Tietoturvatiedotteet

Microsoftin syyskuun päivityksissä korjattu 42 haavoittuvuutta

Tunnisteet: microsoft

Microsoft on julkaissut neljä päivitystä, jotka korjaavat yhteensä 42 haavoittuvuutta Windows käyttöjärjestelmässä sekä Microsoft Lyncissä. Yksi päivitys on luokiteltu kriittiseksi (critical) ja kolme tärkeäksi (important).

MS14-052 (CVE-2013-7331, CVE-2014-2799, CVE-2014-4059, CVE-2014-4065, CVE-2014-4079, CVE-2014-4080, CVE-2014-4081, CVE-2014-4082, CVE-2014-4083, CVE-2014-4084, CVE-2014-4085, CVE-2014-4086, CVE-2014-4087, CVE-2014-4088, CVE-2014-4089, CVE-2014-4090, CVE-2014-4091, CVE-2014-4092, CVE-2014-4093, CVE-2014-4094, CVE-2014-4095, CVE-2014-4096, CVE-2014-4097, CVE-2014-4098, CVE-2014-4099, CVE-2014-4100, CVE-2014-4101, CVE-2014-4102, CVE-2014-4103, CVE-2014-4104, CVE-2014-4105, CVE-2014-4106, CVE-2014-4107, CVE-2014-4108, CVE-2014-4109, CVE-2014-4110, CVE-2014-4111)

Päivitys korjaa 36 Internet Explorer-selaimen muistinkäsittelyyn liittyvää haavoittuvuutta, jotka mahdollistavat mielivaltaisen ohjelmakoodin suorittamisen järjestelmässä käyttäjän oikeuksin, mikäli käyttäjä avaa tietyllä tavalla muotoillun verkkosivun haavoittuvalla selainversiolla. Lisäksi päivitys korjaa haavoittuvuuden CVE-2013-7331, jota voidaan hyödyntää luottamuksellisen tiedon hankkimiseen. Kyseistä haavoittuvuutta on hyödynnetty verkkohyökkäyksissä.

MS14-053 (CVE-2014-4072)

Päivityksessä on korjattu .NET Frameworkin haavoittuvuus, joka aiheuttaa palvelunestotilan mikäli hyökkääjä lähettää tietyllä tavalla muotoiltuja pyyntöjä ASP.NET ohjelmistokehystä hyödyntävälle sivustolle. Haavoittuvuus koskee ainostaan IIS-palvelimia, joissa ASP.NET on käytössä.

MS14-054 (CVE-2014-4074)

Päivitys korjaa haavoittuvuuden Windowsin tehtävien ajoituksessa. Haavoittuvuus mahdollistaa käyttäjäoikeuksien korottamisen käyttäjätasolta järjestelmätasolle mikäli kirjautunut käyttäjä suorittaa haavoittuvuutta hyödyntävän ohjelman.

MS14-055 (CVE-2014-4068, CVE-2014-4070, CVE-2014-4071)

Päivityksessä on korjattu kaksi Microsoft Lync -palvelimen haavoittuvuutta, jotka aiheuttavat palvelunestotilan mikäli hyökkääjä lähettää tietyllä tavalla muotoillun pyynnön Lync-palvelimelle. Lisäksi päivitys korjaa yhden cross-site scripting (XSS) -haavoittuvuuden.

  • Palvelimet ja palvelinsovellukset
  • Työasemat ja loppukäyttäjäsovellukset
  • Verkon aktiivilaitteet
  • Matkaviestinjärjestelmät
  • Sulautetut järjestelmät
  • Muut

Kohde

  • Palvelimet ja palvelinsovellukset
  • Työasemat ja loppukäyttäjäsovellukset

Hyökkäystapa

  • Paikallisesti
  • Ilman kirjautumista
  • Etäkäyttö
  • Ilman käyttäjän toimia

Hyväksikäyttö

  • Komentojen mielivaltainen suorittaminen
  • Käyttövaltuuksien laajentaminen
  • Luottamuksellisen tiedon hankkiminen
  • Palvelunestohyökkäys

Ratkaisu

  • Korjaava ohjelmistopäivitys

Haavoittuvat ohjelmistot:

  • Microsoft Internet Explorer 6, 7, 8, 9, 10 ja 11
  • Windows Vista, 7, 8 ja 8.1
  • Windows RT ja RT 8.1
  • Windows Server 2003, 2008, 2008 R2, 2012 ja 2012 R2
  • Microsoft Lync Server 2010 ja 2013

Tarkemmat tiedot haavoittuvista versioista löytyvät Microsoftin tiedotteesta.

Ratkaisu- ja rajoitusmahdollisuudet:

Asenna haavoittuvuudet korjaavat ohjelmistopäivitykset. Huomioi, että päivitysten asentamisen jälkeen järjestelmän voi joutua käynnistämään uudelleen. Helpoin tapa päivittää yksittäinen työasema on käyttää automaattista päivitystyökalua.

Kyberturvallisuuskeskus haluaa muistuttaa, että osa haavoittuvuuksista voi koskea myös Windows XP -käyttäjiä, mutta XP:n tuen loppumisen vuoksi päivityksiä ei ole saatavilla.

Lisätietoa:

Päivityshistoria

  • 09.09.2014 klo 20:27
    Julkaistu
Lue lisää

Uudet tietoturvatiedotteet

Tunnisteet: tietoturva, valvonta

Asiakkaiden pyynnöstä alamme julkaista uudelleen tietoturvatiedotteita. Tiedotteet pohjautuvat Viestintäviraston ja muiden maiden turvallisuusviranomaisten / -yritysten julkaisemiin tiedotteisiin.

Rajaa nostamme hiukan eli vain tärkeimmät tiedotteet julkaistaan ja vähemmän tärkeistä ne jotka Valvonta katsoo koskettavan asiakkaitamme.

Terveisin ICT-Palvelut Valvonta

 

Lue lisää
.