*
 
AfterDawn: IT-alan uutiset

Kaikista yleisimmistä nettiselaimista löytyi vakava haavoittuvuus

Kirjoittaja Manu Pitkänen (Google+) @ 26.9.2015 12:48 Kommentteja (9)

Kaikista yleisimmistä nettiselaimista löytyi vakava haavoittuvuus Tutkijat löysivät käytännössä kaikista suurimmista nettiselaimista tietoturva-aukon, joka mahdollisti salatun HTTPS-istunnon tietojen kaappaamisen niin sanottujen keksitiedostojen avulla.
Haavoittuvuuden ydin oli käytännössä siinä, että vaikka selaimet mahdollistavat vain HTTPS-yhteyden yli käytettävät keksitiedostot, eivät selaimet tarkistaneet mistä lähteestä "suojatut keksit" oli asetettu. Hyökkääjä saattoi siis korvata aidon, vaikkapa verkkopankin luoman, HTTPS-keksin hyökkääjän itsensä hallitsemalla keksillä, joka on naamioitu verkkopankin keksiksi.

Aukko kosketti Applen Safaria, Microsoftin Internet Exploreria ja uutta Edge-selainta, Mozilla Firefoxia, Google Chromea, Operaa ja Vivaldia. Haavoittuvuus on jo korjattu näissä kaikissa selaimissa.

Verkkosivujen ylläpitäjiä Yhdysvaltain CERT-viranomainen suosittelee ottamaan käyttöön HSTS-tietoturvamekanismi ja hyödyntää sen includeSubdomains-valintaa.

Edellinen Seuraava  

9 kommenttia

126.9.2015 14:09

Ei oikein ymmärrä. Minulla on aina ollut käytössä että ei sallita kolmannen osapuolen keksejä. Eikö tämä muka tarkista keksiä siihen verkkotunnukseen https:llä? Koska jos se ei tarkista niin miksi edes valinta joka ei tee mitään?

226.9.2015 17:00

Lainaus, alkuperäisen viestin kirjoitti Lumikki:
Ei oikein ymmärrä. Minulla on aina ollut käytössä että ei sallita kolmannen osapuolen keksejä. Eikö tämä muka tarkista keksiä siihen verkkotunnukseen https:llä? Koska jos se ei tarkista niin miksi edes valinta joka ei tee mitään?
Subdomaineja ei lasketa kolmansiksi osapuoliksi. HSTS taas on serveripuolen asetus, ei selainpuolen, joten käyttäjä ei käytännössä voi tehdä mitään asialle atm.

326.9.2015 18:36

Milloin opimme käyttämään oikeaa termiä web-selain?

426.9.2015 19:50

Eikö tietoturva-aukkoja suojaa selainta?

526.9.2015 20:35
Qummitusq
Vahvistamaton

Lainaus, alkuperäisen viestin kirjoitti WereCatf:


Subdomaineja ei lasketa kolmansiksi osapuoliksi. HSTS taas on serveripuolen asetus, ei selainpuolen, joten käyttäjä ei käytännössä voi tehdä mitään asialle atm.
Uutisessa lukee, että haavoittuvuuksia on jo korjattu, joten kyllä käyttäjä voi vaikuttaa asiaan huolehtimalla, että selaimesta on riittävän uusi versio asennettu

626.9.2015 21:25
jarckz593
Vahvistamaton

Lainaus, alkuperäisen viestin kirjoitti Jarzka_:
Milloin opimme käyttämään oikeaa termiä web-selain?
Tai cookie.

726.9.2015 22:54

Lainaus:
Subdomaineja ei lasketa kolmansiksi osapuoliksi.

Mutta eikö aliverkkotunnuksen käyttö ja hallinta ole sillä pääverkkotunnuksen omistajalla eli ei kolmas osapuoli sitä oikeasti pysty käyttämään.
Viestiä on muokattu sen lähettämisen jälkeen. Viestiä on muokattu viimeksi 26.9.2015 @ 22:54

827.9.2015 14:58
spam
Vahvistamaton

Lainaus, alkuperäisen viestin kirjoitti Lumikki:
Ei oikein ymmärrä. Minulla on aina ollut käytössä että ei sallita kolmannen osapuolen keksejä. Eikö tämä muka tarkista keksiä siihen verkkotunnukseen https:llä? Koska jos se ei tarkista niin miksi edes valinta joka ei tee mitään?

Uutisen mukaan bugi oli siinä ettei tarkista.

Lainaus, alkuperäisen viestin kirjoitti Lumikki:

Mutta eikö aliverkkotunnuksen käyttö ja hallinta ole sillä pääverkkotunnuksen omistajalla eli ei kolmas osapuoli sitä oikeasti pysty käyttämään.

Ei välttämättä.
Tosin uutissa ei puhuttu mitään alivarkkotunnuksista, vaan esimerkiksi oli nostettu verkkopankin keksit, ei oikein sopisi paitsi jos kovasti yleistä että verkkopankin alverkkotunnuksia jaettaisiin tai hoidettaisiin löysästi.

Lainaus, alkuperäisen viestin kirjoitti Qummitusq:

Uutisessa lukee, että haavoittuvuuksia on jo korjattu, joten kyllä käyttäjä voi vaikuttaa asiaan huolehtimalla, että selaimesta on riittävän uusi versio asennettu
Voidaanko luottaa että ongelma on ollut vain niissä joissa on korjattu ja päivitys jaettu loppukäyttäjille ?

928.9.2015 11:12

Mulla on ollut vuosia käytössä Maxthon, se on selviytynyt hyvin, eikä ole haavoittuva.


-Reko

Tämän uutisen kommentointi ei ole enää mahdollista.

Tuoreimmat uutiset

Tankkipelin kehittäjä osti suomalaisen pelistartupin Tankkipelin kehittäjä osti suomalaisen pelistartupin (2.12.2016 13:01)
PC-pelikehittäjät ovat viime aikoina laajentuneet mobiilipelimarkkinoille ostamalla sektorilla jo markkinaosuuksia kahmineita yrityksiä. Esimerkiksi Activision Blizzard osti Candy Crush -pelejä ....
Omistatko Huawein puhelimen? Tarkista saatko Android Nougat -päivityksen Omistatko Huawein puhelimen? Tarkista saatko Android Nougat -päivityksen (2.12.2016 12:26)
Huawei aikoo päivittää ensi vuoden alussa kaikkiaan kuusi puhelinmallia Android 7.0 Nougatiin. Näin kertovat HDBlog.it- ja Android Central -sivustot, jotka eivät kuitenkaan paljasta tietojensa lähdettä. ....
Pelaajat poikkeavat massasta – Joka toinen päivittänyt Windows 10:een Pelaajat poikkeavat massasta – Joka toinen päivittänyt Windows 10:een (2.12.2016 11:16)
Steamin marraskuisten tilastotietojen mukaan lähes puolet pelaajista on siirtynyt Windows 10:een. Satunnaisotantaan perustuvien lukemien mukaan 48,37 prosenttia PC-pelaajista käyttää 64-bittistä ....
2 kommenttia
Älykaiuttimet tulevat – Amazon ja Intel sopivat yhteistyöstä Älykaiuttimet tulevat – Amazon ja Intel sopivat yhteistyöstä (2.12.2016 10:53)
Vielä pari vuotta sitten Internet of Things oli hyvin epämääräinen käsite, jota käytettiin lähes kaikissa pöhinäpuheissa, mutta kukaan ei oikein tuntunut käsittävän mitä se käytännössä oikein ....
Lumioista tuttu ominaisuus tulossa Androidille – MediaTek esitteli uudet piirit Lumioista tuttu ominaisuus tulossa Androidille – MediaTek esitteli uudet piirit (2.12.2016 10:32)
Taiwanilainen mobiilipiirikehittäjä MediaTek on esitellyt kaksi uutta suorituskykyisiin älypuhelimiin suunnattua järjestelmäpiiriä. Helio X23 ja Helio X27 ovat muun Helio X20 -malliston mukaisesti ....

Uutisarkisto