Kriittinen turvapäivitys - Vista pitää pintansa
0
Microsoftin ei tarvinnut julkaista tässä kuussa kuin kaksi turvapäivitystä Windowsiin. Ja Vistaan ei julkaistu yhtään päivitystä, mikä jatkaa Vistan varsin hyvää turvahistoriaa. Mutta muista Windowseista löytyi erittäin kriittinen aukko, joka koskee niin XP SP2 -koneita, Explorer 7:ä, kuin Windows-palvelimiakin.
Päivityksistä kertovat Microsoft (suomeksi, englanniksi) ja myös tietoturvan viranomainen Cert-fi.
Uhrikoneella omaa koodia pelkällä nettilinkillä
Päivityksistä kriittisempi on MS07-061. Cert-fi kertoo, että se korjaa haavoittuvuuden, joka koskee Windows XP ja Windows Server 2003 -järjestelmien Shell32.dll-komponentin tapaa käsitellä sille syötettyjä uri-osoitteita, eli käytännössä internet-osoitteita.
Hyökkääjän tarvitsee vain houkutella käyttäjä klikkaamaan sopivaa nettiosoitetta, jolloin hyökkääjä voi ajaa uhrikoneella omaa koodiaan.
Haavoittuvuus koskee Windows XP ja Windows Server 2003 -järjestelmiä, joihin on asennettu Internet Explorer 7. Ongelmaa ei ole Windows Vistassa.
Dns-nimipalvelua voi huijata
Päivitys MS07-062 korjaa haavoittuvuuden, joka koskee Windows 2000 Server ja Windows Server 2003 -järjestelmien Windows Dns Server -palvelua. Cert-fin mukaan haavoittuvuus liittyy dns-nimipalvelun tapaan tuottaa rekursiivisten dns-kyselyjen sarjanumerot ennalta arvattavalla tavalla.
Käytännössä hyökkääjä voi saada nimipalvelimen antamaan väärää tietoa, ja mahdollisesti huijaamaan uhrikoneita hyökkääjän palvelimille. Ongelman vakavuustaso on tärkeä.
