Windowsissa, Outlookissa ja Exchangessa kriittisiä reikiä
0
Microsoft on julkaissut kaksi kriittistä tietoturvapäivitystä, jotka liittyvät Windowsiin, Outlook-sähköpostiohjelmaan sekä Exchange-postipalvelimeen. Aukot ovat kriittisiä, eli hyökkääjät voisivat saada uhrikoneet täysin hallintaansa, tai rakentaa automaattisia verkkomatoja, mutta onneksi riskit ovat paljon pienempiä kuin wmf-aukossa.
Microsoft julkaisi vuoden ensimmäisen päivityksensä etuajassa jo viime viikolla, ja siinä paikattiin suurta huomiota herättänyt wmf-aukko. Vuoden toinen päivitys, MS06-002, korjaa Windowsin fontteihin liittyvän ongelman. Web-sivuille on mahdollista luoda upotettuja fontteja, jotka sopivasti muotoiltuna avaavat hyökkääjälle pääsyn web-sivua katselevan käyttäjän koneelle. Aukon löysi Eeye Digital Security -yhtiö, eikä aukon tietoja ole tiettävästi päässyt internet-levitykseen.
Outlookin ja Exchange liitteissä ongelma
Toinen nyt korjattu ongelma liittyy Microsoft Outlookin ja Exchange-palvelinohjelman tnef-dekoodaukseen (MS006-003). Transport neutral encapsulation format on Outlookissa ja Exchangessa käytetty Microsoftin oma tekniikka sähköpostien tiedostoliitteiden käsittelyyn. Hyökkääjä voisi rakentaa aukon avulla sopivasti muotoillun sähköpostiviestin, joka avaisi pääsyn uhrikoneelle.
Tnef-aukko löytyy Outlookin versioista 2000, 2002 ja 2003. Exchange-palvelimista aukko löytyy versioista 5.0, 5.5 ja 2000. Aukko raportoitiin Microsoftille yksityisesti, eivätkä senkään tietoja ole tiettävästi levinnyt laajemmalle.
