Kirjaudu

Uutiskirje

Rekisteröidy Sektoriin ja tilaa itsellesi joko aamuisin tai iltaisin ilmestyvä uutiskirje sähköpostiisi.

Tiistai, 14.9.2004

CERT-FI: useita haavoittuvuuksia MIME-standardin toteutuksissa

Viestintäviraston tietoturvaloukkauksiin ja niiden ennaltaehkäisyyn keskittyvä CERT-FI varoittaa, että MIME-koodausta (Multimedia Internet Media Extensions) käsittelevistä ohjelmistoista on löydetty useita koodauksen käsittelyyn liittyviä haavoittuvuuksia. Haavoittuvuuksia hyväksikäyttämällä hyökkääjän voi olla mahdollista ohittaa kohdejärjestelmän sisällöntarkastus, suorittaa järjestelmässä omia komentojaan tai kohdistaa järjestelmään palvelunestohyökkäys.

MIME-koodausta käytetään eri järjestelmien välillä siirrettävien sähköpostin liitetiedostojen koodaamiseen sekä myös HTTP-protokollalla tapahtuvaan tiedostonsiirtoon. Laajasti käytetyn MIME-standardin vuoksi haavoittuvuudelle ovat mahdollisesti alttiitta erityyppiset ohjelmistot mukaan lukien sähköpostiohjelmat, www-selaimet ja virustorjuntaohjelmat. Tietoturvaorganisaatio NISCC ylläpitää sivuillaan päivittyvää tietoa eri valmistajien tuotteiden MIME-haavoittuvuuksista.

oma, 14.9.2004 00:02. Lähde: CERT-FI

Muita aiheeseen liittyviä uutisia

Rekisteröidy ja kirjaudu sisään, jos haluat kommentoida.

Kommentit ( 14 uutta / 14 )
pistettä.
Näytä vain kommentit joilla on vähintään
Pisterajan alittavia kommentteja piilossa.
Re: Hhhoijaa
Anonyymi kommentoija, 14.9.2004 07:28:40		 Pisteet: 0
Juuri vähän aikaa sitten oli juttu miten mäcistä oli paikattu 15 tms. aukkoa. Kumma juttu ettei moinen ylittänyt tämän paikan uutiskynnystä
En nyt varmaan ymmärtänyt mitä tarkoitit "tällä paikalla", mutta jos tarkoitit Sektoria, niin tuo 15 aukon juttu julkaistiin vähän aikaa sitten täällä kyllä:

http://sektori.com/uutiset/5946
Pisterajan alittavia kommentteja piilossa.
Re: Hhhoijaa
Anonyymi kommentoija, 16.9.2004 14:29:24		 Pisteet: 0
sitten herätään kun kone käy päivittämään itseään. 20 päivitystä saatavilla, mitä helv**..
Ei muuten pidä paikkaansa, koskaan en ole 20 päivitystä nähnyt software updatessa - ne kun sattumalta ovat yhtenä pakettina. joojoo, pilkunnussintaahan tämä on mutta oli pakko.
Piparkakku Re: Hhhoijaa
Piparkakku, 14.9.2004 16:50:35		 Pisteet: 0
Juuri vähän aikaa sitten oli juttu miten mäcistä oli paikattu 15 tms. aukkoa. Kumma juttu ettei moinen ylittänyt tämän paikan uutiskynnystä, mutta tälläinen ylittää.
Saattaa vissiin olla siitä syystä että tässä onkin kaikki ohjelmat jotka käyttävät MIMEä haavoittuvaisia.
Microsoft vacuum cleaner, only product not sucking, internets, 6 years, ms paint, etc.
Kommenttini yltävät +3-tasolle MS-vastaisen allekirjoitukseni takia <3
Onko IE + outlook taas särki?
Anonyymi kommentoija, 14.9.2004 11:06:48		 Pisteet: 0
Tietääkö joku onko IE / outlook express / outlook tämän osalta (taas kerran) särki? Mozilla näyttää olevan bugivapaa, joten henkilökohtaisesti ei haittaa, mutta ympärilläni on liian monta MS-tartunnan omaavaa konetta joiden turvallisuudesta pitää olla hieman huolissaan. Nuo advisoryt eivät hiiskahdakkaan MS:n tuotteiden tilanteesta...
Re: Onko IE + outlook taas särki?
Anonyymi kommentoija, 14.9.2004 13:46:47		 Pisteet: 0
Tietääkö joku onko IE / outlook express / outlook tämän osalta (taas kerran) särki? Mozilla näyttää olevan bugivapaa, joten henkilökohtaisesti ei haittaa, mutta ympärilläni on liian monta MS-tartunnan omaavaa konetta joiden turvallisuudesta pitää olla hieman huolissaan. Nuo advisoryt eivät hiiskahdakkaan MS:n tuotteiden tilanteesta...
Käsitin niin, että jokainen taho on kertonut oman ohjelmansa tilanteen tuon asian suhteen, eli tarkoittaa varmaan sitä, että Microsoft ei ole kertonut asiasta mitään. Mutta muistaakseni IE:ssä on joka tapauksessa tunnettuja paikkaamattomia aukkoja, joten en tiedä onko sillä niin merkitystä vaikka niitä tulisi lisää. Ja sanotaan vaikka niin että enempi minä yllätyn jos IE:ssä ei ole tuota aukkoa, mutta tuo oli vain mielipide.
Re: Onko IE + outlook taas särki?
Anonyymi kommentoija, 14.9.2004 20:21:02		 Pisteet: 0
utta muistaakseni IE:ssä on joka tapauksessa tunnettuja paikkaamattomia aukkoja
Mitä muka?
Re: Onko IE + outlook taas särki?
Anonyymi kommentoija, 14.9.2004 22:52:03		 Pisteet: 0
utta muistaakseni IE:ssä on joka tapauksessa tunnettuja paikkaamattomia aukkoja
Mitä muka?
Ehkä kannattaisi perehtyä perusasioihin ennen kuin tulee kommentoimaan sanamuodolla joka paljastaa amatööriksi. No katso:
http://www.safecenter.net/UMBRELLAWEBV4/ie_unpatch...
Re: Onko IE + outlook taas särki?
Anonyymi kommentoija, 15.9.2004 05:06:08		 Pisteet: 0

Ehkä kannattaisi perehtyä perusasioihin ennen kuin tulee kommentoimaan sanamuodolla joka paljastaa amatööriksi. No katso: http://www.safecenter.net/UMBRELLAWEBV4/ie_unpatch...
Hmm.. Sektori -asiantuntija taas paikalla.. Ei toiminut minulla ainakaan nuo exploitit.. Ehkä minulla on sitten viallinen windows.. Tai jos se on vaan sp2.
Re: Onko IE + outlook taas särki?
KimmoKM, 14.9.2004 15:20:00		 Pisteet: 0
ozilla näyttää olevan bugivapaa
Mozilla _ei ole_ bugivapaa. Mikäli ette usko, käykää katsomassa Mozillan bugzillaa. Mozillassa (ja muissa vapaissa ohjelmissa) nuo virheet kumminkin korjataan nopeasti (yleensä), jopa muutamassa tunnissa. Tämä on yksi niistä syistä, minkä takia käytän vapaita ohjelmia.
Re: Onko IE + outlook taas särki?
Anonyymi kommentoija, 14.9.2004 16:43:31		 Pisteet: +1
ozilla näyttää olevan bugivapaa
Mozilla _ei ole_ bugivapaa.
Alkuperäinen kirjoittaja varmaan kuitenkin tarkoitti kyseistä MIME-ongelmaa.

Mozillassa (ja muissa vapaissa ohjelmissa) nuo virheet kumminkin korjataan nopeasti (yleensä)
No ei ainakaan Mozillassa. Bugikannasta löytyy melkein vuoden vanhoja bugeja, joille ei ole tehty mitään, edes siiretty NEW-tilasta ASSIGNED-tilaan, saati sitten korjattu. Esim. http://bugzilla.mozilla.org/show_bug.cgi?id=230097 (Kyseisestä bugista löytyy n duplikaattiakin, joille ei myöskään ole tehty mitään.)
Re: Onko IE + outlook taas särki?
Anonyymi kommentoija, 15.9.2004 12:54:57		 Pisteet: 0
No ei ainakaan Mozillassa. Bugikannasta löytyy melkein vuoden vanhoja bugeja, joille ei ole tehty mitään, edes siiretty NEW-tilasta ASSIGNED-tilaan, saati sitten korjattu. Esim. http://bugzilla.mozilla.org/show_bug.cgi?id=230097 (Kyseisestä bugista löytyy n duplikaattiakin, joille ei myöskään ole tehty mitään.)
Mutta mainitsemasi bugi on enemmän kiinni GTK2:sta, sillä mozillassa joka on käännetty GTK1:llä onglema ei esinny. Joten tuntuu että haukut väärä puuta.

Se on kyllä totta että bugeja löytyy, otit vain huonon esimerkin.

Anonyymi kommentoija, 15.9.2004 21:26:54		 Pisteet: 0
Se, että softa on vaaraton "hiekkalaatikossa", ei tee siitä vaaratonta. Patchaamatonkin IE on turvallinen, jos käyttää sekä diodi- että kondomifirewallia..