Lue uutinen mobiilisivustolla

Internet Explorerista löytyi uusi tietoturvareikä

11.10.2001 08:58 Osoitteen antaminen selaimelle sopivasti sormeillussa muodossa avaa ovet selaimen Intranet Zone -turvallisuusasetuksilla toimimiseen. Väljemmillä rajoituksilla on mahdollista tehdä monenlaista hallaa. Lisäksi NT- ja Windows 2000-koneissa on mahdollista kutsua IE:n kautta Telnet-ohjelmaa komentorivioptioilla.

Microsoft tiedottaa sen Internet Explorer-selaimessa olevasta tietoturva-aukosta. Vika ei koske uusinta Internet Explorer 6 -selainta. Ilmeisesti kaikki muut Internet Explorerin versiot ovat viallisia. Asiaa ei kuitenkaan tuoda eksplisiittisesti esiin Microsoftin turvatiedotteessa. Vikaan on jo julkaistu sen korjaava paikka.

Tiedotteeseen on paketoitu kolme tietoturvariskiä:

- Www-sivulta tehty sivukutsu toiselle sivulle avautuu sormeiltua ip-muotoista osoitetta käytettäessä Intranet Zone-turvatasoa käyttäen
- Reiän hyödyntäjä voi lähettää ulkopuoliselle www-palvelulle komentoja viallisen koneen nimissä
- Sormeillulla sivulla käyvän henkilön koneelle voidaan luoda tiedostojärjestelmä

Reikää pystytään käyttämään hyväksi ilmoittamalla IP-osoite niin kutsutussa pisteettömässä muodossa, esimerkiksi http://207.46.131.13 sijasta http://031713501415. Tämän lisäksi sivupyynnön pitää lisäksi olla sormeiltu tietyllä tavalla.

Julkaistu paikkaus korjaa samalla kaksi muutakin IE:n tietoturvareikää. Yllä mainittu pisteettömien IP-osoitteiden käsittelytapa on tärkein, koska sen hyödyntämiseen on lähes rajattomat mahdollisuudet haavoittumiselle alttiiden selainten muodostaessa noin 90% osuuden koko selainpopulaatiosta.

Kolmas yllä luetelluista vioista on myöskin inhottavan oloinen. Vian aiheuttaa se, että jostain kumman syystä IE:stä voidaan kutsua telnet-terminaali-istunto ja vieläpä komentoriviargumentteja käyttäen. Hyökkääjä voi siis tehdä www-sivun, jossa komennetaan avaamaan telnet-yhteys selailijan koneeseen logging-optiolla ja siirtämään käyttäjän koneelle exe-tiedoston paikkaan, josta se ajetaan seuraavan kerran konetta käynnistettäessä.

Vika on Microsoftin mukaan Internet Explorerissa eikä Telnet-ohjelmassa. Se esiintyy kuitenkin vain Telnet-asiakasohjelmissa, jotka tulevat Windows NT ja Windows 2000 -koneille tarkoitetun Services for Unix (SFU) 2.0 -paketin mukana.

Elias Aarnio toimitus@digitoday.fi

Kirjoita kommentti

Ohjeet: Pysy aiheessa ja kirjoita napakasti. Muista, että haastateltavilla, kanssakeskustelijoilla ja toimittajilla on oikeus omaan, eriävään mielipiteeseen. Ole kohtelias ja ystävällinen, äläkä tarkoituksella provosoi tai hauku muita keskustelijoita. Taloussanomat varaa oikeuden poistaa asiattomat viestit. Varauduthan siihen, että linkkejä sisältävät viestit tarkistetaan yksitellen roskapostin suodattamiseksi. Arvostamme mielipidettäsi!
Lue koko keskusteluetiketti

Bottivarmistus: mitä on kaksi ynnä viisi?

Viesti Nimi

Uutiset

Yksi kuollut ja yhdeksän haavoittunut ammuskelussa Hyvinkäällä

• Intian rikkain perhe avasi kohukotinsa ovet Vanity Fairille
• Pitkämäen keihään vahingoittama Sdiri vie IAAF:n oikeuteen
• Afrikkalaisten maahanmuutto kiristää tunnelmia Tel Avivissa
• Tasmanian tuholaista pelastetaan sukupuutolta