Digitoday

Valikko

Mozillasta löydetty neljä uutta haavoittuvuutta

Mozilla-webbiselaimesta ja sen johdannaisista on löydetty neljä uutta tietoturva-aukkoa. Näistä ensimmäinen löydettiin jo kesäkuun lopussa. Mozillasta sekä Firefoxista että Thunderbirdistä on jo saatavilla korjatut versiot.

Kesäkuun lopussa löytyneen Mozilla-selaimen aukon avulla hyökkääjä voi kirjoittaa ssl-salauksen juurisertifikaattien yli kotitekoisella sertifikaatilla. Juurisertifikaateilla allekirjoitetaan kaikki muut ssl-sertifikaatit.

Sen sijaan, että aukon kautta voisi täysin uudistaa käyttäjän selaimen juurisertifikaatteja, sillä saa korruptoitua ne. Ylikirjoittamisen jälkeen kyseisellä juurisertifikaatilla allekirjoitetuille ssl-sivustoille mentäessä käyttäjä saa error -8182-ilmoituksen, eli sivuston sertifikaatti on väärä tai korruptoitunut-ilmoituksen.

Aukko on olemassa selaimen Windows- ja Linux-versioissa.

Tyhjiö-aukko vaarallinen

Heinäkuun alkupuolella löydetty haavoittuvuus johtuu kevennetyn Firefox-selaimen tavasta säilyttää sivuvälimuistia aina samassa tunnetussa paikkaa.

Windows 2000:ssa se on C:Documents and SettingsAdministratorApplication

DataMozillaFirefoxProfilesdefault.nopCache., jonka sisällä on _CACHE_001_, _CACHE_002_ ja _CACHE_001_ -hakemistot.

Välimuistin toimintatapaan liittyy vielä pahempi tyhjiö-aukko:

file://C:Documents and SettingsAdministratorApplication DataMozillaFirefoxProfilesdefault.nopCache\_CACHE_001_%00.html-bugin avulla voidaan ladata välimuistisäilöstä muitakin kuin html-tiedostoja. Firefox luulee, että kyseessä on silti html-tiedosto.

Aukko löytyy muistakin protokollista

Ongelma esiintyy muillakin Firefoxin tukemilla protokollilla, kuten esimerkiksi ftp-protokollalla. Ftp:stä aukko on jo korjattu, mutta kehittäjät pitävätfile://-käsittelijän korjausta vähemmän kiireellisenä.

Näitä aukkoja hyökkääjä voisi hyödyntää esimerkiksi siten, että käyttäjän käydessä halutulla sivustolla, selaimen välimuistiin tungetaan vaarallista koodia. Tämän jälkeen käyttäjän käyttäessä tiettyä linkkiä välimuistiin ladattu koodi aktivoituu.

Jonkun toisen vika

Kolmas aukko liittyy Mozilla-projektin käyttämään png-kuvatuen (portable network graphics) mahdollistavaan libpng-kirjastoon, josta on löytynyt tietoturva-aukkoja. Mozillan kehittäjät sisällyttivät korjauksen selainohjelmiensa kääntämisessä käytettyyn versioon kirjastosta.

Neljännen aukon avulla ilkeämielinen hyökkääjä saa selaimen ilmoittamaan ohjelmaikkunan alareunassa ssl-salatusta yhteydestä, vaikka sivustolla ei ole käyttössä tai tuettuna ssl-suojausta.

Ilmeisestikin ainakin Firefoxin kehittäjillä on ollut kiire päivitetyn version julkaisemisessa, sillä käyttäjät ovat raportoineet asennusohjelman ilmoittavan selainversioksi vanhemman 0.92-version.

Ei päivitystäpakettia

Ohjelmiin ei tällä kertaa ole mahdollista saada päivityspakettia, vaan ne täytyy ladata ja asentaa kokonaan uudestaan.

Lisätietoja ja päivitykset löytyvät täältä ja täältä.

Kommentit

    Näytä lisää

    Näitä luetaan!
    1. 1

      Raju lehtiväite itsensä hirttäneestä 27-vuotiaasta ex-urheilutähdestä – murhan syynä kohupaljastus?

    2. 2

      Fuengirola-lehti: Poliisi keskeytti Antero Mertarannan keikan Espanjassa – kahdesti

    3. 3

      Lunta luvassa koko maahan – meteorologi kertoo, milloin helpottaa

    4. 4

      Yhdysvalloissa asuva Tero Kuittinen kummastelee Suomen työtahtia HS:ssa – ”Ei täällä ole vaihtoehto, että ottaa uupumukseen vuoden sapattia”

    5. 5

      Rokkimimmistä tuli huippunäyttelijä: ”Alkoholismini alkoi jo 25-vuotiaana”

    6. 6

      Poliisi: Mopoilukulttuuri karkaa käsistä Nivalassa – ”On vain ajan kysymys, milloin tapahtuu isompi vahinko”

    7. 7

      Tukku NHL-pelaajia vapautui Leijonien käyttöön – ”Lähden innolla messiin”

    8. 8

      Onnen päivät -näyttelijä kuoli 56-vuotiaana – aikoinaan tv:n suurimpiin tähtiin lukeutunut Erin Moran eli rankan elämän

    9. 9

      Pokka pitää -tähti Patricia Routledge IS:n erikoishaastattelussa – yksi erikoispyyntö toimittajalle ennen tapaamista

    10. 10

      Mihail Gorbatshov listaa Putinin Venäjän ongelmia Time-lehdessä – ratkaisuna uusi perestroika?

    11. Näytä lisää
    1. 1

      Poikaystävä jäi kiinni pettämisestä nololla tavalla kesken romanttisen illallisen – ravintolan Facebook-vastaus leviää vauhdilla

    2. 2

      Antti, 39, voitti historian toiseksi suurimman Haluatko miljonääriksi? -potin – ”Olin varma, että pääsen 5-numeroiseen summaan”

    3. 3

      Näitä ennen ihan normaaleja asioita nykylapset eivät enää saa tehdä

    4. 4

      Video: Lajissaan maailman suurimman purjeveneen kuljetus aiheutti hässäkkää seututiellä 749

    5. 5

      Välikohtaus Helsinki-Vantaalla – poliisi talutti kiljuvan irakilaismiehen ulos lentokoneesta

    6. 6

      Kuusi sairaalaan rytinästä Nelostiellä – erikoinen tapahtumasarja aiheutti kolarisuman

    7. 7

      Kaksivuotias poika kuoli Lammin kolarissa

    8. 8

      Muusikko Pekka Myllykoski on kuollut

    9. 9

      Onnen päivät -näyttelijä kuoli 56-vuotiaana – aikoinaan tv:n suurimpiin tähtiin lukeutunut Erin Moran eli rankan elämän

    10. 10

      Onko tässä maailman seksikkäin pilotti? 25-vuotias kaunotar villitsee somessa: ”En ole aivan tavallinen lentäjä”

    11. Näytä lisää
    1. 1

      Hätkähdyttävä näky Padasjoen ABC:lla – sotilas asteli kahvilinjastolle rynnäkkökivääri mukanaan

    2. 2

      Äiti kosti poikansa röyhkeän tempun haudan takaa – vanhan äidin rahastaminen ei onnistunutkaan loppuun asti

    3. 3

      Sanna osti lähes uuden asunnon – kahden vuoden jälkeen se osoittautui karmeaksi virheeksi

    4. 4

      Bottas päätyi paalupaikalta palkintopallille, Vettel voittoon – IS seurasi Bahrainin F1-kisaa

    5. 5

      Nanna Karalahti ja Jere Karalahti: Ero!

    6. 6

      Nuori nainen julkaisi seksikkään takaapäin otetun kuvan – törkyinen detalji makuuhuoneessa varasti kaikkien huomion

    7. 7

      Samu Haber esitti kuohuttaneen Joutsenlaulu-version tv:ssä – katsojilta yksimielinen tuomio vedolle

    8. 8

      Ulla Appelsinin kommentti: Tragedia, josta arkkipiispa ei twiitannut

    9. 9

      Noloimmat tilanteet seksin aikana – onko itsellesi käynyt näin?

    10. 10

      Synkkiä väitteitä: Michael Jacksonin unohdettu poika Blanket, 15, elää onnetonta elämää yksin miljoonakartanossa – ”Hän on itse kasvattanut itsensä”

    11. Näytä lisää
    Näitä luetaan!
    1. 1

      Raju lehtiväite itsensä hirttäneestä 27-vuotiaasta ex-urheilutähdestä – murhan syynä kohupaljastus?

    2. 2

      Fuengirola-lehti: Poliisi keskeytti Antero Mertarannan keikan Espanjassa – kahdesti

    3. 3

      Lunta luvassa koko maahan – meteorologi kertoo, milloin helpottaa

    4. 4

      Yhdysvalloissa asuva Tero Kuittinen kummastelee Suomen työtahtia HS:ssa – ”Ei täällä ole vaihtoehto, että ottaa uupumukseen vuoden sapattia”

    5. 5

      Rokkimimmistä tuli huippunäyttelijä: ”Alkoholismini alkoi jo 25-vuotiaana”

    6. Näytä lisää
    1. 1

      Poikaystävä jäi kiinni pettämisestä nololla tavalla kesken romanttisen illallisen – ravintolan Facebook-vastaus leviää vauhdilla

    2. 2

      Antti, 39, voitti historian toiseksi suurimman Haluatko miljonääriksi? -potin – ”Olin varma, että pääsen 5-numeroiseen summaan”

    3. 3

      Näitä ennen ihan normaaleja asioita nykylapset eivät enää saa tehdä

    4. 4

      Video: Lajissaan maailman suurimman purjeveneen kuljetus aiheutti hässäkkää seututiellä 749

    5. 5

      Välikohtaus Helsinki-Vantaalla – poliisi talutti kiljuvan irakilaismiehen ulos lentokoneesta

    6. Näytä lisää
    1. 1

      Hätkähdyttävä näky Padasjoen ABC:lla – sotilas asteli kahvilinjastolle rynnäkkökivääri mukanaan

    2. 2

      Äiti kosti poikansa röyhkeän tempun haudan takaa – vanhan äidin rahastaminen ei onnistunutkaan loppuun asti

    3. 3

      Sanna osti lähes uuden asunnon – kahden vuoden jälkeen se osoittautui karmeaksi virheeksi

    4. 4

      Bottas päätyi paalupaikalta palkintopallille, Vettel voittoon – IS seurasi Bahrainin F1-kisaa

    5. 5

      Nanna Karalahti ja Jere Karalahti: Ero!

    6. Näytä lisää