syytöksiä Lauri Ylösen firmalta

    5. 5

      Kaksi ruoka-ainetta karsimalla suoliston kunto voi parantua jo muutamassa viikossa

    6. 6

      Kätilöt paljastavat hulluimmat synnytyksensä: ”Äiti yritti saada orgasmin joka supistuksella”

    7. 7

      Varo nopeasti leviävää Facebook-virusta! Tarkista tilisi, saatat jakaa huijauslinkkejä tietämättäsi

    8. 8

      Yksinäinen 12-vuotias tyttö etsi ystävää Facebookista – ensitapaamisesta tuli kauhukokemus

    9. 9

      Kulmat minttiin ja verkkarit pyllyyn – aikuinen nainen testasi teinityttöjen suosikkityylin

    10. 10

      Tämä on suurin virhe, jonka voi tehdä lentokentän turvatarkastuksessa: ”Siihen ei kannata ryhtyä, edes leikillä”

    11. Näytä lisää
    Näitä luetaan!
    1. 1

      Samu Haber tuhlasi viimeiset rahansa ökyautoon: ”Pitää näyttää, että menestyn”

    2. 2

      Ei herkille! Suomalaisnäyttelijä syö ihmislihaa televisiossa – reaktio yllättää kaikki

    3. 3

      Kuva pientä tyttöä lohduttavasta poliisista särkee sydämen – Millien, 12, äiti kuoli Manchesterin iskussa

    4. 4

      Jussi Halla-aholla on 1,5-vuotias avioton lapsi: ”Pitää paikkansa”

    5. 5

      Ali pelasti naisen hengen Turussa – piteli puukottajaa toisella kädellä, soitti toisella hätänumeroon

    6. Näytä lisää
    1. 1

      Yle näyttää suomalaisen K18-elokuvan – Marianne Träskman esiintyi elokuvassa teini-ikäisenä ja kertoo nyt eroottisista kohukohtauksista

    2. 2

      Myyntimies pyöritti kahdeksaa tyttöystävää vaimon selän takana – yksityisetsivä paljasti touhut

    3. 3

      Trumpilta hämmentävä viesti Israelin holokaustimuseon vieraskirjaan

    4. 4

      Jussi Halla-aholla on 1,5-vuotias avioton lapsi: ”Pitää paikkansa”

    5. 5

      Nämä kuvat Kimi Räikkösestä eivät unohdu – teki täysin poikkeuksellisen ratkaisun

    6. Näytä lisää
    1. 1

      IS seuraa hetki hetkeltä: Ainakin 22 kuoli Manchesterin iskussa – epäilty tallentui valvontakameraan

    2. 2

      Vain harva tajusi: prinsessa Dianan käsilaukulla oli salainen tarkoitus – hämäsi valokuvaajia ovelalla kikalla

    3. 3

      Sami Hedbergin fanit raivostuivat jäähallikeikan jälkeen – ”P**ka maku jäi tästä”

    4. 4

      Elastisen 220 neliön merenrantatalosta repesi oikeusriita – kovia syytöksiä Lauri Ylösen firmalta

    5. 5

      Kaksi ruoka-ainetta karsimalla suoliston kunto voi parantua jo muutamassa viikossa

    6. Näytä lisää