Digitoday

Valikko

Mozillasta löydetty neljä uutta haavoittuvuutta

Mozilla-webbiselaimesta ja sen johdannaisista on löydetty neljä uutta tietoturva-aukkoa. Näistä ensimmäinen löydettiin jo kesäkuun lopussa. Mozillasta sekä Firefoxista että Thunderbirdistä on jo saatavilla korjatut versiot.

Kesäkuun lopussa löytyneen Mozilla-selaimen aukon avulla hyökkääjä voi kirjoittaa ssl-salauksen juurisertifikaattien yli kotitekoisella sertifikaatilla. Juurisertifikaateilla allekirjoitetaan kaikki muut ssl-sertifikaatit.

Sen sijaan, että aukon kautta voisi täysin uudistaa käyttäjän selaimen juurisertifikaatteja, sillä saa korruptoitua ne. Ylikirjoittamisen jälkeen kyseisellä juurisertifikaatilla allekirjoitetuille ssl-sivustoille mentäessä käyttäjä saa error -8182-ilmoituksen, eli sivuston sertifikaatti on väärä tai korruptoitunut-ilmoituksen.

Aukko on olemassa selaimen Windows- ja Linux-versioissa.

Tyhjiö-aukko vaarallinen

Heinäkuun alkupuolella löydetty haavoittuvuus johtuu kevennetyn Firefox-selaimen tavasta säilyttää sivuvälimuistia aina samassa tunnetussa paikkaa.

Windows 2000:ssa se on C:Documents and SettingsAdministratorApplication

DataMozillaFirefoxProfilesdefault.nopCache., jonka sisällä on _CACHE_001_, _CACHE_002_ ja _CACHE_001_ -hakemistot.

Välimuistin toimintatapaan liittyy vielä pahempi tyhjiö-aukko:

file://C:Documents and SettingsAdministratorApplication DataMozillaFirefoxProfilesdefault.nopCache\_CACHE_001_%00.html-bugin avulla voidaan ladata välimuistisäilöstä muitakin kuin html-tiedostoja. Firefox luulee, että kyseessä on silti html-tiedosto.

Aukko löytyy muistakin protokollista

Ongelma esiintyy muillakin Firefoxin tukemilla protokollilla, kuten esimerkiksi ftp-protokollalla. Ftp:stä aukko on jo korjattu, mutta kehittäjät pitävätfile://-käsittelijän korjausta vähemmän kiireellisenä.

Näitä aukkoja hyökkääjä voisi hyödyntää esimerkiksi siten, että käyttäjän käydessä halutulla sivustolla, selaimen välimuistiin tungetaan vaarallista koodia. Tämän jälkeen käyttäjän käyttäessä tiettyä linkkiä välimuistiin ladattu koodi aktivoituu.

Jonkun toisen vika

Kolmas aukko liittyy Mozilla-projektin käyttämään png-kuvatuen (portable network graphics) mahdollistavaan libpng-kirjastoon, josta on löytynyt tietoturva-aukkoja. Mozillan kehittäjät sisällyttivät korjauksen selainohjelmiensa kääntämisessä käytettyyn versioon kirjastosta.

Neljännen aukon avulla ilkeämielinen hyökkääjä saa selaimen ilmoittamaan ohjelmaikkunan alareunassa ssl-salatusta yhteydestä, vaikka sivustolla ei ole käyttössä tai tuettuna ssl-suojausta.

Ilmeisestikin ainakin Firefoxin kehittäjillä on ollut kiire päivitetyn version julkaisemisessa, sillä käyttäjät ovat raportoineet asennusohjelman ilmoittavan selainversioksi vanhemman 0.92-version.

Ei päivitystäpakettia

Ohjelmiin ei tällä kertaa ole mahdollista saada päivityspakettia, vaan ne täytyy ladata ja asentaa kokonaan uudestaan.

Lisätietoja ja päivitykset löytyvät täältä ja täältä.

Kommentit

    Näytä lisää

    Näitä luetaan!

    1. 1

      Kuvat: Isännöitsijää odotti asukkaan kodissa puistattava yllätys

    2. 2

      Ohiajaneen ambulanssin työntekijöiden tarkkaavaisuus pelasti perheen tulipalolta: ”Sankarillisesti toimivat”

    3. 3

      13-vuotias uhkaa vanhempiaan poliisilla – äiti pyytää apua

    4. 4

      Punakoneen kiekkolegenda Vladimir Petrov kuollut

    5. 5

      Jelena Välbe hätkähdytti t-paidallaan MM-hiihdoissa – legenda on tyytyväinen, ettei Putin tule Lahteen

    6. 6

      Näin suomalaiset lorvailevat töissä: olemattomia palavereja ja harhauttavia ruutukaappauksia

    7. 7

      Haiseeko pyykkisi pahalta pesun jälkeen? Näin pääset hajuista eroon

    8. 8

      Mikael Granlund ratkaisi pelin yksin jatkoajalla – katso videolta hykerryttävä soolomaali

    9. 9

      Halle Berry, 50, pulahti Oscar-asusta suoraan naku-uinnille – julkaisi kiusoittelevan videon

    10. 10

      Tv-katsojat hieraisivat silmiään: Anssi Kela näkyi neljällä kanavalla yhtä aikaa – ”Onko tässä enää mitään tolkkua”

    11. Näytä lisää
    1. 1

      ”Uimarenkaat omasta takaa” Katri Sorsan rehellinen kuva kertoo enemmän kuin tuhat sanaa

    2. 2

      Diabetes on hiipivä sairaus – tunnista 20 kavalaa merkkiä

    3. 3

      Petter Northugin viesti tv-kameran edessä Emil Iversenille: ”Hyvä, että kaadoit myös suomalaisen”

    4. 4

      Norjalaiset raivostuivat Emil Iversenin nöyryyttämisestä suorassa lähetyksessä

    5. 5

      Sliipatun pukumiehen kodista paljastui mykistävä yllätys – toukat ryömivät isännöitsijää vastaan

    6. 6

      Miksi apeat pronssimitalistit repesivät yhtäkkiä nauramaan? Jauhojärvi paljasti IS:lle Niskasen sanat palkintopallilla

    7. 7

      Helsinkiläismies eli niin kuin naistenlehdissä kehotettiin – tässä kuvassa hän lataa kotona akkuja

    8. 8

      Aino-Kaisa Saarinen kertoo hetkestä, jolloin hänen unelmansa romahti: ”Vastauksena oli hiljaisuus”

    9. 9

      Mieti ennen kuin ostat: Uudesta Nokia 3310 -puhelimesta paljastui paha puute

    10. 10

      Nokian murhaepäily: 17-vuotiaan tytön kuolinsyy selvisi

    11. Näytä lisää
    1. 1

      Julkkiksilta sataa tukea rumaksi haukutulle Maria Veitolalle – Rakel Liekiltä tyhjentävä kommentti

    2. 2

      Helsinkiläinen Nina, 44, avautuu isäpuolen järkyttävistä teoista: ”Äiti katseli vierestä, mutta ei koskaan puuttunut”

    3. 3

      Kummisetä antoi 10-vuotiaalle tyttärelle lahjarahaa – Kela rokotti koko perheeltä 341,52 euroa/kk

    4. 4

      Traaginen onnettomuus Helsingissä – työkoneen kauha osui kävelijään, nainen kuoli vammoihinsa

    5. 5

      Marika saa Espanjassa pitkiä katseita – suomalaiset nimet, jotka eivät toimi ulkomailla

    6. 6

      Tarkista ja kuuntele: Mikä oli Suomen listaykkösenä, kun sinä synnyit?

    7. 7

      Yleinen virhe wc-pöntöllä: Tästä syystä pyttyyn jää helposti ”jarrutusjäljet”

    8. 8

      4 eri mitoilla varustettua miestä avautuu seksielämästään: ”Teen parhaani sillä, mitä minulla on”

    9. 9

      Anu Saagim haukkui Maria Veitolaa rumaksi suorassa lähetyksessä – Veitola harmistui studioyleisön reaktiosta: ”Yleisö nauraa ja taputtaa”

    10. 10

      Katri Sorsalta kuitti Anu Saagimille: ”Eestissä nainen näyttää herättyään tältä, meillä Suomessa tältä...”

    11. Näytä lisää

    Näitä luetaan!

    1. 1

      Kuvat: Isännöitsijää odotti asukkaan kodissa puistattava yllätys

    2. 2

      Ohiajaneen ambulanssin työntekijöiden tarkkaavaisuus pelasti perheen tulipalolta: ”Sankarillisesti toimivat”

    3. 3

      13-vuotias uhkaa vanhempiaan poliisilla – äiti pyytää apua

    4. 4

      Punakoneen kiekkolegenda Vladimir Petrov kuollut

    5. 5

      Jelena Välbe hätkähdytti t-paidallaan MM-hiihdoissa – legenda on tyytyväinen, ettei Putin tule Lahteen

    6. Näytä lisää
    1. 1

      ”Uimarenkaat omasta takaa” Katri Sorsan rehellinen kuva kertoo enemmän kuin tuhat sanaa

    2. 2

      Diabetes on hiipivä sairaus – tunnista 20 kavalaa merkkiä

    3. 3

      Petter Northugin viesti tv-kameran edessä Emil Iversenille: ”Hyvä, että kaadoit myös suomalaisen”

    4. 4

      Norjalaiset raivostuivat Emil Iversenin nöyryyttämisestä suorassa lähetyksessä

    5. 5

      Sliipatun pukumiehen kodista paljastui mykistävä yllätys – toukat ryömivät isännöitsijää vastaan

    6. Näytä lisää
    1. 1

      Julkkiksilta sataa tukea rumaksi haukutulle Maria Veitolalle – Rakel Liekiltä tyhjentävä kommentti

    2. 2

      Helsinkiläinen Nina, 44, avautuu isäpuolen järkyttävistä teoista: ”Äiti katseli vierestä, mutta ei koskaan puuttunut”

    3. 3

      Kummisetä antoi 10-vuotiaalle tyttärelle lahjarahaa – Kela rokotti koko perheeltä 341,52 euroa/kk

    4. 4

      Traaginen onnettomuus Helsingissä – työkoneen kauha osui kävelijään, nainen kuoli vammoihinsa

    5. 5

      Marika saa Espanjassa pitkiä katseita – suomalaiset nimet, jotka eivät toimi ulkomailla

    6. Näytä lisää