Microsoft julkaisi tiistaina 14 korjauspäivitystä, joista viisi on luokiteltu kriittisiksi ja yhdeksän tärkeiksi.

Kriittisiksi merkityt päivitykset korjaavat haavoittuvuuksia, jotka pahimmillaan mahdollistavat hyökkääjän ohjelmakoodin suorittamisen kohdejärjestelmässä. Tärkeät päivitykset korjaavat haavoittuvuuksia jotka voivat mahdollistaa hyökkääjän ohjelmakoodin suorittamisen, käyttöoikeuksien korottamisen, suojauksen ohittamisen tai luottamuksellisen tiedon vuotamisen.

Päivitykset korjaavat myös TLS-yhteyksien toteutuksessa olevan FREAK-haavoittuvuuden Secure Channel (Schannel) -salauskirjastossa.

Tarkemmat tiedot korjauspäivityksistä on saatavissa Microsoftin tiedottesta.

• Palvelimet ja palvelinsovellukset
• Työasemat ja loppukäyttäjäsovellukset
• Verkon aktiivilaitteet
• Matkaviestinjärjestelmät
• Sulautetut järjestelmät
• Muut

Kohde

• Palvelimet ja palvelinsovellukset
• Työasemat ja loppukäyttäjäsovellukset

Hyökkäystapa

• Paikallisesti
• Ilman kirjautumista
• Etäkäyttö
• Ilman käyttäjän toimia

Hyväksikäyttö

• Komentojen mielivaltainen suorittaminen
• Käyttövaltuuksien laajentaminen
• Tietojen muokkaaminen
• Luottamuksellisen tiedon hankkiminen
• Palvelunestohyökkäys
• Suojauksen ohittaminen

Ratkaisu

• Korjaava ohjelmistopäivitys

Haavoittuvat ohjelmistot:

• Microsoftin käyttöjärjestelmien eri versiot.
• Katso tarkemmat tiedot haavoittuvista tuote- ja versiotiedoista Microsoftin tiedotteesta.

Ratkaisu- ja rajoitusmahdollisuudet:

Päivitä ohjelmistot valmistajan ohjeiden mukaisesti.

Lisätietoa:

• https://technet.microsoft.com/library/security/ms15-mar
• Tietoturva nyt! - FREAK-haavoittuvuus saattaa mahdollistaa salausavaimen murtamisen
•  
• CVE-2015-0005
• CVE-2015-0032
• CVE-2015-0056
• CVE-2015-0072
• CVE-2015-0073
• CVE-2015-0074
• CVE-2015-0075
• CVE-2015-0076
• CVE-2015-0077
• CVE-2015-0078
• CVE-2015-0079
• CVE-2015-0080
• CVE-2015-0081
• CVE-2015-0084
• CVE-2015-0085
• CVE-2015-0086
• CVE-2015-0087
• CVE-2015-0088
• CVE-2015-0089
• CVE-2015-0090
• CVE-2015-0091
• CVE-2015-0092
• CVE-2015-0093
• CVE-2015-0094
• CVE-2015-0095
• CVE-2015-0096
• CVE-2015-0097
• CVE-2015-0099
• CVE-2015-0100
• CVE-2015-1622
• CVE-2015-1623
• CVE-2015-1624
• CVE-2015-1625
• CVE-2015-1626
• CVE-2015-1627
• CVE-2015-1628
• CVE-2015-1629
• CVE-2015-1630
• CVE-2015-1631
• CVE-2015-1632
• CVE-2015-1633
• CVE-2015-1634
• CVE-2015-1636
• CVE-2015-1637
•  

Apple on julkaissut päivityksiä, jotka korjaavat useita haavoittuvuuksia muun muassa Mac OS X ja iOS -käyttöjärjestelmistä.

Nyt julkaistut päivitykset korjaavat myös TLS-yhteyksien toteutuksessa olevan FREAK-haavoittuvuuden OS X, iOS sekä AppleTV-käyttöjärjestelmissä. Lisätietoa FREAK-haavoittuvuudesta Tietoturva nyt! -artikkelissa.

Apple on julkaissut päivityksiä seuraaviin ohjelmistoihin ja käyttöjärjestelmiin:

iOS 8.2

iOS-käyttöjärjestelmän päivitys korjaa kuusi haavoittuvuutta. Vakavimmat näistä voivat aiheuttaa hyökkääjän haluaman mielivaltaisen ohjelmakoodin suorittamisen käyttöjärjestelmässä.

Security Update 2015-002

OS X-käyttöjärjestelmän päivitys korjaa viisi haavoittuvuutta. Vakavimmat mahdollistavat mielivaltaisen ohjelmakoodin suorittamisen korotetuilla käyttöoikeuksilla käyttöjärjestelmässä.

AppleTV 7.1

Apple TV-käyttöjärjestelmässä korjattiin kolme haavoittuvuutta. Vakavin haavoittuvuus mahdollistaa mielivaltaisen ohjelmakoodin suorittamisen korotetuilla käyttöoikeuksilla käyttöjärjestelmässä.

Xcode 6.2

Xcode-ohjelmistokehitysympäristössä viisi haavoittuvuutta Git ja Subversion ohjelmistoissa.

• Palvelimet ja palvelinsovellukset
• Työasemat ja loppukäyttäjäsovellukset
• Verkon aktiivilaitteet
• Matkaviestinjärjestelmät
• Sulautetut järjestelmät
• Muut

Kohde

• Palvelimet ja palvelinsovellukset
• Työasemat ja loppukäyttäjäsovellukset
• Matkaviestinjärjestelmät
• Sulautetut järjestelmät

Hyökkäystapa

• Paikallisesti
• Ilman kirjautumista
• Etäkäyttö
• Ilman käyttäjän toimia

Hyväksikäyttö

• Komentojen mielivaltainen suorittaminen
• Käyttövaltuuksien laajentaminen
• Tietojen muokkaaminen
• Luottamuksellisen tiedon hankkiminen
• Palvelunestohyökkäys
• Suojauksen ohittaminen

Ratkaisu

• Korjaava ohjelmistopäivitys

Haavoittuvat ohjelmistot:

• OS X Mountain Lion ennen versiota 10.8.5, OS X Mavericks ennen versiota 10.9.5 sekä OS X Yosemite ennen versiota 10.10.2.
• iOS ennen versiota 8.2.
• Apple TV ennen versiota 7.1.
• Xcode ennen versiota 6.2.

Ratkaisu- ja rajoitusmahdollisuudet:

Päivitä ohjelmistot valmistajan ohjeiden mukaisesti.

Lisätietoa:

•  
• https://support.apple.com/en-us/ht1222
• https://support.apple.com/en-us/HT204413
• https://support.apple.com/en-us/HT204423
• https://support.apple.com/en-us/HT204426
• https://support.apple.com/en-us/HT204427
• CVE-2014-3522
• CVE-2014-3528
• CVE-2014-3580
• CVE-2014-4496
• CVE-2014-8108
• CVE-2014-9390
• CVE-2015-1061
• CVE-2015-1062
• CVE-2015-1063
• CVE-2015-1064
• CVE-2015-1065
• CVE-2015-1066
• CVE-2015-1067
•  
• Tietoturva nyt! - FREAK-haavoittuvuus saattaa mahdollistaa salausavaimen murtamisen

Päivityshistoria

10.03.2015 klo 11:02

Valtaosan ohjelmistojen tietoturvahaavoittuuvuksista löytää joku muu kuin ohjelmiston alkuperäinen kehittäjä. Tällaisia haavoittuvuuksia voi ilmetä ohjelmiston tavanomaisen käytön yhteydessä tai ne voivat tulla esiin, mikäli niitä erityisesti etsitään. Löydettyjen haavoittuvuuksien kohdalla on kuitenkin toimittava vastuullisesti.

Sekä rikolliset että tietoturvatutkijat etsivät haavoittuvuuksia monista eri syistä. Monilla ohjelmistoyhtiöillä on käytössä ns. "Bug Bounty"-ohjelma, jossa ne maksavat rahallisen korvauksen kolmansien osapuolien löytämistä ja vastuullisesti raportoimista tietoturvahaavoittuvuuksista. Tämä on yleistyvä käytäntö.

Löytyneiden tietoturvahaavoittuvuuksien korjaaminen on keskeistä tietoturvallisten ohjelmistotuotteiden kehittämisessä, sillä monimutkaisten ohjelmistojen laatiminen lähtökohtaisesti täydellisen tietoturvallisiksi on käytännössä hyvin hankalaa. Kyberturvallisuuskeskus ottaa vastaan suomalaisena viranomaisena ilmoituksia tietoturvahaavoittuvuuksista ja hoitaa yhtenä harvoista CERT-toimijoista kansainvälistä haavoittuvuuskoordinointia.

Tietoturvahaavoittuvuuden etsiminen ja löytäminen ohjelmistosta tai verkkopalvelusta ei ole laissa kielletty, mikäli niiden etsimisen tarkoituksena ei ole murtautua järjestelmään. Haavoittuvuuden havaittuaan sen löytäjän on kuitenkin toimittava löytönsä kanssa vastuullisesti ja ymmärrettävä, että haavoittuvuuden hyväksikäyttäminen saattaa täyttää rikoksen tunnusmerkistön. Haavoittuvuuden hyväksikäyttämiseksi ei lasketa haavoittuvuuden olemassaolon todentamista.

Haavoittuvuuden löytäjän tilanne voidaan rinnastaa arkipäiväiseen asiaan; mikäli koiranulkoiluttaja huomaa, että paikallisen myymälän ulko-ovi on jäänyt auki, ei hän syyllisty rikokseen koettaessaan ovea kahvasta todetakseen sen, mitä silmämääräisesti on jo epäillyt. Avoin ovi tai ikkuna ei kuitenkaan anna koiranulkoiluttajalle lupaa mennä kiinteistöön sisälle tai tutkia siellä paikkoja, vaan asia pitää pikimiten saattaa sekä viranomaisten että myymälän omistajan tietoon.

Rajanveto haavoittuvuuden todentamisen ja hyväksikäytön välillä voi olla joskus vaikeaa. Tällaisissa tapauksissa haavoittuvuusepäilystä voi olla aikaisessa vaiheessa yhteydessä Viestintäviraston Kyberturvallisuuskeskukseen, jossa haavoittuvuuden olemassaolo voidaan todentaa viranomaisten toimesta. Näin toimiessaan haavoittuvuuden löytäjä ei ota riskiä siitä, että hänen toimintansa saattaisi täyttää rikoksen tunnusmerkistön. Viestintäviraston Kyberturvallisuuskeskus voi ilmoittaa löydetystä haavoittuvuudesta sen uhrille ja antaa neuvoja haavoittuvuuden korjaamiseksi.

Viestintäviraston Kyberturvallisuuskeskukselle voi ilmoittaa löytämistään haavoittuvuuksista myös nimettömästi.

• Viestintäviraston Kyberturvallisuuskeskuksen haavoittuvuuskoordinointitoiminta
• Alankomaiden kyberturvallisuuskeskuksen ohjeet vastuullisesta tietoturvahaavoittuvuuden ilmoittamisesta: https://www.ncsc.nl/binaries/content/documents/ncsc-en/current-topics/news/responsible-disclosure-guideline/1/Responsible Disclosure ENG.pdf