Background Print only logo
Viestintäviraston etusivulle
Etusivu | Varoitukset | Tietoturva nyt! | Haavoittuvuudet | Ohjeet | Katsaukset | Palvelut | Esitykset |

CERT-FI

PL 313
00181 Helsinki
Puh: 09 6966 510
Fax: 09 6966 515

Salausavaimet

Viestintävirasto

Itämerenkatu 3 A
00180 HELSINKI
Puh: 09 6966 500
Fax: 09 6966 410

Tarkat yhteystiedot

Tietoa evästeistä

CERT-FI Facebookissa

 Etusivu > Tietoturva nyt! > 2008 > Tammikuu

Tammikuu

Tästä aiheesta löytyy myös RSS-syöte Rss-syöte

24.01.2008

Java-päivitys korjaa lukuisia ohjelmistovirheitä

Sun Java Runtime Environment -ohjelmiston päivityksessä ilmoitetaan korjatun peräti 360 löydettyä virhettä.

Uusi Sun JRE versio 1.6.0_04-b12 on julkaistu. Osa uudessa versiossa korjatuista virheistä vaikuttaa myös ohjelmiston turvallisuuteen. Lisätietoja päivityksestä löytyy Sun Microsystemsin Java-sivuilta. Java kannattaa päivittää uusimpaan versioonsa mahdollisimman pian. Päivitysten yhteydessä vanhat Java-versiot kannattaa myös poistaa tietokoneelta mahdollisuuksien mukaan.

16.01.2008

Haittaohjelmista varoittava aiheeton ketjusähköpostiviesti liikenteessä

Viestiä ei kannata levittää eteenpäin - varoitus on aiheeton

CERT-FI on vastaanottanut useita ilmoituksia haittaohjelmista varoittavasta sähköpostiviestistä. Kyseessä on ajoittain toistuva ilmiö, joka ei anna aihetta lisätoimenpiteisiin. Tämäntyyppisiä viestejä ei kannata edelleenlevittää eteenpäin.

Nyt liikkeellä oleva viesti on ollut liikenteessä jo ainakin vuoden 2007 aikana ellei aikaisemminkin.

15.01.2008

Huomattava määrä yhteisöpalvelujen salasanoja väärissä käsissä Ruotsissa

Ainakin efterfesten.com ja bilddagboken.se -palveluiden käyttäjätunnukset kohteena

Ruotsissa on viime päivinä tapahtunut useita tietomurtoja, joiden kohteena on ollut www-pohjainen yhteisöpalvelu. Ainakin efterfesten.com ja bilddagboken.se -palveluiden salasanatietokantoja on julkaistu verkossa. Lehtitietojen mukaan kyseessä on satojentuhansien käyttäjätunnusten ja salasanojen joutuminen vääriin käsiin.

Tapaus muistuttaa Suomessa viime syksynä tapahtunutta tietomurtojen sarjaa.

Verkkopalvelujen salasanojen turvallisuudesta kannattaa huolehtia tunnollisesti. Eri palveluissa on syytä käyttää mahdollisuuksien mukaan eri salasanaa. Yhteisöpalvelujen järjestelmäylläpitäjien on syytä olla erityisen tarkkana palvelussa käytettyjen ohjelmistojen tietoturvapäivitysten seurannassa.




15.01.2008

Oracle julkaisee tänään merkittäviä ohjelmistopäivityksiä

Tammikuun "Critical Patch Update" sisältää 27 päivitystä.

Oraclen tiedotteen mukaan tänään tiistaina on odotettavissa vuoden 2008 ensimmäinen "Critical Patch Update" -päivityspaketti. Ohjelmistovalmistaja julkaisee näitä päivityksiä neljännesvuosittain, joten paketissa on huomattava joukko päivityksiä eri Oracle-ohjelmistoalustoille. Osa korjatuista haavoittuvuuksista koskee useita eri ohjelmistoja.

Päivityspaketin koosta ja laajuudesta johtuen päivitystoimenpiteisiin on syytä varautua riittävillä resursseilla.

12.01.2008

CERT-FI-ALERT-listalle lähtenyt vanhoja haavoittuvuusilmoituksia

CERT-FI-ALERT-listan tilaajille lähti lauantaina 12.1.2008 klo 14:31-14:32 vanhoja haavoittuvuusilmoituksia sähköpostijärjestelmän toimintahäiriön vuoksi.

Häiriön vuoksi lähetetyt haavoittuvuusilmoitukset olivat 152/2007, 153/2007, 154/2007, 155/2007, 166/2007, 174/2007, 177/2007, 179/2007, 180/2007, 181/2007,
185/2007, 186/2007, 188/2007 ja 001/2008.

Häiriö liittyi Viestintävirastolla 12.1. tehtäviin teknisiin muutostöihin. Pahoittelemme aiheutunutta haittaa. Viestit voi jättää huomiotta.

11.01.2008

CERT-FI:n RSS-syötteissä ja cert.fi-sivuston toiminnassa katkoja lauantaina 12.1.

CERT-FI:n RSS-syötteissä ja sivustolla www.cert.fi saattaa esiintyä ajoittaisia katkoja lauantaina 12.1. kello 11.00 - 17.00 välisenä aikana.

Katkoksien syynä on tekninen muutostyö viraston tietojärjestelmissä. Pahoittelemme katkoksista johtuvaa haittaa.

04.01.2008

Ensi tiistaina Microsoftin ensimmäiset vuoden 2008 tietoturvapäivitykset

Päivityksistä yhden luokitus on Microsoftin mukaan kriittinen.

Microsoft julkaisee tiistaina 7. tammikuuta kaksi tietoturvapäivitystä, joista yksi korjaa Microsoftin mukaan korkeimmalta vakavuusluokitukseltaan kriittisen haavoittuvuuden. Molemmat päivitykset koskevat Windows-käyttöjärjestelmää.

Molemmat päivitykset vaativat järjestelmän uudelleenkäynnistyksen. CERT-FI tulee julkaisemaan päivityksistä myös haavoittuvuustiedotteet. CERT-FI suosittelee päivittämään haavoittuvat ohjelmistot heti päivitysten tultua saataville. Helpoin tapa päivitysten asentamiseen on automaattinen päivityspalvelu.

03.01.2008

Eräät automaattiset Flash-työkalut tuottavat XSS-haavoittuvuuksia sisältäviä SWF-tiedostoja

Eräiden yleisesti käytettyjen Shockwave Flash (SWF) -tiedostoja automaattisesti tuottavien työkalujen on havaittu tuottavan web-sisältöä, joka sisältää Cross-Site Scripting (XSS) -haavoittuvuuksia. XSS-haavoittuvuudet mahdollistavat tyypillisesti hyökkääjän oman JavaScript-koodin suorittamisen haavoittuvan sivuston kontekstissa. Tietyissä olosuhteissa ne saattavat antaa hyökkääjälle muun muassa mahdollisuuden hankkia luottamuksellisia tietoja, muuttaa tapaa, jolla haavoittuva sivusto näkyy www-selaimessa tai suorittaa käyttäjän nimissä toimia haavoittuvalla sivustolla. XSS-haavoittuvuuksien hyväksikäyttäminen tapahtuu tyypillisimmin houkuttelemalla käyttäjä seuraamaan tietyllä tavalla muotoiltua linkkiä.

Ongelma on raportoitu ohjelmistojen valmistajille ja useisiin XSS-haavoittuvuuksia sisältäviä tiedostoja tuottaviin ohjelmistoihin on julkaistu ongelman korjaavia päivityksiä jo aikaisemmin. Osa julkisesti raportoiduista haavoittuvuuksista on korjattu myös Abode Flash Playerin versiossa 9.0.115.0, jossa korjattiin myös muita vakavampia haavoittuvuuksia. CERT-FI on julkaissut korjauksesta myös haavoittuvuustiedotteen.