Background Print only logo
Viestintäviraston etusivulle
Etusivu | Varoitukset | Tietoturva nyt! | Haavoittuvuudet | Ohjeet | Katsaukset | Palvelut | Esitykset |

CERT-FI

PL 313
00181 Helsinki
Puh: 09 6966 510
Fax: 09 6966 515

Salausavaimet

Viestintävirasto

Itämerenkatu 3 A
00180 HELSINKI
Puh: 09 6966 500
Fax: 09 6966 410

Tarkat yhteystiedot

Tietoa evästeistä

CERT-FI Facebookissa

 Etusivu > Varoitukset > 2005 > CERT-FI varoitus 64/2005

CERT-FI varoitus 64/2005

21.9.2005

Haavoittuvuuksia eri selainohjelmistoissa sekä Thunderbird-ohjelmistossa

Opera-, Mozilla Suite-, Firefox-, ja Netscape-selainohjelmistoista on löydetty useita haavoittuvuuksia, joista osa on vakavia. Haavoittuvuuksista yksi koskettaa myös Thunderbird-ohjelmistoa.

Haavoittuvuuksista ensimmäinen koskee vain selainohjelmistojen ja Thunderbird-ohjelmiston Linux-versioita ja liittyy tietyllä tavalla muokattujen URL-osoitteiden käsittelyyn. Haavoittuvuutta hyväksikäyttämällä hyökkääjän voi olla mahdollista suorittaa kohdejärjestelmässä omia komentojaan. Selainohjelmistojen haavoittuvuutta voidaan hyväksikäyttää houkuttelemalla käyttäjä avaamaan tietyllä tavalla muokattu URL-osoite toisen ohjelmiston kautta. Thunderbird-ohjelmiston vastaavaa haavoittuvuutta voidaan hyväksikäyttää houkuttelemalla käyttäjä avaamaan tietyllä tavalla muokattu mailto-osoite toisen ohjelmiston kautta.

Muut julkaistut haavoittuvuudet koskettavat myös muita käyttöjärjestelmäversioita. Vakavimmista haavoittuvuuksista ensimmäinen liittyy tietyllä tavalla muokattujen XBM-muodossa olevien kuvien käsittelyyn. Toinen vakavimmista haavoittuvuuksista liittyy sellaisten Unicode merkistöjen käsittelyyn, joissa on mukana ZWNJ (zero-width non-joiner) -merkkejä. Haavoittuvuuksia hyväksikäyttämällä hyökkääjän voi olla mahdollista suorittaa kohdejärjestelmässä omia komentojaan.

VAROITUKSEN KOHDERYHMÄ:

Ensimmäinen haavoittuvuus:

  • Mozilla Firefox Unix/Linux -käyttöjärjestelmälle versio 1.0.6 ja sitä aiemmat versiot

  • Mozilla Suite Unix/Linux -käyttöjärjestelmälle versio 1.7.11 ja sitä aiemmat versiot

  • Thunderbird-ohjelmisto Unix/Linux -käyttöjärjestelmälle versio 1.0.6 ja sitä aiemmat versiot

  • Opera Unix/Linux -käyttöjärjestelmälle versio 8.50 ja sitä aiemmat versiot

Muut haavoittuvuudet:

  • Mozilla Firefox versio 1.0.6 ja sitä aiemmat versiot

  • Mozilla Suite versio 1.7.11 ja sitä aiemmat versiot

  • Netscape 8.0.3.3 ja sitä aikaisemmat versiot

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Päivitä Mozilla Firefox -selainohjelmisto versioon 1.0.7.

Päivitä Mozilla Suite -selainohjelmisto versioon 1.7.12.

Päivitä Thunderbird-ohjelmisto versioon 1.0.7.

Päivitä Netscape-ohjelmisto versioon 8.0.4.

Päivitä Opera-selainohjelmisto versioon 8.51.

LISÄTIETOA:

http://www.mozilla.org/products/firefox/releases/1.0.7.html

http://www.mozilla.org/products/mozilla1.x/

http://www.mozilla.org/security/announce/mfsa2005-59.html

http://www.mozilla.org/security/announce/mfsa2005-58.html

http://browser.netscape.com/ns8/security/alerts.jsp

http://www.mozilla.org/products/thunderbird/releases/1.0.7-release-notes.html

http://www.securityfocus.com/bid/14888

http://www.opera.com/download/

PÄIVITYSHISTORIA:

21.09.2005: Julkaistu
22.09.2005: Lisätty tietoa korjatusta Mozilla Suite-selainohjelmiston versiosta.
23.09.2005: Lisätty tietoa eri haavoittuvuuksista ja haavoittuvista ohjelmistoversioista.
03.10.2005: Lisätty haavoittuvien ohjelmistojen joukkoon Thunderbird-ohjelmisto ja siihen liittyviä lisätietolinkkejä.
20.10.2005: Lisätty Netscape-selainta koskevat tiedot.
22.11.2005: Lisätty Opera-selainta koskevat tiedot.
24.11.2005: Muutettu otsikkoa ja lisätty Opera-selain mukaan ensimmäiseen kappaleeseen.
Sivua päivitetty 30.11.2006   Tulostusversio Tulostusversio