Mozilla Thunderbird-sähköpostiohjelman versio 24.6 korjaa neljä haavoittuvuutta

Kohde:

– työasemat ja loppukäyttäjäsovellukset

Hyökkäystapa:

– ilman kirjautumista
– ilman käyttäjän toimia

Hyväksikäyttö:

– komentojen mielivaltainen suorittaminen
– tietojen muokkaaminen
– suojauksen ohittaminen

Ratkaisu:

– korjaava ohjelmistopäivitys

Mozilla Foundation on julkaissut Thunderbird-sähköpostiohjelmasta uuden
version, joka korjaa neljä haavoittuvuutta. Kolme haavoittuvuuksista on
luokiteltu kriittisiksi ja yksi tärkeäksi. Haavoittuvuuksia ei tiedetä
hyväksikäytetyn, mutta niitä on teoriassa mahdollisuus hyväksikäyttää
haitallisen ohjelmakoodin ajamiseen ja ohjelmiston toiminnan häiritsemiseen.

Haavoittuvuudet liittyvät sähköpostiohjelman selainkomponentin
muistinkäsittelyyn, puskuriylivuotoihin sekä virheisiin web-sisällön
käsittelyssä. Thunderbird käyttää sähköpostiviestien sisällön näyttämiseen
Firefox-selainmoottoria, joka päivittyi samanaikaisesti versioon 30.

Mozilla Thunderbird-sähköpostiohjelman voi päivittää ohjelmiston
automaattipäivityksen avulla tai lataamalla ja asentamalla viimeisimmän
version valmistajan kotisivuilta osoitteesta
http://www.mozilla.org/en-US/thunderbird/

HAAVOITTUVAT OHJELMISTOT:

* Mozilla Thunderbird-sähköpostiohjelma ennen versiota 24.6

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

* Ohjelmiston päivittäminen valmistajan ohjeiden mukaisesti

Mozilla Firefox-selaimen versio 30 korjaa kahdeksan haavoittuvuutta

Kohde:

– työasemat ja loppukäyttäjäsovellukset

Hyökkäystapa:

– ilman kirjautumista
– etäkäyttö
– ilman käyttäjän toimia

Hyväksikäyttö:

– komentojen mielivaltainen suorittaminen
– tietojen muokkaaminen
– suojauksen ohittaminen

Ratkaisu:

– korjaava ohjelmistopäivitys

Mozilla Firefox-selaimesta on julkaistu versio 30, joka korjaa kahdeksan
erilaista haavoittuvuutta. Mozilla Foundation on määritellyt
haavoittuvuuksista kuusi kappaletta kriittisiksi ja kaksi kappaletta
tärkeiksi. Haavoittuvuuksia ei tiedetä hyväksikäytetyn, mutta niitä on
teoriassa mahdollisuus hyväksikäyttää haitallisen ohjelmakoodin ajamiseen ja
ohjelmiston toiminnan häiritsemiseen.

Haavoittuvuudet liittyvät selaimen muistinkäsittelyyn, puskuriylivuotoihin
sekä virheisiin web-sisällön käsittelyssä. Myös selaimen
alustayhteensopivuutta takaavassa Netscape Portable Runtime-kirjastossa
havaittiin muistinkäsittelyyn liittyvä haavoittuvuus.

Mozilla Firefox-selaimen voi päivittää selaimen automaattipäivitystoiminnon
kautta tai lataamalla ja asentamalla viimeisimmän version valmistajan
kotisivuilta osoitteesta http://www.mozilla.org/en-US/products/#firefox

Netscape Portable Runtime-paketin viimeisimmän version voi noutaa
osoitteesta https://developer.mozilla.org/en-US/docs/Mozilla/Projects/NSPR

HAAVOITTUVAT OHJELMISTOT:

* Mozilla Firefox-selaimet ennen versiota 30
* Mozilla Firefox ESR-selaimet ennen versiota 24.6
* Netscape Portable Runtime ennen versiota 4.10.6

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

* Ohjelmiston päivittäminen valmistajan ohjeiden mukaisesti

Adoben päivitys korjaa haavoittuvuuksia AIR- ja Flash Player-ohjelmistoissa

Kohde:

– työasemat ja loppukäyttäjäsovellukset
– matkaviestimet

Hyökkäystapa:

– ilman kirjautumista
– etäkäyttö
– ilman käyttäjän toimia

Hyväksikäyttö:

– komentojen mielivaltainen suorittaminen
– käyttövaltuuksien laajentaminen
– tietojen muokkaaminen
– luottamuksellisen tiedon hankkiminen
– suojauksen ohittaminen

Ratkaisu:

– korjaava ohjelmistopäivitys

Adobe on julkaissut päivityspaketin, joka korjaa kriittisiä haavoittuvuuksia
Flash Playerin versioissa 13.0.0.214 Windows- ja OS X-alustoilla sekä
versiossa 11.2.202.359 Linux-alustalla. Flash Playerissa olevat
haavoittuvuudet mahdollistavat hyökkääjälle haitallisen koodin ajamisen
kohdekoneessa. Kyseisiä haavoittuvuuksia on Adoben tietojen mukaan joko
hyväksikäytetty osana haittaohjelmien toimintaa, tai niiden hyväksikäyttö on
erittäin todennäköistä. AIR-ohjelmistossa olevat haavoittuvuudet ovat
vähemmän kriittisiä, eikä niitä tiedetä käytetyn aktiivisesti hyökkäyksiin.

Adobe suosittelee Windows- ja OS X-käyttäjiä päivittämään Flash Playerin
versioon 14.0.0.125 ja Linux-käyttäjiä päivittämään versioon 11.2.202.378.
Adobe AIR 13.0.0.111-käyttäjien (Myös SDK & Compiler-paketit) suositellaan
päivittävän ohjelmisto versioon 14.0.0.110. Päivitys koskee myös
Android-alustalla ajettavia versioita AIR-ohjelmistosta.

Google Chromeen sisäänrakennettu Flash Player-komponentti päivittyy
automaattisesti selaimen päivittäessä itsensä. Chromen päivityksen voi
pakottaa valitsemalla oikean ylänurkan valikosta “Tietoja Google Chromesta”
(eng. “About Google Chrome”). Internet Explorer-selaimen versioiden 10 ja 11
Flash Player-komponentit päivittyvät automaattisesti Windowsin keskitetyn
päivitysominaisuuden kautta.

Käytössäsi olevan Flash Player-ohjelmiston version sekä viimeisimmät versiot
voit tarkistaa seuraavasta linkistä:
http://www.adobe.com/software/flash/about/

HAAVOITTUVAT OHJELMISTOT:

* Adobe Flash Player 13.0.0.214 ja aikaisemmat versiot Windows- ja OS
X-alustalla
* Adobe Flash Player 11.2.202.359 ja aikaisemmat versiot
Linux-alustalla
* Adobe AIR 13.0.0.111 SDK ja aikaisemmat versiot
* Adobe AIR 13.0.0.111 SDK & Compiler ja aikaisemmat versiot
* Adobe AIR 13.0.0.111 ja aikaisemmat versiot Android-alustalla
* Adobe AIR 13.0.0.111 ja aikaisemmat versiot Windows- ja OS
X-alustalla

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

* Ohjelmiston päivittäminen valmistajan ohjeiden mukaisesti.
* Linkki päivitettyihin versioihin Lisätietoja-kohdassa.

LISÄTIETOA:

* http://www.adobe.com/software/flash/about/
* http://helpx.adobe.com/air/kb/determine-version-air-runtime.html
* http://helpx.adobe.com/security/products/flash-player/apsb14-16.html

Päivityspaketti paikkaa kriittisiä haavoittuvuuksia Microsoftin ohjelmistoissa

Kohde:

– palvelimet ja palvelinsovellukset
– työasemat ja loppukäyttäjäsovellukset

Hyökkäystapa:

– paikallisesti
– ilman kirjautumista
– etäkäyttö
– ilman käyttäjän toimia

Hyväksikäyttö:

– komentojen mielivaltainen suorittaminen
– käyttövaltuuksien laajentaminen
– tietojen muokkaaminen
– luottamuksellisen tiedon hankkiminen
– suojauksen ohittaminen

Ratkaisu:

– korjaava ohjelmistopäivitys

Microsoft on julkaissut kesäkuun päivityspaketin, joka sisältää seitsemän
päivitystä, jotka korjaavat 66 haavoittuvuutta eri ohjelmistoissa.
Päivityksistä kaksi on kriittisiä. Merkittävin korjaava päivitys liittyy
Internet Explorerin versioiden 6-11 haavoittuvuuksiin, joista osa
mahdollistaa haitallisen koodin ajamisen käyttäjän selaimessa käytössä
olevilla käyttäjäoikeuksilla. Yhteensä erilaisia Internet Explorer selaimeen
liittyviä haavoittuvuuksia paikataan 59 kappaletta, joista kaksi on
julkistettuja. Joukossa on myös muistin käsittelyyn sekä käyttöoikeuksien
laajentamiseen liittyviä korjauksia.

Päivityspaketti sisältää paikkauksia myös Windows-, Office- ja
Lync-ohjelmistoille, joissa olevat haavoittuvuudet saattavat myös altistaa
haitallisen koodin ajamiselle.

Vähemmän kriittisiä haavoittuvuuksia korjataan XML-ydinpalvelusta sekä
RDP-yhteysohjelmistosta.

Päivityspaketti koskee kaikkia tuettuja Windows-käyttöjärjestelmiä ja
Internet Explorer-selaimia, ja se asentuu käyttäjille automaattisesti
Windows Update-palvelun kautta. Internet Explorer 8 Windows XP-alustalla ei
ole enää tuettujen tuotteiden joukossa.

Viestintäviraston Kyberturvallisuuskeskus suosittelee pitämään automaattiset
päivitykset päällekytkettyinä ja käyttämään ajantasaista, tuettua
käyttöjärjestelmää.

HAAVOITTUVAT OHJELMISTOT:

* Microsoft Windows Vista / 7 / 8 / 8.1 / RT / Server 2003 / Server
2008 / Server 2012
* Internet Explorer, versiot 6 – 11
* Microsoft Office 2007 SP3 / 2010 SP1 & SP2
* Microsoft Lync (eri versiot)
* Microsoft Live Meeting Console
* Microsoft RDP

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

* Ohjelmistojen päivittäminen valmistajan ohjeen mukaisesti

LISÄTIETOA:

* https://technet.microsoft.com/library/security/ms14-jun