Kaikista yleisimmistä nettiselaimista löytyi vakava haavoittuvuus

Kirjoittaja Manu Pitkänen @ 26.9.2015 12:48 Kommentteja (8)

Kaikista yleisimmistä nettiselaimista löytyi vakava haavoittuvuus Tutkijat löysivät käytännössä kaikista suurimmista nettiselaimista tietoturva-aukon, joka mahdollisti salatun HTTPS-istunnon tietojen kaappaamisen niin sanottujen keksitiedostojen avulla.
Haavoittuvuuden ydin oli käytännössä siinä, että vaikka selaimet mahdollistavat vain HTTPS-yhteyden yli käytettävät keksitiedostot, eivät selaimet tarkistaneet mistä lähteestä "suojatut keksit" oli asetettu. Hyökkääjä saattoi siis korvata aidon, vaikkapa verkkopankin luoman, HTTPS-keksin hyökkääjän itsensä hallitsemalla keksillä, joka on naamioitu verkkopankin keksiksi.

Aukko kosketti Applen Safaria, Microsoftin Internet Exploreria ja uutta Edge-selainta, Mozilla Firefoxia, Google Chromea, Operaa ja Vivaldia. Haavoittuvuus on jo korjattu näissä kaikissa selaimissa.

Verkkosivujen ylläpitäjiä Yhdysvaltain CERT-viranomainen suosittelee ottamaan käyttöön HSTS-tietoturvamekanismi ja hyödyntää sen includeSubdomains-valintaa.

AfterDawnin diilit uutiskirjeenä!

Etsimme jatkuvasti hyviä tietotekniikan ja kännyköiden diilejä ympäri nettiä ja uutisoimme niistä sivuillamme. Jos haluat saada tiedon uusista diileistä heti sähköpostiisi, tilaa diilien uutiskirjeemme.

Tilaamalla uutiskirjeemme hyväksyt sääntömme ja tietosuojakäytäntömme.

Tägit: HTTP HTTPS keksi
Edellinen Seuraava  

8 kommenttia

126.9.2015 14:09

Ei oikein ymmärrä. Minulla on aina ollut käytössä että ei sallita kolmannen osapuolen keksejä. Eikö tämä muka tarkista keksiä siihen verkkotunnukseen https:llä? Koska jos se ei tarkista niin miksi edes valinta joka ei tee mitään?

226.9.2015 17:00

Lainaus, alkuperäisen viestin kirjoitti Lumikki:
Ei oikein ymmärrä. Minulla on aina ollut käytössä että ei sallita kolmannen osapuolen keksejä. Eikö tämä muka tarkista keksiä siihen verkkotunnukseen https:llä? Koska jos se ei tarkista niin miksi edes valinta joka ei tee mitään?
Subdomaineja ei lasketa kolmansiksi osapuoliksi. HSTS taas on serveripuolen asetus, ei selainpuolen, joten käyttäjä ei käytännössä voi tehdä mitään asialle atm.

326.9.2015 18:36

Milloin opimme käyttämään oikeaa termiä web-selain?

426.9.2015 19:50

Eikö tietoturva-aukkoja suojaa selainta?

526.9.2015 20:35
Qummitusq
Vahvistamaton

Lainaus, alkuperäisen viestin kirjoitti WereCatf:


Subdomaineja ei lasketa kolmansiksi osapuoliksi. HSTS taas on serveripuolen asetus, ei selainpuolen, joten käyttäjä ei käytännössä voi tehdä mitään asialle atm.
Uutisessa lukee, että haavoittuvuuksia on jo korjattu, joten kyllä käyttäjä voi vaikuttaa asiaan huolehtimalla, että selaimesta on riittävän uusi versio asennettu

626.9.2015 21:25
jarckz593
Vahvistamaton

Lainaus, alkuperäisen viestin kirjoitti Jarzka_:
Milloin opimme käyttämään oikeaa termiä web-selain?
Tai cookie.

726.9.2015 22:54

Lainaus:
Subdomaineja ei lasketa kolmansiksi osapuoliksi.

Mutta eikö aliverkkotunnuksen käyttö ja hallinta ole sillä pääverkkotunnuksen omistajalla eli ei kolmas osapuoli sitä oikeasti pysty käyttämään.
Viestiä on muokattu sen lähettämisen jälkeen. Viestiä on muokattu viimeksi 26.9.2015 @ 22:54

828.9.2015 11:12

Mulla on ollut vuosia käytössä Maxthon, se on selviytynyt hyvin, eikä ole haavoittuva.


-Reko

Tämän uutisen kommentointi ei ole enää mahdollista.

Tuoreimmat uutiset

Apple haluaa uudistaa verotusta – Tarvitaan reilumpaa verotusta Apple haluaa uudistaa verotusta – Tarvitaan reilumpaa verotusta (21.1.2020 06:29)
Apple on verosuunnittelun suhteen johtavia yrityksiä ja yhtiö on kiistatta hyötynyt valtavasti Irlannin ympärille rakennetusta verosuunnittelujärjestelmästä. Tästä huolimatta Applen toimitusjohtaja ....
Tesla ei kiihdytä ilman syytä – Tutkinnan taustalla osakemanipulointia Tesla ei kiihdytä ilman syytä – Tutkinnan taustalla osakemanipulointia (21.1.2020 06:15)
Teslan autojen on väitetty useissa tapauksissa kiihdyttäneen tuntemattomasta syystä, minkä seurauksena asiasta on nostettu tutkintapyyntö Yhdysvaltojen liittovaltion liikenneturvallisuusvirastolle ....
Google lämpesi tekoälylainsäädännölle – Nyt pitää miettiä vain millaisia lakeja säädetään Google lämpesi tekoälylainsäädännölle – Nyt pitää miettiä vain millaisia lakeja säädetään (20.1.2020 18:39)
Googlen ja sen emoyhtiön Alphabetin toimitusjohtaja Sundar Pichai toteaa Financial Timesissa julkaistussa mielipidekirjoituksessa suhtautuvansa positiivisesti tekoälyn sääntelyyn. Pichain mukaan ....
Päivän diili: 108 megapikselin pääkameralla varustettu Xiaomi Mi Note 10 nyt 469 euroa (säästä 30 euroa) Päivän diili: 108 megapikselin pääkameralla varustettu Xiaomi Mi Note 10 nyt 469 euroa (säästä 30 euroa) (20.1.2020 17:57)
Marraskuussa Xiaomi julkaisi Mi Note 10 -puhelimen, joka on varustettu viidellä takakameralla. Pääkameran megapikselimäärä yltää peräti 108 megapikseliin. Puhelimen muihin ominaisuuksiin lukeutuvat ....
Samsung sai uuden puhelinpomon – Tehtävänä tehdä taittuvista puhelimista hitti Samsung sai uuden puhelinpomon – Tehtävänä tehdä taittuvista puhelimista hitti (20.1.2020 17:48)
Samsung on korvannut älypuhelinliiketoimintaa johtaneen DJ Kohin yhtiössä vuonna 1997 aloittaneella Roh Tae-mooniilla. Hänen tärkeimpinä tehtävinä on haastaa onnistuneesti kiinalaiset halpavalmistajat ....

Uutisarkisto