Digitoday

Valikko

IE:n haavoittuvuudet kielivät pahasta suunnitteluvirheestä

Internet Explorerin uusi haavoittuvuus on läheistä sukua Microsoftin viime viikolla korjaamille haavoittuvuuksille. Perimmäinen syy ongelmiin on Internet Explorerille annetut vapaudet käyttää niin kutsuttuja COM-objekteja.

Ranskalainen Frsirt julkaisi keskiviikkona hyödyntämismenetelmän aiemmin tuntemattomaan msdds.dll-haavoittuvuuteen.

Haavoittuvuus liittyy Microsoft DDS Library Shape Control (msdss.dll) -nimisen COM-objektin käsittelyyn. Msdds.dll:ää ei oletuksena löydy tavallisesta Windowsista, mutta se asennetaan muun muassa Office XP:n mukana.

Lukuisia COM-ongelmia

Microsoftin COM eli Component Object Model on tekniikka, jolla ohjelmistojen kehittäjät voivat luoda uudelleenkäytettäviä komponentteja. COM-objekteja käytetään Office-sovelluksien yhteistoiminnassa ja niihin kuuluvat myös IE:lle tarkoitetut ActiveX-kontrollit.

Internet Explorer pääsee käsiksi vapaasti käyttöjärjestelmän COM-objekteihin ja niitä voi kutsua ActiveX-kontrolleina www-sivujen komentosarjoilla. Elokuun päivitysten (MS05-037 ja MS05-038) ja tämän viikon msdds.dll-haavoittuvuuden perusteella lukuisat COM-objektit aiheuttavat ongelmia IE:lle.

Todennäköisesti vastaavia haavoittuvuuksia löytyy lähiaikoina vielä lisää.

"Ei IE:n käyttöön"

Microsoftin torstaina julkaiseman tiedotteen mukaan msdds.dll:ää ei ole tarkoitettu IE:n käytettäväksi. Objektin kutsuminen kaataa selaimen ja syntyvää virhetilaa voidaan edelleen hyödyntää komentojen suorittamiseen.

Microsoft opastaa jälleen käyttäjiä asettamaan rekisteriin niin kutsutun "killbitin", joka estää IE:n pääsyn msdds:ään. Vastaavaa korjausta tarjottiin myös heinäkuussa ennen päivitystä julkitulleeseen Javaprxy.dll:n aukkoon.

ISC vaihtoi Infoconin keltaiseksi

Sans-instituutin Internet Storm Center huomauttaa, että jokaisen ongelmia aiheuttavan COM-objektin rekisterimuutosten sijaan oikeaoppinen tapa olisi sallia IE:lle vain turvallisten COM-objektien käyttö.

ISC patistaakin Microsoftia korjaaman COM-ongelmat yhdellä päivityksellä nykyisen "killbit" kerrallaan -käytännön sijasta. ISC nosti Infocon-hälytysjärjestelmänsä keltaiseksi haavoittuvuuden julkisen hyödyntämismenetelmän vuoksi.

Microsoftin tietoturvatiedote 906267, jonka kohdasta Suggested Actions->Workarounds löytyvät yhtiön opastamat suojautumiskonsit. Päivitystä ei ole saatavilla.

Bugtraq:n lista msdds.dll:ää käyttävistä sovelluksista

Microsoft Visual Studio .NET Trial Edition

Microsoft Visual Studio .NET Professional Edition

Microsoft Visual Studio .NET Enterprise Developer Edition

Microsoft Visual Studio .NET Enterprise Architect Edition

Microsoft Visual Studio .NET Academic Edition

Microsoft Visual Studio .NET 2003 Enterprise Architect

Kommentit

    Näytä lisää

    Näitä luetaan!

    1. 1

      Saara Aallon kilpakumppanit pahoissa vaikeuksissa – tuleeko finaalilähetyksestä katastrofi?

    2. 2

      Aktiivisen työttömän tuloista lähtee ensi vuonna jopa 200 €/kk – ”Työttömän taloudessa järkyttävän suuri summa”

    3. 3

      Venäjän Ruotsin-suurlähettiläs kävi kuumana televisiossa: ”Meillä ei ole mitään suunnitelmia vallata Ruotsia”

    4. 4

      Salkkarit-kaunotar rohkeassa kuvassa – rinnat paistavat läpi henkäyksen ohuesta asusta

    5. 5

      Paljastus X Factor -kulisseista: Sharonin liikuttavat eleet Merille ja Saaralle tekivät vaikutuksen katsomossa

    6. 6

      Mies treenasi salilla – toinen asiakas valitti hienhajusta henkilökunnalle

    7. 7

      Sekava mies uhkasi vastaantulijaa Porvoossa – nyrkkeilytaustainen uhattu ei päästänyt karkuun

    8. 8

      Imatran epäilty kolmoissurmaaja vuoden 2013 uhristaan: En edes ajatellut, mitä hänelle oli käynyt

    9. 9

      Jelena Isinbajeva sai uuden pestin – Kansainvälinen antidopingtoimisto on huolissaan

    10. 10

      Nuori äiti julkaisi suloisen kuvan itsestään ja pojastaan – kuva ei kerro kaikkea: Mukana totuudenmukainen viesti lapsista haaveileville

    11. Näytä lisää
    1. 1

      Raivostunut Matti Nykänen perui keikkansa Kanarialla – ravintola joutui maksumieheksi: ”V**ut minä mitään keikkaa vedä”

    2. 2

      Robinin, 18, Linnan juhlat -asussa mukana yksityiskohta, joka jäi monilta huomaamatta – presidentiltä erityinen pyyntö kättelyjonossa

    3. 3

      Katin ja Mikon loppumaton tuska – tytär ei elä enää pitkään: ”Lapsi jota on niin kovasti toivonut, otetaan pois”

    4. 4

      Arman Alizad valitsi Linnan juhlien parhaat pukeutujat – 5 napakymppiä: ”Näytti Kreikan kuningattarelta”

    5. 5

      Uutuuskirja: Miksi Adolf Ehrnrooth ammutti tykeillä omia miehiään?

    6. 6

      Bunkkeriin seksiorjaksi teljetty ruotsalaisnainen kirjoitti kirjan painajaisestaan – ”Yritin uskotella itselleni, ettei tämä voi olla totta”

    7. 7

      Suomen 50 halutuinta osoitetta – löytyykö omasi listalta?

    8. 8

      Hänellä oli Linnan juhlien rohkein iltapuku – IS:n lukijat äänestivät illan räväyttävimmän pukeutujan

    9. 9

      Susanna, 33, vei Lumian huoltoon – uuteen puhelimeen alkoi ilmestyä outoja kuvia

    10. 10

      Järkyttävä tragedia golfin huipputurnauksessa – ”Kaikki ovat shokissa ja järkyttyneitä”

    11. Näytä lisää
    1. 1

      Poliisi IS:lle: Tällainen tausta Imatran epäillyllä 23-vuotiaalla kolmoismurhaajalla on

    2. 2

      WhatsApp katoaa miljoonista puhelimista – katso, onko omasi listalla

    3. 3

      Hänellä oli Linnan juhlien rohkein iltapuku – IS:n lukijat äänestivät illan räväyttävimmän pukeutujan

    4. 4

      7 yleisen syövän varhaiset varoitusmerkit – tunnista ajoissa

    5. 5

      Tuulenvire paljasti Donald Trumpin omituisen ”asumokan” – netti sekosi lentokentältä napatusta kuvasta

    6. 6

      Perhesyyt eivät painaneet? Mika Salolla teoria Nico Rosbergin lopettamisesta: ”Kukaan ei tajua sitä…”

    7. 7

      Todelliset syyt, joiden vuoksi naiset voihkivat seksin aikana

    8. 8

      Linnan jatkoilla nousi hässäkkä – Heikki Lampela ja Hanna Kärpänen sisään vahvassa juhlatunnelmassa: ”Haluan seikkailuja”

    9. 9

      Nainen teki ”pettämistestin” poikaystävälleen – lopputulos ei ilahduttanut, videolla jo 6 miljoonaa katselukertaa

    10. 10

      Matti Vanhasen tyrmäävä naisystävä Heidi säväytti Linnassa – sahaperijättären mekko paljasti dekolteen

    11. Näytä lisää

    Näitä luetaan!

    1. 1

      Saara Aallon kilpakumppanit pahoissa vaikeuksissa – tuleeko finaalilähetyksestä katastrofi?

    2. 2

      Aktiivisen työttömän tuloista lähtee ensi vuonna jopa 200 €/kk – ”Työttömän taloudessa järkyttävän suuri summa”

    3. 3

      Venäjän Ruotsin-suurlähettiläs kävi kuumana televisiossa: ”Meillä ei ole mitään suunnitelmia vallata Ruotsia”

    4. 4

      Salkkarit-kaunotar rohkeassa kuvassa – rinnat paistavat läpi henkäyksen ohuesta asusta

    5. 5

      Paljastus X Factor -kulisseista: Sharonin liikuttavat eleet Merille ja Saaralle tekivät vaikutuksen katsomossa

    6. Näytä lisää
    1. 1

      Raivostunut Matti Nykänen perui keikkansa Kanarialla – ravintola joutui maksumieheksi: ”V**ut minä mitään keikkaa vedä”

    2. 2

      Robinin, 18, Linnan juhlat -asussa mukana yksityiskohta, joka jäi monilta huomaamatta – presidentiltä erityinen pyyntö kättelyjonossa

    3. 3

      Katin ja Mikon loppumaton tuska – tytär ei elä enää pitkään: ”Lapsi jota on niin kovasti toivonut, otetaan pois”

    4. 4

      Arman Alizad valitsi Linnan juhlien parhaat pukeutujat – 5 napakymppiä: ”Näytti Kreikan kuningattarelta”

    5. 5

      Uutuuskirja: Miksi Adolf Ehrnrooth ammutti tykeillä omia miehiään?

    6. Näytä lisää
    1. 1

      Poliisi IS:lle: Tällainen tausta Imatran epäillyllä 23-vuotiaalla kolmoismurhaajalla on

    2. 2

      WhatsApp katoaa miljoonista puhelimista – katso, onko omasi listalla

    3. 3

      Hänellä oli Linnan juhlien rohkein iltapuku – IS:n lukijat äänestivät illan räväyttävimmän pukeutujan

    4. 4

      7 yleisen syövän varhaiset varoitusmerkit – tunnista ajoissa

    5. 5

      Tuulenvire paljasti Donald Trumpin omituisen ”asumokan” – netti sekosi lentokentältä napatusta kuvasta

    6. Näytä lisää