Tietoturva nyt!

19.2.2010

Firefox-päivitysten jälkeen kohteena uusi haavoittuvuus

Mozilla-ohjelmistoihin (Firefox, Thunderbird ja Seamonkey) julkaistiin äskettäin viisi ohjelmistopäivitystä. Päivitysten jälkeen on julkaistu hyökkäysmenetelmä, joka käyttää hyväkseen toistaiseksi paikkaamatonta Firefox 3.6 -selaimen haavoittuvuutta.

Venäläinen haavoittuvuustutkija kertoo julkaisseensa Firefox-selaimen uusinta versiota vastaan toimivan hyökkäystyökalun. Työkalu julkaistiin maksullisen Immunity Canvas -hyökkäystyökalun käyttämän Vulndisco-hyökkäysmenetelmäpaketin uusimmassa versiossa. Hyökkäyksen väitetään mahdollistavan hyökkääjän koodin suorittamisen kohteena olevan käyttäjän tietokoneessa. Firefox-selaimen uusimman version paikkaamatonta haavoittuvuutta hyväkseen käyttävä hyökkäysmenetelmä toimii hänen mukaansa ainakin Windows XP- ja Vista-käyttöjärjestelmissä.

Hyökkäysmenetelmä on toistaiseksi saatavana vain maksaville asiakkaille, mutta sen leviäminen nopeasti esimerkiksi maksuttoman Metasploit-työkalukokoelman kautta on todennäköistä, jos hyökkäys osoittautuu toimivaksi.

Lisätietoa

Sivua päivitetty 19.02.2010

Tulostusversio

Tuoreimmat kirjoitukset:

Tänään vietetään Tietoturvapäivää yli 60 maassa
7.2.2012
DNSChanger -haittaohjelman poistamisesta
7.2.2012
CERT-FI vuosikatsaus 2011
31.1.2012
Verkon käyttäjiä tahtomattaan palvelunestohyökkäyksissä
27.1.2012
Testaa, onko koneessasi DNSChanger-haittaohjelma
19.1.2012
Keskusrikospoliisi tutkii tietomurtoja
13.1.2012
CERT-FI:n ohjetta verkkopalvelun ohjelmistoalustan valinnasta ja palvelun turvallisesta ylläpidosta päivitetty
13.1.2012
Suomalaiset tekijänoikeusjärjestöt palvelunestohyökkäyksen kohteena
12.1.2012
Suomalaisten automaatiojärjestelmien osoitteita julkaistu verkossa
12.1.2012
Langattomien verkkojen suojauksessa käytetty WPS-tekniikka murtuu helposti
4.1.2012