Netscape ja Mozilla

vuotaa

CERT-FI varoitus 55/2004
3.8.2004

Haavoittuvuuksia Netscape ja Mozilla -selainohjelmissa

Netscape- ja Mozilla -selaimista on löytynyt SOAP-protokollaan liittyvä haavoittuvuus. SOAP on XML-pohjainen viestintäprotokolla, jota voidaan käyttää erityyppisissä web-sovelluksissa. Virheellinen syötteentarkistus SOAPparamterer-objektin käsittelyssä mahdollistaa hyökkääjän oman koodin suorittamisen tietojärjestelmässä, jossa käytetään haavoittuvaa selainohjelmaa. Haavoittuvuus voi aktivoitua vierailtaessa selaimella vihamielisesti laaditulla WWW-sivulla.

Lisäksi Mozilla -selaimista on aikaisemmin julkaistu haavoittuvuus mikä mahdollistaa Windows "shell:" -toiminnallisuuden hyväksikäytön vihamieliselta WWW-sivustolta.

HAAVOITTUVUUDELLE ALTTIIT JÄRJESTELMÄT:

SOAP-haavoittuvuus on todettu seuraavissa selainversioissa:

Netscape 7.0 ja 7.1

Mozilla 1.6

Haavoittuvuus voi esiintyä myös aiemmissa selainversioissa.

"shell:" -haavoittuvuus on todettu seuraavissa versioissa:

Mozilla ennen versiota 1.7.1

Mozilla Firefox ennen versiota 0.9.2

Mozilla Thunderbird ennen versiota 0.7.2

RATKAISU/RAJOITUSMAHDOLLISUUDET:

SOAP-haavoittuvuus:

Haavoittuvuuden aktivoituminen voidaan estää poistamalla Javascript-tuki selaimesta. Tämä rajoitusmenetelmä voi estää useiden www-sivujen esittämisen täydellisenä.

Mozilla-selaimen versio 1.7.1 ei ole haavoittuva. Netscape-selaimelle ei tiettävästi ole tällä hetkellä saatavana päivitystä.


"shell:"-haavoittuvuus:

Haavoittuvuus on korjattu seuraavissa ohjelmaversioissa:

Mozilla 1.7.1

Mozilla Firefox 0.9.2

Mozilla Thunderbird 0.7.2

LISÄTIETOA/TIETOLÄHTEET:

http://www.idefense.com/application/poi/display?id=117
http://secunia.com/advisories/12204/
http://secunia.com/advisories/12027/

CERT-FI –YHTEYSTIEDOT:

Viestintävirasto
CERT-FI
PL 313
00181 Helsinki

http://www.ficora.fi/suomi/tietoturva/varoitukset/varoitus-2004-55.htm

http://secunia.com/advisories/12027

4

294

Äänestä

    Vastaukset

    Anonyymi (Kirjaudu / Rekisteröidy)
    5000
    • näette

      Mitäs nyt sanoo Netscape ja Mozilla kehujat, kun niistä löytyykin vakavia tietoturvaukkoja.

      • Jari

        Kysehän ei tietysti koskaan ole ollutkaan siitä etteikö kyseisissä ohjelmissa olisi tietoturva aukkoja, jokainenhan sen nyt tietää.

        Kyse on siitä että näitä tietoturva aukkoja on tällähetkellä tiedossa paljon vähemmän, kuten on myös olemassa paljon vähemmän haitta ohjelmia jotka näitä käyttäisivät hyäväkseen.

        Suosittelen kirjoittajalle hieman pohjatietojen hankkintaa.

    • Sulevi

      Ilmankos mulla oli Netscapen kanssa ongelmia. Vaikka poistin ja latasin uudestaan niin rupes tuleen outoja häiriöitä. Ei siis johtunutkana siitä että oli samalla koneella Firefox.

      • Jari

        Epäilen suuresti johtuvatko häiriösi tuosta tietoturva aukosta, varsinkaan jos kyseessä on kovin uusi havainto, on epätodennäköistä että mitkään haitta ohjelmat sitä kovinkaan laajasti hyödyntävät.

    Ketjusta on poistettu 0 sääntöjenvastaista viestiä.

    Takaisin ylös

    Luetuimmat keskustelut

    1. Riikka Purra leikkasi alimmalta tulodesiililtä 15 %

      Muistaako kukaan Riikka Purran kovaäänisen vaalilupauksen ennen eduskuntavaaleja? https://yle.fi/a/74-20221152 "THL o
      Maailman menoa
      266
      5749

    2. Muistele nainen niitä meidän yhteisiä hetkiä

      Miltä ne tuntui? Enkö aina huokunut välittämistä, kiintymystä. Eikö sinulla aina ollut hyvä olo kanssani? Minulla ainaki
      Ikävä
      36
      3336

    3. Sofia Virta: bänet!

      Matkailuautoilija metsänomistaja puoliso on nyt entisen teeren poikia, ja Sofia tekee comebackin vapaille markkinoille.
      Maailman menoa
      143
      2607

    4. "Suomi voisi ottaa taloudessa oppia Espanjasta"

      "Espanjassa talouspolitiikka on löysempää, mutta velka-aste on kääntynyt jopa laskuun.", pohdiskelee Suomen seuraava pää
      Maailman menoa
      220
      2082

    5. Kokoomus: SDP johtaa kansalaisia harhaan

      (Umpityhmät palstademarit ovat taas uskoneet Lindtmanin höpötykset Espanjasta.) SDP harhaanjohtaa kansalaisia talouspol
      Maailman menoa
      74
      1614

    6. Otan vielä joskus yhteyttä

      Ja jos et vastaa, niin tulen sinne. Pakko puhua.
      Ikävä
      64
      1037

    7. Niin että miten

      Haluatko oikeasti olla minun kanssa oikeassa elämässä, vai onko tämä vain kirjoittelua
      Ikävä
      77
      971

    8. Ikävä tilanne rikoksen vuoksi Espanjassa - Jari Sillanpää pistää uutta matoa koukkuun

      Jari Sillanpää on ehkä yksi suosituimmista tangokuninkaallisista. Ex-tangokuningas juhli viime syksynä 30 vuotista uraan
      Suomalaiset julkkikset
      9
      825

    9. Nuoriso on tyhmää tutkijat ovat todenneet

      Nyt se on todettu ääneen mitä kaikki ovat jo pitkään epäilleet. Nuoriso on tyhmentynyt tasaiseen tahtiin. Kohta pitää ni
      Sinkut
      123
      823

    10. Tätä ei tv:ssä: Farmi-tippuja Amski rehellisenä ongelmista kuvauksissa

      Ennakkosuosikki Amskidabamski Anne-Mari Tarkkio joutui ulos Farmi Suomi -realitystä. Voimatehtävässä vastakkain asettui
      Tv-sarjat
      10
      768
    Aihe
    TietosuojaselosteKäyttöehdotEvästeasetuksetSäännöt