Kirjaudu

Uutiskirje

Rekisteröidy Sektoriin ja tilaa itsellesi joko aamuisin tai iltaisin ilmestyvä uutiskirje sähköpostiisi.

Perjantai, 9.4.2004

IE:n haavoittuvuutta hyödynnetty aktiivisesti

Microsoft Internet Explorer (IE) -selainohjelmassa on vakava Windows Ohje -toiminnallisuuteen liittyvä haavoittuvuus, jota on CERT-FI:n tietojen mukaan käytetty viime aikoina aktiivisesti hyväksi. Koska lähes kaikki Windows-ohjelmat käyttävät järjestelmän tarjoamaa Ohje-palvelua hyväkseen, haavoittuvuutta voidaan pitää koko järjestelmän laajuisena.

Haavoittuvuudelle on olemassa useita julkisesti saatavilla olevia hyödyntämismenetelmiä ja myös haavoittuvuutta hyväksikäyttäviä haittaohjelmia on esiintynyt. Eräiden Internetissä esiintyvien valepankkisivustojen tiedetään käyttäneen haavoittuvuutta hyväkseen asentamalla käyttäjien koneisiin näppäinpainallukset tallentavan troijalaisohjelman.

Microsoft ei toistaiseksi ole julkaissut kriittiseksi luokiteltuun haavoittuvuuteen korjaustiedostoa, mutta haavoittuvuuden hyväksikäyttöä voidaan rajoittaa Windowsin rekisteriin tehtävillä muutoksilla, joista on saatavilla lisätietoa CERT-FI:n tiedotteesta. CERT-FI kehoittaa harkitsemaan myös vaihtoehtoisen selainohjelmiston käyttöä.

Lue juttu oma, 9.4.2004 12:42. Lähde: CERT-FI

Muita aiheeseen liittyviä uutisia

Rekisteröidy ja kirjaudu sisään, jos haluat kommentoida.

Kommentit ( 37 uutta / 37 )
pistettä.
Näytä vain kommentit joilla on vähintään
Paikkaa odotellessa
Anonyymi kommentoija, 9.4.2004 14:06:57		 Pisteet: 0
Kommentti Slashdotista:
"Re:start the stopwatch...
by exmsfty (695351) on Friday April 09, @05:37AM (#8813545)
Well, the interesting thing to me is I was a contract tester on the HTMLHELP team in 1999...and I filed a bug report for this very exploit. So by my stopwatch we are at 5 years and counting. FWIW, I used this exploit to nuke my boss's computer via the "Goodtimes" virus...yea, it was a hoax, but with this exploit I could run "rd /s/q \winnt" from the Preview Pane of Outlook :) If you care then write ShaneMc@microsoft.com and ask him why it wasn't fixed 5 years ago."

Odotan innolla Microsoftin koottuja selityksiä.
Pisterajan alittavia kommentteja piilossa.
Re: Paikkaa odotellessa
Anonyymi kommentoija, 10.4.2004 16:45:54		 Pisteet: 0
Ai että ihan slashdotissa? No sittenhän tuo ei voi olla kuin totta.. Siellä kun kukaan ei onneksi koskaan jauha mitään p*skaa.
Todista vääräksi tai hyväksy. Kaikille avoimille foorumeille kertyy väärää tietoa, joten jos tiedät väitteen vääräksi voit lähettää oikaisun.

"Tuo on ihan p*skaa"-kategorian kommentit eivät ole kenellekään hyödyksi.
hmm
Anonyymi kommentoija, 9.4.2004 15:27:04		 Pisteet: +1
Ihmettelin jo tuota CERTin varoitusta asiasta mm. tätä kohtaa:
"CERT-FI kehoittaa harkitsemaan myös vaihtoehtoisen selainohjelmiston käyttöä."

Ei se vaihtoehtoselain auta yhtään mitään, jos niitä helppejä lueskelee. Varoitushan pääasiassa koskee juuri helppitiedostoja.

Itse Sektorin uutisointia ihmettelen samaisesta asiasta, kun tuo "vaihtoehtoisen selainohjelmiston" sanat on isketty linkiksi Mozillaan. eikö todellakaan löydy muita vaihtoehtoisia selaimia vai suosiiko Sektorin uutisoinnit tietoisesti joitakin tiettyjä tahoja?
Pisterajan alittavia kommentteja piilossa.
Re: hmm
Anonyymi kommentoija, 10.4.2004 17:55:05		 Pisteet: 0
Sehän on jo pitkään ollut selvillä että Sektori ei ole puolueeton uutislähde, "Oma" sai varmaan seksuaalista tyydytystä hehkuttaessaan Mozillaa uutisessa.
Niin, olisihan oma:n nyt pitänyt muistaa, että ainoa oikea webbiselain on lynx: http://lynx.browser.org/
Kypeli Re: hmm
Kypeli, 9.4.2004 16:53:52		 Pisteet: 0
Sehän on jo pitkään ollut selvillä että Sektori ei ole puolueeton uutislähde, "Oma" sai varmaan seksuaalista tyydytystä hehkuttaessaan Mozillaa uutisessa.
Ja saanko kysyä mitä vikaa Firefoxissa on (joka on FYI eri kuin Mozilla)? Itse olet IE-orja ja kismittää kun sieltä (taas) löytyi vakava tietoturvareikä? Et voi sietää sitä, että Firefox voisi jopa olla parempi selain?

Mikä mikä pitäisi olla parempi vaihtoehto selaimelle jos Firefox ei kelvannut linkiksi?
Re: hmm
Anonyymi kommentoija, 9.4.2004 18:32:42		 Pisteet: 0
Ja saanko kysyä mitä vikaa Firefoxissa on (joka on FYI eri kuin Mozilla)?
Sanoinko että siinä on jotain vikaa? Osuu vain silmään tuollainen kun uutisessa jonka pitäisi olla puolueeton hehkutetaan jotain "tuotetta"

tse olet IE-orja ja kismittää kun sieltä (taas) löytyi vakava tietoturvareikä? Et voi sietää sitä, että Firefox voisi jopa olla parempi selain?
Kertoo jotain kirjoittajasta että oletat minun käyttävät IE:tä, tiedoksi vain että käytän Operaa ja olen tähän täysin tyytyväinen, oletatko että kaikki jotka eivät pidä Mozillan hehkuttamisesta uutisessa käyttävät IE:tä?

Mikä mikä pitäisi olla parempi vaihtoehto selaimelle jos Firefox ei kelvannut linkiksi?
Ei kyse ole siitä että jokin kelpaa tai ei kelpaa, mutta uutisessa ei pitäisi mainita jotain _tiettyä_ tuotetta.
Re: hmm
Anonyymi kommentoija, 9.4.2004 20:19:23		 Pisteet: 0
Ei kyse ole siitä että jokin kelpaa tai ei kelpaa, mutta uutisessa ei pitäisi mainita jotain _tiettyä_ tuotetta.
Miksi?

Jos kerran kerrotaan olevan vaihtoehtoja, niin miksi ei annettaisi linkkiä vaihtoehtoiseen tuotteeseen. Vaikka itse käytänkin norjalaisten käsitystä selaimesta, niin en todellakaan pane pahakseni kilpailevan tuotteen mainostamisesta. Ehkä näin pieneltä osalta parannetaan tietoisuutta vaihtoehtoisista tuotteista.
Saltsa Re: hmm
Saltsa, 11.4.2004 16:40:08		 Pisteet: 0
Ei kyse ole siitä että jokin kelpaa tai ei kelpaa, mutta uutisessa ei pitäisi mainita jotain _tiettyä_ tuotetta.
Miksi?
Jos kerran kerrotaan olevan vaihtoehtoja, niin miksi ei annettaisi linkkiä vaihtoehtoiseen tuotteeseen. Vaikka itse käytänkin norjalaisten käsitystä selaimesta, niin en todellakaan pane pahakseni kilpailevan tuotteen mainostamisesta. Ehkä näin pieneltä osalta parannetaan tietoisuutta vaihtoehtoisista tuotteista.
Siksi, että uutisesta voi nyt päätellä, että CERT-FI mahdollisesti suosittelee nimenomaan firfoxia, sitähän he eivät nimenomaan tiedotteessaan ilmaisseet. SIis, tässä on uutinen otettu tiedoitteessta, mutta uutiseen on piiloitettu omia juttuja.

Kyseisestä jutusta saa nyt sen käsityksen, että CERT-FI suosittelee nimenomaan firefoxia, eikä esim. operaa, mozillaa tai netscapea (jotka nekin ovat varsin hyviä vaihtoehtoja IE:lle).
daimoni Re: hmm
daimoni, 9.4.2004 18:36:00		 Pisteet: 0
Sanoinko että siinä on jotain vikaa? Osuu vain silmään tuollainen kun uutisessa jonka pitäisi olla puolueeton hehkutetaan jotain "tuotetta"
Mielestäni on melko puolueetonta että ehdotetaan vaihtoehtoselaimeksi avoimen lähdekoodin ilmaista tuotetta kuin esimerkiksi suljettua kaupallista vaihtoehtoa kuten Opera.
"Minusta on viime aikoina daimonin kommentteja lukeneena alkanut muutenkin tuntua, että äijä kuvittelee olevansa joku jumalhahmo, jonka sana on totuus ja laki."
-- Anonyymi kommentoija
Re: hmm
Anonyymi kommentoija, 9.4.2004 18:54:55		 Pisteet: 0
Mielestäni on melko puolueetonta että ehdotetaan vaihtoehtoselaimeksi avoimen lähdekoodin ilmaista tuotetta kuin esimerkiksi suljettua kaupallista vaihtoehtoa kuten Opera.
Sinulla on outo käsitys puoluettomuudesta.
Re: hmm
Anonyymi kommentoija, 9.4.2004 20:34:39		 Pisteet: 0
Mielestäni on melko puolueetonta että ehdotetaan vaihtoehtoselaimeksi avoimen lähdekoodin ilmaista tuotetta kuin esimerkiksi suljettua kaupallista vaihtoehtoa kuten Opera.
Sinulla on outo käsitys puoluettomuudesta.
Puolueellisuus ei ehkä ole asian ydin, vaan se että Mozilla on kaikkien saatavilla joten se on ns. paras vaihtoehto. Eli kannattaa siis tarjota (mainostaa) vaihtoehtoa, johon kaikilla on varaa. Vai kannattaako luoda luoda kuva, että vaihtoehtona on vain ainoastaa kaupallinen softa (tai että vaihtoehtoa ei ole lainkaan), jota moni ei varmaan haluaisi ostaa? Uskoisin, että useimmat jatkavat IE:n käyttämistä, jos eivät tiedä Mozillan olemassa olosta. Tavan pulliainen ajattelee, että kun se IE on 'ilmainen' niin pitäisi sen vaihtoehtoisenkin olla. Joka tapauksessa ehkä ei olisi haitannut listata pari eri vaihtoehtoa.
Re: hmm
Anonyymi kommentoija, 10.4.2004 16:34:27		 Pisteet: 0
Joka tapauksessa ehkä ei olisi haitannut listata pari eri vaihtoehtoa.
No Safarin nyt ainakin olisi voinut mainita...

:)
weicco Re: hmm
weicco, 11.4.2004 02:11:43		 Pisteet: 0
Mielestäni on melko puolueetonta että ehdotetaan vaihtoehtoselaimeksi avoimen lähdekoodin ilmaista tuotetta kuin esimerkiksi suljettua kaupallista vaihtoehtoa kuten Opera.
Amaya, Lynx, Links, onhan noita...
Join me! Together we can rule the galaxy as father and son.
Re: hmm
Anonyymi kommentoija, 10.4.2004 04:36:35		 Pisteet: 0
Ja saanko kysyä mitä vikaa Firefoxissa on (joka on FYI eri kuin Mozilla)? Itse olet IE-orja ja kismittää kun sieltä (taas) löytyi vakava tietoturvareikä? Et voi sietää sitä, että Firefox voisi jopa olla parempi selain? Mikä mikä pitäisi olla parempi vaihtoehto selaimelle jos Firefox ei kelvannut linkiksi?
Eihän tässä ole väitetty että mozilla olisi huono. Kyse on vain siitä että uutisessa sanotaan "CERT-FI kehoittaa harkitsemaan myös vaihtoehtoisen selainohjelmiston käyttöä." ja siitä on linkki mozillaan. Tuohan antaa nyt sen kuvan että mozilla on ainut vaihtoehtoinen selainohjelmisto. artikkelin kirjoittaja olisi vähän voinut miettiä.
Re: hmm
Anonyymi kommentoija, 12.4.2004 23:44:13		 Pisteet: 0
Eihän tässä ole väitetty että mozilla olisi huono. Kyse on vain siitä että uutisessa sanotaan "CERT-FI kehoittaa harkitsemaan myös vaihtoehtoisen selainohjelmiston käyttöä." ja siitä on linkki mozillaan. Tuohan antaa nyt sen kuvan että mozilla on ainut vaihtoehtoinen selainohjelmisto. artikkelin kirjoittaja olisi vähän voinut miettiä.
Saattaahan olla kyse myös normaalista "korjausliikkeestä". Eipä noilla tietoturvapäivilläkään juuri ollut mainintaa muistakaan vaihtoehdoista korvaavien tuotteiden suhteen. Jollen väärin muista niin joku instanssi sai tiedon vain kaksi päivää ennen k.o. tapahtumaa.
Re: hmm
Anonyymi kommentoija, 9.4.2004 16:29:13		 Pisteet: 0
Minulla IE:ssä tuo haavoittuvuus toimii suoraan linkkiä klikkaamalla. Mozilla 1.6:ssa (ei siis Firefox, kuten Sektorin linkissä) se ei timinut, kun kokeilin bugin esimerkin linkkiä.
Re: hmm
Anonyymi kommentoija, 10.4.2004 16:54:18		 Pisteet: +1
Ihmettelin jo tuota CERTin varoitusta asiasta mm. tätä kohtaa: "CERT-FI kehoittaa harkitsemaan myös vaihtoehtoisen selainohjelmiston käyttöä."
Ei se vaihtoehtoselain auta yhtään mitään, jos niitä helppejä lueskelee. Varoitushan pääasiassa koskee juuri helppitiedostoja.
Jos *vaihtoehto* selain käyttää IE:n ITS-componenttia on sekin haavoittuvuudelle altis. CHM-file lukemiseen windows puolella käytetään pääsääntöisesti IE:n rederöinti engineä.

Mielenkiintoista, että windows lataa IE:n engine muistiin huolimatta siitä käytetäänkö sitä vai ei. Näin esim mozilla käyttö default-selaimena ei pelasta, jos CHM tiedostojen aukomiseen käytetään IE:n componetteja.

Onko joku sattumoisin kokeillut irrottaa IE:n windows:sta ja lukea CHM tiedostoja?
jst Re: hmm
jst, 13.4.2004 10:45:27		 Pisteet: 0
Ei se vaihtoehtoselain auta yhtään mitään, jos niitä helppejä lueskelee. Varoitushan pääasiassa koskee juuri helppitiedostoja.
Tuossa lueskelun ohessa klikkasin F1:stä, ja moisesta MozillaHelp aukesi. Eikä kyllä vaikuttanut käyttävän mitään IE:n komponentteja.

K-Meleon:in helppi avasi osoitteen: http://kmeleon.sourceforge.net/manual/

Opera: Could not open file :-) html-muodossa nuokin olisi olleet, eli jonkun html-sivun Operassa olisi avannut.
THE GOAT CAN BE CANCELLED
Syy miksi ihmiset eivät vaihda IE:tä
Anonyymi kommentoija, 10.4.2004 00:52:27		 Pisteet: 0
Tässä erään huolettoman käyttäjän kommentti, kun kysyin vieläkö hän uskaltaa käyttää IE:tä kerrottuani tuosta tietoturva-aukosta. (Mainitsin samalla Firefoxin vaihtoehtona.)

"uskallan ja käytän koska mozilla on ihan paska
ei näytä sivuja samalla lailla kuin IE "
Re: Syy miksi ihmiset eivät vaihda IE:tä
Anonyymi kommentoija, 12.4.2004 23:26:01		 Pisteet: 0
Tässä erään huolettoman käyttäjän kommentti, kun kysyin vieläkö hän uskaltaa käyttää IE:tä kerrottuani tuosta tietoturva-aukosta. (Mainitsin samalla Firefoxin vaihtoehtona.) "uskallan ja käytän koska mozilla on ihan paska
ei näytä sivuja samalla lailla kuin IE "
Ja vika on Mozillan?
Kumma kyllä, useimmat törmäämistäni "oirelevista" sivuista kehottaa käyttämään IE:tä. Mistä tämä johtuu? Yhteensopivuuden puutteesta, mutta minkä tahon toimesta?
Myös (m)ircissä
Anonyymi kommentoija, 12.4.2004 16:57:17		 Pisteet: 0
Tästä liikkuu kätevä demo myös ircissä. Urlia klikkaamalla (ie:llä) saastuttaa ainakin koneita joissa mIrc ja lähettää linkkiä eteenpäin kanaville. Urlit tuntuvat viittaavan ainakin saksalaisiin domaineihin.
Anteeksi tyhmyyteni
Anonyymi kommentoija, 12.4.2004 23:36:37		 Pisteet: 0
Mutta olisiko tuon IE:n pop-up blocking mekanismin puuttumisen takana mahdollisesti yhteys noihin, esim. office-softien, help-klemmarin ilmestymiseen aina silloin tällöin? Tämä saattaisi selittää MS:n haluttomuuden tuoda sitä IE:n kylkiäisiksi. Ilmeisesti menisi enemmänkin asioita remonttiin. Puhdasta spekulointia mutta jos jollain olisi parempaa tietoa asiasta niin olisi taas yksi asia vähemmän ihmeteltävänä.
Onko kukaan (onko yleensä mahdollista) disabloida noita helppejä, muutenkin kuin vain poissa silmistä.
-toinen pappa-
jemm Re: Anteeksi tyhmyyteni
jemm, 13.4.2004 09:13:35		 Pisteet: 0
Mutta olisiko tuon IE:n pop-up blocking mekanismin puuttumisen takana mahdollisesti yhteys noihin, esim. office-softien, help-klemmarin ilmestymiseen aina silloin tällöin?
Hieman kaukaa haettua :)
XP SP2:ssa tuo ominaisuus tulee viimein myös IE:hen.
-Jemm
Re: Anteeksi tyhmyyteni
Anonyymi kommentoija, 13.4.2004 12:06:33		 Pisteet: 0
Mutta olisiko tuon IE:n pop-up blocking mekanismin puuttumisen takana mahdollisesti yhteys noihin, esim. office-softien, help-klemmarin ilmestymiseen aina silloin tällöin?
Hieman kaukaa haettua :)
No hieman tyhmäksihä tuossa jo itseäni tituleerasinkin.

XP SP2:ssa tuo ominaisuus tulee viimein myös IE:hen.
Mitä suosittelisit käytettäväksi siihen asti?
-toinen pappa-
jemm Re: Anteeksi tyhmyyteni
jemm, 13.4.2004 15:32:55		 Pisteet: 0
XP SP2:ssa tuo ominaisuus tulee viimein myös IE:hen.
Mitä suosittelisit käytettäväksi siihen asti?
IE:n kanssa olen käyttänyt Googlen Toolbaria, jossa on monia muitakin käteviä ominaisuuksia:
http://toolbar.google.com/

toinen vaihtoehto tuolle on MSN Toolbar, joka näyttää erehdyttävän tutulta ;)
http://toolbar.msn.com/
-Jemm
OE rikki
ele, 10.4.2004 18:02:12		 Pisteet: +1
Tuossa CERT-FI tiedotteessa lukeepi näin:

poista käytöstä joko ITS (Microsoft InfoTech Storage)-protokollakäsittelijät nimeämällä seuraavat rekisteriavaimet HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Handler\{ms-its, its, mk} uudelleen

tai poista käytöstä MHTML-dokumenttien tulkitseminen nimeämällä rekisteriavain HKEY_CLASSES_ROOT\PROTOCOLS\Handler\mhtml uudelleen

Tuo jälkimmäinen ainakin rikkoi Outlook Expressin, eli eipä näkynyt maileissa enää olevan mitään sisältöä ;-)
Re: OE rikki
Anonyymi kommentoija, 10.4.2004 19:14:11		 Pisteet: 0
Tuo jälkimmäinen ainakin rikkoi Outlook Expressin, eli eipä näkynyt maileissa enää olevan mitään sisältöä ;-)
Tarkoitatko, että yhdellä rekisterin muokkauksella voimme tukkia kaksi pahaa reikää kerralla? Tehokkaat ohjeet sanoisin minä.
Re: OE rikki
ele, 10.4.2004 20:16:37		 Pisteet: 0
Tarkoitatko, että yhdellä rekisterin muokkauksella voimme tukkia kaksi pahaa reikää kerralla? Tehokkaat ohjeet sanoisin minä.
Jep, näin näyttäisi käyvän ;-)
weicco Onkos tämä se korjaus?
weicco, 9.4.2004 14:06:16		 Pisteet: 0
Microsoft Knowledge Base Article - 811630
HTML Help Update to Limit Functionality When It Is Invoked with the window.showHelp( ) Method

Ainakin Windows Update pukkaa moista pätsiä, kun tässä XP:tä asentelen kuntoon.
Join me! Together we can rule the galaxy as father and son.
oma Re: Onkos tämä se korjaus?
oma, 9.4.2004 14:17:20		 Pisteet: 0
Microsoft Knowledge Base Article - 811630 HTML Help Update to Limit Functionality When It Is Invoked with the window.showHelp( ) Method
Ainakin Windows Update pukkaa moista pätsiä, kun tässä XP:tä asentelen kuntoon.
Jaa-a. Haavoittuvuudesta on jo "demokin": http://ip3e83566f.speed.planet.nl/security/newone/...

Jos kyseisellä sivulla olevan 'demo' linkin klikkaamisen jälkeen koneella pyörähtää videoplayeri ja videopätkä käyntiin, niin järjestelmä on haavoittuvuudelle altis.
Testing
Re: Onkos tämä se korjaus?
Anonyymi kommentoija, 9.4.2004 20:12:23		 Pisteet: 0
Jos kyseisellä sivulla olevan 'demo' linkin klikkaamisen jälkeen koneella pyörähtää videoplayeri ja videopätkä käyntiin, niin järjestelmä on haavoittuvuudelle altis.

Jälleen joutuu tyhmänä kysymään, että jos tuo demo ei aiheuta playerin käynnistymistä, niin olen edes jollakin tavalla turvassa tuolta haavoittuvuudelta. Vai riittääkö tuon haavoittovuuden mahdolliseksi hyödyntämiseen, että IE löytyy järjestelmästä. Olin ymmärtävinäni, että ainakin tuo demo tarvitsisi oikein nimettyjä kansioita, jotta se toimisisi. Olenko ymmärtänyt oikein?
Re: Onkos tämä se korjaus?
Anonyymi kommentoija, 10.4.2004 16:31:09		 Pisteet: 0
<textarea id="code" style="display:none;">
<object data="&#109;s-its:mhtml:file://C:\foo.mht!${PATH}/EXPLOIT.CHM::/exploit.htm" type="text/x-scriptlet"></object>
</textarea>

<script language="javascript">
document.write(code.value.replace(/\${PATH}/g,location.href.substring(0,location.href.indexOf('exploit.htm'))));
</script>
weicco Re: Onkos tämä se korjaus?
weicco, 11.4.2004 02:07:49		 Pisteet: 0
Ja Notron huutaa naama punaisena. Mutta en saanut nyt selkoa, että onko ko. patch paikkaus tähän vai aivan jotain muuta. Tosin milloin täällä on asiallisia vastauksia saanut..
Join me! Together we can rule the galaxy as father and son.
Re: Onkos tämä se korjaus?
Anonyymi kommentoija, 12.4.2004 11:50:54		 Pisteet: 0
Ja Notron huutaa naama punaisena. Mutta en saanut nyt selkoa, että onko ko. patch paikkaus tähän vai aivan jotain muuta. Tosin milloin täällä on asiallisia vastauksia saanut..
Nyt sitä on korjattu ettei Nortonkaan siitä valita. Ei tuo IE:n pätsi tätä aukkoa paikkaa, iloisesti exe kovolle ilmestyi ja käynnistyi.
Re: Onkos tämä se korjaus?
Anonyymi kommentoija, 16.4.2004 05:18:27		 Pisteet: 0
jaa-a. Haavoittuvuuteen on jo "korjauskin".

Kyseisen korjauksen ajamisen jälkeen, ei enää avaudu "videoplayer" käyntiin. Niin, tuohan ei ollut oikeasti videoplayer, jonka tuo käynnisti, vaan exe, joka korvasi mediaplayerin.