Uutiset aiheittain

13.5.2015 Microsoftin toukokuun päivitykset julkaistu

Haavoittuvuus 041/2015: Microsoftin päivitykset korjaavat 46 haavoittuvuutta

12.5.2015

Ajantasainen versio tästä haavoittuvuustiedotteesta löytyy osoitteesta
https://www.viestintavirasto.fi/2015/haavoittuvuus-2015-041

Microsoft julkaisi tiistaina 13 korjauspäivitystä, jotka korjaavat 46 haavoittuvuutta. Korjauspäivityksistä 3 on luokiteltu kriittisiksi ja 10 tärkeiksi.

Kriittisiksi luokitellut haavoittuvuudet liittyvät muistinkäsittelyn virheisiin Internet Explorer -selaimessa sekä Windowsin tapaan käsitellä kirjasintyyppejä ja Journal-tiedostoja (.jnt). Kriittisiä haavoittuvuuksia hyödyntämällä on mahdollista suorittaa haitallista ohjelmakoodia tai laajentaa käyttöoikeuksia kohdejärjestelmässä houkuttelemalla käyttäjä avaamaan tiedosto tai linkki.

Tärkeäksi luokitellun Microsoft Office -ohjelmistojen päivityksen
MS15-046 korjaamat haavoittuvuudet voivat mahdollistaa hyökkääjän ohjelmakoodin suorituksen. Muut tärkeäksi luokitellut päivitykset korjaavat haavoittuvuuksia, jotka voivat mahdollistaa käyttövaltuuksien laajentamisen, luottamuksellisen tiedon hankkimisen, palvelunestohyökkäyksen tai suojauksen ohittamisen.

Päivitys MS15-055 nostaa Secure Channelin DHE-parametrin minimipituuden 1024 bittiin. Päivityksen MS15-044 korjaama kirjasintyyppihaavoittuvuus CVE-2015-1671
(http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-1671)
vaikuttaa Microsoftin Windows-käyttöjärjestelmien .NET-komponentin lisäksi Office-tuoteperheeseen sekä Lync- ja Silverlight-ohjelmistoihin. Myös Silverlight-ohjelmiston Mac-versio on haavoittuva päivitysten MS15-044 ja MS15-049 korjaamille haavoittuvuuksille.

HAAVOITTUVUUDEN LUOKITUS:

Kohde:
– palvelimet ja palvelinsovellukset
– työasemat ja loppukäyttäjäsovellukset

Hyökkäystapa:
– ilman kirjautumista
– etäkäyttö
– ilman käyttäjän toimia

Hyväksikäyttö:
– komentojen mielivaltainen suorittaminen
– käyttövaltuuksien laajentaminen
– palvelunestohyökkäys
– suojauksen ohittaminen

Ratkaisu:
– korjaava ohjelmistopäivitys

HAAVOITTUVAT OHJELMISTOT:

– Microsoftin käyttöjärjestelmät
– Microsoftin palvelinohjelmistot
– Microsoftin työasemaohjelmistot

Katso tarkemmat tiedot haavoittuvista tuote- ja versiotiedoista Microsoftin tiedotteesta (https://technet.microsoft.com/library/security/ms15-may).

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

– Korjaava ohjelmistopäivitys

Comments are closed.