Päivitys Security Advisoryyn 961051
Viime viikon lopulla Microsoft julkisti Security Advisoryn 961051, joka koskee Internet Explorer -selaimesta havaittua haavoittuvuutta. Security Advisorya on päivitetty viikonlopun aikana pariinkin otteeseen - päivitykset koskevat lähinnä kahta asiaa:
- Alkuperäisestä tiedotteesta poiketen haavoittuvuus koskee kaikkia Internet Explorerin tällä hetkellä tuettuja versioita (5.01, 6.0 ja 7.0, ja näiden lisäksi myös 8.0 beta).
- Tiedotteeseen on lisätty uusia Workaround-keinoja, joiden avulla haavoittuvuuden aiheuttamaa riskiä voidaan pienentää.
Haavoittuvuus sijaitsee siis Internet Explorerissa, ja tarkemmin IE:n DHTML-käsittelyssä. Hyvä kuvaus haavoittuvuudesta ja myös keinoista, joilla riskiä voidaan pienentää, löytyy Security Vulnerability Research & Defense -blogista.
Kuten mainittu, advisoryssä on mainittu uusia workaroundeja, eli keinoja haavoittuvuuden aiheuttaman riskin pienentämiseen. Keinot voidaan karkeasti jakaa kolmeen ryhmään:
- Keinot, joidan avulla estetään tällä hetkellä tunnetut hyökkäysvektorit, eli MSHTML.DLL-tiedoston ja/tai OLEDB-toiminnallisuuden käyttö IE:n kautta:
- ns. XML Island -toiminnallisuuden poistaminen käytöstä
- Row Position -toiminnallisuuden poistaminen käytöstä OLEDB32.DLL-tiedostossa
- OLEDB32.DLL-tiedoston käytön estäminen IE:ssä käyttämällä ACL-määrityksiä
- OLEDB32.DLL-tiedoston rekisteröinnin peruutus tai käytön esto käyttämällä ACL-määrityksiä
- Data Binding -toiminnallisuuden poistaminen käytöstä (vain IE 8).
- Keinot, joiden avulla suojellaan järjestelmää laajemmin haavoittuvuuden aiheuttamalta riskiltä, eli jo aiemmin Advisoryssä mainitut keinot:
- Active Scripting -toiminnallisuuden estäminen Internet- ja Local Intranet -vyöhykkeissä.
- Internet- ja Local Intranet -vyöhykkeiden tietoturvan asettaminen tilaan High, jolloin käyttäjältä kysytään lupa aina, kun jokin sivusto haluaa käyttää Active SCripting -toiminnallisuutta.
- Keinot, joilla vaikeutetaan Heap-muistin käsittelyä hyökkäystarkoituksessa:
- DEP-toiminnallisuuden käyttöönotto Internet Explorer 7:ssä ja Windows Vistassa tai Windows Server 2008:ssa.
Ryhmän 1. keinojen avulla voidaan estää tällä hetkellä tunnettujen hyökkäyksien toiminta. On kuitenkin suositeltavaa näiden keinojen lisäksi käyttää jotain ryhmän 2. keinoa, jotta IE:tä suojellaan myös laajemmin. Lisätietoja näistä kaikista keinoista on varsinaisessa englanninkielisessä Advisoryssä sekä edellä mainitussa SWI-blogin artikkelissa:
https://www.microsoft.com/technet/security/advisory/961051.mspx
https://blogs.technet.com/swi/archive/2008/12/12/Clarification-on-the-various-workarounds-from-the-recent-IE-advisory.aspx