Internet Explorerissa tuplaklikkailusta tulossa vaarallista
28.6.2006 11:56 Tietoturvatutkija Plebo Aesdi Nael ilmoitti eilen Full Disclosure -postituslistalla kahdesta Microsoft Internet Explorer -selaimeen liittyvästä tietoturva-aukosta. Niistä pahempi tekee verkkosivustoilla tuplaklikkailusta vaarallista mahdollistaen haittakoodin suorittamisen. Lisäksi Internet Storm Centerin testien mukaan haava on toistettavissa myös avoimen lähdekoodin Firefox-selaimella.
Naelin löytämistä tietoturva-aukoista pienempi paha mahdollistaa minkä tahansa web-osoitteen tietojen lukemisen toisen osoitteen kautta. Tutkijan mukaan aukko sopii Google Desktop -työpöytähakuohjelmaan ja webmail-sovelluksien kohdistuviin hyökkäyksiin.
Tietoturvayhtiö Secunia on julkaissut demosivun aukon hyödyntämisestä.
Tuplaklikkauksella tuhoa
Pahemman haavoittuvuuden avulla voidaan tarjota esimerkiksi SMB- tai WebDAV-jakojen kautta html-tiedostoja, joissa tuplaklikkaaminen suorittaa haittakoodia. Plebo Aesdi Naelin mukaan haavoittuvuuden hyödynnettävyyttä voi parantaa muun muassa piilottamalla epäilyttävät osat css-piilotuskikalla ja kehittämällä vetävän keinon saada käyttäjä tuplaklikkailemaan.
Pienellä muokkauksella haavan hyödyntämiseen ei tarvita tuplaklikkausta ja lisäksi sen saa tietoturvakehittäjän mukaan toimimaan myös Internet Explorerin beta 2:lla.
Nael testasi haavat Microsoftin Windows Server 2003:n Enterprise Editionilla ja julkaisi myös kummankin haavan hyödyntämismenetelmät.
Mozilla-ohjelmistot myös vaarassa?
Internet Storm Centerin mainitsee, että tuplaklikkailuhaava toimisi myös avoimen lähdekoodin Firefox-selaimella. Tämä todennäköisesti tarkoittaisi sitä, että myös Mozilla-johdannaiset ohjelmistot voivat olla vaarassa.
Toistaiseksi Isc ei ole havainnut yhtään haavojen hyödyntämistapausta.
Matias Mäki
matias.maki@sanoma.fi
- Digitodayn tuoreimmat uutiset.
- 10.2. Facebook-kaverin poisto johti kaksoismurhaan
- 10.2. Googlen lompakko hakkeroitiin helposti
- 10.2. Google pystyttää kilpailijaa Dropboxille
- 10.2. Alcatel-Lucent lopettaa työpaikkoja
- 10.2. Pirate Bay uhmaa muistitikulla estoja
- 10.2. Comptel puolittaa osingon
- 10.2. Kodak keskittyy kuvien tulostamiseen
- 10.2. Yle: Piraattiradio häiriköi Turun seudulla
- 10.2. Windows XP:lle harvinaisen vähän korjauksia
- 10.2. Itsemurhatehtaan johtajalta vohkittiin salasana
- 10.2. Googlen ensimmäinen työntekijä lähtee
- 10.2. Microsoft keskeytti yllättäen Lumia 900:n varaukset
- 10.2. FBI: Steve Jobsilla oli top-secret -luokitus
- 9.2. Uusi iPad tulee maaliskuun alussa?
- 9.2. Siri opiskelee kiinaa ja venäjää
- 9.2. Peliskene poimi presidentin palkinnon
- 9.2. Google: Näytä surfailusi, saat rahaa
- 9.2. Skimmaajat teettivät erikoislaitteita Suomen oloihin
- 9.2. Samsungilta ei julkistuksia Barcelonassa
- 9.2. Ciscon tulos parani reippaasti
- Uusimmat
- 48h luetuimmat kaikista uutisista.
- 10.2. FBI: Steve Jobsilla oli top-secret -luokitus
- 8.2. Nokia-pomo: Puhelimet ovat Designed in Finland
- 8.2. Nokian Salon tehdasta on ajettu alas pitkään
- 10.2. Microsoft keskeytti yllättäen Lumia 900:n varaukset
- 8.2. Kaksi minuuttia Iron Skyta – Elokuva "täynnä vastoinkäymisiä"
- 9.2. Sadan tonnin sakot kuluttajien harhauttamisesta
- 8.2. Nokia julkistaa huippupuhelimen Barcelonassa
- 8.2. Applen televisio voi saada liikeohjauksen
- 8.2. Yllätys: Nokia on ylivoimainen web-johtaja
- 9.2. Yllättävä ongelma: iPhone 4S ei toimi kiinalaisten sim-kortilla
- Luetuimmat
- 48h suositelluimmat kaikista uutisista.
- 8.2. IPadille haetaan porttikieltoa Kiinaan
- 8.2. Kiinassa tarjolla miljardien eurojen verkkourakat
- 8.2. Nokian potkut uhkaavat tuhatta Salon tehtaalla
- 9.2. Microsoft tarjoaa Lumia 800 -kimppua ystävänpäivänä
- 9.2. Windows 8:n testiversio ilmestyy karkauspäivänä
- 9.2. Apple myy vihdoin iPhone 4S:ää Kiinassa
- Suositelluimmat
- 48h kommentoiduimmat kaikista uutisista.
- 8.2. Nokia-pomo: Puhelimet ovat Designed in Finland
- 9.2. Yllättävä ongelma: iPhone 4S ei toimi kiinalaisten sim-kortilla
- 10.2. FBI: Steve Jobsilla oli top-secret -luokitus
- 10.2. Microsoft keskeytti yllättäen Lumia 900:n varaukset
- 8.2. Nokian Salon tehdasta on ajettu alas pitkään
- 8.2. Applen televisio voi saada liikeohjauksen
- 9.2. Microsoft tarjoaa Lumia 800 -kimppua ystävänpäivänä
- 8.2. Nokia julkistaa huippupuhelimen Barcelonassa
- 8.2. Yllätys: Nokia on ylivoimainen web-johtaja
- 9.2. Uusi iPad tulee maaliskuun alussa?
- Kommentoiduimmat
RSS-feedit
Seuraa Digitodayn kaikkia uutisia tai vain tiettyä osiota RSS:llä.
Palautetta?
Lähetä risut, ruusut ja uutisvinkit toimitukselle.
Uusimmat uutiset
- Googlen lompakko hakkeroitiin helposti 16:26
- Pirate Bay uhmaa muistitikulla estoja 14:02
- Itsemurhatehtaan johtajalta vohkittiin salasana 10:03
- FBI: Steve Jobsilla oli top-secret -luokitus 07:00
- Skimmaajat teettivät erikoislaitteita Suomen oloihin 14:16
- Brittilehti sekaantui sähköpostien vakoiluun 15:46
- Suomalaiset taitavat tietoturvan hopean arvoisesti 21:47
- Tietoturvayhtiöltä yritettiin kiristää lunnasrahoja 13:15
- Lisää
Digiyesterday
Kolme vuotta sitten
Meksiko alkaa kerätä sormenjälkiä puhelimenomistajilta
11.02.2009 Meksiko alkaa kerätä matkapuhelimenomistajista rekisteriä, johon tulee myös sormenjäljet. Rekisterillä on tarkoitus estää rikollisuutta.
Taloussanomat
- Kilpailuta asuntolaina, voit säästää 3 300 euroa 06:01
- Helsingissä marssittiin verkon vapauden puolesta 16:29
- Osuusliike myy samppanjaa alle Alkon hintojen 06:06
- Kymmenien italialaispankkien luottoluokitus laski 16:05
- Älä sano näin kehityskeskustelussa 17:08
- Skoda somisti Roomsterinsa partiopoikatyylillä 06:10
- Kreikan hallitus hyväksyi säästöt uudestaan 15:29
- HS: SAK ei enää torju eläkeiän nostoa 10:13
- Professori Ylelle: Valtiollisten lentoyhtiöiden aika on ohi 10:31
- TS: "Luonnonkalojen lääkejäämien riskit selvitettävä" 11:13
- » Taloussanomat.fi
