Kirjaudu

Uutiskirje

Rekisteröidy Sektoriin ja tilaa itsellesi joko aamuisin tai iltaisin ilmestyvä uutiskirje sähköpostiisi.

Torstai, 23.9.2004

Roskaposti pyrkii hyödyntämään IE-haavoittuvuutta

F-Secure ja monet muut tietoturvayhtiöt varoittavat internetissä liikkuvasta roskapostiviestistä, joka pyrkii hyödyntämään Internet Explorer -selaimesta löytynyttä drag&drop-haavoittuvuutta ja avaamaan viestin vastaanottajan tietokoneeseen takaportin. Haittaohjelma ei onneksi asennu täysin automaattisesti, sillä käyttäjän tarvitsee klikata viestissä olevaa "poistu postituslistalta"-linkkiä ja vierittää selaimeen aukeavan sivun vierityspalkkia, jolloin käyttäjän koneeseen asentuu etäkäytön mahdollistava takaporttiohjelmisto. Haavoittuvuus on korjattu Internet Explorer -selaimen viimeisimmissä tietoturvapäivityksissä, mutta esimerkiksi Windows XP ja Service Pack 2 -yhdistelmä ovat haavoittuvuudelle alttiita.

Lue juttu oma, 23.9.2004 00:04. Lähde: news.com

Muita aiheeseen liittyviä uutisia

Rekisteröidy ja kirjaudu sisään, jos haluat kommentoida.

Kommentit ( 19 uutta / 19 )
pistettä.
Näytä vain kommentit joilla on vähintään
Haavoittuvuutta ei ole korjattu!!
Anonyymi kommentoija, 23.9.2004 01:38:22		 Pisteet: +1
aavoittuvuus on korjattu Internet Explorer -selaimen viimeisimmissä tietoturvapäivityksissä, mutta esimerkiksiWindows XP ja Service Pack 2 -yhdistelmä ovat haavoittuvuudelle alttiita. Lue juttu.
Kuten SecurityFocuksen "advisoryssä" selvästi lukee:
Not vulnerable: [tyhjä]
Yksikään IE-versio ei kuulu luokkaan Ei haavoittuva.
Senucia:
http://secunia.com/advisories/12321/
Criticality: Highly critical
Solution Status: Unpatched
Paikkaamaton haavoittuvuus.
Jos ja kun vierityspalkkiin koskeminen saastuttaa koneen älkää hyvät ihmiset koskeko Exploreriin pitkällä kepilläkään!! Viestissä oleva linkki on muuten 'Click here to remove', miksi se ei ollut suluissa mukana. Voi tuska että meni Sektori pöpelikköön.
Re: Haavoittuvuutta ei ole korjattu!!
Anonyymi kommentoija, 23.9.2004 01:52:21		 Pisteet: 0
Kuten SecurityFocuksen "advisoryssä" selvästi lukee: Not vulnerable: [tyhjä]
Yksikään IE-versio ei kuulu luokkaan Ei haavoittuva.
Oikeassa olet, suomeksi sama oli
http://www.ficora.fi/suomi/tietoturva/teksti_arkis...
19.8.2004 kohdassa. Tästä voi jokainen laskea kauanko Microsoft ollut julkaisematta korjausta.
Saltsa Re: Haavoittuvuutta ei ole korjattu!!
Saltsa, 23.9.2004 09:42:49		 Pisteet: 0
aavoittuvuus on korjattu Internet Explorer -selaimen viimeisimmissä tietoturvapäivityksissä, mutta esimerkiksiWindows XP ja Service Pack 2 -yhdistelmä ovat haavoittuvuudelle alttiita. Lue juttu.
Kannattaa ottaa huomioon, että tuon aukon hyödyntäminen vaatii käyttäjän toimia, tyyliin "ota linkki, vedä se tuon kuvan päälle" tai jotain. Vähän sama kuin "ota kirves ja lyö sillä tuohon koneeseen". Ei se microsoftikaan mitään voi idiooteille käyttäjille. Ehkä juuri tuosta syystä he eivät ole pitäneet itse tuota niin tärkeänä päivityksenä.

Niin, vielä kun korjaisisivat sen SP2:nkin. Minulla ei ole enää SP2:n asennuksen jälkeen tullut ilmoituksia, kun ruksi on kohdassa "Download updates for me, but let me choose when to install them". Vai onkohan sen tarkoituskaan ilmoittaa sellasella taskbariin ilmestyvällä kuvakkeella? Itse en ainakaan pidä, että päivitykset asentuisi automaattisesti koneelle (mikä on SP2:n default).
Re: Haavoittuvuutta ei ole korjattu!!
Anonyymi kommentoija, 23.9.2004 09:46:47		 Pisteet: 0
Kannattaa ottaa huomioon, että tuon aukon hyödyntäminen vaatii käyttäjän toimia, tyyliin "ota linkki, vedä se tuon kuvan päälle" tai jotain. Vähän sama kuin "ota kirves ja lyö sillä tuohon koneeseen". Ei se microsoftikaan mitään voi idiooteille käyttäjille. Ehkä juuri tuosta syystä he eivät ole pitäneet itse tuota niin tärkeänä päivityksenä.
Linkin vetäminen kuvan päälle on hyvin helppo naamioida esimerkiksi peliksi tai joksikin erikoistuneeksi käyttöliittymäksi! Olihan Microsoftin etusivullakin aikanaan jotain lootia, joita saattoi hiirellä vedellä ympäriinsä.
Re: Haavoittuvuutta ei ole korjattu!!
Anonyymi kommentoija, 23.9.2004 19:54:38		 Pisteet: 0
Linkin vetäminen kuvan päälle on hyvin helppo naamioida esimerkiksi peliksi tai joksikin erikoistuneeksi käyttöliittymäksi! Olihan Microsoftin etusivullakin aikanaan jotain lootia, joita saattoi hiirellä vedellä ympäriinsä.
Tälle täydet pisteet, hoi missä pisteyttäjä luuraa. Ihan oikeasti terävää seurantaa ja hyvä huomio, tosin vaarallinen exploitteja suunnittelevalle;-)!
jst Re: Haavoittuvuutta ei ole korjattu!!
jst, 23.9.2004 11:50:13		 Pisteet: 0
aavoittuvuus on korjattu Internet Explorer -selaimen viimeisimmissä tietoturvapäivityksissä, mutta esimerkiksiWindows XP ja Service Pack 2 -yhdistelmä ovat haavoittuvuudelle alttiita. Lue juttu.
Kannattaa ottaa huomioon, että tuon aukon hyödyntäminen vaatii käyttäjän toimia, tyyliin "ota linkki, vedä se tuon kuvan päälle" tai jotain. Vähän sama kuin "ota kirves ja lyö sillä tuohon koneeseen". Ei se microsoftikaan mitään voi idiooteille käyttäjille.
Tuo sivulla jonkin elementin drag&droppaaminen on ihan normaalia käyttöä. Kirveellä koneeseen lyöminen ei ole.
THE GOAT CAN BE CANCELLED
Saltsa Re: Haavoittuvuutta ei ole korjattu!!
Saltsa, 24.9.2004 14:43:49		 Pisteet: 0
Tuo sivulla jonkin elementin drag&droppaaminen on ihan normaalia käyttöä. Kirveellä koneeseen lyöminen ei ole.
En sanoisi. En nyt muista yhtäkään sivua, missä mitään olisi drag&dropaillut.
Re: Haavoittuvuutta ei ole korjattu!!
Anonyymi kommentoija, 24.9.2004 18:35:04		 Pisteet: 0
Tuo sivulla jonkin elementin drag&droppaaminen on ihan normaalia käyttöä. Kirveellä koneeseen lyöminen ei ole.
En sanoisi. En nyt muista yhtäkään sivua, missä mitään olisi drag&dropaillut.
Pudotusvalikon käyttö yhdellä painalluksella? Ihan vastaava hiiren liike ja feikkipudotusvalikon saa varmaan melko helposti skriptattua vaikuttamaan ihan aidolta.
jst Re: Haavoittuvuutta ei ole korjattu!!
jst, 24.9.2004 15:05:07		 Pisteet: 0
Tuo sivulla jonkin elementin drag&droppaaminen on ihan normaalia käyttöä. Kirveellä koneeseen lyöminen ei ole.
En sanoisi. En nyt muista yhtäkään sivua, missä mitään olisi drag&dropaillut.
No itse olen, tosin hyvin harvoin. Jotenkin vain kuvittelisin että drag&droppaaminen olisi melko lailla yleisempää puuhaa kuin kirveellä koneen hakkaaminen. Joka sekin kyllä välillä on mielessä käynyt.
THE GOAT CAN BE CANCELLED
Off topic: www.cert.se
Anonyymi kommentoija, 23.9.2004 02:25:27		 Pisteet: 0
Eipä ole muuten Ruotsin pojilla kehumista CERT-toiminnassaan:
http://www.cert.se/content/category/1/1/2/
Yksi uutinen 'About us' kesäkuulta eikä yhtään varoitusta. Pitin ihan tarkistaa onko tuo joku faikkiviritys. 213.112.175.29:n omistaa Broadband Customers in Scandinavia [B2-CUSTOMERS].. Ei ole kehuttavaa myöskään http://www.cert.sunet.se/.
Metsään
Anonyymi kommentoija, 23.9.2004 08:03:33		 Pisteet: 0
Tässähän annetaan nyt kuva että skrollibarin siirtäminen asentaisi jotain, näinhän ei ole:

http://news.com.com/Drag-and-drop+flaw+mars+Micros...

"If you look at the Web page, all you see are two red lines and an image; drag the image across the two lines and drop it," he said. "What you have actually done is drop (a program) into your startup folder. Next time you switch the computer on it runs the program."

Eli tässä pitäisi siis itse sivulla drag & dropata:ta tavaraa, ei siirrellä scrolbareja.

Samaahan sanoo myös Secunia:

http://secunia.com/advisories/12321/

"http-equiv has posted a PoC (Proof of Concept), which plants a program in the startup directory when a user drags a program masqueraded as an image."

Kuinka moni d&d:aa suoraan selaimen ikkunasta jotain? En ole koskaan moista tehnyt, ja käytellyt selainta Mosaic ajoista alkaen...

No, normaali media-uutinen MS tuotteista, virheellinen ja liioiteltu. Saahan sillä otsikoita.
oma Re: Metsään
oma, 23.9.2004 11:00:12		 Pisteet: 0
Tässähän annetaan nyt kuva että skrollibarin siirtäminen asentaisi jotain, näinhän ei ole: "If you look at the Web page, all you see are two red lines and an image; drag the image .."
Niin, harmittomassa demonstraatiossa vedetään kuvaketta kahden viivan väliin, mutta tappajaroskapostissa ohjataan käyttäjä sivulle, jossa sivulla oleva skrollipalkki laukaisee haavoittuvuuden.

ks. http://www.malware.com/wottapoop.html

Ainakin mulla kuvakkeen drag&droppaaminen tuottaa Windowsin Startup-kansioon "malware.exe"-ohjelman pahemmin kyselemättä, että saako sitä sinne asentaa.
Testing
Re: Metsään
Anonyymi kommentoija, 23.9.2004 13:07:08		 Pisteet: 0
ks. http://www.malware.com/wottapoop.html Ainakin mulla kuvakkeen drag&droppaaminen tuottaa Windowsin Startup-kansioon "malware.exe"-ohjelman pahemmin kyselemättä, että saako sitä sinne asentaa.
Epä mun firefoxissa tuota tapahdu :)
Re: Metsään
Anonyymi kommentoija, 23.9.2004 14:36:39		 Pisteet: 0
-Mulla ei tapahdu enää mitään, kun piti koko ohjelma poistaa. Suurin osa käyttämistäni sivuista renderoitui niin väärin että niiden lukeminen oli lähes mahdotonta. Sen lisäksi ohjelmalla oli paha tapa jumittua parin tunnin välein.

Tosin ehkäpä ihan uusin versio toimii jo paremmin, en tiedä.
Re: Metsään
Anonyymi kommentoija, 23.9.2004 17:27:27		 Pisteet: 0
-Mulla ei tapahdu enää mitään, kun piti koko ohjelma poistaa. Suurin osa käyttämistäni sivuista renderoitui niin väärin että niiden lukeminen oli lähes mahdotonta. Sen lisäksi ohjelmalla oli paha tapa jumittua parin tunnin välein.
Joo, tuo oli 9.x.x versioden ongelma. Heitin sen mäkeen ja kaytin 8.x

Tosin ehkäpä ihan uusin versio toimii jo paremmin, en tiedä.
Toimii, olen siirtynyt 8:sta 10:iin. Ja kaiken lisäksi se on helk....n nopea.
Re: Metsään
Anonyymi kommentoija, 24.9.2004 12:13:19		 Pisteet: 0
Toimii, olen siirtynyt 8:sta 10:iin. Ja kaiken lisäksi se on helk....n nopea.
Niin mikä?
ArsTechnica
Anonyymi kommentoija, 23.9.2004 08:16:40		 Pisteet: 0
Aina ym sivuston mukaan tämä olisi korjattu jo tässä: http://www.microsoft.com/technet/security/bulletin...
F-Secure
Anonyymi kommentoija, 23.9.2004 08:46:01		 Pisteet: 0
Ainakin F-Secure tunnisti ja esti tuon ajamisen Secunian Proof-Of-Concept sivuilla.
Off topic: Outlook ja F-Secure Client Security
Anonyymi kommentoija, 23.9.2004 19:07:08		 Pisteet: 0
Onko kukaan muu huomannut F-secure Client Security bugia, joka aiheuttaa sen että isot liitetiedostot eivät tule läpi ilman että ottaa kyseisen tuotteen pois päältä?