Viestintäviraston tietoturvaloukkauksiin ja niiden ennaltaehkäisyyn keskittyvä CERT-FI-ryhmä varoittaa haavoittuvuudesta Microsoft Internet Explorer-, Proxy Server 2.0- ja ISA Server 2000 –ohjelmistoissa. Niiden gopher-asiakaskoodissa on puskuriylivuotohaavoittuvuus, joka mahdollistaa hyökkääjän vapaavalintaisen ohjelmakoodin ajon.
MSIE-ohjelmiston osalta vapaavalintainen ohjelmakoodi suoritetaan selaimen käyttäjän oikeuksilla. Proxy Server 2.0 ja ISA Server 2000 -ohjelmistoissa hyökkääjä voi suorittaa ohjelmakoodin LocalSystem-oikeuksilla, antaen hyökkääjälle välittömästi pääkäyttäjän oikeudet.
Microsoft on luokitellut haavoittuvuuden Critical-luokkaan.
Haavoittuvuuden hyödyntämiseen riittää käynti www-sivulla jonka html-koodiin hyökkääjä on sijoittanut aktivoivan gopher-viittauksen.
Haavoittuvuudelle alttiita järjestelmiä ovat Microsoft Internet Explorer 5.01, 5.5 ja 6.0 (mahdollisesti myös aikaisemmat versiot), Microsoft Proxy Server 2.0 ja ISA Server 2000.
Ratkaisumahdollisuudet:
- Estä MSIE-selaimen gopher-protokollan käyttö määrittelemällä gopher-välimuistipalvelimeksi (Tools -> Internet Options -> LAN Settings -> Use a proxy server ) ns. localhost-osoite (127.0.0.1), portiksi 1.
- Jos käytössä on välimuistipalvelujen automaattinen konfigurointi (autoconfiguration), tee vastaavat muutokset autokonfiguraatioskriptiin.
Esimerkki tarvittavista muutoksista löytyy Microsoftin turvatiedotteesta!
Ohjelmistopäivityksiä ei ole saatavilla tällä hetkellä.