Kirjaudu

Uutiskirje

Rekisteröidy Sektoriin ja tilaa itsellesi joko aamuisin tai iltaisin ilmestyvä uutiskirje sähköpostiisi.

Torstai, 25.4.2002

IE:ssä 14 avointa tietoturva-aukkoa

Tietoturvatutkija Thor Larholm on paljastanut Internet Exploreria vaivaavan tietoturvareiän, joka johtuu itse asiassa IE:n tietoturvaominaisuuksista. IE 6:een lisätyt ominaisuudet pyrkivät lisäämään käyttäjän yksityisyydenturvaa ottamalla kaikkien evästeiden (cookie) hallinnan haltuunsa. Käytännössä tämä kuitenkin mahdollistaa sen, että mikä tahansa sivusto voi tutkia käyttäjän tietämättä koneella olevia evästeitä. Reikää hyödyntämällä käyttäjän koneella voidaan ajaa käytännössä mitä tahansa komentoja. Larholmin väittämien paikkansapitävyyttä voi testata Larholmin sivulla, jossa on tarkka kuvaus reiästä.

Larholm on tiedottanut reiästä Microsoftille 18. maaliskuuta ja Microsoft parhaillaan arvioi sen paikkaamisen tarpeellisuutta. Larholm myös ylläpitää sivustoa, johon hän on kerännyt IE:ssä edelleen avoimina ammottavia tietoturva-aukkoja kuvauksineen. Larholmin sivuston mukaan IE:ssä on edelleen 14 tunnettua tietoturvareikää.

Lue juttu K2, 25.4.2002 00:04. Lähde: The Register

Muita aiheeseen liittyviä uutisia

Rekisteröidy ja kirjaudu sisään, jos haluat kommentoida.

Kommentit ( 12 uutta / 12 )
pistettä.
Näytä vain kommentit joilla on vähintään
Yeah
Anonyymi kommentoija, 25.4.2002 07:44:09		 Pisteet: 0
Yksikään esimerkki ei toiminut: XP + IE6.
Re: Yeah
Anonyymi kommentoija, 25.4.2002 10:59:00		 Pisteet: 0
Yksikään esimerkki ei toiminut: XP + IE6.
EIkä Mac OS 9.1 + IE 5.1
Re: Yeah
Anonyymi kommentoija, 23.5.2002 14:54:32		 Pisteet: 0
Yksikään esimerkki ei toiminut: XP + IE6.
EIkä Mac OS 9.1 + IE 5.1
Eikä Debian Woody + Opera 6.0 final
bungle Re: Yeah
bungle, 25.4.2002 09:28:25		 Pisteet: +1
Yksikään esimerkki ei toiminut: XP + IE6.
Kaikki esimerkit toimivat W2k + IE6 + kaikki päivitykset
--
"See the animal in his cage that you built, are you sure what side you're on?" -- Trent Reznor
Re: Yeah
Anonyymi kommentoija, 26.4.2002 09:25:58		 Pisteet: 0
Yksikään esimerkki ei toiminut: XP + IE6.
Kaikki esimerkit toimivat W2k + IE6 + kaikki päivitykset
Yksikään esimerkki ei toiminut W2k + IE5 :)
Re: Yeah
Anonyymi kommentoija, 26.4.2002 15:29:45		 Pisteet: 0
Yksikään esimerkki ei toiminut: XP + IE6.
Kaikki esimerkit toimivat W2k + IE6 + kaikki päivitykset
Yksikään esimerkki ei toiminut W2k + IE5 :)
Yritin kokeilla, ja sektori veti koko IE5:n jumiin w2k-alustalla.
hessu Re: Yeah
hessu, 26.4.2002 18:18:39		 Pisteet: 0
Yksikään esimerkki ei toiminut: XP + IE6.
Kaikki esimerkit toimivat W2k + IE6 + kaikki päivitykset
Yksikään esimerkki ei toiminut W2k + IE5 :)
Yksikään esimerkki ei toiminu: RedHat 7.2 ja Galeon...

Sori, oli pakko ;)
lokori Re: Yeah
lokori, 26.4.2002 14:42:29		 Pisteet: 0
Yksikään esimerkki ei toiminut: XP + IE6.
Kaikki esimerkit toimivat W2k + IE6 + kaikki päivitykset
Pojilla on selvästi versionhallinta hanskassa jos koodiin tehdyt korjaukset pitää erikseen tehdä jokaiseen versioon selaimesta. Luulis nyt kuitenkin että selaimen koodista eri wintööteille olis n. 95% yhteistä ja geneeristä, mutta ei kai sit :)
Datamike Re: Yeah
Datamike, 25.4.2002 09:43:11		 Pisteet: 0
Yksikään esimerkki ei toiminut: XP + IE6.
Mutta kaikki ei käytä XP:ä. Monet ihmiset käyttää vielä vanhoja 95 ja 98. Itse käytän ME:ä ja jokainen reikä jota kokeilin toimi aivan liian moitteettomasti. Esim. kaikki mun MSN Messenger:n kontaktit tuli esille.

Microsoft parhaillaan arvioi sen paikkaamisen tarpeellisuutta.
Tämä minua ärsyttää minua kaikkein eniten. Omasta mielestänin tälläiset aukot tulisi ilman muuta korjata, eikä vain olla korjaamatta ja pakottaa ihmiset päivittämään XP:n. Uskon että tämä on yksi niitä asioita mitä siellä aivan varmasti mietitään.
"Given enough eyeballs, all bugs are shallow."
Re: Yeah
djp, 25.4.2002 11:01:05		 Pisteet: +1
Yksikään esimerkki ei toiminut: XP + IE6.
Moniko käyttää XP:tä, moniko W2K:ta (kaikkine päivityksineen + IE6)?

Moni yritys on juuri saanut päivitysrumban NT4 -> W2K tehtyä, eikä niitä varmasti kiinnosta sama show heti uudelleen.

Voisi Microsoft hieman katsoa minkälaista softaa julkaisevat.
Tahallisia
Anonyymi kommentoija, 25.4.2002 11:08:22		 Pisteet: 0
Moniko vielä uskoo, että näitä tietoturva-aukkoja jää mikkisoftin tuotteisiin vahingossa? Samoin kuinka moni uskoo, että winblowssin tehovaatimukset ovat pakon sanelema juttu?

Salaliittoteorian täytyy pitää paikkansa, eli mikkisoft on sopinut tietoturvafirmojen ja rautavalmistajien kanssa siitä, että jos ne maksavat mikkisoftille hyvin, niin mikkisoft tarjoaa niille tuottavan elinkeinon.

Vähän sama kuin autovalmistajilla: ovien lukot ovat edelleen huonoja, koska niiden parantaminen vähentää myyntiä, koska autovarkaudet vähentyisivät (asiasta oli lehdossä juttua paljon pari vuotta sitten).