Kirjaudu

Uutiskirje

Rekisteröidy Sektoriin ja tilaa itsellesi joko aamuisin tai iltaisin ilmestyvä uutiskirje sähköpostiisi.

Perjantai, 22.2.2002

Microsoft kertoi uusista tietoturva-aukoista ohjelmistoissaan

Microsoft paljasti eilen kolme tuotteissaan olevaa tietoturvaongelmaa. Tällä kertaa ongelmista tiedottaminen on sujunut ilmeisesti Microsoftin tahdon mukaan, sillä korjauspaketit nyt julkistettuihin vikoihin ovat olleet saatavilla jo viime viikolla Windows Update -palvelussa.

Pahin tietoturvabugi koskee VBscript-koodin käsittelyä Internet Explorerin versioissa 5.1, 5.5 ja 6.0. Oikeanlaista koodia sisältävä nettisivu voi lukea käyttäjän koneen sisältöä ja poimia talteen esimerkiksi käyttäjätunnuksia ja salasanoja. Reikää voi hyödyntää myös HTML-muotoisessa sähköpostissa, sillä Outlookissa ja Outlook Expressissä ei voi kääntää HTML-renderöintiä pois päältä. Lisätietoja ongelmasta löytyy täältä.

Kaksi muuta tietoturvareikää ovat hieman lievempiä. Microsoft XML Core Services (MSXML) saattaa tietyssä tilanteessa jättää huomioimatta IE:n tietoturva-asetukset ja näin ollen sopivalla koodilla voi jälleen lukea käyttäjän kovalevyn tietoja. Ongelma piilee XMLHTTP ActiveX -kontrollissa ja siitä kärsivät SQL Server 2000, Windows XP ja Internet Explorer 6.0. Lisätietoja ongelmasta löytyy täältä.

Kenties pienintä käyttäjäkuntaa koskeva ongelma on Commerce Server 2000:n ISAPI-filtterissä, jonka eri tunnistamistapoja tukeva AuthFilter sisältää tarkistamattoman puskurin. Lisätietoja ongelmasta löytyy täältä. Korjauspaketti kaikkiin tässä uutisessa mainittuihin tietoturvareikiin on haettavissa Windows Updatesta IE5.01:lle ja sitä uudemmille selaimille.

Lue juttu K2, 22.2.2002 14:20. Lähde: The Register

Muita aiheeseen liittyviä uutisia

Rekisteröidy ja kirjaudu sisään, jos haluat kommentoida.

Kommentit ( 19 uutta / 19 )
pistettä.
Näytä vain kommentit joilla on vähintään
lokori m$script
lokori, 22.2.2002 16:08:43		 Pisteet: 0
eikää voi hyödyntää myös HTML-muotoisessa sähköpostissa, sillä Outlookissa ja Outlook Expressissä ei voi kääntää HTML-renderöintiä pois päältä.
miten on perusteltavissa ettei html-renderöintiä voi kääntää pois päältä ??? Käsittämätöntä jos asia todella on noin.

Onneksi en käytä look out! -ohjelmia.
Re: m$script
Anonyymi kommentoija, 22.2.2002 16:26:55		 Pisteet: 0
eikää voi hyödyntää myös HTML-muotoisessa sähköpostissa, sillä Outlookissa ja Outlook Expressissä ei voi kääntää HTML-renderöintiä pois päältä.
miten on perusteltavissa ettei html-renderöintiä voi kääntää pois päältä ??? Käsittämätöntä jos asia todella on noin.
Onneksi en käytä look out! -ohjelmia.
Mystisesti minulla on toiminto päällä Outlookissa, joka kääntää HTML-postit toiseen muotoon. Näin Xp:ssä, mutta parilla riviä koodia tuon teki tyhmempikin käyttäjä aiempiin versioihin.
Re: m$script
Hoki, 22.2.2002 17:28:27		 Pisteet: 0
Mystisesti minulla on toiminto päällä Outlookissa, joka kääntää HTML-postit toiseen muotoon. Näin Xp:ssä, mutta parilla riviä koodia tuon teki tyhmempikin käyttäjä aiempiin versioihin.
En tiedä mitä haluat sanoa, mutta selkeyden vuoksi voin suomentaa vielä tuota uutista. Eli jos Outlook tai Outlook Expressin käyttäjälle tulee html-muotoinen viesti, niin ohjelma rendaa sen eli esimerkiksi <b>Tämä</b> näkyy lihavoituna. Eikä koodia näe. Ja tätä ominaisuutta ei saa pois käytöstä. Lähetettävien viestin muodon voi valita.
Re: m$script
pitr_, 22.2.2002 18:38:50		 Pisteet: +1
yep. toisaalta Outlookin saa suorittamasta skriptejä (luonnollisesti) säätämällä Internet optionseista (MSIE!) security levelin sellaiseksi, että minkään skriptin (VBS, JavaScript) suorittamista ei sallita.

Selaamiseen voi sitten käyttää jotain userfriendly-not-sending-your-information-to-redmond selainta kuten NS62 tai Mozilla silloin kun se toimii.
tiktu Re: m$script
tiktu, 22.2.2002 19:09:15		 Pisteet: +1
Mystisesti minulla on toiminto päällä Outlookissa, joka kääntää HTML-postit toiseen muotoon. Näin Xp:ssä, mutta parilla riviä koodia tuon teki tyhmempikin käyttäjä aiempiin versioihin.
En tiedä mitä haluat sanoa, mutta selkeyden vuoksi voin suomentaa vielä tuota uutista. Eli jos Outlook tai Outlook Expressin käyttäjälle tulee html-muotoinen viesti, niin ohjelma rendaa sen eli esimerkiksi <b>Tämä</b> näkyy lihavoituna. Eikä koodia näe. Ja tätä ominaisuutta ei saa pois käytöstä. Lähetettävien viestin muodon voi valita.
Korjauksena edelliseen, Outlook 2002 SP1:llä varustettuna sallii HTML-viestien automaagisen konvertoinnin Plain text -muotoon kivutta, jota itse mielelläni käytän, kun muutenkin v*tuttaa kaiken maailman HTML-muotoiset sähköpostit.

Aiemmissa versioissa on taas simppeli juttu tehdä muutaman rivin makro taustalle, joka voi lennossa konvertoida HTML-viestin Plain text -muotoon. Itse tein joskus pienen makron, joka lähinnä tutki script-tagia html-viesteistä ja varoitteli myös käyttäjää vbs-päätteisistä liitteistä etc.
Re: m$script
Anonyymi kommentoija, 22.2.2002 20:59:39		 Pisteet: 0
Korjauksena edelliseen, Outlook 2002 SP1:llä varustettuna sallii HTML-viestien automaagisen konvertoinnin Plain text -muotoon kivutta, jota itse mielelläni käytän, kun muutenkin v*tuttaa kaiken maailman HTML-muotoiset sähköpostit.
Kerrotko mistä tämän ominaisuuden saa päälle? Alkoi kiinnostamaan...
tiktu Re: m$script
tiktu, 24.2.2002 16:02:21		 Pisteet: 0
Korjauksena edelliseen, Outlook 2002 SP1:llä varustettuna sallii HTML-viestien automaagisen konvertoinnin Plain text -muotoon kivutta, jota itse mielelläni käytän, kun muutenkin v*tuttaa kaiken maailman HTML-muotoiset sähköpostit.
Kerrotko mistä tämän ominaisuuden saa päälle? Alkoi kiinnostamaan...
Täällähän tämä -->
http://support.microsoft.com/default.aspx?scid=kb;...
Paivitys ja aukon julkistus
E.T, 22.2.2002 18:19:46		 Pisteet: 0
Epäilen että nuo aukot ovat olleet niillä tiedossa jo puoli vuotta koska niihin on nyt sitten saatu aikaan päivitys ajoissa. (siis ennen julkistamista)

Tällä tempulla Macroshit yrittää kiillottaa tietoturva-asioissa tahrautunutta mainettaan (mitä mainetta?).
"The power of accurate observation is commonly called cynicism by those who have not got it."
-George Bernard Shaw
Re: Paivitys ja aukon julkistus
Anonyymi kommentoija, 25.2.2002 00:17:13		 Pisteet: 0
Epäilen että nuo aukot ovat olleet niillä tiedossa jo puoli vuotta koska niihin on nyt sitten saatu aikaan päivitys ajoissa. (siis ennen julkistamista) Tällä tempulla Macroshit yrittää kiillottaa tietoturva-asioissa tahrautunutta mainettaan (mitä mainetta?).
- - -
Joo, eläköön SSH:n tietoturva!!!
Re: Paivitys ja aukon julkistus
pitr_, 22.2.2002 18:40:57		 Pisteet: 0
Puoli vuotta? No kyllähän tuo aukko on ollut olemassa niin pitkään kuin 5-sarjan selaimia on ollut.

Se, että M$ ei sitä aiemmin ole tiedostanut tuota ei tarkoita sitä, etteikö joku muu olisi....
trapridge positiivista
trapridge, 22.2.2002 15:15:57		 Pisteet: 0
kun alkaa olla pakko tiedottaa niin silloin microsoft tiedottaa.. no, onhan tämä ehkä parannusta entiseen. 'poissa silmistä poissa mielestä' alkaa olla aikansa elänyt sanonta..
--------------------------
playing under the table..
anony Re: positiivista
anony, 22.2.2002 17:48:52		 Pisteet: 0
kun alkaa olla pakko tiedottaa niin silloin microsoft tiedottaa.. no, onhan tämä ehkä parannusta entiseen. 'poissa silmistä poissa mielestä' alkaa olla aikansa elänyt sanonta..
Ehkä tämä johtuu siitä, että MS:llä lopetettiin uusien ominaisuuksien koodailu ja tsekkailtiin vanhaa koodia. Tiedä sitten eikö ne ole ennen katselmoineet koodeja.
"Don't waste time downloading Linux!" -linux-magazine.co.uk
msim Re: positiivista
msim, 22.2.2002 18:12:42		 Pisteet: 0
Ehkä tämä johtuu siitä, että MS:llä lopetettiin uusien ominaisuuksien koodailu ja tsekkailtiin vanhaa koodia. Tiedä sitten eikö ne ole ennen katselmoineet koodeja.
Aivan, tähän mennessä ovat vaan keskittyneet tekemään "uusia" käyttiksiä vuoden välein. Jos omistaa esim 98 SE:n niin ei ole mitään syytä päivittää -> ME, sama on W2k -> XP. (meni vähän off-topic mutta menkööt ;)) Aina uuden version myötä on tullu iso läjä uusia bugeja.
Justus Re: positiivista
Justus, 23.2.2002 00:19:18		 Pisteet: 0
Aina uuden version myötä on tullu iso läjä uusia bugeja.
Aika yleinen vaiva lähes jokaisen kaupallisen ohjelman tai pikemminkin tuotteen tiimoilla. Minusta monta gigaa tuhoava mp3-soitto-ohjelma on kyllä kaiken huippu, nämä ovat vielä pientä sen rinnalla.
Memes don't exist. Tell your friends.
heko Re: positiivista
heko, 22.2.2002 19:34:24		 Pisteet: +1

Aivan, tähän mennessä ovat vaan keskittyneet tekemään "uusia" käyttiksiä vuoden välein.
Jaa.

omistaa esim 98 SE:n niin ei ole mitään syytä päivittää -> ME, sama on W2k -> XP. (meni vähän off-topic mutta menkööt ;)) Aina uuden version myötä on tullu iso läjä uusia bugeja.
En kyllä tunne mitään muutakaan käyttöjärjestelmää, jossa bugien löytyminen ei keskittyisi hyvin voimakkaasti uusien versioiden julkaisuaikoihin. Joissain järjestelmissä painotus on ehkä hieman lievempi, mutta niin yllättävää kuin se onkin, runsas täysin julkinen betatestaus ja pitkä "ei lainkaan uusia ominaisuuksia koodiin" -vaihe ei ole missään tapauksessa kokonaan poistanut tätä ongelmaa.

Joskus julkaisuvaiheessa vähemmän kriittisten bugien paikkaaminen heppoisella purkkafiksillä tai jopa paikkaamatta jättäminen / ominaisuuden poistaminen tai disabloiminen voi olla jopa perusteltua, kun julkaisupäivä on lähellä ja kunnollinen korjaus vaatisi laajoja muutoksia, jotka pitäisi sitten taas ajaa testaussyklin läpi.
--
Heikki http://www.heikkikorpela.fi heikki@heikkikorpela.fi
Re: positiivista
Anonyymi kommentoija, 23.2.2002 14:59:51		 Pisteet: 0
niin yllättävää kuin se onkin, runsas täysin julkinen betatestaus ... ei ole missään tapauksessa kokonaan poistanut tätä ongelmaa.
Itse en yllättyisi lainkaan ja suorastaan uskon vakaasti, ettei windowsin "täysin julkisessa betatestauksessa" löytynyt yhtäkään nyt tiedotetun tasoista vikaa.

Väittäisin, että 99,9% "julkiselle betaversiolle" ilmoitetuista vioista on ollut erittäin todennäköisesti "pasianssi pelaa väärin" tai "IE kaatuu" -tasoisia.
jemm Re: positiivista
jemm, 23.2.2002 17:12:24		 Pisteet: 0
Väittäisin, että 99,9% "julkiselle betaversiolle" ilmoitetuista vioista on ollut erittäin todennäköisesti "pasianssi pelaa väärin" tai "IE kaatuu" -tasoisia.
Veikkaisin kuitenkin, että siinä pyritään hyödyntämään beta-testaajien laitekannan kirjoa ja sitä kautta saadaan erilaisia ajuri- ja yhteensopivuusongelmia.

Tietty myös käytettävyydestä saadaan palautetta (esim. IE6:sta jätettiin pois turhia/hankalia ominaisuuksia ja XP:n Task Baria hienosäädettiin).

Myös beta-testaajien palautteen määrä ja laatu vaikuttavat siihen, pääseekö/kutsutaanko jatkossa muiden tuotteiden beta-testaajaksi. Tarkoitan siis "virallisia" testaajia, jotka ovat MS:n kannassa tunnuksineen. Erikseen ovat ne, jotka ovat saaneet betat muita kautta, eivätkä ole varsinaisia testaajia.

Varmasti kyllä niin suureen joukkoon mahtuu sellaisia, jotka eivät kovin arvokasta palautetta anna tai lainkaan. Haluavat vain uusimmat tuotteet heti kokeiltavaksi... mut tuskinpa sentään noin suuri enemmistö ;)
-Jemm
heko Re: positiivista
heko, 24.2.2002 18:56:03		 Pisteet: +1
Varmasti kyllä niin suureen joukkoon mahtuu sellaisia, jotka eivät kovin arvokasta palautetta anna tai lainkaan.
Vapaiden järjestelmien puolella on kyllä huomattu, että itseasiassa järjellisten bugiraporttien tai muun palautteen nyhtäminen käyttäjiltä on usein työn ja tuskan takana. Vaikkei käyttäjiä valitakaan, luulisi asennuksen ja järjestelmän käytön suhteellisen vaativuuden karsivan toheloimpia pois, mutta kun ei..

Jotkut bugiraportointijärjestelmät ovat kyllä kompleksisuudellaan itsessään omiaan hankaloittamaan raportointia. Kun järjestelmässä on miljoona pientä boxia jotka voi täyttää tai jättää täyttämättä, ne asiat, jotka tarvitaan aina, hukkuvat helposti sinne sekaan: missä ympäristössä käyttäjä oli (yleensä käyttäjät kertovat mitä, kenen ja moneenko kertaan vaihdettua rautaa käyttävät silloin kun sillä ei ole mitään väliä ja jättävät kertomatta sen kun se olisi erittäin tarpeellinen tieto; sama pätee käyttöjärjestelmään ja ohjelmiastoalustaan ja niiden versioihin), mitä käyttäjä yritti tehdä, mitä odottamatonta tapahtui ("it crashed! mitä, pitäiskö mun kirjoittaa tää virheviesti johonkin ylös?"), mitä virheviestejä käyttäjä sai, ja saiko käyttäjä toistettua ongelman sellaisenaan uudestaan. Voisi yleistää, että spesifit, pakolliset kysymykset ovat hyviä; laajat, valinnaisesti täytettävät kysymykset huonoja.

Kukkasia:

http://cvs.openbsd.org/cgi-bin/wwwgnats.pl/full/24...
http://bugs.php.net/bug.php?id=13432
http://bugs.php.net/bug.php?id=15119
http://bugs.php.net/bug.php?id=14439
http://marc.theaimsgroup.com/?l=openbsd-bugs&m...
http://marc.theaimsgroup.com/?l=openbsd-bugs&m...
--
Heikki http://www.heikkikorpela.fi heikki@heikkikorpela.fi