Background Print only logo
Viestintäviraston etusivulle
Etusivu | Varoitukset | Tietoturva nyt! | Haavoittuvuudet | Ohjeet | Katsaukset | Palvelut | Esitykset |

CERT-FI

PL 313
00181 Helsinki
Puh: 09 6966 510
Fax: 09 6966 515

Salausavaimet

Viestintävirasto

Itämerenkatu 3 A
00180 HELSINKI
Puh: 09 6966 500
Fax: 09 6966 410

Tarkat yhteystiedot

Tietoa evästeistä

CERT-FI Facebookissa

 Etusivu > Varoitukset > 2005 > CERT-FI varoitus 34/2005

CERT-FI varoitus 34/2005

16.4.2005

Lukuisia haavoittuvuuksia Firefox- ja Mozilla-ohjelmistoissa

Firefox- ja Mozilla-ohjelmistoista on löydetty yhdeksän haavoittuvuutta. Haavoittuvuuksista neljää voidaan pitää erityisen merkittävinä.

Haavoittuvuuksista ensimmäinen liittyy selaimen sidebar-ominaisuuteen. Puutteellisista turvatarkastuksista johtuen vihamieliseltä www-sivulta on mahdollista avata selaimen suojattu sivu, kuten selaimen konfigurointisivu about:config, ja suorittaa vihamielistä ohjelmakoodia ilman turvatarkastuksia.

Toinen haavoittuvuuksista liittyy DOM (Document Object Model) -ominaisuuteen. Selain luottaa virheellisesti DOM-ominaisuuteen liittyviin parametreihin, vaikka niitä voidaan muokata vihamielisen www-sivun kautta.

Kolmas haavoittuvuuksista liittyy sellaisen link-tagin käsittelyyn, jolla selain lataa tietyn kuvan ikoniksi. Jos tällainen tagi sisältää viittauksen javaskriptiin, suoritetaan kyseinen javaskripti kohdejärjestelmässä ilman turvarajoituksia selaimen käyttäjän oikeuksilla.

Neljäs haavoittuvuuksista liittyy PFS (Plugin Finder Service) -toimintoon. PFS-toiminnon avulla on mahdollista ladata selaimesta puuttuva "plugin", jota www-sivulla tarvitaan. Www-sivu voi tarjota PLUGINSPAGE-attribuutilla tiettyä osoitetta PFS:lle, josta puuttuva "plugin" on mahdollista ladata. Jos PLUGINSPAGE-atribuutti sisältääkin viittauksen javaskriptiin, suoritetaan tämä javaskripti selaimen käyttäjän oikeuksilla.

Kaikkia edellä mainittuja haavoittuvuuksia hyväksikäyttämällä hyökkääjän on mahdollista suorittaa omia komentojaan kohdetietojärjestelmässä. Kolmen ensin mainitun haavoittuvuuden hyväksikäyttö ei vaadi käyttäjältä muita aktiivisia toimenpiteitä kuin vihamielisen www-sivun avaamisen.

Muita löydettyjä haavoittuvuuksia hyväksikäyttämällä hyökkääjän on mahdollista mm. lukea selaimen varaamaa muistiavaruutta tai päästä käsiksi evästeisiin.

VAROITUKSEN KOHDERYHMÄ:

  • Firefox 1.0.2 ja tätä aiemmat versiot

  • Mozilla 1.7.6 ja tätä aiemmat versiot

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Päivitä haavoittuva Firefox -selainohjelmisto versioon 1.0.3 osoitteesta:

http://www.mozilla.org/products/firefox/

Päivitä haavoittuva Mozilla-ohjelmisto versioon 1.7.7 osoitteesta:

http://www.mozilla.org/products/mozilla1.x/

LISÄTIETOA:

http://www.mozilla.org/security/announce/

PÄIVITYSHISTORIA:

16.04.2004: Julkaistu
Sivua päivitetty 30.11.2006   Tulostusversio Tulostusversio