Tietoturva

Internet Explorerissa tuplaklikkailusta tulossa vaarallista

Julkaistu:

Tietoturvatutkija Plebo Aesdi Nael ilmoitti eilen Full Disclosure -postituslistalla kahdesta Microsoft Internet Explorer -selaimeen liittyvästä tietoturva-aukosta. Niistä pahempi tekee verkkosivustoilla tuplaklikkailusta vaarallista mahdollistaen haittakoodin suorittamisen. Lisäksi Internet Storm Centerin testien mukaan haava on toistettavissa myös avoimen lähdekoodin Firefox-selaimella.
Naelin löytämistä tietoturva-aukoista pienempi paha mahdollistaa minkä tahansa web-osoitteen tietojen lukemisen toisen osoitteen kautta. Tutkijan mukaan aukko sopii Google Desktop -työpöytähakuohjelmaan ja webmail-sovelluksien kohdistuviin hyökkäyksiin.

Tietoturvayhtiö Secunia on julkaissut demosivun aukon hyödyntämisestä.

Tuplaklikkauksella tuhoa

Pahemman haavoittuvuuden avulla voidaan tarjota esimerkiksi SMB- tai WebDAV-jakojen kautta html-tiedostoja, joissa tuplaklikkaaminen suorittaa haittakoodia. Plebo Aesdi Naelin mukaan haavoittuvuuden hyödynnettävyyttä voi parantaa muun muassa piilottamalla epäilyttävät osat css-piilotuskikalla ja kehittämällä vetävän keinon saada käyttäjä tuplaklikkailemaan.

Pienellä muokkauksella haavan hyödyntämiseen ei tarvita tuplaklikkausta ja lisäksi sen saa tietoturvakehittäjän mukaan toimimaan myös Internet Explorerin beta 2:lla.
Mainos (Teksti jatkuu alla)
Mainos päättyy

Nael testasi haavat Microsoftin Windows Server 2003:n Enterprise Editionilla ja julkaisi myös kummankin haavan hyödyntämismenetelmät.

Mozilla-ohjelmistot myös vaarassa?

Internet Storm Centerin mainitsee, että tuplaklikkailuhaava toimisi myös avoimen lähdekoodin Firefox-selaimella. Tämä todennäköisesti tarkoittaisi sitä, että myös Mozilla-johdannaiset ohjelmistot voivat olla vaarassa.

Toistaiseksi Isc ei ole havainnut yhtään haavojen hyödyntämistapausta.

Kommentit

    Näytä lisää