CERT-FI varoitus 55/2004
3.8.2004
Haavoittuvuuksia Netscape ja Mozilla -selainohjelmissa
Netscape- ja Mozilla -selaimista on löytynyt SOAP-protokollaan liittyvä haavoittuvuus. SOAP on XML-pohjainen viestintäprotokolla, jota voidaan käyttää erityyppisissä web-sovelluksissa. Virheellinen syötteentarkistus SOAPparamterer-objektin käsittelyssä mahdollistaa hyökkääjän oman koodin suorittamisen tietojärjestelmässä, jossa käytetään haavoittuvaa selainohjelmaa. Haavoittuvuus voi aktivoitua vierailtaessa selaimella vihamielisesti laaditulla WWW-sivulla.
Lisäksi Mozilla -selaimista on aikaisemmin julkaistu haavoittuvuus mikä mahdollistaa Windows "shell:" -toiminnallisuuden hyväksikäytön vihamieliselta WWW-sivustolta.
HAAVOITTUVUUDELLE ALTTIIT JÄRJESTELMÄT:
SOAP-haavoittuvuus on todettu seuraavissa selainversioissa:
Netscape 7.0 ja 7.1
Mozilla 1.6
Haavoittuvuus voi esiintyä myös aiemmissa selainversioissa.
"shell:" -haavoittuvuus on todettu seuraavissa versioissa:
Mozilla ennen versiota 1.7.1
Mozilla Firefox ennen versiota 0.9.2
Mozilla Thunderbird ennen versiota 0.7.2
RATKAISU/RAJOITUSMAHDOLLISUUDET:
SOAP-haavoittuvuus:
Haavoittuvuuden aktivoituminen voidaan estää poistamalla Javascript-tuki selaimesta. Tämä rajoitusmenetelmä voi estää useiden www-sivujen esittämisen täydellisenä.
Mozilla-selaimen versio 1.7.1 ei ole haavoittuva. Netscape-selaimelle ei tiettävästi ole tällä hetkellä saatavana päivitystä.
"shell:"-haavoittuvuus:
Haavoittuvuus on korjattu seuraavissa ohjelmaversioissa:
Mozilla 1.7.1
Mozilla Firefox 0.9.2
Mozilla Thunderbird 0.7.2
LISÄTIETOA/TIETOLÄHTEET:
http://www.idefense.com/application/poi/display?id=117
http://secunia.com/advisories/12204/
http://secunia.com/advisories/12027/
CERT-FI –YHTEYSTIEDOT:
Viestintävirasto
CERT-FI
PL 313
00181 Helsinki
http://www.ficora.fi/suomi/tietoturva/varoitukset/varoitus-2004-55.htm
Netscape ja Mozilla
14
845
Vastaukset
- turvallisia?
Mitäs nyt Netscape ja Mozilla kehujat sanoo, kun niistä löytyy vakavia tietoturva aukkoja.
- nouei
Kyllä näissäkin kannattaa pysytellä ajan tasalla.
Korjaukset Mozilloihin on julkistettu yli kolme viikkoa sitten. - ...
nouei kirjoitti:
Kyllä näissäkin kannattaa pysytellä ajan tasalla.
Korjaukset Mozilloihin on julkistettu yli kolme viikkoa sitten.Että Mozillojen "päivitysten" käyttöönotto edellyttää vanhan version poistamista koneelta.
Mozilla "päivitys" sucks! - Ole
sen turvallisempia kuin mitkään muutkaan..
- Fox
Ole kirjoitti:
sen turvallisempia kuin mitkään muutkaan..
kun noin vankasti asian ilmaisit. Esim. kokemusperäistä pitemmältä aikaväliltä , örkkitilastoa kotisivukaappareista jne.
- kyllä
Ole kirjoitti:
sen turvallisempia kuin mitkään muutkaan..
Mozilla ja Firefox ovat turvallisia, monin verroin turvallisempia kuin IE, jonka turva-aukkoja ei ole paikattu.
Hyökkäykset on nimenomaan suunniteltu IE:tä vastaan. Onko joku Firefoxin käyttäjä täällä kysellyt, miten saan pois kotisivukaapparin? Häh? - nouei
... kirjoitti:
Että Mozillojen "päivitysten" käyttöönotto edellyttää vanhan version poistamista koneelta.
Mozilla "päivitys" sucks!...ja taas olisi päivitettävä.
FF 0.9.3 ilmestynyt, ja Mozilla 1.7.2... - mjah
kyllä kirjoitti:
Mozilla ja Firefox ovat turvallisia, monin verroin turvallisempia kuin IE, jonka turva-aukkoja ei ole paikattu.
Hyökkäykset on nimenomaan suunniteltu IE:tä vastaan. Onko joku Firefoxin käyttäjä täällä kysellyt, miten saan pois kotisivukaapparin? Häh?on turvallinen selain, sitä vain pitää osaa käyttää.
Itselläni ei ole ollut mitään ongelmia IE.n kanssa eikä mitään kaappareita ole ollut.
Mielestäni turhaan mollataan IE.tä sillä se on erittäin monipuolinen selain ja turvallisuus on aina käyttäjästä kiinni sillä IE.hen saa hyvin paljon hyviä softia jotka toimivat hyvin sen kanssa. - simple mind
nouei kirjoitti:
...ja taas olisi päivitettävä.
FF 0.9.3 ilmestynyt, ja Mozilla 1.7.2...Niin mistä sen näkee, onko Firefox uusin versio?
Poistin äsken Mozilla 1.7.1:sen ja latasin Firefoxin
0.9.3 Mozillan sivuilta. Vaan asennuksen jälkeen selaimessa oli valmiina "ikivanhat" Firefoxin vanhemman version kirjanmerkit - vaikka se oli poistettu koneelta jo aiemmin. Jotenkin nyt epäilyttää, että sain vain vanhan Firefoxin takaisin. - nouei
simple mind kirjoitti:
Niin mistä sen näkee, onko Firefox uusin versio?
Poistin äsken Mozilla 1.7.1:sen ja latasin Firefoxin
0.9.3 Mozillan sivuilta. Vaan asennuksen jälkeen selaimessa oli valmiina "ikivanhat" Firefoxin vanhemman version kirjanmerkit - vaikka se oli poistettu koneelta jo aiemmin. Jotenkin nyt epäilyttää, että sain vain vanhan Firefoxin takaisin....näyttää pikkuikkunan, jossa se kerrotaan.
Jos sinulla on toistaiseksi viimeisin suomenkielipaketti asennettuna, niin siinä näkyy vain versio 0.9...
Jos aiempi poisto on tehty vain lisää/poista-sovelluksia kautta, niin se jättää käyttäjäprofiilin (kirjanmerkit ja muut yleiset asetukset) talteen.
Profiilikansiota ei kannatakaan poistaa, ellei sitten ilmaannu jotain outoja ongelmia, jolloin senkin poistoa suositellaan.
Kansio löytyy (xp, w2k): Documents and Settings\käyttäjänimi\ApplicationData\Mozilla\Firefox\Profiles\default...
Jos sen joskus poistaa, niin kannattaa ottaa ainakin bookmarks.html talteen (ne kirjanmerkit). - Joku
Eiköhän se ole meidän verkossa surffaajien yhteinen etu, että tietoturva-aukot nostetaan esille oli sitten kysymys mistä tahansa softasta.
Vähän vähemmän vahingoniloa ja ripaus enemmän yhteispeliä niin saavutettu hyötykin on suurempi. - simple mind
nouei kirjoitti:
...näyttää pikkuikkunan, jossa se kerrotaan.
Jos sinulla on toistaiseksi viimeisin suomenkielipaketti asennettuna, niin siinä näkyy vain versio 0.9...
Jos aiempi poisto on tehty vain lisää/poista-sovelluksia kautta, niin se jättää käyttäjäprofiilin (kirjanmerkit ja muut yleiset asetukset) talteen.
Profiilikansiota ei kannatakaan poistaa, ellei sitten ilmaannu jotain outoja ongelmia, jolloin senkin poistoa suositellaan.
Kansio löytyy (xp, w2k): Documents and Settings\käyttäjänimi\ApplicationData\Mozilla\Firefox\Profiles\default...
Jos sen joskus poistaa, niin kannattaa ottaa ainakin bookmarks.html talteen (ne kirjanmerkit).Oli asentunut uusin versio.
Viimeksi kävi Operan kanssa niin, että olin ladannut
huomaamattani vanhan haavoittuvan version selaimesta, kun vain se oli tarjolla suomenkielisenä, ja meni muutama kuukausi ennen kuin tajusin asian... Onneksi ko. selaimen käyttöni oli/on vähäistä. - kyllä
mjah kirjoitti:
on turvallinen selain, sitä vain pitää osaa käyttää.
Itselläni ei ole ollut mitään ongelmia IE.n kanssa eikä mitään kaappareita ole ollut.
Mielestäni turhaan mollataan IE.tä sillä se on erittäin monipuolinen selain ja turvallisuus on aina käyttäjästä kiinni sillä IE.hen saa hyvin paljon hyviä softia jotka toimivat hyvin sen kanssa.tottakai Mikrosoftin ammattilaisena. Mutta tavallisen tietsikan käyttäjän on turvallisempaa käyttää jotain muuta selainta, esim. juuri Firefoxia.
- Kk0
mjah kirjoitti:
on turvallinen selain, sitä vain pitää osaa käyttää.
Itselläni ei ole ollut mitään ongelmia IE.n kanssa eikä mitään kaappareita ole ollut.
Mielestäni turhaan mollataan IE.tä sillä se on erittäin monipuolinen selain ja turvallisuus on aina käyttäjästä kiinni sillä IE.hen saa hyvin paljon hyviä softia jotka toimivat hyvin sen kanssa.Päinvastoin. IE:n aukot ovat aliarvoisessa lähdekoodissa johon tavallisen käyttäjän on mahdotonta puuttua.
Ketjusta on poistettu 0 sääntöjenvastaista viestiä.
Luetuimmat keskustelut
Riikka Purra leikkasi alimmalta tulodesiililtä 15 %
Muistaako kukaan Riikka Purran kovaäänisen vaalilupauksen ennen eduskuntavaaleja? https://yle.fi/a/74-20221152 "THL o2665749Muistele nainen niitä meidän yhteisiä hetkiä
Miltä ne tuntui? Enkö aina huokunut välittämistä, kiintymystä. Eikö sinulla aina ollut hyvä olo kanssani? Minulla ainaki363336Sofia Virta: bänet!
Matkailuautoilija metsänomistaja puoliso on nyt entisen teeren poikia, ja Sofia tekee comebackin vapaille markkinoille.1432607"Suomi voisi ottaa taloudessa oppia Espanjasta"
"Espanjassa talouspolitiikka on löysempää, mutta velka-aste on kääntynyt jopa laskuun.", pohdiskelee Suomen seuraava pää2202082Kokoomus: SDP johtaa kansalaisia harhaan
(Umpityhmät palstademarit ovat taas uskoneet Lindtmanin höpötykset Espanjasta.) SDP harhaanjohtaa kansalaisia talouspol741614- 641037
Niin että miten
Haluatko oikeasti olla minun kanssa oikeassa elämässä, vai onko tämä vain kirjoittelua77971Ikävä tilanne rikoksen vuoksi Espanjassa - Jari Sillanpää pistää uutta matoa koukkuun
Jari Sillanpää on ehkä yksi suosituimmista tangokuninkaallisista. Ex-tangokuningas juhli viime syksynä 30 vuotista uraan9825Nuoriso on tyhmää tutkijat ovat todenneet
Nyt se on todettu ääneen mitä kaikki ovat jo pitkään epäilleet. Nuoriso on tyhmentynyt tasaiseen tahtiin. Kohta pitää ni123823Tätä ei tv:ssä: Farmi-tippuja Amski rehellisenä ongelmista kuvauksissa
Ennakkosuosikki Amskidabamski Anne-Mari Tarkkio joutui ulos Farmi Suomi -realitystä. Voimatehtävässä vastakkain asettui10768