*
 
AfterDawn: IT-alan uutiset

Internet Explorerissa vakava turva-aukko -- käytä muita selaimia

Kirjoittaja Teemu Laitila @ 18.9.2012 12:14 Kommentteja (18)

Internet Explorerissa vakava turva-aukko -- käytä muita selaimia Internet Explorerin versioissa 7, 8 ja 9 on havaittu vakava tietoturva-aukko, jonka avulla hyökkääjä voi suorittaa koneella omaa koodiaan. Haavoittuvuutta voidaan käyttää hyväksi houkuttelemalla käyttäjä sivustolle, joka on rakennettu nimenomaan hyökkäyksen toteuttamiseksi.
Raporttien mukaan hyökkäystä on hyödynnetty myös käytännössä. Kyseessä on niin sanottu nollapäivähaavoittuvuus eli korjausta ei ole tällä hetkellä saatavilla. Hyökkäyskoodin ensimmäisenä havainnut tietoturvatutkija Eric Romang epäilee, että haavoittuvuutta on hyödyntänyt sama ryhmä, joka viime kuussa oli vastuussa Java-tekniikkaa hyödyntäneen hyökkäyksen takana.

Microsoftin kannalta tilanteesta tekee ikävän se, että haavoittuvuus koskee kaikkia käytössä olevia Internet Explorer -versioita lukuun ottamatta uusinta kehitysvaiheessa olevaa IE10-versiota. IE-selainten yleisyys altistaa siis jopa kolmasosan netinkäyttäjistä haavoittuvuudelle.

Tähän mennessä Microsoftin ehdottamat torjuntakeinot ovat monelle peruskäyttäjälle hankalia. Microsoftin mukaan ennen virallisen päivityksen julkaisua uhkaa voi torjua asentamalla EMET-paketin, joka eristää ohjelman toimimaan suljetussa tilassa erillään muusta järjestelmästä. Microsoft myös suosittelee selaimen turvatason asettamista korkeimmalle mahdolliselle tasolle, mikä estää ActiveX - ja Active Scripting -tekniikoiden käytön. Tarkempi kuvaus suojautumiskeinoista löytyy Microsoftin sivuilta.

Peruskäyttäjän kannalta helpoin ratkaisu lienee kuitenkin vaihtaa selainta kokonaan ja asentaa joku vaihtoehtoisista selaimista kuten Mozilla Firefox, Opera tai Googlen Chrome.

Edellinen Seuraava  

18 kommenttia

118.9.2012 13:17

Tosi kuin vesi ja vuotaa kuin seula.

218.9.2012 13:36

En ymmärrä miksi jotkut vielä käyttävät tuota surkeaa selainta. Ei siinä ole mitään hyviä puolia. Firefox ja Chrome ovat parhaat.

Viestiä on muokattu sen lähettämisen jälkeen. Viestiä on muokattu viimeksi 18.9.2012 @ 13:36

Tietokone: Pöytäkone on pakettikone (Windows 7) ja kannettava on Acer Aspire 7520 (Windows Vista) | Kännykkä: Nokia C6-01 | Digiboksi: Topfield TF 5100PVRt | TV: Hitachi 32LD6600

318.9.2012 13:39

Tässä hiljaittaan uutisoitiin tällaisestakin haavoittuvuudesta:

http://fin.afterdawn.com/uutiset/artikk..._selainistunnot

Kumma kun silloin ei kehoitettu käyttämään jotain muuta selainta...?
Ainiin, tuo haavoittuvuushan koskikin Chromea ja Firefoxia

418.9.2012 15:12

Onhan siinä aika iso ero että saako kaapattua selainistuntoja verrattuna oman koodin ajamiseen. 0daynä moisen exploitin nähdessä sietääkin vaihtaa selainta mutta selainistuntojen kaappauksella luotettavilla sivustoilla ei ole juurikaan ongelmaa koska se vaatii hyökkääjän koodia sekaan.

518.9.2012 16:24

Lainaus, alkuperäisen viestin kirjoitti Zoomst:
Onhan siinä aika iso ero että saako kaapattua selainistuntoja verrattuna oman koodin ajamiseen. 0daynä moisen exploitin nähdessä sietääkin vaihtaa selainta mutta selainistuntojen kaappauksella luotettavilla sivustoilla ei ole juurikaan ongelmaa koska se vaatii hyökkääjän koodia sekaan.
Onhan siinä ero... en sitten tiedä kumpi on käyttäjän kannalta pahempi vahinko, se että hyökkääjä saa ajettua koneella koodia joka sekoittaa koneen ja jonka korjaamiseksi joutuu suorittamaan esimerkiksi järjestelmän palautuksen johon tuhraantuu 10 minuuttia (tämä IE:n "vakava" turva-aukko), vaiko se että hyökkääjää kaappaa suojatun verkkopankki-istunnon aikana käyttäjän tunnukset ja onnistuu kirjautumaan niillä verkkopankkiin tyhjentämään käyttäjän tilin (Chromen ja Firefoxin "ongelmaton" haavoittuvuus)

618.9.2012 17:30

Lainaus, alkuperäisen viestin kirjoitti perhana:

Kumma kun silloin ei kehoitettu käyttämään jotain muuta selainta...?
Ainiin, tuo haavoittuvuushan koskikin Chromea ja Firefoxia

no mitä siinä jää suositeltavaksi jos haavoittuvuus löytyy kahdesta ainoasta käyttökelpoisesta ja kunnollisesta selaimesta?

719.9.2012 0:18

Lainaus, alkuperäisen viestin kirjoitti Michelola:

no mitä siinä jää suositeltavaksi jos haavoittuvuus löytyy kahdesta ainoasta käyttökelpoisesta ja kunnollisesta selaimesta?



Eli sinä sitten ilmeisesti suosittelet netin käytön lopettamista :D Ei muuta kuin pisteet siitä...

Jos kuitenkin unohtaa ennakkoluulot ja perusteettoman Microsoft vihan niin päästään siihen tulokseen että IE9 on ihan kelpo selain. Jos se ei kuitenkaan tunnu hyvältä niin käyttää voi vaikka Safaria tai Operaa. Kysymys kuuluu, miksi näiden käyttöä ei suositeltu tuolla toisessa uutisessa? En ymmärrä. Uutisointi voisi olla "hieman" tasapuolisempaa...
Lainaus:
Peruskäyttäjän kannalta helpoin ratkaisu lienee kuitenkin vaihtaa selainta kokonaan ja asentaa joku vaihtoehtoisista selaimista kuten Mozilla Firefox, Opera tai Googlen Chrome.

Eiköhän helpointa ole kuitenkin käyttää edes hitusen maalaisjärkeä netin käytössä ja jättää epämääräiset sivut ja sähköpostit väliin. Helpoin ratkaisu on siis, Älä ole tyhmä!
Viestiä on muokattu sen lähettämisen jälkeen. Viestiä on muokattu viimeksi 19.9.2012 @ 00:19

Asus P8P67, i5 2500-K @ 3,6Ghz, Scythe Ninja 3, GTX 660 DirectCu II, Fractal Design R3, Seasonic S12 II-520W, PNY SSD, Eizo FORIS FS2331, 12Gb DDR3 1600Mhz@1.65V, Logitech G105 keyboard + g500 mouse.

819.9.2012 8:38

Näin äkkivilkaisultaan vaihtoehtoisen selaimen asentaminen on vaikeampaa kuin tuon turvatason nosto.


Antamani neuvot perustuvat omaan kokemukseen. Jos mielestäsi ne ovat puutaheinää, kerro toki.

919.9.2012 10:18

Lainaus:
Eiköhän helpointa ole kuitenkin käyttää edes hitusen maalaisjärkeä netin käytössä ja jättää epämääräiset sivut ja sähköpostit väliin. Helpoin ratkaisu on siis, Älä ole tyhmä!
Eli kun M$ mokaa niin se on käyttäjän vika? Voihan se näinkin sanoa, mitä käyttää ja maksaa maltaita vuodesta toiseen reikäjuusto platformia kun on olemassa ilmainen ja tietoturvallinen vaihtoehto eli Linux:ia.

Ilmeistä on että pelkkä varovaisuus ei riitä vaan riittää kun avaa windows juuston.



"History books will be written about events this month. The story they will tell is up to us"

1019.9.2012 10:49

Normaali tili ja EMET asennettuna ja EMETin alle kaikki selaimet, PDF-lukijat, media playerit jne. Ja sitten voi jatkaa mitä oli tekemässä.



1119.9.2012 13:41

Lainaus, alkuperäisen viestin kirjoitti syrtek66:

Eli kun M$ mokaa niin se on käyttäjän vika? Voihan se näinkin sanoa, mitä käyttää ja maksaa maltaita vuodesta toiseen reikäjuusto platformia kun on olemassa ilmainen ja tietoturvallinen vaihtoehto eli Linux:ia.

Ilmeistä on että pelkkä varovaisuus ei riitä vaan riittää kun avaa windows juuston.



Ainoastaan Linux fanaaja osaa tehdä tällaisen johtopäätöksen.

Pointti on että netin käyttöä on mahdollista käyttää täysin turvallisesti IE:llä perusasetuksilla jos käyttää edes vähän maalaisjärkeä. Jos järjen käyttö ei kiinnosta niin nostaa sitten tietoturvan tasoa. Loogista.



Asus P8P67, i5 2500-K @ 3,6Ghz, Scythe Ninja 3, GTX 660 DirectCu II, Fractal Design R3, Seasonic S12 II-520W, PNY SSD, Eizo FORIS FS2331, 12Gb DDR3 1600Mhz@1.65V, Logitech G105 keyboard + g500 mouse.

1219.9.2012 14:31

Lainaus:
Pointti on että netin käyttöä on mahdollista käyttää täysin turvallisesti IE:llä perusasetuksilla jos käyttää edes vähän maalaisjärkeä. Jos järjen käyttö ei kiinnosta niin nostaa sitten tietoturvan tasoa. Loogista.
Mikä on lopputulos? Lähes toimimaton selain jolla ei tee mitään. Eli jos windows on reikäjuusto niin sinun pitää ostaa virustorjunta ohjelmat ja laittaa selaimen turvataso täysille niin olet ehkä turvassa.

Miksi ihmiset suostuvat tähän typeryyteen? Tyhmäähän se on maksaa koko ajan sillisalaatista ja roskasta.

"History books will be written about events this month. The story they will tell is up to us"

1319.9.2012 16:49

Lainaus, alkuperäisen viestin kirjoitti syrtek66:
Lainaus:
Pointti on että netin käyttöä on mahdollista käyttää täysin turvallisesti IE:llä perusasetuksilla jos käyttää edes vähän maalaisjärkeä. Jos järjen käyttö ei kiinnosta niin nostaa sitten tietoturvan tasoa. Loogista.
Mikä on lopputulos? Lähes toimimaton selain jolla ei tee mitään. Eli jos windows on reikäjuusto niin sinun pitää ostaa virustorjunta ohjelmat ja laittaa selaimen turvataso täysille niin olet ehkä turvassa.

Miksi ihmiset suostuvat tähän typeryyteen? Tyhmäähän se on maksaa koko ajan sillisalaatista ja roskasta.
Juuri tuollaista tekstiä syntyy kun fanaattinen linux-hihhuli lukaisee minkä tahansa uutisen microsoftin järjestelmästä eikä edes ymmärrä ajatella lukemaansa ennen linux-ylistystään.

Mietihän nyt hiukan... niille ihmisille jotka ihan omasta tahdostaan oikeasti haluavat käyttää windowsia koska eivät koe linuxia mieleisekseen, vaikka joutuisivat siitä hieman maksamaankin, ei se windows muutu ilmaiseksi vaikka he käyttäisivät mitä tahansa ilmaista selainta.

Ja hieman avoimemmin mielin nettiä seuraamalla voi todeta että samanlaisia reikäjuustoja ne muutkin selaimet ovat, haavoittuvuuksia löytyy jatkuvasti muistakin selaimista kuin IE:stä, muiden selainten haavoittuvuudet jäävät vain pienemmällä huomiolle koska niistä uutisoiminen ei kerää lukijoita yhtä tehokkaasti, Pw2Own tapahtumasta uutisoiminenkin loppui siihen päivään kun joku uskalsi Chromen hakkeroida nopeammin kuin IE:n

1419.9.2012 17:39

Ja sitten on työelämän asettamat rajoitukset. Sitä Linux-jakelua ei vaan oteta noin vain käyttöön. Joo joo, Microsoftin monopoli jne. lässyn lässyn. Tässä maailmassa pitää saada työt tehtyä. Linuxin kanssa näpertäminen ei välttämättä kaikille sovellu.

Olen pitänyt Linuxia yhtenä vaihtoehtona, koska en voi sietää Windows 8 Modern Puke käyttöliittymää. Toki Windows 7:lla pärjää vielä, mutta jos Modern Legoland läyttöliittymä on tullut jäädäkseen, pitää ehkä tyytyä Linuxin heikompaan ohjelmistotarjontaan (ja pidetään ne mölut mahassa, asiasta on jo monta keskustelua, kaikkeen oleelliseen Windowsilla, Linuxilla ei ole tarjoa kuin puolivillaisia ratkaisuja).



1519.9.2012 17:44

"Ja hieman avoimemmin mielin nettiä seuraamalla voi todeta että samanlaisia reikäjuustoja ne muutkin selaimet ovat, haavoittuvuuksia löytyy jatkuvasti muistakin selaimista kuin IE:stä"

Kun me puhutaan IE:n nollapäiväbugeista jotka käytännössä mahdollistava oman koodin suorittamisen windowsin ytimessä, tähän ei mikään selain pysty. Mikään muu käyttöjärjestelmä ei ole näin reikäinen, maailmassa kulutetaan hirveitä summia turvaohjelmiin edes siedettävn windows kuvan pitämiseen.


"History books will be written about events this month. The story they will tell is up to us"

1620.9.2012 18:07

Lainaus, alkuperäisen viestin kirjoitti syrtek66:

Kun me puhutaan IE:n nollapäiväbugeista jotka käytännössä mahdollistava oman koodin suorittamisen windowsin ytimessä, tähän ei mikään selain pysty. Mikään muu käyttöjärjestelmä ei ole näin reikäinen, maailmassa kulutetaan hirveitä summia turvaohjelmiin edes siedettävn windows kuvan pitämiseen.

Ja niitä samoja bugeja on muillakin selaimilla että pääsee ajamaa vihamielistä koodia koneella. Käyttäjän omat toimet kuitenkin vaikuttavat paljon, ILMAINEN virustorjunta auttaa, palomuuri auttaa jne. joten ihan huoletta ja TURVALLISESTI sitä Windowsia voi käyttää.

No linux fanaajat joutuvat turvautumaan viimeisiin oljen korsiin kun yrittävät puolustaa omaa järjestelmäänsä vaikka juna on siitä mennyt ohitse monta kertaa. Vuonna 1999 mulle moni väitti että Linux on tulevaisuutta ja lyö kohta läpi. Vuonna 2012 ei olla edes lähellä. Linuxilla oli vaikka kuinka paljon mahiksia kun Windows rypi vakaus ja tietoturvaongelmissa. Mitään ei kuitenkaan tapahtunut. Nyt kun on Windows 7 niin tehtävä on melkein mahdoton. Näin se vaan menee...

Asus P8P67, i5 2500-K @ 3,6Ghz, Scythe Ninja 3, GTX 660 DirectCu II, Fractal Design R3, Seasonic S12 II-520W, PNY SSD, Eizo FORIS FS2331, 12Gb DDR3 1600Mhz@1.65V, Logitech G105 keyboard + g500 mouse.

1713.6.2013 11:04

Voiko kukaan kertoa miksi Gmailin,Soneran,Saunalahden yms. sähköpostien käyttäjätunnus (KT) osioon tulee musta (X) tunnus, kun siihen kirjoittaa oman tunnuksensa tai aloittaa minkä kirjoituksen tahansa?
Sama tulos tulee salasana(SS) kohteeseen musta silmä,kun siihen kirjoittaa salasanansa tai jotain muuta?
Kysyin asiaa F-Securelta ja koneeni käytiin etäkäyttönä läpi ja F-Securen vastaus oli, että se on Exolorer selaimen ominaisuudessa ja he ei sille voi mitään? Pyysivät ottamaan Microsoftiin yhteyttä > vastaus oli, että se kuuluu sen ominaisuuksiin. Suomen Microsoftin edustaja pyöritteti ja jaaritteli niitä näitäm joista ei saanut mitään uskottavaa selitystä. Ominaisuus tuli sähköpostiini viime viikolla(23)samana päivänä, kun USA:n NSA paljastus tuli? Onko kenelläkään samaa ongelmaa? Mitä nää merkit on ja miten ne saa pois, pärjäsin ilman niitäkin.Minulla on Windows 9 Explorer koneessa ollut noin 2-vuotta ja toiminut hyvin, mutta nyt on ihmeellinen tilanne? Voiko kukaan auttaa?
Pyydän ystävällisiä vastauksia pian.

1813.6.2013 16:02

Rauhoitu hyvä ihminen, ota foliota vähän löysemmälle. :)

X-kuvakkeesta voit tyhjentää kirjoittamasi tunnus-kentän ja silmä-kuvake näyttää kuvakkeen painamisen ajaksi salasanasi, jos olet vaikka epäileväinen kirjoititko salasanan oikein.



Tämän uutisen kommentointi ei ole enää mahdollista.

Tuoreimmat uutiset

iPhonen muisti täynnä? Näillä ohjeilla saat lisää tallennustilaa iPhonen muisti täynnä? Näillä ohjeilla saat lisää tallennustilaa (6.12.2016 13:53)
Jos omistat 16 gigatavun tallennusmuistilla varustetun iPhonen tai iPadin, on laitteesi näytöllä melko varmasti vilahtanut silloin tällöin Tallennustila melkein täynnä -varoitus, joka ilmoittaa ....
Kauppa ilman kassalla jonottamista – Amazon aikoo tehdä siitä totta Kauppa ilman kassalla jonottamista – Amazon aikoo tehdä siitä totta (6.12.2016 12:26)
Amazon on jo neljän vuoden ajan kehittänyt ruokakauppaa, josta voisi yksinkertaisesti lähteä pois kun ostokset on kerätty hyllyiltä kauppakassiin. Kassalla jonottaminen jäisi historiaan kokonaan. ....
3 kommenttia
Netflix lupaa tuplasti enemmän sisältöä – Panostaa tosi-TV:hen Netflix lupaa tuplasti enemmän sisältöä – Panostaa tosi-TV:hen (6.12.2016 11:17)
Netflix aikoo kaksinkertaistaa alkuperäistuotantojen ensi vuonna, kertoo yhtiön sisältöjohtaja Ted Sarandos. Tämän vuoden aikana Netflix saanut valmiiksi omia tuotantoja noin 500 tunnin verran ....
1 kommentti
VW yrittää kääntää autottomuuden voitoksi – Perusti uuden kyytipalvelun VW yrittää kääntää autottomuuden voitoksi – Perusti uuden kyytipalvelun (6.12.2016 10:26)
Kyytipalvelu Uber on omalla esimerkillään osoittanut, että sijoittajapiireissä liikkuu paljon rahaa toimivien liikennepalveluiden kehittäjille ja kaupunkien liikennöinnin uudistaminen voi olla ....
Microsoft perusti uuden chat-robotin – Politiikasta se ei saa puhua Microsoft perusti uuden chat-robotin – Politiikasta se ei saa puhua (6.12.2016 09:42)
Viime keväänä Microsoft esitteli tekoälyosaamistaan Tay-nimisellä Twitter-botilla, jonka luvattiin kykenevän keskustelemaan luontevasti muiden mikroblogipalvelun käyttäjien kanssa. Internet ....

Uutisarkisto