QuickTime ja Firefox muodostavat aukon
13.9.2007 16:51 Applen QuickTime Player -ohjelmisto ja Mozillan Firefox-selain saavat samaan työasemaan asennettuna aikaan haavoittuvuuden, Cert-Fi varoittaa.
Haavoittuvuuden on raportoitu koskevan osittain myös työasemia, joissa on sekä Apple QuickTime Player että Internet Explorer.
Aukko mahdollistaa muun muassa javascript-komentojen suorittamisen Firefoxin chrome-kontekstissa käyttäjän käyttöoikeustasolla.
Haavoittuvuudesta on toistaiseksi tarjolla vain vähän tietoa. Sen julkaisijan mukaan haavoittuvuutta on mahdollista hyväksikäyttää myös työasemissa, joihin on asennettu vain Internet Explorer, mutta lievemmin seurauksin. Haavoittuvuus saattaa lisäksi koskea myös muita selaimia.
Rajoittaminen mahdollista
Hyökkääjän on mahdollista suorittaa haavoittuvassa järjestelmässä muun muassa haluamiaan javascript-komentoja ja mahdollisesti saada haavoittuva järjestelmä hallintaansa esimerkiksi houkuttelemalla käyttäjä seuraamaan muotoiltuun xml-tiedostoon viittaavaa linkkiä.
Jos selainlaajennus on asennettu, edellä mainitun xml-tiedoston päätteenä voi olla mikä tahansa QuickTimen selainlaajennuksella suoritettavaksi määritetty tiedostotyyppi, esimerkiksi avi, mp3 ja niin edelleen. Jos selainlaajennusta ei ole asennettu, haavoittuvuutta voi helposti käyttää vain houkuttelemalla käyttäjä seuraamaan tietyllä tavalla muotoiltuun qtl-tyyppiseen tiedostoon viittaavaa linkkiä.
Haavoittuvuuteen ei ole olemassa ohjelmistokorjausta, mutta noscript-lisäosan asentaminen Firefox-selaimeen suojaa ainakin osalta hyväksikäyttöyrityksistä.
Lisäksi kieltämällä activex-komponenttien ja lisäosien suorittaminen Internet Explorerin suojausasetuksista suojaa ainakin osittain haavoittuvuuden hyväksikäytöltä, Cert-Fi neuvoo.
Tuomas Linnake
tuomas.linnake@digitoday.fi
Teksti on lisensoitu Creative Commons Nimeä-Ei muutoksia-Epäkaupallinen -lisenssillä.
- Digitodayn tuoreimmat uutiset.
- 12.3. Nokian markkinaosuus onkin nyt 34 prosenttia
- 12.3. Presidentintekijä kiillottaa nyt Directan kuvaa
- 12.3. Sähköisten palvelujen solmuun tartutaan uusin elkein
- 12.3. Googlen AdMob-kauppa ei ole kirkossa kuulutettu
- 12.3. Vankilaan tuomittu Harri Johannesdahl: "Ei tämä näin voi mennä"
- 12.3. Pelipalvelu tekee tietokoneista tyhmiä
- 12.3. Tehokurssilla koodataan Android-sovelluksia
- 12.3. Tässä on vuoden mainosteko
- 12.3. Twitter seuloo vaaralliset verkko-osoitteet
- 12.3. Facebook tietää pian missä luuhailet
- 12.3. FreejamTV esittelee hakkereita ja innovoijia
- 12.3. Operan mobiiliselain ilmestyi Androidille
- 11.3. Virolaismies kosti If-vakuutusyhtiölle viruksella
- 11.3. HP vihjaa kilpailijan osallisuudesta rekkaryöstöihin
- 11.3. Lindén: Yle-maksu olisi lisännyt ulosottoja
- 11.3. Intel julkaisi prosessorin himopelaajille
- 11.3. Automaatti ansoitettiin 20 sekunnissa
- 11.3. Wlan päihitti datasähkön
- 11.3. Poliisi lähestyy verkkokansaa vinkkinapilla
- 11.3. Irtisanottu yritti sabotoida terroristitietokantaa
- Uusimmat
- 48h luetuimmat kaikista uutisista.
- 11.3. Tutkimusyhtiö: Nokia on jäänyt muista jälkeen
- 11.3. Lindén: Yle-maksu olisi lisännyt ulosottoja
- 12.3. Facebook tietää pian missä luuhailet
- 11.3. Automaatti ansoitettiin 20 sekunnissa
- 11.3. Virolaismies kosti If-vakuutusyhtiölle viruksella
- 12.3. Vankilaan tuomittu Harri Johannesdahl: "Ei tämä näin voi mennä"
- 12.3. Nokian markkinaosuus onkin nyt 34 prosenttia
- 11.3. Wlan päihitti datasähkön
- 11.3. Nokia-laatikosta tuli slangisana lahjonnalle
- 11.3. Elisa nokittaa Soneraa formuloilla
- Luetuimmat
- 48h suositelluimmat kaikista uutisista.
- 11.3. Tutkimusyhtiö: Nokia on jäänyt muista jälkeen
- 12.3. Facebook tietää pian missä luuhailet
- 11.3. Intel julkaisi prosessorin himopelaajille
- 11.3. Lindén: Yle-maksu olisi lisännyt ulosottoja
- 12.3. Pelipalvelu tekee tietokoneista tyhmiä
- Suositelluimmat
- 48h kommentoiduimmat kaikista uutisista.
- 11.3. Lindén: Yle-maksu olisi lisännyt ulosottoja
- 11.3. Tutkimusyhtiö: Nokia on jäänyt muista jälkeen
- 12.3. Nokian markkinaosuus onkin nyt 34 prosenttia
- 12.3. Facebook tietää pian missä luuhailet
- 12.3. Vankilaan tuomittu Harri Johannesdahl: "Ei tämä näin voi mennä"
- 12.3. Tehokurssilla koodataan Android-sovelluksia
- 11.3. Wlan päihitti datasähkön
- 12.3. Presidentintekijä kiillottaa nyt Directan kuvaa
- 11.3. Nokia-laatikosta tuli slangisana lahjonnalle
- 11.3. Poliisi lähestyy verkkokansaa vinkkinapilla
- Kommentoiduimmat
Uutisviikko
Mitä viikolla on tapahtunut, mikä puhuttanut eniten? Koko viikon uutiset.
Palautetta?
Lähetä risut, ruusut ja uutisvinkit toimitukselle.
Uusimmat uutiset
- Twitter seuloo vaaralliset verkko-osoitteet 11:27
- Facebook tietää pian missä luuhailet 10:49
- Virolaismies kosti If-vakuutusyhtiölle viruksella 17:08
- Automaatti ansoitettiin 20 sekunnissa 15:03
- Irtisanottu yritti sabotoida terroristitietokantaa 13:28
- Hyökkäys hallitsi Microsoftin korjaustiistaita 15:02
- Vodafonen kännykästä löytyi viruksia esiasennettuna 14:46
- Apache-ohjelmisto suojattiin hyökkäyskoodilta 13:17
- Lisää
-
89 e
Acer Veriton L670G (Core 2 Duo E8500, 4 Gt, 320 Gt, Win 7 Professional), keskusyksikkö
-
67 e
Acer Veriton X480G (Core 2 Duo E8500, 4 Gt, 320 Gt, Win 7 Professional), keskusyksikkö
-
38 e
Acer Veriton M670G (Core 2 Duo E8500, 2 Gt, 320 Gt, Win 7 Professional), keskusyksikkö
-
30 e
Acer Veriton L480G (Pentium Dual Core E5400, 2 Gt, 320 Gt, Win 7 Professional), keskusyksikkö
-
25 e
Acer Veriton X480G (Pentium Dual Core E5400, 2 Gt, 320 Gt, Win 7 Professional), keskusyksikkö
-
-80 e
Acer Aspire G7750 (Core i7-920, 12 Gt, 2 Tt, Win 7 Home Premium), keskusyksikkö
-
-46 e
Acer Aspire M3800 (Pentium Dual Core E5400, 4 Gt, 1 Tt, Win 7 Home Premium), keskusyksikkö
-
-40 e
Acer Aspire M5811 (Core i5-750, 8 Gt, 1 Tt, Win 7 Home Premium), keskusyksikkö
-
-33 e
Acer Aspire M5810 (Core i3-530, 8 Gt, 1 Tt, Win 7 Professional), keskusyksikkö
-
-29 e
Acer Aspire M5811 (Core i3-530, 8 Gt, 1 Tt, Win 7 Home Premium), keskusyksikkö
