Netscape ja Mozilla

haavoittuvuuksia

CERT-FI varoitus 55/2004
3.8.2004

Haavoittuvuuksia Netscape ja Mozilla -selainohjelmissa

Netscape- ja Mozilla -selaimista on löytynyt SOAP-protokollaan liittyvä haavoittuvuus. SOAP on XML-pohjainen viestintäprotokolla, jota voidaan käyttää erityyppisissä web-sovelluksissa. Virheellinen syötteentarkistus SOAPparamterer-objektin käsittelyssä mahdollistaa hyökkääjän oman koodin suorittamisen tietojärjestelmässä, jossa käytetään haavoittuvaa selainohjelmaa. Haavoittuvuus voi aktivoitua vierailtaessa selaimella vihamielisesti laaditulla WWW-sivulla.

Lisäksi Mozilla -selaimista on aikaisemmin julkaistu haavoittuvuus mikä mahdollistaa Windows "shell:" -toiminnallisuuden hyväksikäytön vihamieliselta WWW-sivustolta.

HAAVOITTUVUUDELLE ALTTIIT JÄRJESTELMÄT:

SOAP-haavoittuvuus on todettu seuraavissa selainversioissa:

Netscape 7.0 ja 7.1

Mozilla 1.6

Haavoittuvuus voi esiintyä myös aiemmissa selainversioissa.

"shell:" -haavoittuvuus on todettu seuraavissa versioissa:

Mozilla ennen versiota 1.7.1

Mozilla Firefox ennen versiota 0.9.2

Mozilla Thunderbird ennen versiota 0.7.2

RATKAISU/RAJOITUSMAHDOLLISUUDET:

SOAP-haavoittuvuus:

Haavoittuvuuden aktivoituminen voidaan estää poistamalla Javascript-tuki selaimesta. Tämä rajoitusmenetelmä voi estää useiden www-sivujen esittämisen täydellisenä.

Mozilla-selaimen versio 1.7.1 ei ole haavoittuva. Netscape-selaimelle ei tiettävästi ole tällä hetkellä saatavana päivitystä.

"shell:"-haavoittuvuus:

Haavoittuvuus on korjattu seuraavissa ohjelmaversioissa:

Mozilla 1.7.1

Mozilla Firefox 0.9.2

Mozilla Thunderbird 0.7.2

LISÄTIETOA/TIETOLÄHTEET:

http://www.idefense.com/application/poi/display?id=117
http://secunia.com/advisories/12204/
http://secunia.com/advisories/12027/

CERT-FI –YHTEYSTIEDOT:

Viestintävirasto
CERT-FI
PL 313
00181 Helsinki

http://www.ficora.fi/suomi/tietoturva/varoitukset/varoitus-2004-55.htm

14

836

    Vastaukset

    Anonyymi (Kirjaudu / Rekisteröidy)
    5000
    • turvallisia?

      Mitäs nyt Netscape ja Mozilla kehujat sanoo, kun niistä löytyy vakavia tietoturva aukkoja.

      • nouei

        Kyllä näissäkin kannattaa pysytellä ajan tasalla.
        Korjaukset Mozilloihin on julkistettu yli kolme viikkoa sitten.


      • ...
        nouei kirjoitti:

        Kyllä näissäkin kannattaa pysytellä ajan tasalla.
        Korjaukset Mozilloihin on julkistettu yli kolme viikkoa sitten.

        Että Mozillojen "päivitysten" käyttöönotto edellyttää vanhan version poistamista koneelta.
        Mozilla "päivitys" sucks!


      • Ole

        sen turvallisempia kuin mitkään muutkaan..


      • Fox
        Ole kirjoitti:

        sen turvallisempia kuin mitkään muutkaan..

        kun noin vankasti asian ilmaisit. Esim. kokemusperäistä pitemmältä aikaväliltä , örkkitilastoa kotisivukaappareista jne.


      • kyllä
        Ole kirjoitti:

        sen turvallisempia kuin mitkään muutkaan..

        Mozilla ja Firefox ovat turvallisia, monin verroin turvallisempia kuin IE, jonka turva-aukkoja ei ole paikattu.

        Hyökkäykset on nimenomaan suunniteltu IE:tä vastaan. Onko joku Firefoxin käyttäjä täällä kysellyt, miten saan pois kotisivukaapparin? Häh?


      • nouei
        ... kirjoitti:

        Että Mozillojen "päivitysten" käyttöönotto edellyttää vanhan version poistamista koneelta.
        Mozilla "päivitys" sucks!

        ...ja taas olisi päivitettävä.

        FF 0.9.3 ilmestynyt, ja Mozilla 1.7.2...


      • mjah
        kyllä kirjoitti:

        Mozilla ja Firefox ovat turvallisia, monin verroin turvallisempia kuin IE, jonka turva-aukkoja ei ole paikattu.

        Hyökkäykset on nimenomaan suunniteltu IE:tä vastaan. Onko joku Firefoxin käyttäjä täällä kysellyt, miten saan pois kotisivukaapparin? Häh?

        on turvallinen selain, sitä vain pitää osaa käyttää.

        Itselläni ei ole ollut mitään ongelmia IE.n kanssa eikä mitään kaappareita ole ollut.

        Mielestäni turhaan mollataan IE.tä sillä se on erittäin monipuolinen selain ja turvallisuus on aina käyttäjästä kiinni sillä IE.hen saa hyvin paljon hyviä softia jotka toimivat hyvin sen kanssa.


      • simple mind
        nouei kirjoitti:

        ...ja taas olisi päivitettävä.

        FF 0.9.3 ilmestynyt, ja Mozilla 1.7.2...

        Niin mistä sen näkee, onko Firefox uusin versio?

        Poistin äsken Mozilla 1.7.1:sen ja latasin Firefoxin
        0.9.3 Mozillan sivuilta. Vaan asennuksen jälkeen selaimessa oli valmiina "ikivanhat" Firefoxin vanhemman version kirjanmerkit - vaikka se oli poistettu koneelta jo aiemmin. Jotenkin nyt epäilyttää, että sain vain vanhan Firefoxin takaisin.


      • nouei
        simple mind kirjoitti:

        Niin mistä sen näkee, onko Firefox uusin versio?

        Poistin äsken Mozilla 1.7.1:sen ja latasin Firefoxin
        0.9.3 Mozillan sivuilta. Vaan asennuksen jälkeen selaimessa oli valmiina "ikivanhat" Firefoxin vanhemman version kirjanmerkit - vaikka se oli poistettu koneelta jo aiemmin. Jotenkin nyt epäilyttää, että sain vain vanhan Firefoxin takaisin.

        ...näyttää pikkuikkunan, jossa se kerrotaan.
        Jos sinulla on toistaiseksi viimeisin suomenkielipaketti asennettuna, niin siinä näkyy vain versio 0.9...

        Jos aiempi poisto on tehty vain lisää/poista-sovelluksia kautta, niin se jättää käyttäjäprofiilin (kirjanmerkit ja muut yleiset asetukset) talteen.
        Profiilikansiota ei kannatakaan poistaa, ellei sitten ilmaannu jotain outoja ongelmia, jolloin senkin poistoa suositellaan.

        Kansio löytyy (xp, w2k): Documents and Settings\käyttäjänimi\ApplicationData\Mozilla\Firefox\Profiles\default...

        Jos sen joskus poistaa, niin kannattaa ottaa ainakin bookmarks.html talteen (ne kirjanmerkit).


      • Joku

        Eiköhän se ole meidän verkossa surffaajien yhteinen etu, että tietoturva-aukot nostetaan esille oli sitten kysymys mistä tahansa softasta.

        Vähän vähemmän vahingoniloa ja ripaus enemmän yhteispeliä niin saavutettu hyötykin on suurempi.


      • simple mind
        nouei kirjoitti:

        ...näyttää pikkuikkunan, jossa se kerrotaan.
        Jos sinulla on toistaiseksi viimeisin suomenkielipaketti asennettuna, niin siinä näkyy vain versio 0.9...

        Jos aiempi poisto on tehty vain lisää/poista-sovelluksia kautta, niin se jättää käyttäjäprofiilin (kirjanmerkit ja muut yleiset asetukset) talteen.
        Profiilikansiota ei kannatakaan poistaa, ellei sitten ilmaannu jotain outoja ongelmia, jolloin senkin poistoa suositellaan.

        Kansio löytyy (xp, w2k): Documents and Settings\käyttäjänimi\ApplicationData\Mozilla\Firefox\Profiles\default...

        Jos sen joskus poistaa, niin kannattaa ottaa ainakin bookmarks.html talteen (ne kirjanmerkit).

        Oli asentunut uusin versio.

        Viimeksi kävi Operan kanssa niin, että olin ladannut
        huomaamattani vanhan haavoittuvan version selaimesta, kun vain se oli tarjolla suomenkielisenä, ja meni muutama kuukausi ennen kuin tajusin asian... Onneksi ko. selaimen käyttöni oli/on vähäistä.


      • kyllä
        mjah kirjoitti:

        on turvallinen selain, sitä vain pitää osaa käyttää.

        Itselläni ei ole ollut mitään ongelmia IE.n kanssa eikä mitään kaappareita ole ollut.

        Mielestäni turhaan mollataan IE.tä sillä se on erittäin monipuolinen selain ja turvallisuus on aina käyttäjästä kiinni sillä IE.hen saa hyvin paljon hyviä softia jotka toimivat hyvin sen kanssa.

        tottakai Mikrosoftin ammattilaisena. Mutta tavallisen tietsikan käyttäjän on turvallisempaa käyttää jotain muuta selainta, esim. juuri Firefoxia.


      • Kk0
        mjah kirjoitti:

        on turvallinen selain, sitä vain pitää osaa käyttää.

        Itselläni ei ole ollut mitään ongelmia IE.n kanssa eikä mitään kaappareita ole ollut.

        Mielestäni turhaan mollataan IE.tä sillä se on erittäin monipuolinen selain ja turvallisuus on aina käyttäjästä kiinni sillä IE.hen saa hyvin paljon hyviä softia jotka toimivat hyvin sen kanssa.

        Päinvastoin. IE:n aukot ovat aliarvoisessa lähdekoodissa johon tavallisen käyttäjän on mahdotonta puuttua.


    Ketjusta on poistettu 0 sääntöjenvastaista viestiä.

    Luetuimmat keskustelut

    1. Hoitajalakko peruuntuu, tilalle joukkoirtisanoutumiset

      "Tehyn ja Superin hallitukset kokoontuivat tänään toteamaan, että tilanne edellyttää järeämpiä työtaistelutoimia." https://www.hs.fi/politiikka/art-2
      Maailman menoa
      739
      9245
    2. Johan tuli oikea aivopieru Britti Lordilta

      Emeritusprofessori Lordi Robert Skidelsky sanoi Suomen rikkovan YYA sopimusta joka on tehty Neuvostoliiton kanssaa 1948. Mitä pir
      Maailman menoa
      374
      8100
    3. Tehyn Rytkösellä tallessa tekstiviestit A-studiokohussa

      https://www.mtvuutiset.fi/artikkeli/a-studiosta-kohu-tehyn-rytkosen-mukaan-ministeri-linden-sai-paattaa-osallistujat-ohjelma-kiistaa-vaitteen/8407068
      Maailman menoa
      162
      5895
    4. William ja Sonja Aiello ERO

      Hyvä Sonja! Nyt etsit uudet kaverit ja jätät nuo huume- ja rahanpesu porukat haisemaan taaksesi!
      Kotimaiset julkkisjuorut
      54
      2420
    5. Oho! Seurapiirikaunotar, ex-missi Sabina Särkkä yllättää tällä harvinaisella kyvyllä: "Mulla on..."

      Sabina Särkkä on nähty monissa tv-reality-sarjoissa. Mutta tiesitkö, että Särkällä on valokuvamuisti? https://www.suomi24.fi/viihde/oho-seurapiirikaun
      Kotimaiset julkkisjuorut
      6
      2135
    6. Se siitä sitten

      Kirjoitan tänne kun en sulle voi. En vaivaa sua enää koskaan. En ikinä tarkoittanut olla ahdistava tai takertuva. Tunteet heräsi enkä osannut olla tyy
      Ikävä
      82
      1775
    7. Ohhoh! Rita Niemi-Manninen otti ison tatuoinnin - Herätti somekansan: "Täydellinen paikka!"

      Rita Niemi-Mannisen suuri, uusi tatuointi on saanut somekansan heräämään talvihorroksesta. Niemi-Manninen otti tatskan rakkauslomalla Aki-miehensä kan
      Kotimaiset julkkisjuorut
      20
      1719
    8. Harvoin julkisuudessa nähty Jari Sillanpää, 56, julkaisi uusia kuvia - Karisti Suomen pölyt jaloista

      Huumekohun jälkeen matalaa profiilia pitänyt Jari "Siltsu" Sillanpää on ollut vaitonainen elämästään. Tänä keväänä miehen some on ollut hiljainen. Nyt
      Kotimaiset julkkisjuorut
      7
      1498
    9. Ihastumisesta kertominen

      Olen päättänyt kertoa tunteistani ihastukseni kohteelle. Erityisen vaikeaksi tilanteeni tekee se, että kyseessä on ns. kielletty rakkaus. Olen jo toi
      Ihastuminen
      92
      1494
    10. Taas Venäjän tiedoittaja akka Varoitti Suomea ja Ruotsia liittymästä Natoon

      Juuri sopivasti julkaistu varoitus, kun Suomen eduskunta alkaa klo 13:50 käsitellä asiaa suorassa TV 1:n lähetyksessä. ILtasanomat.
      Maailman menoa
      440
      1399
    Aihe