Microsoft julkaisi tiistaina kymmenen tietoturvatiedotetta, joissa varoitettiin Windows-käyttäjiä 22 uudesta haavoittuvuudesta. Joukossa on muun muassa kahdeksan IE-selaimen haavoittuvuutta, joista kolme on luokiteltu kriittisiksi.
Microsoftin Excel-taulukko-ohjelmasta löytynyt haavoittuvuus vaikuttaa myös Mac OS X -käyttäjiin.
Nyt alkavatkin päivitystalkoot. Viime huhtikuussa Microsoft julkaisi seitsemän tiedotetta, joissa varoitettiin kaikkiaan 20 havoittuvuudesta, ja yhtä haavoittuvuutta käytti hyväksi laajalle levinnyt Sasser-mato.
Symantec-tietoturvayhtiön Oliver Friedrichsin mukaan kolme nyt julkaistua haavoittuvuutta voisi johtaa Sasserin kaltaiseen matoon, mutta vaaraa vähentää se, että haavoittuvat palvelut eivät käynnisty automaattisesti useimmissa Windows-versioissa. Viat liittyvät smtp-postiprotokollaan, nntp-uutisprotokollaan ja NetDDE-palveluun.
Hyökkäys voi tulla nettisivun kautta
Internet Explorer -selaimen haavoittuvuuksista viisi mahdollistaa hyökkääjän omien komentojen suorittamisen kohdejärjestelmässä. Näistä haavoittuvuuksista kaksi on puskuriylivuotoja, yksi liittyy koodin suorittamiseen virheellisesti paikallisessa turvavyöhykkeessä ja kaksi virheellisesti tapahtuvaan suoritettavan ohjelmatiedoston tallentamiseen kohdejärjestelmään.
Kaksi muuta haavoittuvuutta liittyy url-sivuosoitteen muokkaamiseen. Näitä haavoittuvuuksia hyväksikäyttämällä hyökkääjän on mahdollista väärentää selainikkunan osoiterivillä näkyvä sivuston osoite.
Viimeinen haavoittuvuus liittyy IE:n tapaan tallentaa välimuistiin SSL-suojatun sivuston sisältö. Tätä haavoittuvuutta hyväksikäyttämällä hyökkääjän voi olla mahdollista päästä käsiksi käyttäjän SSL-suojatulle sivustolle syöttämiin tietoihin tai väärentää käyttäjälle näkyvän SSL-suojatun sivuston sisältö.
Kaikkia haavoittuvuuksia voidaan hyväksikäyttää hyökkääjän muokkaaman www-sivun välityksellä.
Osaa haavoittuvuuksista voidaan hyväksikäyttää myös tietyllä tavalla muokatun html-sähköpostin välityksellä, kertoo CERT-FI.
Lisätietoa IE-haavoittuvuuksista saa Microsoftin turvatiedotteesta.
Lokakuun turvatiedotteet löytyvät täältä.