Tietoturva

Microsoft paikkasi 11 tietoturva-aukkoa

Julkaistu: , Päivitetty:

Microsoft julkaisi tiistaina illalla kolme tietoturvapäivitystä, joista yksi on kriittinen. Haavoittuvuuksia paikattiin eritoten Office-toimisto-ohjelmistosta.


Microsoftin marraskuun korjaustiistai toi kolme päivitystä 11:een haavoittuvuuteen Officessa ja Forefront Unified Access Gateway -tietoturvatuotteessa.

Päivityksistä yksi on kriittinen ja koskee Officen Word-, Excel- ja PowerPoint-ohjelmia. Kriittisyys johtuu rtf-tiedostomuodon käsittelystä paljastuneesta ongelmasta.

Mikäli käyttäjä houkutellaan avaamaan tietyllä tavalla muotoiltu rtf-tiedosto tai rtf-muotoilua käyttävä sähköposti, hyökkääjän saattaa olla mahdollista suorittaa omaa ohjelmakoodiaan käyttäjän oikeuksin, Cert-fi selvittää.

Tietoturvayhtiö Symantec huomioi Cnet Newsin mukaan, että hyökkäys onnistuu myös ilman sähköpostin avaamista. Saastumiseen riittää sähköpostin esikatselu Outlook-sähköpostiohjelman lukuruudussa. Ongelma ei koske suoraan Outlookia, vaan haavoittuvuutta voi käyttää vain tekstinkäsittelyohjelma Wordin kautta.
Mainos (Teksti jatkuu alla)
Mainos päättyy

Kriittinen päivitys poistaa myös erään Officessa piilleen dll-vian. Sama vika on ollut monien valmistajien eri ohjelmissa, ja syynä pidetään huolimatonta ohjelmointia. Vaarana on haittakoodin ajaminen uhrien tietokoneilla etäältä.

Hyökättyjä aukkoja
jäi korjaamatta


Marraskuun toinen ja tärkeäksi luokiteltu päivitys liittyy PowerPoint-tiedostojen käsittelyyn. Hyökkääjän saattaa olla mahdollista ottaa järjestelmä haltuunsa käyttäjän oikeuksin.

Kolmas Forefront Unified Access Gateway -tuotetta koskeva päivitys ei edes tule tarjolle Windows Update -päivityspalveluun, vaan pitää tarvittaessa ladata erikseen Download Centeristä. Tärkeäksi luokiteltu päivitys koskee tuotteen tapaa käsitellä läpi kulkevaa selainliikennettä.

Microsoftin mukaan yksikään nyt korjatuista aukoista ei ole ollut hyökkäysten kohteena. Yhtiö ei korjannut vieläkään viimeistä Stuxnet-haittaohjelman käyttämistä aukoista. Samaten vaille korjausta jäi toistaiseksi Internet Explorerin css-haavoittuvuus, jota on käytetty hyökkäyksissä.

Kommentit

    Näytä lisää