Background Print only logo
Viestintäviraston etusivulle
Etusivu | Varoitukset | Tietoturva nyt! | Haavoittuvuudet | Ohjeet | Katsaukset | Palvelut | Esitykset |

CERT-FI

PL 313
00181 Helsinki
Puh: 09 6966 510
Fax: 09 6966 515

Salausavaimet

Viestintävirasto

Itämerenkatu 3 A
00180 HELSINKI
Puh: 09 6966 500
Fax: 09 6966 410

Tarkat yhteystiedot

Tietoa evästeistä

CERT-FI Facebookissa

 Etusivu > Varoitukset > 2005 > CERT-FI varoitus 62/2005

CERT-FI varoitus 62/2005

11.9.2005

Haavoittuvuus Firefox-, Mozilla- ja Netscape-selaimissa

IDN (Internationalized Domain Names) -tuen avulla selain kykenee käsittelemään unicode-merkistön mukaisia dns-nimiä. Unicode-merkistön mukaisia dns-nimiä ovat mm. ääkkösiä sisältävät osoitteet. Firefox-, Mozilla- ja Netscape-selaimista on löydetty IDN-tukeen liittyvä haavoittuvuus.

Löydetty haavoittuvuus liittyy HTML-koodissa olevan URL-parametrin käsittelyyn. URL-parametrin sisältämä tietyllä tavalla muokattu DNS-nimi aiheuttaa selainohjelmistossa puskuriylivuodon, jota hyväksikäyttämällä hyökkääjän voi olla mahdollista suorittaa kohdejärjestelmässä omia komentojaan. Haavoittuvuutta voidaan hyväksikäyttää www-sivun ja HTML-sähköpostin kautta.

VAROITUKSEN KOHDERYHMÄ:

  • Mozilla Firefox versio 1.0.6 ja sitä aikaisemmat versiot

  • Mozilla Firefox versio 1.5 Beta 1 ja sitä aikaisemmat versiot

  • Mozilla Suite versio 1.7.11 ja sitä aikaisemmat versiot

  • Netscape versio 8.0.3.3 ja sitä aikaisemmat versiot

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Päivitä haavoittuva Firefox-selainohjelmisto versioon 1.0.7 osoitteesta:

http://www.mozilla.org/

Päivitä haavoittuva Mozilla Suite -selainohjelmisto versioon 1.7.12 osoitteesta:

http://www.mozilla.org/products/mozilla1.x/

Päivitä haavoittuva Netscape-selainohjelmisto versioon 8.0.4 osoitteesta:

http://browser.netscape.com/ns8/download/default.jsp

IDN-tuen voi poistaa haavoittuvasta selaimesta manuaalisesti seuraavasti:

1. Kirjoita osoiteriville "about:config"
2. Etsi listasta "network.enableIDN" -parametri
3. Valitse parametri hiirellä ja vaihda sen arvoksi "false"

LISÄTIETOA:

https://addons.mozilla.org/messages/307259.html

http://security-protocols.com/advisory/sp-x17-advisory.txt

http://www.mozilla.org/products/firefox/releases/1.0.7.html

http://www.mozilla.org/security/announce/mfsa2005-57.html

http://browser.netscape.com/ns8/security/alerts.jsp


PÄIVITYSHISTORIA:

11.09.2005: Julkaistu
21.09.2005: Lisätty tietoa korjatusta Mozilla Firefox -selainohjelmiston versiosta.
22.09.2005: Lisätty tietoa korjatusta Mozilla Suite -selainohjelmiston versiosta.
23.09.2005: Lisätty lisätietolinkki.
20.10.2005: Lisätty tieto korjatusta Netscape-selaimen versiosta.
Sivua päivitetty 21.09.2010   Tulostusversio Tulostusversio