Lue uutinen mobiilisivustolla

Oraclen ohjelmistossa on korjaamaton haavoittuvuus

30.8.2007 15:44 Cert-Fi varoittaa Oraclen JInitiator-ohjelmistosta. Sitä käytetään Oracle Developer Server -sovelluksien suorittamiseen www-selainympäristössä.

Oracle JInitiatorin Internet Explorer -versio sisältää beans.ocx-nimisen activex-komponentin. Kyseisestä komponentista on löydetty useita haavoittuvuuksia, joita hyväksikäyttämällä hyökkääjän voi olla mahdollista suorittaa haavoittuvassa järjestelmässä omia komentojaan.

Haavoittuvuutta voi hyväksikäyttää houkuttelemalla käyttäjä ansoitetulle www-sivulle. Ongelmat koskevat JInitiatorin versiota 1.1.8.16 ja mahdollisesti myös aiempia versioita. Cert-Fi:n tiedossa ei ole korjaavaa ohjelmistopäivitystä.

Tilapäisratkaisu tekstitiedostolla

Ongelmaa voi rajoittaa estämällä väliaikaisesti haavoittuvan activex-komponentin toiminnan. Cert-Fi neuvoo tekemään tekstitiedoston, joka sisältää seuraavaa:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerActiveX Compatibility{9b935470-ad4a-11d5-b63e-00c04faedb18}] "Compatibility Flags"=dword:00000400

Tallenna tiedosto nimellä, joka päättyy .reg (esimerkiksi korjaus.reg) ja kaksoisklikkaa tiedostoa esittävää kuvaketta tai tiedoston nimeä resurssienhallinnassa. Käynnistä Internet Explorer uudelleen. Asetus haittaa sellaisten web-sivujen selailua, jotka käyttävät kyseistä activex-komponenttia.

On syytä huomioida, että komponentin palauttaminen takaisin toimintaan saattaa olla vaikeaa.

Lisätietoa:

http://www.kb.cert.org/vuls/id/474433
http://secunia.com/advisories/26644/
http://www.frsirt.com/english/advisories/2007/3007

Tuomas Linnake
tuomas.linnake@digitoday.fi

Teksti on lisensoitu Creative Commons Nimeä-Ei muutoksia-Epäkaupallinen -lisenssillä.

Kirjoita kommentti

Ohjeet: Pysy aiheessa ja kirjoita napakasti. Muista, että haastateltavilla, kanssakeskustelijoilla ja toimittajilla on oikeus omaan, eriävään mielipiteeseen. Ole kohtelias ja ystävällinen, äläkä tarkoituksella provosoi tai hauku muita keskustelijoita. Taloussanomat varaa oikeuden poistaa asiattomat viestit. Varauduthan siihen, että linkkejä sisältävät viestit tarkistetaan yksitellen roskapostin suodattamiseksi. Arvostamme mielipidettäsi!
Lue koko keskusteluetiketti

Bottivarmistus: mitä on kaksi ynnä viisi?

Viesti Nimi

Uutiset

Seksuaalirikoksesta epäilty valmentaja löytyi kuolleena sellistä

• Putkirikko toi pienen järven Sörnäisten rantatielle – katso video
• Miljoonien viinakokoelma myyntiin vaimon vuoksi
• Kreikkaan vaaditaan uusia vaaleja
• Pohjanlahdelta löytyi upotettu konjakkilaiva