 |
Muut verkkotunnukset myös meidän kautta
Adobe Flash Playerissa jälleen uusi haavoittuvuus
Suomessa liikkuu runsaasti CTB-Locker-haittaohjelmaa - Älä avaa epäilyttäviä sähköpostiliitteitä
05 02 2015
Microsoftin Internet Explorer -selaimen versioissa 10 ja 11 korjaamaton XSS-haavoittuvuus
microsoft, xssTietoturvayhtiö Deusen on löytänyt Microsoftin Internet Explorer 10 ja 11-selaimista universaalin Cross Site Scripting-haavoittuvuuden, jonka avulla hyökkääjä voi ohittaa selaimen suojauksia ja asettaa haitallista koodia muille sivustoille.
Deusen on julkaissut haavoittuvuudesta demonstraation, jossa XSS-haavoittuvuuden toimintaa esitellään harmittomalla sisältölisäyksellä.
Haavoittuvuuden avulla hyökkääjän on mahdollista asettaa toiselle verkkosivulle haitallista ohjelmakoodia houkuttelemalla ensin uhri omalle sivustolleen. Tämä voi tapahtua myös käyttäjän huomaamatta.
Hyökkääjän ohjelmakoodin asettaminen vieraille verkkosivuille mahdollistaa mm. käyttäjätunnuksien ja salasanojen urkkimisen, kirjautuneen session haltuunottamisen sekä altistaa käyttäjän haittaohjelmalatauksille tai muulle haitalliselle sisällölle. Haavoittuvuutta on kuvattu universaaliksi siksi, että se ei toimiakseen edellytä haavoittuvuuksia kohdesivustossa, vaan hyväksikäyttää selaimen puutteellista suojausta.
Hyökkäys ohittaa ns. "same origin policy"-suojauksen, joka toimiessaan estää vieraita sivuja asettamasta ohjelmakoodia toisille verkkosivustoille.
Microsoft työstää parhaillaan korjaavaa ohjelmistopäivitystä. Päivitystä odotellessa ongelmaa voi rajoittaa käyttämällä vaihtoehtoista verkkoselainta.
- Palvelimet ja palvelinsovellukset
- Työasemat ja loppukäyttäjäsovellukset
- Verkon aktiivilaitteet
- Matkaviestinjärjestelmät
- Sulautetut järjestelmät
- Muut
Kohde
- Työasemat ja loppukäyttäjäsovellukset
Hyökkäystapa
- Ilman kirjautumista
- Etäkäyttö
- Ilman käyttäjän toimia
Hyväksikäyttö
- Käyttövaltuuksien laajentaminen
- Tietojen muokkaaminen
- Luottamuksellisen tiedon hankkiminen
- Suojauksen ohittaminen
Ratkaisu
- Ongelman rajoittaminen
- Ei päivitystä
Haavoittuvat ohjelmistot:
- Internet Explorer 10 (Windows 7 / 8 / 8.1)
- Internet Explorer 11 (Windows 7 / 8 / 8.1)
Ratkaisu- ja rajoitusmahdollisuudet:
- Korjausta ei vielä julkaistu
- Vaihtoehtoisen selaimen käyttäminen
Lisätietoa:
http://seclists.org/fulldisclosure/2015/Feb/0
http://www.deusen.co.uk/items/insider3show.3362009741042107/
http://innerht.ml/blog/ie-uxss.html
Päivityshistoria
- 05.02.2015 klo 09:44Julkaistu
Tietoturvatiedotteet
- SolarWinds Orion Platformin takaovi mahdollisti vakoilun ja tietomurtoja
- Kalastelusivujen anatomiaa – Box-tiedostonjakopalvelua jäljittelevä kampanja
- Emotet-haittaohjelmaa levitetään aktiivisesti Suomessa
E-Karjalan ICT-Palvelut.net Oy
Markku Järvinen 050 305 9931
markku.jarvinen(AT)ict-palvelut.net
markku.jarvinen(AT)ict-palvelut.net
Käytämme evästeitä. Lisätiedot. Tarkempi selvitys Traficomin jutusta tai täältä.