Lue uutinen mobiilisivustolla

Firefox ja Thunderbird saivat paikat, salasanat vuotavat yhä

20.12.2006 13:31 Mozilla on korjannut Firefox-selainohjelmistosta ja Thunderbird -sähköpostiohjelmistosta useita vakavia haavoittuvuuksia. Yksi tunnettu aukko jäi kuitenkin vaille paikkausta.

Cert-fi:n mukaan korjatuista haavoittuvuuksista ensimmäinen on rss-jakelujen esikatselussa tapahtuva tietovuoto, joka saattaa paljastaa käyttäjän selailutottumuksia.

Toinen haavoittuvuus liittyy sivukommenttien käsittelyssä tapahtuvaan muistin korruptoitumiseen. Kolmas haavoittuvuus taasen koskee kuvaelementtien käsittelyssä tapahtuvaa cross-site scripting -tyyppistä Java-koodin injektoimista.

Neljäs haavoittuvuus liittyy LiveConnectissa tapahtuvaan muistin korruptoitumiseen, kun taas viides koskettaa Mozilla-ohjelmistojen tapaa käsitellä JavaScriptin watch()-funktiota. Kuudes aukko liittyy tyylisivujen käsittelyssä tapahtuvaan puskurin ylivuotoon.

Kaikkia haavoittuvuuksia hyväksikäyttämällä, ensimmäinen poislukien, hyökkääjän voi olla mahdollista suorittaa kohdetietojärjestelmässä omia komentojaan.

Password Manager jäi korjaamatta

Uudessa päivitysversiossa on myös korjattu useita ohjelmiston kaatumiseen johtaneita virheitä, joita hyväksikäyttämällä hyökkääjän voi olla mahdollista suorittaa kohdetietojärjestelmässä omia komentojaan.

Lisäksi Mozilla Thunderbirdissä on korjattu sähköpostien otsikkotietojen käsittelyssä tapahtuva puskurin ylivuoto. Tuttuun tapaan tämäkin voi mahdollistaa hyökkääjälle komentojen ajamisen uhrikoneella.

InternetNews.com jäi kuitenkin kaipailemaan korjausta ainakin yhteen tunnettuun haavoittuvuuteen Firefox-selaimessa.

Password Managerissa piilevä aukko putkahti julkisuuteen myöhään marraskuussa altistaen käyttäjät kirjautumistietojensa väärinkäytöksille.

Cert-fi:n mukaan nyt paikatuille aukoille ovat alttiina seuraavat ohjelmistot:

• Mozilla Firefoxin versiota 1.5.0.9 aiemmat versiot

• Mozilla Firefoxin versiota 2.0.0.1 aiemmat versiot

• Mozilla Thunderbirdin versiota 1.5.0.9 aiemmat versiot

Tuomas Karvonen toimitus@digitoday.fi

Kirjoita kommentti

Ohjeet: Pysy aiheessa ja kirjoita napakasti. Muista, että haastateltavilla, kanssakeskustelijoilla ja toimittajilla on oikeus omaan, eriävään mielipiteeseen. Ole kohtelias ja ystävällinen, äläkä tarkoituksella provosoi tai hauku muita keskustelijoita. Taloussanomat varaa oikeuden poistaa asiattomat viestit. Varauduthan siihen, että linkkejä sisältävät viestit tarkistetaan yksitellen roskapostin suodattamiseksi. Arvostamme mielipidettäsi!
Lue koko keskusteluetiketti

Bottivarmistus: mitä on kaksi ynnä viisi?

Viesti Nimi

Uutiset

Accenture haluaa eroon entisistä nokialaisista

• Tällainen on Iron Sky -elokuva
• Ahmadinejad: Iran ilmoittaa "merkittävän" ydinvoimauutisen
• Satelliittikuvia levittävä yritys: Homsissa "lisääntynyttä armeijan toimintaa"
• Seksuaalirikoksesta epäilty valmentaja löytyi kuolleena sellistä