Share via

Muutamia huomioita tammikuun tietoturvatiedotteista

  • Article

Tammikuun tietoturvatiedotteista pidettiin eilen 10.1. aamupäivällä webcast, jossa tuli esille pari kysymystä:

Kysymys: Auttaako Windows Vistan ASLR (Address Space Layout Randomization) suojaamaan haaoittuvuuden hyödyntämiseltä Office 2003:een liittyvissä havoittuvuuksissa?
Vastaus: Vastaus tähän on klassinen kyllä ja ei ;-> Jotta ASLR.ää käytetään jonkin tietyn sovelluksen suojaamisessa, on se linkattava käyttämällä Visual Studio 2005 uutta linkkeriä ja käytettävä /dynamicbase-valitsinta. Office 2003:ssa ei näin ole tehty. Tämä oli siis se ei-osuus vastauksesta. Monesti jonkin haavoittuvuuden hyödyntämisessä kuitenkin yritetään siirtyä johonkin käyttöjärjestelmän toimintoon, ja Vistan tapauksessa käyttöjärjestelmän komponenteissa käytetään ASLR:ää, joten myös Officen tapauksessa ASLR todennäköisesti vaikeuttaa haavoittuvuuden hyödyntämistä.

Että mikä on ASLR? Kyseessä on Vistan Kerneliin lisätty toiminto, joka muuttaa suoritettavan sovelluksen tiettyjä muistialueita satunnaisesti niin, että muistiosoitteet eivät ole kaikkialla (lue: kaikissa koneissa samoja). Tämä vaikeuttaa siirtymistä esimerkiksi johonkin käyttöjärjestelmän toimintoon, koska toiminto ei sijaitse ennalta tiedossa olevassa muistiosoitteessa. Lisätietoja löytyy mm. Michael Howardin Weblogista.

Kysymys: Mitä tarkoitti "Detection and Deployment" -slidulla MBSA 2.0 -sarakkeessa ollut merkintä "2000 Only"?
Vastaus: MBSA 2.0:lla ei voi tunnistaa Office 2000:n päivitystarvetta, eli MBSA 2.0 ei tue Office 2000:aa.

Hyödyllistä tietoa tammikuun tietoturvatiedotteissa kuvattujen korjausten tunnistamisesta ja jakelusta löytyy Knowledge Base -artikkelista 930583.

Muutama huomio vielä näiden lisäksi:
MS07-001
- Tiedote koskee nimenomaan brasilianportugalinkielistä kieliopin tarkistinta (Grammar Checker), jonka pitää olla asennettuna, jotta haavoittuvuutta voidaan hyödyntää. On suositeltavaa käyttää MBSA.ta tunnistamaan, tarvitanko korjausta vai ei.

MS07-002
- Päivityksen asentaminen muuttaa aiempien Excel-päivitysten tapaan Windowsin oletussähköpostisovelluksen takaisin oletusasetukseen, eli Microsoftin Outlookkiin. Jos käytössä on jokin toinen sähköpostisovellus, on asetus muutettava käsin osoittamaan oikeaan sovellukseen korjauksen asennuksen jälkeen.

MS07-003
- iCal-tiedostoihin (.ICS) liittyvän haavoittuvuuden yhteydessä on minittu, että havoittuvuutta ei voi hyödyntää sähköpostin välityksellä, jos käytössä on Outlook-sähköpostisovellus ja Exchange-palvelin ja näiden välinen yhteys toteutetaan MAPI-yhteytenä (oletustilanne). On kuitenkin huomattava, että tämä vaikuttaa ainoastaan sähköpostin välityksellä välitettyihin ICS-tiedostoihin (iCal-tieto on upotettu viestiin tai viestissä on .ICS-liite). Haavoittuvuutta voidaan edelleen tässäkin tapauksessa hyödyntää esim. niin, että käyttäjä menee Webbisivulle, jossa on .ICS-tiedosto, ja lataa ja avaa tiedoston Outlookissa. Korjaus kannattaa siis asentaa myös siinä tapauksessa, että käytössä on Exchange-palvelin.
- .OSS-tiedostoihin (Office Saved Search) liittyvä korjaus poistaa tiedostot käytöstä - lisätietoja on KB-artikkelissa 925542.