Viestintäviraston tietoturvayksikkö Cert-Fi kertoo päivityksistä seuraavaa:

Päivitys MS07-042 korjaa kriittiseksi luokitellun haavoittuvuuden XML Core Services -komponentissa. Haavoittuvuutta voidaan hyödyntää ohjaamalla käyttäjä tietyllä tavalla muokatulle www-sivulle, ja haavoittuvuus mahdollistaa hyökkääjän oman ohjelmakoodin suorittamisen kohdetietojärjestelmässä.

Päivitys MS07-043 korjaa object linking and embedding (ole) -protokollaan liittyvän haavoittuvuuden. Haavoittuvuutta voidaan hyödyntää ohjaamalla käyttäjä tietyllä tavalla muokatulle www-sivulle. Haavoittuvuus on luokiteltu kriittiseksi kaikissa tuetuissa Windows 2000, XP, Office 2004 for Mac ja Visual Basic 6 -ympäristöissä.

Päivitys MS07-046 korjaa kriittiseksi luokitellun haavoittuvuuden graphics rendering engine -komponentissa. Haavoittuvuutta voidaan hyödyntää ohjaamalla käyttäjä avaamaan tietyllä tavalla laadittu kuvatiedosto, esimerkiksi sähköpostiviestin liitetiedosto. Haavoittuvuus mahdollistaa hyökkääjän oman ohjelmakoodin suorittamisen kohdetietojärjestelmässä ja koskee kaikkia tuettuja Windows-ympäristöjä lukuun ottamatta Windows 2003 Server SP2 ja Windows Vista.

Päivitys MS07-047 korjaa kaksi tärkeäksi luokiteltua haavoittuvuutta Windows Media Player -mediaohjelmiston muokkaustiedostojen (skin file) käsittelyssä. Haavoittuvuutta voidaan hyödyntää ohjaamalla käyttäjä avaamaan tietyllä tavalla muokattu skin file -tiedosto. Haavoittuvuus mahdollistaa hyökkääjän oman ohjelmakoodin suorittamisen kohdetietojärjestelmässä skin file -tiedoston avaajan oikeuksilla.

Päivitys MS07-048 korjaa tärkeiksi luokitellut haavoittuvuudet Windows Vista -käyttöjärjestelmän Feed Headlines Gadget -, Contacts Gadget - ja Weather Gadget -minisovelluksissa. Haavoittuvuutta voidaan hyödyntää ohjaamalla käyttäjä syöttämään tietyllä tavalla muokattu rss-syöte, kontaktitiedosto tai säälinkki sovelluksille esimerkiksi www-selainohjelmiston kautta. Haavoittuvuus mahdollistaa hyökkääjän oman ohjelmakoodin suorittamisen kohdetietojärjestelmässä.

Päivitys MS07-049 korjaa tärkeäksi luokitellun haavoittuvuuden Microsoft Virtual PC - ja Microsoft Virtual Server -ohjelmistoissa. Haavoittuvuus mahdollistaa pääkäyttäjäoikeuksilla varustetulle virtuaalikäyttöjärjestelmän käyttäjälle ohjelmakoodin suorittamisen emokäyttöjärjestelmässä tai muissa saman virtualisointipalvelimen virtuaalikäyttöjärjestelmissä.

Kolme kriittistä lisää

Microsoft laittoi jakoon vielä kolme muutakin tietoturvatiedotetta. MS07-044 on kriittinen Office 2000:n osalta, mutta koskettaa myös muita Office-versioita. Haavoittuvuus liittyy erityisesti Microsoft Exceliin. Jos käyttäjä avaa muokatun Excel-tiedoston, hän voi altistaa koneensa etäkomennoille.

Kriittinen MS07-045 korjaa kolme Internet Explorerin etäkomentohaavoittuvuutta.

MS07-050 on yhtiön mukaan myöskin kriittinen ja koskee Windowsin vector markup language -toteutusta. Hyökkääjä voi mahdollisesti suorittaa koodiaan etänä, jos hän saa Internet Exploreria käyttävän nettisurffaajan houkuteltua muokatulle verkkosivulle.

http://www.microsoft.com/technet/security/current.aspx