QuickTime ja Firefox muodostavat aukon
13.9.2007 16:51 Applen QuickTime Player -ohjelmisto ja Mozillan Firefox-selain saavat samaan työasemaan asennettuna aikaan haavoittuvuuden, Cert-Fi varoittaa.
Haavoittuvuuden on raportoitu koskevan osittain myös työasemia, joissa on sekä Apple QuickTime Player että Internet Explorer.
Aukko mahdollistaa muun muassa javascript-komentojen suorittamisen Firefoxin chrome-kontekstissa käyttäjän käyttöoikeustasolla.
Haavoittuvuudesta on toistaiseksi tarjolla vain vähän tietoa. Sen julkaisijan mukaan haavoittuvuutta on mahdollista hyväksikäyttää myös työasemissa, joihin on asennettu vain Internet Explorer, mutta lievemmin seurauksin. Haavoittuvuus saattaa lisäksi koskea myös muita selaimia.
Rajoittaminen mahdollista
Hyökkääjän on mahdollista suorittaa haavoittuvassa järjestelmässä muun muassa haluamiaan javascript-komentoja ja mahdollisesti saada haavoittuva järjestelmä hallintaansa esimerkiksi houkuttelemalla käyttäjä seuraamaan muotoiltuun xml-tiedostoon viittaavaa linkkiä.
Jos selainlaajennus on asennettu, edellä mainitun xml-tiedoston päätteenä voi olla mikä tahansa QuickTimen selainlaajennuksella suoritettavaksi määritetty tiedostotyyppi, esimerkiksi avi, mp3 ja niin edelleen. Jos selainlaajennusta ei ole asennettu, haavoittuvuutta voi helposti käyttää vain houkuttelemalla käyttäjä seuraamaan tietyllä tavalla muotoiltuun qtl-tyyppiseen tiedostoon viittaavaa linkkiä.
Haavoittuvuuteen ei ole olemassa ohjelmistokorjausta, mutta noscript-lisäosan asentaminen Firefox-selaimeen suojaa ainakin osalta hyväksikäyttöyrityksistä.
Lisäksi kieltämällä activex-komponenttien ja lisäosien suorittaminen Internet Explorerin suojausasetuksista suojaa ainakin osittain haavoittuvuuden hyväksikäytöltä, Cert-Fi neuvoo.
Tuomas Linnake
tuomas.linnake@digitoday.fi
Teksti on lisensoitu Creative Commons Nimeä-Ei muutoksia-Epäkaupallinen -lisenssillä.
- Digitodayn tuoreimmat uutiset.
- 16:21 Siri opiskelee kiinaa ja venäjää
- 15:55 Peliskene poimi presidentin palkinnon
- 14:20 Google: Näytä surfailusi, saat rahaa
- 14:16 Skimmaajat teettivät erikoislaitteita Suomen oloihin
- 13:19 Samsungilta ei julkistuksia Barcelonassa
- 13:05 Ciscon tulos parani reippaasti
- 11:02 Angry Birds laskeutui Helsinki-Vantaalle
- 10:22 Yllättävä ongelma: iPhone 4S ei toimi kiinalaisten sim-kortilla
- 09:46 Apple myy vihdoin iPhone 4S:ää Kiinassa
- 09:11 Sadan tonnin sakot kuluttajien harhauttamisesta
- 07:00 Microsoft tarjoaa Lumia 800 -kimppua ystävänpäivänä
- 00:22 Windows 8:n testiversio ilmestyy karkauspäivänä
- 8.2. Kaksi minuuttia Iron Skyta – Elokuva "täynnä vastoinkäymisiä"
- 8.2. Applen televisio voi saada liikeohjauksen
- 8.2. Brittilehti sekaantui sähköpostien vakoiluun
- 8.2. Tieto etsii Nokialle korvaajaa Android-töistä
- 8.2. Xbox nousi vuoden ostetuimmaksi
- 8.2. @450-verkko vaihtaa tekniikkaa
- 8.2. Nokia-pomo: Puhelimet ovat Designed in Finland
- 8.2. Kiinassa tarjolla miljardien eurojen verkkourakat
- Uusimmat
- 48h luetuimmat kaikista uutisista.
- 8.2. Nokia-pomo: Puhelimet ovat Designed in Finland
- 8.2. Nokian Salon tehdasta on ajettu alas pitkään
- 6.2. Pelkkä kortin vilautus riittää kaupan kassalla
- 6.2. Nokia Lumia saa valkoisen värin
- 7.2. Belle-päivitys tuli viimein Symbianiin
- 8.2. Kaksi minuuttia Iron Skyta – Elokuva "täynnä vastoinkäymisiä"
- 6.2. Riita roihahti Android Marketin 15 minuutin palautusajasta
- 6.2. Suosittu piraattisivusto antautui
- 6.2. Google pyyhki Atlantiksen kartalta
- 8.2. Nokia julkistaa huippupuhelimen Barcelonassa
- Luetuimmat
- 48h suositelluimmat kaikista uutisista.
- Suositelluimmat
- 48h kommentoiduimmat kaikista uutisista.
- 8.2. Nokia-pomo: Puhelimet ovat Designed in Finland
- 6.2. Nokia Lumia saa valkoisen värin
- 10:22 Yllättävä ongelma: iPhone 4S ei toimi kiinalaisten sim-kortilla
- 8.2. Nokian Salon tehdasta on ajettu alas pitkään
- 8.2. Applen televisio voi saada liikeohjauksen
- 6.2. Pelkkä kortin vilautus riittää kaupan kassalla
- 07:00 Microsoft tarjoaa Lumia 800 -kimppua ystävänpäivänä
- 6.2. Apple hakkasi Nokian ennätyksen
- 7.2. Nokia kertoo miten käy Salon tehtaan
- 7.2. Microsoft poistaa start-napin
- Kommentoiduimmat
Uutisviikko
Mitä viikolla on tapahtunut, mikä puhuttanut eniten? Koko viikon uutiset.
Kevyt ja nopea
Oletko jo tutustunut m.digitoday.fi-mobiilisivustoon?
Uusimmat uutiset
- Skimmaajat teettivät erikoislaitteita Suomen oloihin 14:16
- Brittilehti sekaantui sähköpostien vakoiluun 15:46
- Suomalaiset taitavat tietoturvan hopean arvoisesti 21:47
- Tietoturvayhtiöltä yritettiin kiristää lunnasrahoja 13:15
- Äidit käyvät imettämällä Facebookia vastaan 09:21
- Suosittu piraattisivusto antautui 13:02
- Hakkerit veivät tietoa VeriSignin palvelimilta 10:08
- Google palkkasi portsarin Android Markettiin 09:09
- Lisää
Digiyesterday
Viisi vuotta sitten
Lehti: Siemens laajentaa lahjustutkintaansa
09.02.2007 Elektroniikkayhtiö Siemens laajentaa lahjustutkintaansa, kertoo talouslehti Financial Times paljastamatta lähteitään.
Kolme vuotta sitten
Kiintolevyn tiedot pin-koodin taakse
09.02.2009 Lenovo on julkistanut ulkoisen kiintolevyn, jonka tiedot voi suojata pin-koodilla. Koodi syötetään levyn omalla numeronäppäimistöllä.
Taloussanomat
- Vihdoinkin, Kreikka: Sopu säästöistä syntyi 16:50
- "Finnair hakee kumppania suuresta joukosta yhtiöitä" 14:43
- Tänne tulevat uudet Prismat 14:48
- Draghi: Epävarmassa taloudessa yhä riskinsä 16:34
- Tätäkö keskusta pelkää – turhaan vai? 15:47
- Tasan vuosi – euribor laski taas 1,70 prosenttiin 12:33
- Asunnon ostaja, älä luule – yritä selvittää 06:01
- 8 syytä, miksi Google tai Apple ei ikinä palkkaa sinua 14:27
- Sampo Pankin tulos heikkeni hieman 12:28
- M-realin ja Metsäliiton nimet muuttuvat 10:20
- » Taloussanomat.fi
