Lue uutinen mobiilisivustolla

IE:n tietoturvareiät tekevät myös MSN Messengeristä vaarallisen

10.2.2002 21:49 Yksi osoitus siitä kuinka pitkä matka Microsoftilla on tietoturvan saralla on uusi havainto joulukuussa havaittujen Internet Explorerin tietoturvapuutteiden vaikutuksista: MSN Messengerin kautta koneesi selaimella avautuvat tiedostot ovat vapaata riistaa ja avautumattomiakin voi lähetellä sähköpostilla huomaamattasi.

Microsoftin Internet Explorerista viime joulukuussa löytyneet tietoturva-aukot aiheuttavat ikävän ongelman MSN Messengerissä.

Turvallisuusasiantuntijat Tom Gilder ja Thor Larholm ovat huomanneet, että IE:n Document.Open() -aukon sopivalla tavalla hyödyntäminen avaa MSN Messengerin kautta hyökkääjälle oikeudet kaikkiin niihin toimiin mihin käyttäjälläkin on oikeus. Ikävyyksistä on olemassa jo demokin.

Demo hakee uuteen selainikkunaan Messengerin ActiveX -kohteet mutta oman tietokoneen turvallisuusvyöhykkeen asetuksilla. Kaikki tämä voidaan automatisoida ja tapahtuu käyttäjän tietämättä. Jos skriptien ajaminen on turvallisuusasetuksissa sallittu, myös sähköpostien lähettäminen Outlookilla tai Outlook Expressillä on mahdollista.

On erikseen syytä korostaa, että viestien lähettämisen mahdollisuus mahdollistaa luonnollisesti myös tiedostojen varastamisen lähettämällä niitä sähköpostitse.

Jo aiemmin IE:n Document.Open() -aukon kautta on voinut lukea kaikkia sellaisia tiedostoja, joita selain pystyy avaamaan. Lisäksi aukko on mahdollistanut eväste- eli cookie-tiedostojen varastamisen. Lisätietoa aukosta löytyy -sivustolta.

Ongelmat aiheuttava aukko on ollut Microsoftinkin tiedossa joulukuun 19. päivästä alkaen. Microsoft ei tähän päivään (10.02. 2002) mennessä ole julkaissut korjausta ongelmaan.

Ainakin seuraavat ohjelmistoyhdistelmät ovat haavoittuvia:

Windows 98 SE + IE6 helmikuun 9. päivänä päivitettynä + MSN Messenger 4.6.0073
Windows 98 SE + IE6 samoin päivitettynä + MSN Messenger 3.6.0024
Windows ME + IE6 samoin päivitettynä + MSN Messenger 4.5.0127
Windows 2000 + IE6 samoin päivitettynä + MSN Messenger 4.6.0071
Windows 2000 + IE5.5 + MSN Messenger 4.6.00.73
Windows XP Pro + IE6 helmikuun 9. päivitettynä + Windows Messenger 4.6.0073 tai 4.0.0155

Käytännössä siis kaikki yleisimmät käytössä Windowsien ja MSN Messengerien yhdistelmät ovat reikäjuustoa. Yksilöivä lista Internet Explorerin viidestä paikkaamattomasta tietoturva-aukosta löytyy osoitteesta http://jscript.dk/unpatched/ Lista kannattanee kaivaa uudestaan esiin siinä vaiheessa kun Microsoft toivottavasti lähitulevaisuudessa saa julkaistua korjauksen asiaan.

Elias Aarnio toimitus@digitoday.fi

Kirjoita kommentti

Ohjeet: Pysy aiheessa ja kirjoita napakasti. Muista, että haastateltavilla, kanssakeskustelijoilla ja toimittajilla on oikeus omaan, eriävään mielipiteeseen. Ole kohtelias ja ystävällinen, äläkä tarkoituksella provosoi tai hauku muita keskustelijoita. Taloussanomat varaa oikeuden poistaa asiattomat viestit. Varauduthan siihen, että linkkejä sisältävät viestit tarkistetaan yksitellen roskapostin suodattamiseksi. Arvostamme mielipidettäsi!
Lue koko keskusteluetiketti

Bottivarmistus: mitä on kaksi ynnä viisi?

Viesti Nimi

Uutiset

Yksi kuollut ja yhdeksän haavoittunut ammuskelussa Hyvinkäällä

• Intian rikkain perhe avasi kohukotinsa ovet Vanity Fairille
• Pitkämäen keihään vahingoittama Sdiri vie IAAF:n oikeuteen
• Afrikkalaisten maahanmuutto kiristää tunnelmia Tel Avivissa
• Tasmanian tuholaista pelastetaan sukupuutolta