Microsoftin ohjelmistoista löytyy lähes viikoittain eritasoisia haavoittuvuuksia. Tällä kertaa Viestintäviraston CERT-FI —tietoturvallisuusyksikön mukaan tietoturva-aukkoja on löytynyt sekä Outlook 2002 —sähköpostiohjelmasta että Internet Explorer —selainohjelmasta.
Microsoft Outlook on muun muassa sähköpostien, kontaktien, tehtävien, ja tapaamisien hallintaan tarkoitettu toimistosovellus. Käsiteltäessä saapuneita sähköposteja, Outlook prosessoi sähköpostien otsikkotietuetta (header)ja tekee sen sisältämien tietojen mukaan toimenpiteitä.
Nyt havaittu haavoittuvuus liittyykin tähän Outlook 2002:n tapaan käsitellä sähköpostien otsikkotietuetta.
Haavoittuvuutta hyväksikäyttämällä hyökkääjän voi olla mahdollista kohdistaa kohdetietojärjestelmään palvelunesto eli DoS (Denial of Service) hyökkäys.
Ratkaisu: Päivitä haavoittuva tietojärjestelmä korjaustiedostolla
Haavoittuvuus ei koske järjestelmiä, joissa käytetään MAPI-protokollaa tai Outlook 2000 tai Outlook Express-ohjelmistoja
Haavoittuvuus Internet Explorer —selainohjelmassa
Microsoft Internet Explorer (IE) on selainohjelma, jota käytetään internet-sivustojen selailussa.
Microsoft Internet Explorer-selainohjelman turvallisuusominaisuuksista, tietyntyyppisen välimuistikäsittelyn yhteydestä, on löydetty haavoittuvuus, jota hyväksikäyttämällä hyökkääjän voi olla mahdollista päästä lukemaan kohdetietojärjestelmän sisältämiä tietoja.
Hyökkääjän voi olla myös rajoitetusti mahdollista joissain tapauksissa käynnistää tämän haavoittuvuuden avulla kohdetietojärjestelmässä olevia ohjelmistoja.
Ratkaisu: Päivitä haavoittuva tietojärjestelmä korjaustiedostolla, joka on kumulatiivinen ja korjaa näin kaikki aiemmat löydetyt haavoittuvuudet Microsoft Internet Explorer-selainohjelmaversioista 5.5 ja 6.0.
Haavoittuvuutta rajoittavia tekijöitä:
- Internet Explorer-selainohjelmaversio 5.01 ei ole haavoittuva
- Jotta hyökkääjä voisi hyväksikäyttää haavoittuvuutta, tulee hänen pystyä houkuttelemaan kohdetietojärjestelmän käyttäjä manipuloidulle www-sivulle esim. hyperlinkin välityksellä