|
||
|
Maanantai, 10.1.2005 Secunia: IE:ssä useita aukinaisia haavoittuvuuksiaTietoturvayhtiö Secunia varoittaa Internet Explorer -selaimesta löytyneistä haavoittuvuuksista, joita hyödyntämällä hyökkääjän on mahdollista suorittaa tietojärjestelmässä omia komentojaan. Yksi uusista haavoittuvuuksista on variaatio lokakuussa löytyneestä drag and drop -haavoittuvuudesta, jota Microsoftin julkistama korjauspäivitys ei ole täysin paikannut. Kaikki kolme haavoittuvuutta ovat auki myös täysin ajantasalle päivitetyssä Windows XP SP2 -käyttöjärjestelmässä.
Lue juttu oma, 10.1.2005 00:05. Lähde: Secunia
|
|
|
Copyright © 1998-2007 - Coredump Oy. ISSN 1458-476X. |
||
JuZZe, 12.1.2005 16:52:33
Tässä on "Vulnerability in HTML Help Could Allow Code Execution (890175)" reikään pätsi: http://www.microsoft.com/technet/security/Bulletin...
Ja samalla näköjään tuli työkalu joka poistaa mm. Sasserin ja Mydoomin koneelta.
koolmoedee, 13.1.2005 14:08:23
Puheet Applen tuotteiden turvallisuudesta voidaan lopettaa.
Jälleen on yksi myytti purettu.
Mike Steel, 10.1.2005 10:02:25
Puhumattakaan viimeisen kuukauden aikana löydetyistä Linux kernel ongelmista?
Hyvin on valikoivaa "puolueeton" uutisointi näinä päivinä.
explo, 10.1.2005 10:49:55
2.4/2.6 - kerneleiden paikallisten käyttäjien root-exploitti: http://isec.pl/vulnerabilities/isec-0021-uselib.tx...
Mozilla/Firefox - aukot:
http://www.securityfocus.com/archive/1/386070/2005...
(joista kylläkin osa on jo tuoreemmissa tuliketuissa ja Mozilloissa korjattu ennen ko. uutista)
Sledge, 11.1.2005 15:11:02
Noihin aikaisempiin sen kummemmin puuttumatta, niin näitä exploitteja on julkaistu IE:hen varmaan koko selaimen historian ajan ja mutta silti IE jatkaa porskutustaan, vaikka Mozillat vähän markkinaosuutta valtaavatkin. Ehkä se kertoo jotakin. Välttämättä teknisesti "paras" ei aina voita.
Enemmistö jatkaa IE:n käyttämistä niin kauan, kun se oletuksena tulee Windowsin mukana. Kuitenkin valtaosa sivustoista vain "toimii paremmin" ja näkyy "oikein" IE:lla. Tämä ei tarkoita, että se olisi parempi selain, mutta sivut tehty siten, että ainakin toimivat IE:lla.
Tämäkään exploitti ei ainakaan minua saa vaihtamaan ykkösselainta. Vanhassa läppärissäni on firefox, koska se tuntuu toimivan hiukan sutjakkaammin, kuin IE. Tietoturva syiden takia en ole vaihtanut.
Kauheaa vouhotusta kuitenkin. Aukkoja on tullut ja tulee luultavasti aina olemaan kummassakin softassa. Terveellä järjellä ja tietoturvasta huolehtimalla on pärjännyt tähinkin asti.
Osaamattomalle täysin tumpelolle (kuten vaikka omat vanhempani) en silti asentaisi open source selainta. Heille on helpompaa, kun ohjeissa olevat ovat kuvat ovat prikulleen sen näköisiä kuin selain omassa koneessa. Jos virukset yms. tihulaiset pääsevät koneelle, niin ainahan sen voi käydä imagesta pamauttamassa uusiksi levylle. Pienempi vaiva se on kuin antaa jatkuvaa puhelintukea "oudolle" selaimelle. Tämä nyt oli vain yksi näkökanta. Muilla erilaiset tarpeet ja lähtökohdat.
Muuten vanhemmillani on kone ollut IE:llä vuodesta 2001 ja spywarea kummempaa roskaa koneille ei ole koskaan päätynyt, vaikka ovatkin täysiä tumpeloita ja joka linkin klikkaajia. Palomuuri ja ajantasalla pysyvä virustutka on riittänyt tähän asti.
daimoni, 10.1.2005 12:40:09
-- Anonyymi kommentoija
Mika Teräs, 10.1.2005 12:03:11
Hyvin on valikoivaa "puolueeton" uutisointi näinä päivinä.
daimoni, 10.1.2005 12:37:53
-- Anonyymi kommentoija
Nakkel, 10.1.2005 14:38:45
Mike Steel, 10.1.2005 14:26:54
Mediassakin eri "asiantuntijat" tuntuvat olevan kaikkea muuta kuin asiantuntijoita ja puolueettomia.
Ja jos ei muuta, niin sinunlaistesi ihmisten kiusaksi kerron asioista niille jotka eivät tiedä. Ymmärrän että mielummin vaikenisit näistä asioista ja pitäisit suuren massan siinä virheellisessä luulossa että nämä viritykset ovat turvallisia.
Totuus vaan tuntuu olevan jotain aivan muuta. Tutkimusten ja omien kokemusten perusteella.
murmeli, 10.1.2005 18:04:41
Mutta et voi väittää etteikö M$:n IE olisi turvattomampi yhdistelmä kuin Linux + Firefox. Perusteluni väittämälle on se, että IE:lle on enemmän exploitteja kuin Firefox:lle.
Mike Steel, 10.1.2005 18:11:35
Faktaa on että Linuxin markkinaosuus (ja tätä kautta myös hakkereiden määrä jotka niitä reikiä etsivät) on murto-osa vastaavasta Windows määrästä. Silti Secuniasta jokainen voi katsoa kummasta löytyy enemmän tietoturvabugeja, Winkkarista vai Linuxista.
Vihjeenä niille jotka eivät jaksa, se ei ole Windows.
Jos minulla olisi autotallissa 95 Mitsua ja 2 Mazdaa, ja silti kävisin useammin Mazdan kuin Mitsun huollossa, tuskin väittäisin kirkkain silmin Mazdan olevan se paremmin toimiva auto.
Näin kuitenkin monet tällä hetkellä toimivat Windows vs Linux keskusteluissa.
fernie, 10.1.2005 19:39:00
Ja tilanne windowsin osalta vain pahenee kun päästään tarkemmin katselemaan kaavioita.
lähteet:
http://secunia.com/product/2719/
http://secunia.com/product/22/
Nipsu, 10.1.2005 22:27:12
Ladoihin (IE) on helpompi murtautua kuin mersuihin (Firefox) -> Mersu on turvallisempi.
marevan, 11.1.2005 07:27:41
Kosm, 10.1.2005 15:11:41
Mike Steel, 10.1.2005 18:02:06
a) OS -porukka aina korjaa bugit nopeasti, niinhän? Miksi sitten joka ainoa Mozilla/FireForx 1.x version bugi on kokonaan paikkaamatta? "Partitial fixejä" on muutama.
http://secunia.com/product/4227/
b) vertaillaan nyt sitten uusimpia versioita, eli vaikkapa Win2003 Server ja Red Hat
W2003 Server - ei yhtään kriittistä reikää sitten julkaisun toukokuu 2003 (extremely critical). Yhteensä reikiä:
Datamike, 10.1.2005 20:36:45
Tietoturva on myös hiukan enemmän kuin käyttöjärjestelmä. Siihen vaikuttavat muut ohjelmat, niiden asetukset, käyttäjien ammattitaito, asenne, jne. On suhteellisen huolestuttavaa että laitat näin paljon numeroiden varaan.
Minua myös hämmästyttää että joka kerta kun sektoriin tulee uutinen tietoturva reiästä, joka on Windows:ssa tai IE:ssä, löytyy joku joka leikkii profeettaa ja yrittää siinä sitten kouluttaa muuta yhteiskuntaa että "kyl sii linukas kin on reikii, ette voi kiistää!". Kukaan ei tietääkseni sitä kiistä. Jos sinua ketuttaa ettei sektori julkaise enemmän tietoa reistä jotka ovat Linux:ssa, kirjoita heille kirje ja valista heitä. Täällä siitä on turha vouhottaa.
Nipsu, 10.1.2005 23:44:44
On hyvä että joku tuo asian julki (vaikka olisikin oman firman mainostuslehmä ojassa) sillä tuosta syntyvä keskustelu ei voi tehdä kuin hyvää Linuxin turvallisuudelle. Toivoisin että tästäkin seuraisi entistä turvallisempi kerneli niinkuin aikanaan aiheesta moititun säikeistyksen ja skeduloinnin hitaudesta seurasi parempi skedulointi ja tehokkaampi säikeistys.
Datamike, 11.1.2005 12:57:31
Mike Steel, 10.1.2005 18:06:39
eli 37 bugia (toukokuusta -03).
RedHat: Enterprise Linux ES 3:
Bugeja tähän asti (marraskuusta -03): 114 ja tässä mukana myös "Extremely critical" aukkoja.
Ja ennekuin alkaa kitinä "mutta leluxin mukana tulee paljon muitakin softia", niin otetaan nyt huomioon ettei tässä laskettu mukaan vielä vaikkapa Apachen bugeja, mutta MS puolella IIS:in bugit (ei yhtään) kylläkin.
Mutta kyllä, tämä oli epäkorrekti ja poliittisesti epäsuosiossa oleva postaus, pahoittelen.
Mike Steel, 10.1.2005 18:24:14
http://lwn.net/Articles/118251/
"It's a pretty sad state of affairs for Linux security when someone can
find 4 exploitable vulnerabilities in a matter of minutes."
"I'd really like to know what's being done about this pitiful trend of
Linux security, where it's 10x as easy to find a vulnerability in the
kernel than it is in any app on the system, where isec releases at
least one critical vulnerability for each kernel version. I don't see
that the 2.6 development model is doing anything to help this (as the
spectrum of these vulnerabilities demonstrate), by throwing
experimental code into the kernel and claiming it to be "stable"."
marevan, 10.1.2005 06:46:05