Tietoturva nyt!

3.1.2008

Eräät automaattiset Flash-työkalut tuottavat XSS-haavoittuvuuksia sisältäviä SWF-tiedostoja

Eräiden yleisesti käytettyjen Shockwave Flash (SWF) -tiedostoja automaattisesti tuottavien työkalujen on havaittu tuottavan web-sisältöä, joka sisältää Cross-Site Scripting (XSS) -haavoittuvuuksia. XSS-haavoittuvuudet mahdollistavat tyypillisesti hyökkääjän oman JavaScript-koodin suorittamisen haavoittuvan sivuston kontekstissa. Tietyissä olosuhteissa ne saattavat antaa hyökkääjälle muun muassa mahdollisuuden hankkia luottamuksellisia tietoja, muuttaa tapaa, jolla haavoittuva sivusto näkyy www-selaimessa tai suorittaa käyttäjän nimissä toimia haavoittuvalla sivustolla. XSS-haavoittuvuuksien hyväksikäyttäminen tapahtuu tyypillisimmin houkuttelemalla käyttäjä seuraamaan tietyllä tavalla muotoiltua linkkiä.

Ongelma on raportoitu ohjelmistojen valmistajille ja useisiin XSS-haavoittuvuuksia sisältäviä tiedostoja tuottaviin ohjelmistoihin on julkaistu ongelman korjaavia päivityksiä jo aikaisemmin. Osa julkisesti raportoiduista haavoittuvuuksista on korjattu myös Abode Flash Playerin versiossa 9.0.115.0, jossa korjattiin myös muita vakavampia haavoittuvuuksia. CERT-FI on julkaissut korjauksesta myös haavoittuvuustiedotteen.

Lisätietoa

Sivua päivitetty 03.01.2008

Tulostusversio

Tuoreimmat kirjoitukset:

Tänään vietetään Tietoturvapäivää yli 60 maassa
7.2.2012
DNSChanger -haittaohjelman poistamisesta
7.2.2012
CERT-FI vuosikatsaus 2011
31.1.2012
Verkon käyttäjiä tahtomattaan palvelunestohyökkäyksissä
27.1.2012
Testaa, onko koneessasi DNSChanger-haittaohjelma
19.1.2012
Keskusrikospoliisi tutkii tietomurtoja
13.1.2012
CERT-FI:n ohjetta verkkopalvelun ohjelmistoalustan valinnasta ja palvelun turvallisesta ylläpidosta päivitetty
13.1.2012
Suomalaiset tekijänoikeusjärjestöt palvelunestohyökkäyksen kohteena
12.1.2012
Suomalaisten automaatiojärjestelmien osoitteita julkaistu verkossa
12.1.2012
Langattomien verkkojen suojauksessa käytetty WPS-tekniikka murtuu helposti
4.1.2012