Internet Explorerissa ja Windowsissa uusia haavoittuvuuksia
0
Microsoft varoittaa Internet Explorer -selaimesta ja Windows-käyttöjärjestelmästä löydetystä kolmesta uudesta haavoittuvuudesta, jotka luokitellaan vakaviksi. IE:n kahdesta haavoittuvuudesta vakavinta hyödyntävän krakkerin uhriksi voi joutua vain, jos menee krakkerin hallinnoimalle web-sivulle tai avaa hyökkääjän lähettämän html-muotoisen sähköpostiviestin.
Jos käyttäjä erehtyy näin tekemään, krakkeri pääsee suorittamaan haluamiaan ohjelmia kohdekoneessa. Vaara johtuu siitä, ettei IE tarkista web-palvelimen palauttaman objektin tyyppiä. Toinen syy on se, että selaimen cross-domain-tietoturvassa on aukko.
IE:n versioita 5.01, 5.5 ja 6.0 koskeva haavoittuvuus on luokiteltu vakavaksi kaikissa muissa järjestelmissä paitsi Windows 2003:ssa. Korjaus on ladattavissa Microsoftin sivuilta.
Windowsin haavoittuvuus koskee käyttöjärjestelmän kaikkia versioita. Aukon uskottiin aluksi olevan Microsoft SQL Serverissä, mutta se onkin mdac-komponentissa (Microsoft data access component). Windows 2003:een mdac:ta ei asenneta oletuksena, mutta sen voi asentaa jälkeenpäin. Tähänkin on korjaus tarjolla.
Parhaillaan rajusti leviävät Blaster- ja Sobig-madot eivät pysty hyödyntämään näitä haavoittuvuuksia.
