CERT-FI varoitus 55/2004
3.8.2004
Haavoittuvuuksia Netscape ja Mozilla -selainohjelmissa
Netscape- ja Mozilla -selaimista on löytynyt SOAP-protokollaan liittyvä haavoittuvuus. SOAP on XML-pohjainen viestintäprotokolla, jota voidaan käyttää erityyppisissä web-sovelluksissa. Virheellinen syötteentarkistus SOAPparamterer-objektin käsittelyssä mahdollistaa hyökkääjän oman koodin suorittamisen tietojärjestelmässä, jossa käytetään haavoittuvaa selainohjelmaa. Haavoittuvuus voi aktivoitua vierailtaessa selaimella vihamielisesti laaditulla WWW-sivulla.
Lisäksi Mozilla -selaimista on aikaisemmin julkaistu haavoittuvuus mikä mahdollistaa Windows "shell:" -toiminnallisuuden hyväksikäytön vihamieliselta WWW-sivustolta.
HAAVOITTUVUUDELLE ALTTIIT JÄRJESTELMÄT:
SOAP-haavoittuvuus on todettu seuraavissa selainversioissa:
Netscape 7.0 ja 7.1
Mozilla 1.6
Haavoittuvuus voi esiintyä myös aiemmissa selainversioissa.
"shell:" -haavoittuvuus on todettu seuraavissa versioissa:
Mozilla ennen versiota 1.7.1
Mozilla Firefox ennen versiota 0.9.2
Mozilla Thunderbird ennen versiota 0.7.2
RATKAISU/RAJOITUSMAHDOLLISUUDET:
SOAP-haavoittuvuus:
Haavoittuvuuden aktivoituminen voidaan estää poistamalla Javascript-tuki selaimesta. Tämä rajoitusmenetelmä voi estää useiden www-sivujen esittämisen täydellisenä.
Mozilla-selaimen versio 1.7.1 ei ole haavoittuva. Netscape-selaimelle ei tiettävästi ole tällä hetkellä saatavana päivitystä.
"shell:"-haavoittuvuus:
Haavoittuvuus on korjattu seuraavissa ohjelmaversioissa:
Mozilla 1.7.1
Mozilla Firefox 0.9.2
Mozilla Thunderbird 0.7.2
LISÄTIETOA/TIETOLÄHTEET:
http://www.idefense.com/application/poi/display?id=117
http://secunia.com/advisories/12204/
http://secunia.com/advisories/12027/
CERT-FI –YHTEYSTIEDOT:
Viestintävirasto
CERT-FI
PL 313
00181 Helsinki
http://www.ficora.fi/suomi/tietoturva/varoitukset/varoitus-2004-55.htm
http://secunia.com/advisories/12027
Netscape ja Mozilla
4
286
Vastaukset
- näette
Mitäs nyt sanoo Netscape ja Mozilla kehujat, kun niistä löytyykin vakavia tietoturvaukkoja.
- Jari
Kysehän ei tietysti koskaan ole ollutkaan siitä etteikö kyseisissä ohjelmissa olisi tietoturva aukkoja, jokainenhan sen nyt tietää.
Kyse on siitä että näitä tietoturva aukkoja on tällähetkellä tiedossa paljon vähemmän, kuten on myös olemassa paljon vähemmän haitta ohjelmia jotka näitä käyttäisivät hyäväkseen.
Suosittelen kirjoittajalle hieman pohjatietojen hankkintaa.
- Sulevi
Ilmankos mulla oli Netscapen kanssa ongelmia. Vaikka poistin ja latasin uudestaan niin rupes tuleen outoja häiriöitä. Ei siis johtunutkana siitä että oli samalla koneella Firefox.
- Jari
Epäilen suuresti johtuvatko häiriösi tuosta tietoturva aukosta, varsinkaan jos kyseessä on kovin uusi havainto, on epätodennäköistä että mitkään haitta ohjelmat sitä kovinkaan laajasti hyödyntävät.
Ketjusta on poistettu 0 sääntöjenvastaista viestiä.
Luetuimmat keskustelut
Hoitajalakko peruuntuu, tilalle joukkoirtisanoutumiset
"Tehyn ja Superin hallitukset kokoontuivat tänään toteamaan, että tilanne edellyttää järeämpiä työtaistelutoimia." https://www.hs.fi/politiikka/art-27399166Johan tuli oikea aivopieru Britti Lordilta
Emeritusprofessori Lordi Robert Skidelsky sanoi Suomen rikkovan YYA sopimusta joka on tehty Neuvostoliiton kanssaa 1948. Mitä pir3737947Tehyn Rytkösellä tallessa tekstiviestit A-studiokohussa
https://www.mtvuutiset.fi/artikkeli/a-studiosta-kohu-tehyn-rytkosen-mukaan-ministeri-linden-sai-paattaa-osallistujat-ohjelma-kiistaa-vaitteen/84070681615657William ja Sonja Aiello ERO
Hyvä Sonja! Nyt etsit uudet kaverit ja jätät nuo huume- ja rahanpesu porukat haisemaan taaksesi!542353Oho! Seurapiirikaunotar, ex-missi Sabina Särkkä yllättää tällä harvinaisella kyvyllä: "Mulla on..."
Sabina Särkkä on nähty monissa tv-reality-sarjoissa. Mutta tiesitkö, että Särkällä on valokuvamuisti? https://www.suomi24.fi/viihde/oho-seurapiirikaun62091Se siitä sitten
Kirjoitan tänne kun en sulle voi. En vaivaa sua enää koskaan. En ikinä tarkoittanut olla ahdistava tai takertuva. Tunteet heräsi enkä osannut olla tyy821740Ohhoh! Rita Niemi-Manninen otti ison tatuoinnin - Herätti somekansan: "Täydellinen paikka!"
Rita Niemi-Mannisen suuri, uusi tatuointi on saanut somekansan heräämään talvihorroksesta. Niemi-Manninen otti tatskan rakkauslomalla Aki-miehensä kan201688Ihastumisesta kertominen
Olen päättänyt kertoa tunteistani ihastukseni kohteelle. Erityisen vaikeaksi tilanteeni tekee se, että kyseessä on ns. kielletty rakkaus. Olen jo toi921427Taas Venäjän tiedoittaja akka Varoitti Suomea ja Ruotsia liittymästä Natoon
Juuri sopivasti julkaistu varoitus, kun Suomen eduskunta alkaa klo 13:50 käsitellä asiaa suorassa TV 1:n lähetyksessä. ILtasanomat.4381358Harvoin julkisuudessa nähty Jari Sillanpää, 56, julkaisi uusia kuvia - Karisti Suomen pölyt jaloista
Huumekohun jälkeen matalaa profiilia pitänyt Jari "Siltsu" Sillanpää on ollut vaitonainen elämästään. Tänä keväänä miehen some on ollut hiljainen. Nyt71283