CERT-FI varoitus 55/2004
3.8.2004
Haavoittuvuuksia Netscape ja Mozilla -selainohjelmissa
Netscape- ja Mozilla -selaimista on löytynyt SOAP-protokollaan liittyvä haavoittuvuus. SOAP on XML-pohjainen viestintäprotokolla, jota voidaan käyttää erityyppisissä web-sovelluksissa. Virheellinen syötteentarkistus SOAPparamterer-objektin käsittelyssä mahdollistaa hyökkääjän oman koodin suorittamisen tietojärjestelmässä, jossa käytetään haavoittuvaa selainohjelmaa. Haavoittuvuus voi aktivoitua vierailtaessa selaimella vihamielisesti laaditulla WWW-sivulla.
Lisäksi Mozilla -selaimista on aikaisemmin julkaistu haavoittuvuus mikä mahdollistaa Windows "shell:" -toiminnallisuuden hyväksikäytön vihamieliselta WWW-sivustolta.
HAAVOITTUVUUDELLE ALTTIIT JÄRJESTELMÄT:
SOAP-haavoittuvuus on todettu seuraavissa selainversioissa:
Netscape 7.0 ja 7.1
Mozilla 1.6
Haavoittuvuus voi esiintyä myös aiemmissa selainversioissa.
"shell:" -haavoittuvuus on todettu seuraavissa versioissa:
Mozilla ennen versiota 1.7.1
Mozilla Firefox ennen versiota 0.9.2
Mozilla Thunderbird ennen versiota 0.7.2
RATKAISU/RAJOITUSMAHDOLLISUUDET:
SOAP-haavoittuvuus:
Haavoittuvuuden aktivoituminen voidaan estää poistamalla Javascript-tuki selaimesta. Tämä rajoitusmenetelmä voi estää useiden www-sivujen esittämisen täydellisenä.
Mozilla-selaimen versio 1.7.1 ei ole haavoittuva. Netscape-selaimelle ei tiettävästi ole tällä hetkellä saatavana päivitystä.
"shell:"-haavoittuvuus:
Haavoittuvuus on korjattu seuraavissa ohjelmaversioissa:
Mozilla 1.7.1
Mozilla Firefox 0.9.2
Mozilla Thunderbird 0.7.2
LISÄTIETOA/TIETOLÄHTEET:
http://www.idefense.com/application/poi/display?id=117
http://secunia.com/advisories/12204/
http://secunia.com/advisories/12027/
CERT-FI –YHTEYSTIEDOT:
Viestintävirasto
CERT-FI
PL 313
00181 Helsinki
http://www.ficora.fi/suomi/tietoturva/varoitukset/varoitus-2004-55.htm
Netscape ja Mozilla
14
836
Vastaukset
- turvallisia?
Mitäs nyt Netscape ja Mozilla kehujat sanoo, kun niistä löytyy vakavia tietoturva aukkoja.
- nouei
Kyllä näissäkin kannattaa pysytellä ajan tasalla.
Korjaukset Mozilloihin on julkistettu yli kolme viikkoa sitten. - ...
nouei kirjoitti:
Kyllä näissäkin kannattaa pysytellä ajan tasalla.
Korjaukset Mozilloihin on julkistettu yli kolme viikkoa sitten.Että Mozillojen "päivitysten" käyttöönotto edellyttää vanhan version poistamista koneelta.
Mozilla "päivitys" sucks! - Ole
sen turvallisempia kuin mitkään muutkaan..
- Fox
Ole kirjoitti:
sen turvallisempia kuin mitkään muutkaan..
kun noin vankasti asian ilmaisit. Esim. kokemusperäistä pitemmältä aikaväliltä , örkkitilastoa kotisivukaappareista jne.
- kyllä
Ole kirjoitti:
sen turvallisempia kuin mitkään muutkaan..
Mozilla ja Firefox ovat turvallisia, monin verroin turvallisempia kuin IE, jonka turva-aukkoja ei ole paikattu.
Hyökkäykset on nimenomaan suunniteltu IE:tä vastaan. Onko joku Firefoxin käyttäjä täällä kysellyt, miten saan pois kotisivukaapparin? Häh? - nouei
... kirjoitti:
Että Mozillojen "päivitysten" käyttöönotto edellyttää vanhan version poistamista koneelta.
Mozilla "päivitys" sucks!...ja taas olisi päivitettävä.
FF 0.9.3 ilmestynyt, ja Mozilla 1.7.2... - mjah
kyllä kirjoitti:
Mozilla ja Firefox ovat turvallisia, monin verroin turvallisempia kuin IE, jonka turva-aukkoja ei ole paikattu.
Hyökkäykset on nimenomaan suunniteltu IE:tä vastaan. Onko joku Firefoxin käyttäjä täällä kysellyt, miten saan pois kotisivukaapparin? Häh?on turvallinen selain, sitä vain pitää osaa käyttää.
Itselläni ei ole ollut mitään ongelmia IE.n kanssa eikä mitään kaappareita ole ollut.
Mielestäni turhaan mollataan IE.tä sillä se on erittäin monipuolinen selain ja turvallisuus on aina käyttäjästä kiinni sillä IE.hen saa hyvin paljon hyviä softia jotka toimivat hyvin sen kanssa. - simple mind
nouei kirjoitti:
...ja taas olisi päivitettävä.
FF 0.9.3 ilmestynyt, ja Mozilla 1.7.2...Niin mistä sen näkee, onko Firefox uusin versio?
Poistin äsken Mozilla 1.7.1:sen ja latasin Firefoxin
0.9.3 Mozillan sivuilta. Vaan asennuksen jälkeen selaimessa oli valmiina "ikivanhat" Firefoxin vanhemman version kirjanmerkit - vaikka se oli poistettu koneelta jo aiemmin. Jotenkin nyt epäilyttää, että sain vain vanhan Firefoxin takaisin. - nouei
simple mind kirjoitti:
Niin mistä sen näkee, onko Firefox uusin versio?
Poistin äsken Mozilla 1.7.1:sen ja latasin Firefoxin
0.9.3 Mozillan sivuilta. Vaan asennuksen jälkeen selaimessa oli valmiina "ikivanhat" Firefoxin vanhemman version kirjanmerkit - vaikka se oli poistettu koneelta jo aiemmin. Jotenkin nyt epäilyttää, että sain vain vanhan Firefoxin takaisin....näyttää pikkuikkunan, jossa se kerrotaan.
Jos sinulla on toistaiseksi viimeisin suomenkielipaketti asennettuna, niin siinä näkyy vain versio 0.9...
Jos aiempi poisto on tehty vain lisää/poista-sovelluksia kautta, niin se jättää käyttäjäprofiilin (kirjanmerkit ja muut yleiset asetukset) talteen.
Profiilikansiota ei kannatakaan poistaa, ellei sitten ilmaannu jotain outoja ongelmia, jolloin senkin poistoa suositellaan.
Kansio löytyy (xp, w2k): Documents and Settings\käyttäjänimi\ApplicationData\Mozilla\Firefox\Profiles\default...
Jos sen joskus poistaa, niin kannattaa ottaa ainakin bookmarks.html talteen (ne kirjanmerkit). - Joku
Eiköhän se ole meidän verkossa surffaajien yhteinen etu, että tietoturva-aukot nostetaan esille oli sitten kysymys mistä tahansa softasta.
Vähän vähemmän vahingoniloa ja ripaus enemmän yhteispeliä niin saavutettu hyötykin on suurempi. - simple mind
nouei kirjoitti:
...näyttää pikkuikkunan, jossa se kerrotaan.
Jos sinulla on toistaiseksi viimeisin suomenkielipaketti asennettuna, niin siinä näkyy vain versio 0.9...
Jos aiempi poisto on tehty vain lisää/poista-sovelluksia kautta, niin se jättää käyttäjäprofiilin (kirjanmerkit ja muut yleiset asetukset) talteen.
Profiilikansiota ei kannatakaan poistaa, ellei sitten ilmaannu jotain outoja ongelmia, jolloin senkin poistoa suositellaan.
Kansio löytyy (xp, w2k): Documents and Settings\käyttäjänimi\ApplicationData\Mozilla\Firefox\Profiles\default...
Jos sen joskus poistaa, niin kannattaa ottaa ainakin bookmarks.html talteen (ne kirjanmerkit).Oli asentunut uusin versio.
Viimeksi kävi Operan kanssa niin, että olin ladannut
huomaamattani vanhan haavoittuvan version selaimesta, kun vain se oli tarjolla suomenkielisenä, ja meni muutama kuukausi ennen kuin tajusin asian... Onneksi ko. selaimen käyttöni oli/on vähäistä. - kyllä
mjah kirjoitti:
on turvallinen selain, sitä vain pitää osaa käyttää.
Itselläni ei ole ollut mitään ongelmia IE.n kanssa eikä mitään kaappareita ole ollut.
Mielestäni turhaan mollataan IE.tä sillä se on erittäin monipuolinen selain ja turvallisuus on aina käyttäjästä kiinni sillä IE.hen saa hyvin paljon hyviä softia jotka toimivat hyvin sen kanssa.tottakai Mikrosoftin ammattilaisena. Mutta tavallisen tietsikan käyttäjän on turvallisempaa käyttää jotain muuta selainta, esim. juuri Firefoxia.
- Kk0
mjah kirjoitti:
on turvallinen selain, sitä vain pitää osaa käyttää.
Itselläni ei ole ollut mitään ongelmia IE.n kanssa eikä mitään kaappareita ole ollut.
Mielestäni turhaan mollataan IE.tä sillä se on erittäin monipuolinen selain ja turvallisuus on aina käyttäjästä kiinni sillä IE.hen saa hyvin paljon hyviä softia jotka toimivat hyvin sen kanssa.Päinvastoin. IE:n aukot ovat aliarvoisessa lähdekoodissa johon tavallisen käyttäjän on mahdotonta puuttua.
Ketjusta on poistettu 0 sääntöjenvastaista viestiä.
Luetuimmat keskustelut
Hoitajalakko peruuntuu, tilalle joukkoirtisanoutumiset
"Tehyn ja Superin hallitukset kokoontuivat tänään toteamaan, että tilanne edellyttää järeämpiä työtaistelutoimia." https://www.hs.fi/politiikka/art-27399245Johan tuli oikea aivopieru Britti Lordilta
Emeritusprofessori Lordi Robert Skidelsky sanoi Suomen rikkovan YYA sopimusta joka on tehty Neuvostoliiton kanssaa 1948. Mitä pir3748100Tehyn Rytkösellä tallessa tekstiviestit A-studiokohussa
https://www.mtvuutiset.fi/artikkeli/a-studiosta-kohu-tehyn-rytkosen-mukaan-ministeri-linden-sai-paattaa-osallistujat-ohjelma-kiistaa-vaitteen/84070681625895William ja Sonja Aiello ERO
Hyvä Sonja! Nyt etsit uudet kaverit ja jätät nuo huume- ja rahanpesu porukat haisemaan taaksesi!542420Oho! Seurapiirikaunotar, ex-missi Sabina Särkkä yllättää tällä harvinaisella kyvyllä: "Mulla on..."
Sabina Särkkä on nähty monissa tv-reality-sarjoissa. Mutta tiesitkö, että Särkällä on valokuvamuisti? https://www.suomi24.fi/viihde/oho-seurapiirikaun62135Se siitä sitten
Kirjoitan tänne kun en sulle voi. En vaivaa sua enää koskaan. En ikinä tarkoittanut olla ahdistava tai takertuva. Tunteet heräsi enkä osannut olla tyy821775Ohhoh! Rita Niemi-Manninen otti ison tatuoinnin - Herätti somekansan: "Täydellinen paikka!"
Rita Niemi-Mannisen suuri, uusi tatuointi on saanut somekansan heräämään talvihorroksesta. Niemi-Manninen otti tatskan rakkauslomalla Aki-miehensä kan201719Harvoin julkisuudessa nähty Jari Sillanpää, 56, julkaisi uusia kuvia - Karisti Suomen pölyt jaloista
Huumekohun jälkeen matalaa profiilia pitänyt Jari "Siltsu" Sillanpää on ollut vaitonainen elämästään. Tänä keväänä miehen some on ollut hiljainen. Nyt71498Ihastumisesta kertominen
Olen päättänyt kertoa tunteistani ihastukseni kohteelle. Erityisen vaikeaksi tilanteeni tekee se, että kyseessä on ns. kielletty rakkaus. Olen jo toi921494Taas Venäjän tiedoittaja akka Varoitti Suomea ja Ruotsia liittymästä Natoon
Juuri sopivasti julkaistu varoitus, kun Suomen eduskunta alkaa klo 13:50 käsitellä asiaa suorassa TV 1:n lähetyksessä. ILtasanomat.4401399