Windowsin Flash-aukko kriittisin turva-ongelma

Microsoftilta toukokuussa kolme turvapäivitystä
10.5.2006 11:08 Lukukerrat 0 0 kommenttia Samuli Kotilainen
Windowsin Flash-aukko kriittisin turva-ongelma

Microsoft on julkaissut kolme uutta tietoturvapäivitystä, joista kaksi korjaa kriittisiä turva-aukkoja. Vakavin aukko liittyy web-sivuilla käytettävien Macromedia Flash -multimediasisältöjen toisto-ohjelmaan, joka on upotettu Windowsin sisään.

Toinen aukko koskee Microsoftin Exchange -sähköpostipalvelinta, ja sen kalenteritietoja. Molemmat aukot ovat kriittisiä, eli niitä voidaan käyttää melko helposti internetin kautta tehtäviin hyökkäyksiin. Kolmas nyt julkaistu turvapäivitys liittyy Windowsin DTC-palveluun, mutta ongelman luokitus on vain keskitasoa, eli se ei ole kovin vaarallinen.

Flash-player haavoittuva

Turvapäivitys MS06-020 koskee Windows-käyttöjärjestelmän mukana toimitettavaa Adoben Macromedia Flash Player -komponenttia. Komponentista on löytynyt kaksi haavoittuvuutta, jotka liittyvät swf-tiedostojen käsittelyyn. Vihamielinen hyökkääjä voi hyödyntää haavoittuvuuksia sijoittamalla sopivasti muotoillun swf-tiedoston vaikkapa internet-sivuille ja houkuttelemalla käyttäjän sinne. Kun selain aukaisee sivun, haavoittuvuudet antavat hyökkääjälle mahdollisuuden suorittaa haluamaansa ohjelmakoodia uhrikoneessa.

Ongelma löytyy kaikista Windows XP versioista, sekä vanhemmista 98- ja ME-versioista. Myös Adobe varoittaa sivuillaan kyseisestä ongelmasta.

Exchangea voi huijata kalenteritiedoilla

MS06-019-päivitys liittyy Exchange-sähköpostipalvelimen tapaan käsitellä sille välitettyjä ical- (Internet Calendar) tai vcal-muotoisia (Virtual Calendar) kalenteritietoja. Näitä tietomuotoja käytetään välitettäessä kalenteriin liittyviä sanomia, esimerkiksi kokouskutsuja Exchange-palvelimien välillä.

Hyökkääjä voisi hyödyntää haavoittuvuutta lähettämällä Exchange-palvelimelle esimerkiksi sähköpostiviestin, joka sisältää sopivasti muotoillun ical- tai vcal-sisällön. Tätä kautta hyökkääjä voisi suorittaa haluamaansa ohjelmakoodia uhrikoneessa.

Pienempi ongelma Windowsissa

Päivitys MS06-018 koskee Microsoftin Distributed Transaction Coordinator -palvelua (dtc). Palvelusta on löytynyt kaksi haavoittuvuutta, jotka molemmat liittyvät muistinkäsittelyvirheisiin. Hyökkääjä voisi ongelman avulla aiheuttaa kuitenkin vain palvelun jumiutumisen, eli kyseessä ei ole kriittinen ongelma.

Tietokone Tilaa Tietokone-lehti
Lähetä Tulosta Tilaa RSS-syöte
Takaisin ylös

Lisää aiheesta

Tietoturvapäivä muutti oppilaiden nettitapoja 5.5.2006 15:01
Linux tietoturvallinen mutkan kautta 4.5.2006 14:39
Linuxin ydin tulee bugisemmaksi 8.5.2006 10:58
Suomessakin huijauspalvelimia 28.4.2006 12:20

Lukijoiden kommentit 0 kommenttia

Kirjaudu sisään kommentoidaksesi.
Takaisin ylös

Luetuimmat uutiset 15 uusimman joukosta

Applen pääsuunnittelija: uusi projekti yhtiön tärkein ja paras Lukukerrat
Yahoo yllätti Axis-selaimella Lukukerrat
Facebook-yllätys: kiinnostava kameraohjelma kännykkään Lukukerrat
Näin nettirikollinen tienasi 100 000 euroa kuussa – ja vankilatuomion Lukukerrat
Lumiasta tulee tasku-tv Lukukerrat
Näytä kaikki

Kommentoiduimmat uutiset 15 uusimman joukosta

Applen pääsuunnittelija: uusi projekti yhtiön tärkein ja paras 12 12 kommenttia
Lumiasta tulee tasku-tv 8 8 kommenttia
Yahoo yllätti Axis-selaimella 3 3 kommenttia
Uusi iPad päihitti vanhan kahdessa kuukaudessa 1 1 kommenttia
Hittipeli rikkoi ennätykset 1 1 kommenttia
Näytä kaikki
Takaisin ylös
RSS

Uutiset

Näytä kaikki

Uusimmat softaesittelyt

Näytä kaikki

Uusimmat blogimerkinnät

Näytä kaikki

Uusimmat keskustelut

Näytä kaikki
Tietokone

IT-työpaikkailmoitukset

Näytä kaikki
TTL ry
Pieni kirjapuoti
Takaisin ylös