Netscape ja Mozilla

vuotaa

CERT-FI varoitus 55/2004
3.8.2004

Haavoittuvuuksia Netscape ja Mozilla -selainohjelmissa

Netscape- ja Mozilla -selaimista on löytynyt SOAP-protokollaan liittyvä haavoittuvuus. SOAP on XML-pohjainen viestintäprotokolla, jota voidaan käyttää erityyppisissä web-sovelluksissa. Virheellinen syötteentarkistus SOAPparamterer-objektin käsittelyssä mahdollistaa hyökkääjän oman koodin suorittamisen tietojärjestelmässä, jossa käytetään haavoittuvaa selainohjelmaa. Haavoittuvuus voi aktivoitua vierailtaessa selaimella vihamielisesti laaditulla WWW-sivulla.

Lisäksi Mozilla -selaimista on aikaisemmin julkaistu haavoittuvuus mikä mahdollistaa Windows "shell:" -toiminnallisuuden hyväksikäytön vihamieliselta WWW-sivustolta.

HAAVOITTUVUUDELLE ALTTIIT JÄRJESTELMÄT:

SOAP-haavoittuvuus on todettu seuraavissa selainversioissa:

Netscape 7.0 ja 7.1

Mozilla 1.6

Haavoittuvuus voi esiintyä myös aiemmissa selainversioissa.

"shell:" -haavoittuvuus on todettu seuraavissa versioissa:

Mozilla ennen versiota 1.7.1

Mozilla Firefox ennen versiota 0.9.2

Mozilla Thunderbird ennen versiota 0.7.2

RATKAISU/RAJOITUSMAHDOLLISUUDET:

SOAP-haavoittuvuus:

Haavoittuvuuden aktivoituminen voidaan estää poistamalla Javascript-tuki selaimesta. Tämä rajoitusmenetelmä voi estää useiden www-sivujen esittämisen täydellisenä.

Mozilla-selaimen versio 1.7.1 ei ole haavoittuva. Netscape-selaimelle ei tiettävästi ole tällä hetkellä saatavana päivitystä.

"shell:"-haavoittuvuus:

Haavoittuvuus on korjattu seuraavissa ohjelmaversioissa:

Mozilla 1.7.1

Mozilla Firefox 0.9.2

Mozilla Thunderbird 0.7.2

LISÄTIETOA/TIETOLÄHTEET:

http://www.idefense.com/application/poi/display?id=117
http://secunia.com/advisories/12204/
http://secunia.com/advisories/12027/

CERT-FI –YHTEYSTIEDOT:

Viestintävirasto
CERT-FI
PL 313
00181 Helsinki

http://www.ficora.fi/suomi/tietoturva/varoitukset/varoitus-2004-55.htm

http://secunia.com/advisories/12027

4

286

    Vastaukset

    Anonyymi (Kirjaudu / Rekisteröidy)
    5000
    • näette

      Mitäs nyt sanoo Netscape ja Mozilla kehujat, kun niistä löytyykin vakavia tietoturvaukkoja.

      • Jari

        Kysehän ei tietysti koskaan ole ollutkaan siitä etteikö kyseisissä ohjelmissa olisi tietoturva aukkoja, jokainenhan sen nyt tietää.

        Kyse on siitä että näitä tietoturva aukkoja on tällähetkellä tiedossa paljon vähemmän, kuten on myös olemassa paljon vähemmän haitta ohjelmia jotka näitä käyttäisivät hyäväkseen.

        Suosittelen kirjoittajalle hieman pohjatietojen hankkintaa.


    • Sulevi

      Ilmankos mulla oli Netscapen kanssa ongelmia. Vaikka poistin ja latasin uudestaan niin rupes tuleen outoja häiriöitä. Ei siis johtunutkana siitä että oli samalla koneella Firefox.

      • Jari

        Epäilen suuresti johtuvatko häiriösi tuosta tietoturva aukosta, varsinkaan jos kyseessä on kovin uusi havainto, on epätodennäköistä että mitkään haitta ohjelmat sitä kovinkaan laajasti hyödyntävät.


    Ketjusta on poistettu 0 sääntöjenvastaista viestiä.

    Luetuimmat keskustelut

    1. Hoitajalakko peruuntuu, tilalle joukkoirtisanoutumiset

      "Tehyn ja Superin hallitukset kokoontuivat tänään toteamaan, että tilanne edellyttää järeämpiä työtaistelutoimia." https://www.hs.fi/politiikka/art-2
      Maailman menoa
      739
      9166
    2. Johan tuli oikea aivopieru Britti Lordilta

      Emeritusprofessori Lordi Robert Skidelsky sanoi Suomen rikkovan YYA sopimusta joka on tehty Neuvostoliiton kanssaa 1948. Mitä pir
      Maailman menoa
      373
      7947
    3. Tehyn Rytkösellä tallessa tekstiviestit A-studiokohussa

      https://www.mtvuutiset.fi/artikkeli/a-studiosta-kohu-tehyn-rytkosen-mukaan-ministeri-linden-sai-paattaa-osallistujat-ohjelma-kiistaa-vaitteen/8407068
      Maailman menoa
      161
      5657
    4. William ja Sonja Aiello ERO

      Hyvä Sonja! Nyt etsit uudet kaverit ja jätät nuo huume- ja rahanpesu porukat haisemaan taaksesi!
      Kotimaiset julkkisjuorut
      54
      2353
    5. Oho! Seurapiirikaunotar, ex-missi Sabina Särkkä yllättää tällä harvinaisella kyvyllä: "Mulla on..."

      Sabina Särkkä on nähty monissa tv-reality-sarjoissa. Mutta tiesitkö, että Särkällä on valokuvamuisti? https://www.suomi24.fi/viihde/oho-seurapiirikaun
      Kotimaiset julkkisjuorut
      6
      2091
    6. Se siitä sitten

      Kirjoitan tänne kun en sulle voi. En vaivaa sua enää koskaan. En ikinä tarkoittanut olla ahdistava tai takertuva. Tunteet heräsi enkä osannut olla tyy
      Ikävä
      82
      1740
    7. Ohhoh! Rita Niemi-Manninen otti ison tatuoinnin - Herätti somekansan: "Täydellinen paikka!"

      Rita Niemi-Mannisen suuri, uusi tatuointi on saanut somekansan heräämään talvihorroksesta. Niemi-Manninen otti tatskan rakkauslomalla Aki-miehensä kan
      Kotimaiset julkkisjuorut
      20
      1688
    8. Ihastumisesta kertominen

      Olen päättänyt kertoa tunteistani ihastukseni kohteelle. Erityisen vaikeaksi tilanteeni tekee se, että kyseessä on ns. kielletty rakkaus. Olen jo toi
      Ihastuminen
      92
      1427
    9. Taas Venäjän tiedoittaja akka Varoitti Suomea ja Ruotsia liittymästä Natoon

      Juuri sopivasti julkaistu varoitus, kun Suomen eduskunta alkaa klo 13:50 käsitellä asiaa suorassa TV 1:n lähetyksessä. ILtasanomat.
      Maailman menoa
      438
      1358
    10. Harvoin julkisuudessa nähty Jari Sillanpää, 56, julkaisi uusia kuvia - Karisti Suomen pölyt jaloista

      Huumekohun jälkeen matalaa profiilia pitänyt Jari "Siltsu" Sillanpää on ollut vaitonainen elämästään. Tänä keväänä miehen some on ollut hiljainen. Nyt
      Kotimaiset julkkisjuorut
      7
      1283
    Aihe