Kirjaudu

Uutiskirje

Rekisteröidy Sektoriin ja tilaa itsellesi joko aamuisin tai iltaisin ilmestyvä uutiskirje sähköpostiisi.

Torstai, 18.11.2004

Internet Explorerista löytyi kolme tietoturvareikää

Sovellusten tietoturvaongelmiin erikoistunut tietoturvayhtiö Secunia on raportoinut kolmesta tietoturva-aukosta Microsoftin Internet Explorerissa. Aukoista kaksi on määritelty kohtalaisen kriittisiksi. Kolmatta Secunia ei pidä kriittisenä ollenkaan.

Kohtalaisen kriittisistä aukoista ensimmäinen mahdollistaa selaimen tietoturva-asetusten kiertämisen, jolloin käyttäjä voidaan saada lataamaan koneelleen haitallisia tiedostoja. Ongelman syy on väärin toimiva Windows XP SP2:n tietoturvaominaisuus, jonka on tarkoitus varoittaa käyttäjää. Valitettavasti sopivasti muotoillulla HTTP-headerilla voidaan varoitus ohittaa. Toinen kriittisistä bugeista puolestaan liittyy Javascriptin "execCommand()"-funktioon, jolla tiedostoa tallennettaessa voidaan tiedosto huijata näyttämään normaalilta HTML-tiedostolta. Lue lehdistötiedote.

Kolmas, vähiten vaarallinen aukko liittyy evästeiden (cookie) käsittelyyn IE:ssa. Microsoftin ja käyttäjien onneksi aukko ei toimi enää SP2:lla päivitetyssä Windows XP:ssä. Lue lehdistötiedote.

K2, 18.11.2004 00:10. Lähde: Secunia

Muita aiheeseen liittyviä uutisia

Rekisteröidy ja kirjaudu sisään, jos haluat kommentoida.

Kommentit ( 12 uutta / 12 )
pistettä.
Näytä vain kommentit joilla on vähintään
Karitku No ei kovin kummosia
Karitku, 18.11.2004 09:03:38		 Pisteet: 0
Jaaha, ja nuo ovat kriitisiä. Ehkä ne ovat kriittisiä jos surffaa epämääräisillä sivuilla ja tallentaa epäilyttävää tavaraa. Kuitenkin noiden molempien aukkojen hyödyntäminen vaatii tiedoston latausta sekä avaamista joten ei kovin kummosia ole.

Tuo Javascripti vaikuttaa enemmän vaaralliselta, tosin jäi sellainen kuva että vain tallennuksessa tuo näyttää HTML-tiedostolta mutta kun levyltä katsot se on ihan tavallinen exe, bat tai mikä vaan ajettava tiedosto, eli jos sattuu pitämään näkyvissä päätteitä niin ei ongelmaa. (Viruksen siis pitää olla ajettava tiedosto jonka ikoni olisi samanlainen kuin HTML-tiedostojen).

Tuo toinenkaan niin vakava ole sillä ainoa mitä se estää on kysymyksen "olenko nyt aivan varma jotta haluat ajaa tämän tiedoston jonka juuri latasit", joka on useissa tapauksessa hieman ärsyttävä koska yleensä käyttäjä tulisi tietää mitä lataa.

Korjatkaa jos nyt olin jossain väärässä.
Voitku
Re: No ei kovin kummosia
T-LintU, 18.11.2004 15:59:04		 Pisteet: 0
Tuo Javascripti vaikuttaa enemmän vaaralliselta, tosin jäi sellainen kuva että vain tallennuksessa tuo näyttää HTML-tiedostolta mutta kun levyltä katsot se on ihan tavallinen exe, bat tai mikä vaan ajettava tiedosto, eli jos sattuu pitämään näkyvissä päätteitä niin ei ongelmaa. (Viruksen siis pitää olla ajettava tiedosto jonka ikoni olisi samanlainen kuin HTML-tiedostojen).
Kuinkahan se näkyy latauduttua? Eikös siinä (ie) ole edelleenkin se erillinen latausikkuna, joka jää oletuksena päälle ja siitä voi avata sen tiedoston? Hieman eri kynnys tallentaa/avata HTML-filu, kuin .exe.

Entäs kun vastaan tulee jokin "todella hassu vitsi"-linkki, jota napauttamalla kysytään haluatko tallentaa tiedoston. Käyttäjä katsoo ja näyttää turvalliselta HTML-tiedostolta, hyväksyy latauksen ja latausikkunasta losauttaa sen päälle?

Voi olla, että ymmärsin asian jotenkin väärin.

Tuo toinenkaan niin vakava ole sillä ainoa mitä se estää on kysymyksen "olenko nyt aivan varma jotta haluat ajaa tämän tiedoston jonka juuri latasit", joka on useissa tapauksessa hieman ärsyttävä koska yleensä käyttäjä tulisi tietää mitä lataa.
Kuinkas sitä ensimmäisen jälkeen voi tietää?
Anomuumi Re: No ei kovin kummosia
Anomuumi, 18.11.2004 11:50:00		 Pisteet: 0
Jaaha, ja nuo ovat kriitisiä. Ehkä ne ovat kriittisiä jos surffaa epämääräisillä sivuilla ja tallentaa epäilyttävää tavaraa. Kuitenkin noiden molempien aukkojen hyödyntäminen vaatii tiedoston latausta sekä avaamista joten ei kovin kummosia ole.
Kokemukseni mukaan on käytännössä sama, yrittääkö IE:n kanssa vältellä epämääräisiä sivuja tai ei, pop-up -ikkunahelvettiin sitä päätyy kuitenkin joka kerta. Vaikea ainakaan tavallisen noviisikäyttäjän on latausta estääkään, kun työntävät modaalisia ikkunoita ja "epäilyttävää tavaraa" meta refreshillä niin, että virustentorjuntakaan ei enää pelasta.
Microsoft, is that some kind of toilet paper?
daimoni Re: No ei kovin kummosia
daimoni, 18.11.2004 12:42:27		 Pisteet: 0
Kokemukseni mukaan on käytännössä sama, yrittääkö IE:n kanssa vältellä epämääräisiä sivuja tai ei, pop-up -ikkunahelvettiin sitä päätyy kuitenkin joka kerta.
Ainakin minun IE6 SP2 pisti popup-blockerin ihan defaulttina päälle, eli eipä popupeja IE:llä näy.
Ei, en sitä käytä kuitenkaan ;) Siinä vaiheessa kun selain sanoo ei-oota ctrl-t (tai muu saman asian tekevä pikanäppäin) eikä aukea uutta tabia, lähtee selain vaihtoon...
"Minusta on viime aikoina daimonin kommentteja lukeneena alkanut muutenkin tuntua, että äijä kuvittelee olevansa joku jumalhahmo, jonka sana on totuus ja laki."
-- Anonyymi kommentoija
matpak Re: No ei kovin kummosia
matpak, 18.11.2004 11:48:27		 Pisteet: 0
Jaaha, ja nuo ovat kriitisiä. Ehkä ne ovat kriittisiä jos surffaa epämääräisillä sivuilla ja tallentaa epäilyttävää tavaraa. Kuitenkin noiden molempien aukkojen hyödyntäminen vaatii tiedoston latausta sekä avaamista joten ei kovin kummosia ole.
No miten sen nyt ottaa. Pertti Peruskäyttäjä haluaa vain päästä niistä varoitusikkunoista eroon mahdollisimman nopeasti jotain klikkaamalla. Jos niitä ikkunoita poksahtelee jatkuvasti niin kokeillaan sitten sitä toista nappulaa jos vaikka loppuisi.

Suurin osa pahimmista sähköpostimadoistakin on perustunut siihen, että käyttäjä avaa (ajaa) liitetiedoston, eli kyllä tästäkin ongelmaksi asti saattaa olla. Todennäköisesti tuon käyttö rajoittuu kuitenkin vain epämääräisille sivuille, jotka ujuttavat esim spywarea ja modeemin soittosarjaa vaihtavaa softaa koneelle. En tiedä onko juuri tätä aukkoa jo käytetty, mutta olen joskus törmännyt sivuun, jolla (päivittämätön? ei ollut oma kone) IE asenteli automaattisesti jonkin softan mutta Mozillassa tuli download-ikkuna tiedostosta jossa oli kikkailtu tiedostonimen ja MIME-tyypin kanssa. Niin ja sivusto oli päällisin puolin ihan asiallisen näköinen shareware-sivusto.
mizaru, kikazaru, iwazaru.
feenix Re: No ei kovin kummosia
feenix, 18.11.2004 14:00:29		 Pisteet: 0
No miten sen nyt ottaa. Pertti Peruskäyttäjä haluaa vain päästä niistä varoitusikkunoista eroon mahdollisimman nopeasti jotain klikkaamalla. Jos niitä ikkunoita poksahtelee jatkuvasti niin kokeillaan sitten sitä toista nappulaa jos vaikka loppuisi.
Liekö tämä ollut MS:lläkin mielessä kun laittoivat nuo varoitukset tulemaan osaksi sivunäkymää, eikä erillisinä viesti-ikkunoina. Varmasti käyttäjä jossain välissä todellakin heittäisi vastaukseksi "tee mitä lystäät KUNHAN ET KIUSAA MUA ENÄÄ!!11", mutta kun laitetaankin vaan pieni palkki, se ei haittaa niin paljon eikä käyttäjä mokaa heti valitsemalla väärää vaihtoehtoa.
Tosi kriittistä
Julius, 18.11.2004 09:13:03		 Pisteet: 0
< jolloin käyttäjä voidaan saada lataamaan koneelleen haitallisia tiedostoja
Eli jos Windows ei varoita että tiedosto on exe-päätteinen niin se on aivan pakko ladata ja sitten avata se exe-tiedosto?
Re: Tosi kriittistä
K2, 18.11.2004 11:00:08		 Pisteet: +1
Eli jos Windows ei varoita että tiedosto on exe-päätteinen niin se on aivan pakko ladata ja sitten avata se exe-tiedosto?
Jos kerran tiedostopäätettä ei näytetä, vaan selain väittää sen olevan HTML-tiedosto, niin käyttäjä ei tiedä sen olevan exe-päätteinen. Lisäksi jotkut selaimet tarjoavat vaihtoehtoa "open this file when download finishes" suoraan selaimen imurointi-ikkunasta, joten ei sitä päätettä välttämättä ehdi näkemään missään vaiheessa., varsinkin kun jonkun pienen pöpötiedoston lataus tapahtuu alle sekunnissa ja kyseinen ikkuna vain vilahtaa ruudulla.

Kuinka monelle Pelle Peruskäyttäjälle tuon exe-päätteen merkitys edes on tuttu? Useimmat Sektorin lukijat varmaan osaisivat välttää tämän ongelmakohdan aika helposti, mutta maailma on täynnä tietokoneiden käyttäjiä, jotka ei kuitenkaan tunne esimerkiksi tiedostopäätteiden merkitystä.
Saltsa Re: Tosi kriittistä
Saltsa, 18.11.2004 13:33:37		 Pisteet: +1
Kuinka monelle Pelle Peruskäyttäjälle tuon exe-päätteen merkitys edes on tuttu? Useimmat Sektorin lukijat varmaan osaisivat välttää tämän ongelmakohdan aika helposti, mutta maailma on täynnä tietokoneiden käyttäjiä, jotka ei kuitenkaan tunne esimerkiksi tiedostopäätteiden merkitystä.
Niin, tuon voi estää laittamalla windows näyttämään ne tunnettujen tiedostojen pääteet, joka on joka tapauksessa viisasta. Mielestäni windowssin/tietokoneiden tekeminen "liian" helpoksi aiheuttaa vain lisää ongelmia. Koska jo nyt eivät käyttäjät tiedä tai tajua, mitä tekevät, niin miksi tajuaisivat tulevaisuudessakaan, koska koneen käyttö onnistuu liian helposti. Tästä seuraa se, että koko ajan pitää kehittää lisää tietoturvan parannuksia, kohta varmaan on estettävä esimerkiksi komentorivin käyttö, sillä joku käyttäjä voi lukea ohjeita netistä ja mennä kirjoittelemaan sinne esim. format c:.
Re: Tosi kriittistä
K2, 18.11.2004 15:02:42		 Pisteet: +1
Mielestäni windowssin/tietokoneiden tekeminen "liian" helpoksi aiheuttaa vain lisää ongelmia. Koska jo nyt eivät käyttäjät tiedä tai tajua, mitä tekevät, niin miksi tajuaisivat tulevaisuudessakaan, koska koneen käyttö onnistuu liian helposti. Tästä seuraa se, että koko ajan pitää kehittää lisää tietoturvan parannuksia, kohta varmaan on estettävä esimerkiksi komentorivin käyttö, sillä joku käyttäjä voi lukea ohjeita netistä ja mennä kirjoittelemaan sinne esim. format c:.
On aivan väärä lähtökohta mollata liian helppoa käyttöliittymää. Päinvastoin, Windowsin käyttöliittymä on edelleen ihan liian monimutkainen. Käyttäjien ei todellakaan pidä ymmärtää teknologiasta mitään, esimerkiksi tiedostojärjestelmän ymmärtämisen pitääkin olla hepreaa. Käyttöliittymää ja teknologiaa yleensäkin tulee parantaa niin, ettei ongelmia synny. Ei ole mitään järkeä tehdä tietoturvasta huonoa ja vaatia käyttäjiltä parempaa osaamista.

Ihmisten täytyy pystyä keskittymään työtehtäviin eikä työkaluihin. Aivan kuten vasaraa käytettäessä. Vaikka tietokonesovellukset ja niiden käyttöliittymät eivät koskaan pääsekään vasaran tasolle, niin parannettavaa on ja paljon.

Windows on edelleen älyttömän kaukana mm. Macintoshin helppokäyttöisyydestä. Mäkkiä haukutaan pitkältikin siksi, että se ei anna juurikaan säätömahdollisuuksia käyttäjälle, ellei järjestelmää todella tunne hyvin. Haloo! Ei hyvää järjestelmää tarvitsekaan säätää jatkuvasti. Enkä nyt tarkoita, että Mac OS X vielä olisi valmis malli hyvästä käyttöliittymästä, mutta siinä on monia ominaisuuksia, joita Windowsia käyttäessäni kaipaan. Toki Mac OS X:stä puuttuu vastavuoroisesti Windowsista löytyviä ominaisuuksia.