Vanha haavoittuvuus hyödynnettävissä edelleen

Firefox ja Safari vuotavat tunnukset ja salasanat

24.7.2007 11:10 Mozilla-kehittäjät paikkasivat viime vuonna Firefox-selaimeen tallennettujen salasanojen ja tunnusten vuoto-ongelman, mutta aukkoa voidaan edelleen hyödyntää.

Saksalaisen Heise Securityn mukaan viime vuonna löydetty ja paikattu Firefoxin tallennettujen salasanojen hallintaan liittyvä tietovuotohaavoittuvuus on edelleen hengissä.

Suosittele
2 suositusta

Kuuntele

Jos käyttäjä antaa selaimen sisäänrakennetulle salasanalompakolle luvan tallentaa tunnus ja salasana jollain sivustolla, selain yrittää täydentää automaattisesti millä tahansa sivustolla olevia tunnus- ja salasanakentät samoilla tiedoilla.

Omien sivujen luontia tarjoavat yhteisösivustot tuottavat vielä oman lisänsä ongelmaan. Hyökkääjä voi luoda suositulle sivustolle, kuten esimerkiksi Myspaceen, oman sivun, joka sisältää sivuston sisäänkirjautumislomaketta matkivan lomakkeen, joka välittää hyökkääjälle kirjautumistiedot. Lomake voi vielä lisäksi peittää sivuston oikean lomakkeen.

Viime vuonna Mozilla-kehittäjät paikkasivat selaimen tarkistuksia hiukan, mutta vanhan hyväksikäyttökoodin virittelyllä tarkistukset voitiin ohittaa.

Heisen mukaan Mozilla-kehittäjät ovat sitä mieltä, että jos hyökkääjä pystyy hallitsemaan ja muokkaamaan palvelimella sijaitsevia sivuja, hän voi tehdä paljon muutakin ja monimutkaisempia asioita kuin luoda valekirjautumislaatikoita. Lisäksi selaimen tunnuslomaketoiminnan muuntamisen pelätään heikentävän selaimen käytettävyyttä.

Myös Applen KHTML/Webkit -pohjainen Safari-selain käyttäytyy hyvin samalla tavalla.

Matias Mäki
matias.maki@sanoma.fi

Teksti on lisensoitu Creative Commons Nimeä-Ei muutoksia-Epäkaupallinen -lisenssillä.

Suosittele
2 suositusta

Kuuntele

Aiheeseen liittyviä uutisia

Uudemmat

Oravakala pistää vauhtia Webkitiin 4.6.2008
Nokia sopeutuu avoimen koodin ympäristöön 27.2.2008
Avoimen lähdekoodin aika on ohi, sanoo Opera 11.2.2008
Open source nostaa Firefoxia Suomessa 29.1.2008
Eurooppalaiset leväperäisiä salasanoissa 12.10.2007
Nettilomake on tulevaisuuden tietoturvauhka 12.10.2007
Firefox suojaa käyttäjiä Quicktime-haavalta 20.9.2007
Suomessa Firefox 2 on lähes tasoissa IE 7:n kanssa 29.8.2007
Saksa kieltää tietoturvatyökalujen hallussapidon 13.8.2007
Mozilla kehittää Firefoxia sotkemalla 6.8.2007
Mozilla paikkasi Firefoxia jo toisen kerran heinäkuussa 31.7.2007
Mozilla paikkaa Firefoxin uutta uri-haavoittuvuutta 26.7.2007

Aiemmat

Mozilla paikkaa Internet Explorer -yhdistelmähyökkäyksen aukon 18.7.2007
Internet Explorer -bugi auttaa kiertämään Firefoxin suojaukset 11.7.2007
Webin uudesta turvasta sovittiin 21.6.2007
Explorerista ja Firefoxista löytyi reikiä 5.6.2007
Tulikettua laastaroitiin viidesti 31.5.2007
Firefoxin turvapäivitykset tarkkaan syyniin 18.3.2007
Mozilla julkaisi korjauspäivityksiä 7.3.2007
Mozilla-ohjelmistojen aukkoja tukkoon 26.2.2007
Firefoxista löytyi kaksi haavoittuvuutta 8.2.2007
Googlelta karkasi salasanoja phishingiä estävälle sivulle 23.1.2007
Gmail-käyttäjät kertovat kadonneista viesteistä 2.1.2007
Firefox ja Thunderbird saivat paikat, salasanat vuotavat yhä 20.12.2006
Tietoturvayhtiö: Firefox 2:ssa on haavoittuvuus 23.11.2006
IE ja Firefox käyvät kalastelunvastaista kisaa 16.11.2006
Mozilla varoittaa haavoittuvuuksista ohjelmissaan 9.11.2006
Uusi Firefox ymmärtää web 2.0:n päälle 24.10.2006
Firefox-aukon esittelijä pyörtää väitteitään 4.10.2006

Mainitut yritykset

Oikotie

Työpaikat

Loput 1937 työpaikkaa Oikotiellä

Kommentit (13)

Sivut: 1 2

EdellinenSeuraava

Anonyymi

Asiaton viesti

Lainaa

Selityksen makua Mozillan puolelta...

Hebe 24.7.2007 11:29

Anonyymi

Asiaton viesti

Lainaa

Hyvänä vaihtoehtona olisi vaikka heivata kyseinen toiminto kokonaan pois selaimesta. Siinä tulisi vähän edes enemmän aivoliikuntaa kun pinnistelisi välillä tunnustensa ja salasanojensa kanssa.

Sitä saa mitä tilaa 24.7.2007 11:46

Anonyymi

Asiaton viesti

Lainaa

"Jos käyttäjä antaa selaimen sisäänrakennetulle salasanalompakolle luvan tallentaa tunnus ja salasana jollain sivustolla, selain yrittää täydentää automaattisesti millä tahansa sivustolla olevia tunnus- ja salasanakentät samoilla tiedoilla. "

Jotta exploitti toimisi, eikö kyseessä pidä olla saman domainin alla oleva sivusto, eikä "mikä tahansa sivusto". Esim. jos olet tallentanut tunnuksesi googleen, ei näitä tietoja täydennetä microsoft.comissa.

Virheellistä uutisointia.

Topias 24.7.2007 12:00

Anonyymi

Asiaton viesti

Lainaa

Ei tarvi olla tyhmä. Toiminnon voi ottaa pois käytöstä, jos ei sitä halua.
Itse käytän tuota todella monella sivulla. Salasanojen onkiminen ei kuitenkaan ole nuin helppoa, kuin tuossa kuvataan. Firefox kyllä täydentää formin, mutta sehän tapahtuu selaimessa. Jollain se lomake pitää lähettääkkin. Joko käyttäjä itse joutuu painamaan lähetä, tai sitte javascriptillä, mutta minulla on javascriptit estetty tuntemattomilta sivuilta. (Noscript laajennus)

Sepeto 24.7.2007 12:01

Anonyymi

Asiaton viesti

Lainaa

Jotta exploitti toimisi, eikö kyseessä pidä olla saman domainin alla oleva sivusto, eikä "mikä tahansa sivusto".

Melkein ja ei ihan kuitenkaan. Suoraan heiseltä: "If you visit a login page again, the password is then entered automatically. But this means, that a second, evil page on the same server could steal those saved passwords." Elikkä toimii silloin kun ollaan samalla servolla, eli esimerkiksi google tunnukset varastaakseen täytyisi saada rakennettua "paha sivu" googlen serverille. Domain voi siis olla periaatteessa eri, mutta servon täytyy olla sama. Eli tämmöinen perinteinen jossittelu...

(Lähde: http://www.heise-security.co.uk/services/browsercheck/demos/moz/pass1.shtml)

Juupajuu 24.7.2007 12:16

Anonyymi

Asiaton viesti

Lainaa

Saisitte uutisoida tarkemmin. Tällainen taso leimaa IT-viikon uutiset lähinnä humpuukiksi. Tässähän ei käytännössä FF:ssä ole mitään tietoturva-aukkoa.

Ikuinen kriitikkonne 24.7.2007 13:52

Anonyymi

Asiaton viesti

Lainaa

Taidan jatkossakin pitäytyä Operan käytössä.

Opera 24.7.2007 14:45

Anonyymi

Asiaton viesti

Lainaa

Mitenkäs nämä sormenjälkitunnistimet pelaavat? Jos nimittäin pykäisi tuollaisen näppäimistön kylkeen ja sen kautta sitten hoituisi kirjautuminen jokaiseen palveluun?

Sormenjälkitunnistus 24.7.2007 15:16

Anonyymi

Asiaton viesti

Lainaa

Tälläiset salasanan muistavat toiminnot ovat aina tietoturvaaukko. Kannattaa pitää ne salasanat aivoissaan.

Toni Hintikka 24.7.2007 15:22

Anonyymi

Asiaton viesti

Lainaa

Olen aivan samaa mieltä Tonin kanssa. Ne salasanat aivoihin ja sillä selvä. Eipä hetkauttanut minun maailmaani tämäkään uutinen. Itse kun naputan AINA salasanat ulkomuistista enkä tallentele niitä minnekkään.

Tomsa 24.7.2007 15:31

Sivut: 1 2

EdellinenSeuraava

Ohjeet: Pysy aiheessa ja kirjoita napakasti. Muista, että haastateltavilla, kanssakeskustelijoilla ja toimittajilla on oikeus omaan, eriävään mielipiteeseen. Ole kohtelias, äläkä tarkoituksella provosoi tai hauku muita keskustelijoita. Taloussanomat varaa oikeuden poistaa asiattomat viestit.

Lue koko keskusteluetiketti

Bottivarmistus: mitä on kahdeksan ynnä kaksikymmentäkolme?
Syötä vastaus numeroina

Viesti
Vähimmäispituus 30 merkkiä

Nimimerkki
Käytä ainoastaan kirjaimia ja numeroita, välilyönnit eivät ole sallittuja.

Varaa oma nimimerkkisi Taloussanomien uutiskommentointiin rekisteröitymällä käyttäjäksi tai kirjaudu sisään.

Rekisteröityminen ja nimimerkin varaus eivät ole pakollisia.

Nimimerkissä saa käyttää ainoastaan kirjaimia ja numeroita. Sen minimimitta on viisi merkkiä ja maksimi kaksikymmentä merkkiä.

Olet kirjautunut sisään, muttet ole vielä valinnut omaa, muille käyttäjille näkyvää nimimerkkiäsi. Varaa nimimerkki omaksesi kirjoittamalla se nimimerkki-kenttään.

Varauksen jälkeen muut eivät voi käyttää nimimerkkiäsi ja se näkyy automaattisesti kaikissa kirjoittamissasi viesteissä.

Huomioithan, ettei nimimerkkiä ei voi muuttaa jälkikäteen.

Nimimerkissä saa käyttää ainoastaan kirjaimia ja numeroita. Sen minimimitta on viisi merkkiä ja maksimi kaksikymmentä merkkiä.