Sähköposti tai tunnus Salasana Rekisteröidy

Palvelut
Osallistu
- Keskustelut
- Sijoittajamestari
Yhteydenotot
- Juttuvinkit ja palaute
- Toimitus ja yhteystiedot
Mediatiedot

Ohje

Sulje

Hakuohje

TAI-sanalla saat osumia, joissa esiintyy jokin hakusanoista: hakusana1 TAI hakusana2
Välimerkit hakusanojen välillä tulkitaan JA-sanaksi: hakusana1 hakusana2 = hakusana1 JA hakusana2
Lainausmerkeillä voit hakea täsmällisiä fraaseja: "koko lauseen haku"
Rajaa osumia lisäämällä hakusanan eteen miinusmerkki: hakusana1 -hakusana2 = hakusana1, mutta EI hakusana2
*-merkki katkaisee hakusanan

digitoday

Lue uutinen mobiilisivustolla

CERT-FI kertoo

Jotkut Flash-työkalut tuottavat XSS-haavoittuvuuksia

4.1.2008 09:07 Joidenkin yleisesti käytettyjen Shockwave Flash (SWF) -tiedostoja automaattisesti tuottavien työkalujen on havaittu tuottavan web-sisältöä, joka sisältää Cross-Site Scripting (XSS) -haavoittuvuuksia, kertoo Viestintäviraston tietoturvayksikkö CERT-FI.

CERT-FI:n mukaan XSS-haavoittuvuudet mahdollistavat tyypillisesti hyökkääjän oman JavaScript-koodin suorittamisen haavoittuvan sivuston kontekstissa. Tietyissä olosuhteissa ne saattavat antaa hyökkääjälle muun muassa mahdollisuuden hankkia luottamuksellisia tietoja, muuttaa tapaa, jolla haavoittuva sivusto näkyy www-selaimessa tai suorittaa käyttäjän nimissä toimia haavoittuvalla sivustolla.

Suosittele
1 suositus

Kuuntele

XSS-haavoittuvuuksien hyväksikäyttäminen tapahtuu tyypillisimmin houkuttelemalla käyttäjä seuraamaan tietyllä tavalla muotoiltua linkkiä.

Ongelma on CERT-FI:n mukaan raportoitu ohjelmistojen valmistajille, ja useisiin XSS-haavoittuvuuksia sisältäviä tiedostoja tuottaviin ohjelmistoihin on julkaistu ongelman korjaavia päivityksiä jo aikaisemmin.

Osa julkisesti raportoiduista haavoittuvuuksista on korjattu myös Abode Flash Playerin versiossa 9.0.115.0, jossa korjattiin myös muita vakavampia haavoittuvuuksia.

Kalevi Nikulainen toimitus@digitoday.fi

Teksti on lisensoitu Creative Commons Nimeä-Ei muutoksia-Epäkaupallinen -lisenssillä.

Suosittele
1 suositus

Kuuntele

Aiheeseen liittyviä uutisia

Uudemmat

Teoston sivuille saa vaikka torrent-ohjeet 8.5.2009
Xss-haavoittuvuus avaa oven Facebook-madolle 16.6.2008
Olemattomien verkkosivujen valjastaminen rahasammoiksi aiheuttaa suuren uhan 21.4.2008
Näin xss-aukoilla on hyökätty 31.3.2008
Matti Nikin lapsipornolista näkyi poliisi.fi:ssä 31.3.2008
Nordea korjasi verkkomaksun haavoittuvuuden 28.3.2008
CERT-FI: Turha varoitus leviää ketjusähköpostina 17.1.2008
EMC tuo kiinteän flash-muistin yritystallennukseen 14.1.2008
"Printterisi on minun" 10.1.2008
Microsoft aloitti tietoturvavuoden kevyesti, mutta kriittisesti 9.1.2008
Microsoft korjaa huomenna kriittisen haavoittuvuuden 7.1.2008

Aiemmat

Asterisk kantaa dos-hyökkäyksen riskiä 3.1.2008
Ilmainen albumisofta alttiina hyökkäyksille 27.12.2007
CERT-FI: Indentiteettivarkaat keräävät henkilötietoja verkosta 27.12.2007
Haavoittuvuuksien rypäs kalvaa Lotus Dominoa 27.12.2007
HP:n päivityssofta vaarantaa tietoturvan 27.12.2007
MS:n tietoturvapäivitys saattaa kaataa Internet Explorer 6:n 21.12.2007
ClamAV-suojaus kammettavissa auki 20.12.2007
Adobe Flash avaa ovia hyökkäyksille 20.12.2007

Oikotie

Työpaikat

Loput 1865 työpaikkaa Oikotiellä

Kirjoita kommentti

Kommentit (3)

Joidenkin yleisesti käytettyjen Shockwave Flash (SWF) -tiedostoja automaattisesti tuottavien työkalujen on havaittu tuottavan web-sisältöä, joka sisältää Cross-Site Scripting (XSS) -haavoittuvuuksia, kertoo Viestintäviraston tietoturvayksikkö CERT-FI.

Digitoday