Kirjaudu

Uutiskirje

Rekisteröidy Sektoriin ja tilaa itsellesi joko aamuisin tai iltaisin ilmestyvä uutiskirje sähköpostiisi.

Keskiviikko, 4.8.2004

CERT-FI: vakava haavoittuvuus Mozilla- ja Netscape-selaimissa

Netscape- ja Mozilla-selaimista on löytynyt SOAP-protokollatoteutukseen liittyvä haavoittuvuus. Virheellinen syötteentarkistus SOAPparamterer-objektin käsittelyssä mahdollistaa hyökkääjän oman koodin suorittamisen tietojärjestelmässä, jossa käytetään haavoittuvaa selainohjelmaa. Haavoittuvuus voi aktivoitua vierailtaessa selaimella vihamielisesti laaditulla WWW-sivulla.

Tietoturvabugin löytänyt tietoturvayhtiö iDEFENSE kertoi haavoittuvuudesta Netscape-kehitystiimille maaliskuussa. Korjauspäivitys toteutettiin selaimen kehitysversioon maaliskuun aikana, mutta korjauspäivityksen kulkeutuminen julkaisuversioon kesti aina heinäkuuhun asti. Haavoittuvuudelle alttiita selainversioita ovat ainakin Netscape 7.0 ja 7.1 sekä Mozilla 1.6. Haavoittuvuudelta voi suojautua kytkemällä selaimen Javascript-tuen pois päältä tai päivittämällä Mozillan versioon 1.7.1.

Lue juttu oma, 4.8.2004 00:03. Lähde: CERT, iDefense

Muita aiheeseen liittyviä uutisia

Rekisteröidy ja kirjaudu sisään, jos haluat kommentoida.

Kommentit ( 30 uutta / 30 )
pistettä.
Näytä vain kommentit joilla on vähintään
Ei ole 1.7 versio tuolle haavoittuva!
Anonyymi kommentoija, 4.8.2004 00:13:47		 Pisteet: 0
RTFA uusiksi. Siellä puhutaan kahdesta haavoittuvuudesta, SOAP-haavoittuvuudesta ja siitä vanhemmasta shell-haavoittuvuudesta aka Windows bugi.

Shell haavoittuvuudelle on alttiina myös 1.7 versio, mutta SOAP-haavoittuvuudelle vain 1.6 ja mahdollisesti sitä aikaisemmat versiot.
Re: Ei ole 1.7 versio tuolle haavoittuva!
Anonyymi kommentoija, 5.8.2004 11:45:42		 Pisteet: 0
RTFA uusiksi. Siellä puhutaan kahdesta haavoittuvuudesta, SOAP-haavoittuvuudesta ja siitä vanhemmasta shell-haavoittuvuudesta aka Windows bugi. Shell haavoittuvuudelle on alttiina myös 1.7 versio, mutta SOAP-haavoittuvuudelle vain 1.6 ja mahdollisesti sitä aikaisemmat versiot.
Ja vieläpä muistetaan että Shell haavoittuvuus on vain windowsissa ja windowssin omia bugeja. Joka vaan vaikuttaa mozillaankin.
Samaa ongelmaa ei ole linuxissa mozillan kanssa.
Re: Ei ole 1.7 versio tuolle haavoittuva!
Anonyymi kommentoija, 5.8.2004 22:59:26		 Pisteet: 0
RTFA uusiksi. Siellä puhutaan kahdesta haavoittuvuudesta, SOAP-haavoittuvuudesta ja siitä vanhemmasta shell-haavoittuvuudesta aka Windows bugi. Shell haavoittuvuudelle on alttiina myös 1.7 versio, mutta SOAP-haavoittuvuudelle vain 1.6 ja mahdollisesti sitä aikaisemmat versiot.
Ja vieläpä muistetaan että Shell haavoittuvuus on vain windowsissa ja windowssin omia bugeja. Joka vaan vaikuttaa mozillaankin.
Samaa ongelmaa ei ole linuxissa mozillan kanssa.
Ja molemmat on muuten korjattu 1.7 versiossa.
Kriittinen?
Anonyymi kommentoija, 4.8.2004 00:34:14		 Pisteet: 0
Onkohan tämä nyt sitten kriittinen bugi? Saako joku siitä 500 dollaria? :)
Re: Kriittinen?
Anonyymi kommentoija, 4.8.2004 00:41:35		 Pisteet: 0
Onkohan tämä nyt sitten kriittinen bugi? Saako joku siitä 500 dollaria? :)
En usko että sellaisia bugeja lasketaan jotka löytyvät vanhoista versioista, jotka siis on paikattu jo.
Pisterajan alittavia kommentteja piilossa.
Re: Kriittinen?
Anonyymi kommentoija, 4.8.2004 08:22:49		 Pisteet: 0
Ei, vaan OpenSource aukoista ilmoitetaan, vasta kun paikkaus on saatavissa ja bugi on jo korjattu uusimmassa versiossa. Microsoft aukoista yleensä ilmoitetaan ensin sanomalehdissä ja TV:sta ja vasta sitten kerrotaan itse Microsoftille
Aika raju sana tuo yleensä. Se tarkoittaisi että enemmistö tapauksia olisi tuollaisia. Lähde tälle väitteelle kiitos. Ilman sitä väitteesi on mitätön.
Re: Kriittinen?
Anonyymi kommentoija, 4.8.2004 09:56:45		 Pisteet: 0
Aika raju sana tuo yleensä. Se tarkoittaisi että enemmistö tapauksia olisi tuollaisia. Lähde tälle väitteelle kiitos. Ilman sitä väitteesi on mitätön.
No läpiähän mies purnasi eikä asia nyt ihan noin mene. Haavoittuvuuksista kyllä ilmoitetaan MS:lle mutta MS ei reagoi niihin tarpeeksi nopeasti ja haavoittuvuusuutiset ehtivät nyysseihin ennenkuin korjaus on olemassa..
ATQ0 Re: Kriittinen?
ATQ0, 4.8.2004 09:27:51		 Pisteet: 0
vaan OpenSource aukoista ilmoitetaan, vasta kun paikkaus on saatavissa ja bugi on jo korjattu <loput trollista snipattu>
Eikös näille anonyymeille voisi laittaa ip-numeron näkyviin? Hillitsisi trollausintoa huomattavasti -> keskustelun taso nousisi.

Varsinaiseen uutis-aiheeseen vielä liittyen: koskeeko bugi Firefoxia ja vanhempia versioita (Firebird)?
--
/(ATQ0)
daddymac Re: Kriittinen?
daddymac, 4.8.2004 12:13:19		 Pisteet: 0
Eikös näille anonyymeille voisi laittaa ip-numeron näkyviin?
Tarkoitatko erimieltä oleville?
Sektori.com:n voisi nimetä uudelleen eskari.comiksi. Sen verran huonosti täällä kestetään vastakkaisia mielipiteitä.
Höpöhöpö, kyse kommentissa ei ollut erimieltä olemisesta, vaan hölynpölyn faktana esittämisestä. Kyllä ATQ0:lla oli ihan pointti tuossa että anonyymina jengi kirjoittaa tänne vaikka millaista kakkaa, kuten juuri edellämainittu väite "Open source korjaa ensin ja ilmoittaa sitten kun MS:n bugit kerrotaan heti kaikille ja sitten vasta MS:lle". Fleiminä väite toimii hyvin, mutta mitään totuuspohjaa sille ei ole ainakaan vielä esitetty.

Toista kommenttia lainaten, lähteitä voi aina esittää väitteidensä tueksi, tai edes esimerkkejä tapauksista.

Ja jos Sektorin ylläpitokin on harkinnut "Anonymous Coward":ien (kuten ko. henkilöryhmä eräässä isomman maailman vastaavassa palvelussa ( /. ) on nimetty) kommentoinnin poistamista, Niin eiköhän se kerro vähän siitäkin että mihin suuntaan sivuston kehittäjät haluavat palvelunsa kehittyvän.

</antti>
Djadja-P Re: Kriittinen?
Djadja-P, 5.8.2004 01:38:58		 Pisteet: 0
Eikös näille anonyymeille voisi laittaa ip-numeron näkyviin?
Turhaa, ne ovat joka tapauksessa joko Kääkin tai Nuubian peeloja.

Varsinaiseen uutis-aiheeseen vielä liittyen: koskeeko bugi Firefoxia ja vanhempia versioita (Firebird)?
Koskee Firefoxia versioon 0.9.1 asti, 0.9.2 on korjattu. Thunderbirdin vastaavat 0.7.1 ja 0.7.2.
--
Ammutaanhan navetassakin!
daddymac Re: Kriittinen?
daddymac, 4.8.2004 08:27:08		 Pisteet: 0
Ei, vaan OpenSource aukoista ilmoitetaan, vasta kun paikkaus on saatavissa ja bugi on jo korjattu uusimmassa versiossa. Microsoft aukoista yleensä ilmoitetaan ensin sanomalehdissä ja TV:sta ja vasta sitten kerrotaan itse Microsoftille, näin saadaan näyttämään että aukon korjaus kestää kauemmin. Kun taas Open Source aukot oli jo korjattu kun aukko löydettiin.
Kyllä hyvin usein jos haavoittuvuuden löytäjä on jokin tietoturva-instanssi, siitä ilmoitetaan ensin ohjelmiston kehittäjälle (esim. tässä tapauksessa Netscapelle jo maaliskuussa) , ja vasta sitten, jos päivitystä ei ala kuulumaan lähikuukausina (tyypillistä microsoftin tapauksissa) niin vaarasta ilmoitetaan suurelle yleisölle, ja kerrotaan miten siltä pystytään suojautumaan (esim. Disabloimalla jokin komponentti/estämällä sovellusten ajo, esim. ActiveX tai JavaScript), koska vaara, että ko. aukkoa hyödynnettäisiin kasvaa jatkuvasti. Jos korjaus tulee pian, voidaan ilmoitus julkaista korjauspaketin yhteydessä, mutta MS:n tapauksessa korjaukset ovat kestäneet useita kuukausia, ja tällöin vian löytäneet instanssit ovat katsoneet parhaaksi ilmoittaa haavoittuvuudesta ja sen hyväksikäytön ehkäisemisestä.

</antti>
Re: Kriittinen?
mxmattil, 4.8.2004 09:05:20		 Pisteet: 0
Ei, vaan OpenSource aukoista ilmoitetaan, vasta kun paikkaus on saatavissa ja bugi on jo korjattu uusimmassa versiossa.
Ei kyllä pidä alkuunkaan paikkaansa, esim. tässä uutisessa mainitun Mozillan kaikki bugit (mukaanlukien vaaralliset) löytyvät allaolevasta osoitteesta aina heti kun ne löydetään

http://bugzilla.mozilla.org/
http://www.dvd.to - DVD hakukone
Re: Kriittinen?
Anonyymi kommentoija, 4.8.2004 16:09:10		 Pisteet: 0
Ei, vaan OpenSource aukoista ilmoitetaan, vasta kun paikkaus on saatavissa ja bugi on jo korjattu uusimmassa versiossa.
Ei kyllä pidä alkuunkaan paikkaansa, esim. tässä uutisessa mainitun Mozillan kaikki bugit (mukaanlukien vaaralliset) löytyvät allaolevasta osoitteesta aina heti kun ne löydetään
http://bugzilla.mozilla.org/
Eivät ne kaikki turvallisuusbugit sieltä löydy, ainakaan heti. Bugiraporttia tehdessä ( http://bugzilla.mozilla.org/enter_bug.cgi?product=... ) voi merkitä bugin "Security-Sensitive" -flagilla, jolloin bugiraportti näkyy vain valituille ja luotetuille ihmisille: "Check this box if this is a security problem that needs to be kept confidential". Bugiraportit julkaistaan kaikille sitten kun "vaara on ohi"; aukko paikattu, tjmv.

Lisää Mozilla.org:in turvallisuuspolitiikasta: http://www.mozilla.org/projects/security/security-...
arzka Re: Kriittinen?
arzka, 5.8.2004 11:20:32		 Pisteet: 0
Ei, vaan OpenSource aukoista ilmoitetaan, vasta kun paikkaus on saatavissa ja bugi on jo korjattu uusimmassa versiossa. Microsoft aukoista yleensä ilmoitetaan ensin sanomalehdissä ja TV:sta ja vasta sitten kerrotaan itse Microsoftille, näin saadaan näyttämään että aukon korjaus kestää kauemmin.
Ehkä kuitenkin asia on niin, että vika löydetään, se raportoidaan tekijälle, ja julkistetaan sen jälkeen parin viikon päästä, jotta tekijällä on aikaa tehdä korjaus, jos kiinnostusta moiseen riittää.

On aika huonoa mainosta aukosta tiedottavallekin taholle, jos vika julkistetaan ensin, ja tiedotetaan ohjelmiston tekijää vasta tämän jälkeen. Niin kuin ei kukaan vastuunsa tunteva ihminen tai yhteisö tee.
Re: Kriittinen?
Anonyymi kommentoija, 4.8.2004 00:46:03		 Pisteet: 0
Onkohan tämä nyt sitten kriittinen bugi? Saako joku siitä 500 dollaria? :)
No, nämä sentään havaitaan. Jos Oracle olisi Open Sourcea, niin olisivatko nuo nyt julkisuutta saaneet 34 vuoden alusta asti korjaamatta ollutta vakavaa haavoittuvuutta - löydetty ja korjattu aikaisemmin?
daimoni Re: Kriittinen?
daimoni, 4.8.2004 10:10:36		 Pisteet: 0
Onkohan tämä nyt sitten kriittinen bugi? Saako joku siitä 500 dollaria? :)
Ei, tämä on korjattu shell: haavoittuvuuden kanssa samassa paketissa. Eli melkolaisen vanha vika johon korjaus ollut saatavilla jo kuukaudenpäivät.
"Minusta on viime aikoina daimonin kommentteja lukeneena alkanut muutenkin tuntua, että äijä kuvittelee olevansa joku jumalhahmo, jonka sana on totuus ja laki."
-- Anonyymi kommentoija
siis ymmärinkö oikein?
Anonyymi kommentoija, 4.8.2004 01:20:17		 Pisteet: 0
koskeeko tuo uusimpia versioita?
Re: siis ymmärinkö oikein?
Anonyymi kommentoija, 4.8.2004 08:19:53		 Pisteet: 0
koskeeko tuo uusimpia versioita?
Netscapessa kyllä, Mozillassa ei.
Re: siis ymmärinkö oikein?
Anonyymi kommentoija, 25.8.2004 01:02:25		 Pisteet: 0
koskeeko tuo uusimpia versioita?
Netscapessa kyllä, Mozillassa ei.
Nyt ilmestyneessä Netscape 7.2:ssa aukko korjattu.
f/lame
Anonyymi kommentoija, 4.8.2004 16:24:41		 Pisteet: 0
Tässä on lisää selvää näyttöä että ei mozilla ole internet exploreria turvallisempi niin kuin kaikki väittävät.
Re: f/lame
Anonyymi kommentoija, 4.8.2004 16:42:30		 Pisteet: 0
Tässä on lisää selvää näyttöä että ei mozilla ole internet exploreria turvallisempi niin kuin kaikki väittävät.
Ai mikä on selvää näyttöä? Että Mozillassa on vähemmän tietoturva reikiä kuin IE, vai että reiät on korjattu ennen kuin niistä uutisoidaan sektorissa?
Re: f/lame
Anonyymi kommentoija, 4.8.2004 21:37:18		 Pisteet: 0
Tässä on lisää selvää näyttöä että ei mozilla ole internet exploreria turvallisempi niin kuin kaikki väittävät.
Hommatkaa oikeasti Apple niin pääsette eroon näistä Windowsia kurnuttavista tietoturvaongelmista :)

*onnellinen macisti*
Re: f/lame
Anonyymi kommentoija, 4.8.2004 23:06:24		 Pisteet: 0
Tässä on lisää selvää näyttöä että ei mozilla ole internet exploreria turvallisempi niin kuin kaikki väittävät.
Hommatkaa oikeasti Apple niin pääsette eroon näistä Windowsia kurnuttavista tietoturvaongelmista :)
*onnellinen macisti*
Mäcissä ei ole viruksia, on vain haittaohjelmia. Kyllä se mäkki on ihan reikänen kuin reikäjuusto. Nyt vaan odotellaan kunhan "Virus Scene" siirtyy tekemään viruksia niille.
daddymac Re: f/lame
daddymac, 5.8.2004 08:47:43		 Pisteet: 0
yt vaan odotellaan kunhan "Virus Scene" siirtyy tekemään viruksia niille.
LÅL, Siinähän odotat . Nyt kun oldskool-virustekijät koodaavat palkallisina firmoissa eivätkä tee mielikuvituksellisia vanhanajan kunnon viruksia ("pelataanpa pokeria, panoksena kovalevysi sisältö") ja nuskool viruskoodarit käyttävät readymade työkaluja ja tavoittelevat suuria massoja, on hyvin epätodennäköistä, että kukaan alkaisi tekemään minority-Mäcille mitään viruksia.

</antti>
Moose Re: f/lame
Moose, 5.8.2004 12:56:57		 Pisteet: 0
Tässä on lisää selvää näyttöä että ei mozilla ole internet exploreria turvallisempi niin kuin kaikki väittävät.
Hommatkaa oikeasti Apple niin pääsette eroon näistä Windowsia kurnuttavista tietoturvaongelmista :)
*onnellinen macisti*
Kannattaisiko kuitenkin ottaa asioista selvää ennenkuin laukoo urbaaneja legendoja http://www.techworld.com/security/news/index.cfm?n...

"Mac OS X doesn't stand out as particularly more secure than the competition"