Tietoturvatiedotteet

1 ... 44 45 46 47 48 49 50 51 52 53 ... 64 Näyttäminen 145-147 max 191

05 02 2015

Microsoftin Internet Explorer -selaimen versioissa 10 ja 11 korjaamaton XSS-haavoittuvuus

Tunnisteet: microsoft, xss

Tietoturvayhtiö Deusen on löytänyt Microsoftin Internet Explorer 10 ja 11-selaimista universaalin Cross Site Scripting-haavoittuvuuden, jonka avulla hyökkääjä voi ohittaa selaimen suojauksia ja asettaa haitallista koodia muille sivustoille.

 

Deusen on julkaissut haavoittuvuudesta demonstraation, jossa XSS-haavoittuvuuden toimintaa esitellään harmittomalla sisältölisäyksellä.

Haavoittuvuuden avulla hyökkääjän on mahdollista asettaa toiselle verkkosivulle haitallista ohjelmakoodia houkuttelemalla ensin uhri omalle sivustolleen. Tämä voi tapahtua myös käyttäjän huomaamatta.

Hyökkääjän ohjelmakoodin asettaminen vieraille verkkosivuille mahdollistaa mm. käyttäjätunnuksien ja salasanojen urkkimisen, kirjautuneen session haltuunottamisen sekä altistaa käyttäjän haittaohjelmalatauksille tai muulle haitalliselle sisällölle. Haavoittuvuutta on kuvattu universaaliksi siksi, että se ei toimiakseen edellytä haavoittuvuuksia kohdesivustossa, vaan hyväksikäyttää selaimen puutteellista suojausta.

Hyökkäys ohittaa ns. "same origin policy"-suojauksen, joka toimiessaan estää vieraita sivuja asettamasta ohjelmakoodia toisille verkkosivustoille.

Microsoft työstää parhaillaan korjaavaa ohjelmistopäivitystä. Päivitystä odotellessa ongelmaa voi rajoittaa käyttämällä vaihtoehtoista verkkoselainta.

 

  • Palvelimet ja palvelinsovellukset
  • Työasemat ja loppukäyttäjäsovellukset
  • Verkon aktiivilaitteet
  • Matkaviestinjärjestelmät
  • Sulautetut järjestelmät
  • Muut

Kohde

  • Työasemat ja loppukäyttäjäsovellukset

Hyökkäystapa

  • Ilman kirjautumista
  • Etäkäyttö
  • Ilman käyttäjän toimia

Hyväksikäyttö

  • Käyttövaltuuksien laajentaminen
  • Tietojen muokkaaminen
  • Luottamuksellisen tiedon hankkiminen
  • Suojauksen ohittaminen

Ratkaisu

  • Ongelman rajoittaminen
  • Ei päivitystä

Haavoittuvat ohjelmistot:

 

  • Internet Explorer 10 (Windows 7 / 8 / 8.1)
  • Internet Explorer 11 (Windows 7 / 8 / 8.1)

 

 

Ratkaisu- ja rajoitusmahdollisuudet:

 

  • Korjausta ei vielä julkaistu
  • Vaihtoehtoisen selaimen käyttäminen

 

 

Lisätietoa:

 

http://seclists.org/fulldisclosure/2015/Feb/0

http://www.deusen.co.uk/items/insider3show.3362009741042107/

http://innerht.ml/blog/ie-uxss.html

http://www.pcworld.com/article/2879372/dangerous-ie-vulnerability-opens-door-to-powerful-phishing-attacks.html

 

 

Päivityshistoria

  • 05.02.2015 klo 09:44
    Julkaistu
Lue lisää

05 02 2015

Adobe Flash Playerissa jälleen uusi haavoittuvuus

Tunnisteet: adobe, haittaohjelma

Trend Micro on löytänyt Adobe Flash Playerista korjaamattoman, ns. "nollapäivähaavoittuvuuden" jota käytetään aktiivisesti hyväksi haittaohjelmien ujuttamisessa käyttäjien koneelle. Haavoittuvuutta on käytetty osana Angler Exploit Kit-levitysjärjestelmää.

 

Päivitys 5.2.2015: Adobe on julkaissut haavoittuvuuden korjaavan päivityksen. Päivityksen voi asentaa Adoben ohjeiden avulla. 

Uutta haavoittuvuutta on tavattu osana ns. "malvertising"-kampanjaa, jossa luotettujen verkkosivustojen mainoksien yhteyteen lisätään haitallista koodia. Tässä tapauksessa haitallinen koodi on ollut haavoittuvuutta hyväksikäyttävä Flash-objekti.

Malvertising-kampanjoilta ja muilta haitallisilta web-sisällöiltä voi myös suojautua käyttämällä internetselaimessa AdBlock-mainostenestoliitännäistä. AdBlockin lisäksi käyttäjä voi lisätä selaimensa tietoturvaa käyttämällä Scriptblock-liitännäistä joka estää JavaScript-koodin ajamisen ilman käyttäjän lupaa sekä Flashblock-liitännäistä, joka estää verkkosivuja ajamasta muita kuin käyttäjän erikseen hyväksymiä Flash-komponentteja. Liitännäisten nimet vaihtelevat käytettävän selaimen mukaan, mutta vastaavalla toiminnallisuudella varustettuja liitännäisiä löytyy kaikille yleisesti käytetyille verkkoselaimille.

 

  • Palvelimet ja palvelinsovellukset
  • Työasemat ja loppukäyttäjäsovellukset
  • Verkon aktiivilaitteet
  • Matkaviestinjärjestelmät
  • Sulautetut järjestelmät
  • Muut

Kohde

  • Työasemat ja loppukäyttäjäsovellukset
Lisätietoa +

Hyökkäystapa

  • Ilman kirjautumista
  • Etäkäyttö
  • Ilman käyttäjän toimia
Lisätietoja hyökkäystavasta +

Hyväksikäyttö

  • Komentojen mielivaltainen suorittaminen
  • Käyttövaltuuksien laajentaminen
  • Tietojen muokkaaminen
  • Luottamuksellisen tiedon hankkiminen
  • Palvelunestohyökkäys
  • Suojauksen ohittaminen
Lisätietoja hyväksikäytöstä +

Ratkaisu

  • Korjaava ohjelmistopäivitys
  • Ongelman rajoittaminen
Lisätietoja ratkaisusta +

Haavoittuvat ohjelmistot:

 

  • Adobe Flash Player 16.0.0.296 (Windows ja Macintosh) sekä aiemmat versiot.
  • Adobe Flash Player 13.0.0.264 ja 13.x-versiot.

 

 

 

Ratkaisu- ja rajoitusmahdollisuudet:

 

  • Flash Playerin poistaminen käytöstä
  • Mahdollisesti haitallisen sisällön suodattaminen liitännäisillä

 

 

Lisätietoa:

 

 

 

Päivityshistoria

  • 03.02.2015 klo 09:48
    Julkaistu
  • 05.02.2015 klo 09:18
    Lisätty tieto korjaavasta ohjelmistopäivityksestä.
Lue lisää

28 01 2015

Applen päivityspaketti korjaa useita haavoittuvuuksia

Tunnisteet: apple

Apple on julkaissut päivityksiä, jotka korjaavat useita haavoittuvuuksia muun muassa Mac OS X ja iOS -käyttöjärjestelmistä sekä Safari-selaimesta

Apple on julkaissut päivityksiä seuraaviin ohjelmistoihin ja käyttöjärjestelmiin:

iOS 8.1.3
iOS-käyttöjärjestelmän päivitys korjaa 33 edellisissä versioissa havaittua haavoittuvuutta. Vakavimmat näistä voivat aiheuttaa luottamuksellisen tiedon vuotamisen, suojauksen ohittamisen ja mielivaltaisen koodin suorittamisen käyttöjärjestelmässä.
 
Apple TV 7.0.3
Apple TV -päivitys korjaa 29 haavoittuvuutta, joiden avulla hyökkääjän on ollut esimerkiksi mahdollista saattaa järjestelmä palvelunestotilaan tai suorittaa mielivaltaista koodia järjestelmän oikeuksin.
 
OS X Yosemite 10.10.2 ja suojauspäivitys 2015-001
OS X Mavericks 10.10.2 ja suojauspäivitys 2015-001 korjaavat yhteensä 54 haavoittuvuutta. Haavoittuvuudet voivat johtaa mielivaltaisen ohjelmakoodin suorittamiseen järjestelmässä pääkäyttäjän oikeuksin, järjestelmän saattamisen palvelunestotilaan tai tietojen vuotamiseen.
 
Safari 8.0.3, Safari 7.1.3 ja Safari 6.2.3
Safari-päivitykset korjaavat neljä haavoittuvuutta, jotka voivat johtaa selaimen palvelunestotilaan.
 
 
  • Palvelimet ja palvelinsovellukset
  • Työasemat ja loppukäyttäjäsovellukset
  • Verkon aktiivilaitteet
  • Matkaviestinjärjestelmät
  • Sulautetut järjestelmät
  • Muut

Kohde

  • Työasemat ja loppukäyttäjäsovellukset
  • Matkaviestinjärjestelmät
  • Sulautetut järjestelmät

Hyökkäystapa

  • Paikallisesti
  • Ilman kirjautumista
  • Etäkäyttö
  • Ilman käyttäjän toimia

Hyväksikäyttö

  • Komentojen mielivaltainen suorittaminen
  • Käyttövaltuuksien laajentaminen
  • Tietojen muokkaaminen
  • Luottamuksellisen tiedon hankkiminen
  • Palvelunestohyökkäys
  • Suojauksen ohittaminen

Ratkaisu

  • Korjaava ohjelmistopäivitys

Haavoittuvat ohjelmistot:

  • iOS 8.1.3 -käyttöjärjestelmää edeltävät versiot seuraaville laitteille: iPhone 4s ja myöhemmät versiot, iPod touch -laitteet viidennestä laitesukupolvesta eteenpäin , sekä iPad 2 ja sen uudemmat versiot
  • Apple TV 7.0.3 -käyttöjärjestelmää edeltävät versiot Apple TV:n kolmannen sukupolven ja sitä uudemmille laiteille
  • OS X Mavericks 10.10.2 -käyttöjärjestelmää ja suojauspäivitystä 2015-001 edeltävät ohjelmistoversiot
  • Safari 8.0.3, Safari 7.1.3 ja Safari 6.2.3 -ohjelmistojen edeltävät versiot

Ratkaisu- ja rajoitusmahdollisuudet:

Käyttöjärjestelmän ja ohjelmistojen päivitysten asentaminen valmistajan ohjeiden mukaisesti.

Lisätietoa:

 

Päivityshistoria

28.01.2015 klo 09:12

Lue lisää
1 ... 44 45 46 47 48 49 50 51 52 53 ... 64 Näyttäminen 145-147 max 191