Haavoittuvuus 116/2014

16.10.2014 klo 10:34

Mozilla on julkaissut Firefox-selaimesta ja Thunderbird-sähköpostiohjelmistosta uudet versiot.

Mozillan julkaisemat päivitykset Firefox-selaimelle ja Thunderbird-sähköpostiohjelmistolle korjaavat 12 haavoittuvuutta. Haavoittuvuuksien avulla hyökkääjän voi olla muun muassa mahdollista suorittaa omaa ohjelmakoodiaan kohdejärjestelmässä kirjautuneen käyttäjän oikeuksilla.

Kohde

Työasemat ja loppukäyttäjäsovellukset

LISÄTIETOA 

Työasemat ja loppukäyttäjäsovellukset 
Työasemien ja tavallisten käyttäjien sovellusten haavoittuvuudet koskevat usein monia käyttäjiä. Kohteena voi olla esimerkiksi Windows-käyttöjärjestelmä tai tekstinkäsittelyohjelma.Ero palvelinsovellusten ja loppukäyttäjäsovellusten välillä on joskus häilyvä, esimerkiksi samaa käyttöjärjestelmää voidaan käyttää sekä palvelimessa että työasemassa.

Hyväksikäyttö

Komentojen mielivaltainen suorittaminen
Luottamuksellisen tiedon hankkiminen
Palvelunestohyökkäys
Suojauksen ohittaminen

LISÄTIETOJA HYVÄKSIKÄYTÖSTÄ​

Komentojen mielivaltainen suorittaminen 
Komentojen mielivaltaisen suorittamisen mahdollistavaa haavoittuvuutta on pidettävä vakavana, sillä se tarkoittaa sitä, että hyväksikäyttäjä voi käyttää kohteena olevaa järjestelmää aivan kuin sen tavallinen käyttäjäkin. Se voi johtaa myös siihen, että järjestelmään murtautunut hyökkääjä voi ladata verkon kautta järjestelmään omia ohjelmiaan suoritettavaksi.

Luottamuksellisen tiedon hankkiminen 
Luottamuksellisten tietojen hankkiminen kohdejärjestelmästä edellyttää sitä, että sen tietosisältöä, esimerkiksi kiintolevylle talletettuja tiedostoja, pääsee lukemaan luvatta ja välittämään edelleen.

Palvelunestohyökkäys 
Palvelunestohyökkäyksen tarkoituksena on estää kohdejärjestelmää toimimasta siinä tehtävässä mihin se on tarkoitettu. Hyökkäyksen tarkoituksena voi olla esimerkiksi www- tai sähköpostipalvelimen kuormittaminen runsaalla verkkoliikenteellä.

Suojauksen ohittaminen 
Suojauksen ohittamisella tarkoitetaan sitä, että haavoittuvuutta hyväksikäyttämällä ohitetaan järjestelmän käytön rajoittamiseksi tehty suojaus esimerkiksi liikennöimällä palomuurin ohi suojattuun verkkoon.

Ratkaisu

Korjaava ohjelmistopäivitys

LISÄTIETOJA RATKAISUSTA

Korjaava ohjelmistopäivitys 
Ohjelmisto- tai laitevalmistaja julkaisee tavallisesti pian uuden version tai osittaisen päivityksen ohjelmistoon tai käyttöjärjestelmään sen jälkeen kun haavoittuvuus on tullut julki. Päivitys voi olla saatavilla samalla kun haavoittuvuuskin julkaistaan, mutta usein sitä joudutaan odottelemaan jonkin aikaa.

Haavoittuvat ohjelmistot:

Mozilla Firefox ESR ennen versiota 31.2
Mozilla Firefox ennen versiota 33
Mozilla Thunderbird ennen versiota 31.2

Ratkaisu- ja rajoitusmahdollisuudet:

Päivitä haavoittuvat ohjelmistot korjattuihin ohjelmistoversioihin.

Lisätietoa:

https://www.mozilla.org/security/announce/2014/mfsa2014-82.html
https://www.mozilla.org/security/announce/2014/mfsa2014-81.html
https://www.mozilla.org/security/announce/2014/mfsa2014-80.html
https://www.mozilla.org/security/announce/2014/mfsa2014-79.html
https://www.mozilla.org/security/announce/2014/mfsa2014-78.html
https://www.mozilla.org/security/announce/2014/mfsa2014-77.html
https://www.mozilla.org/security/announce/2014/mfsa2014-76.html
https://www.mozilla.org/security/announce/2014/mfsa2014-75.html
https://www.mozilla.org/security/announce/2014/mfsa2014-74.html
CVE-2014-1574
CVE-2014-1575
CVE-2014-1576
CVE-2014-1577
CVE-2014-1578
CVE-2014-1580
CVE-2014-1581
CVE-2014-1582
CVE-2014-1583
CVE-2014-1584
CVE-2014-1585
CVE-2014-1586

Päivityshistoria

16.10.2014 klo 10:34 
Julkaistu

Asiasanat: