Home Uutissyötteet CERT-FI, haavoittuvuudet
09.09.2010
Main Menu
Uutissyötteet
CERT-FI Haavoittuvuudet
CERT-FI Haavoittuvuudet

CERT-FI
  • 140/2010: Mozilla korjaa haavoittuvuuksia
    Mozilla korjaa useita haavoittuvuuksia Firefox-selaimessa, Thunderbird-sähköpostiohjelmassa ja Seamonkey-ohjelmistopaketissa. Päivitykset korjaavat 15 haavoittuvuutta, joista kymmenen on luokiteltu kriittisiksi. Kriittisten haavoittuvuuksien hyväksikäyttö saattaa johtaa hyökkääjän ohjelmakoodin suorittamiseen kohdejärjestelmässä.

  • 139/2010: Haavoittuvuuksia Applen Safari-selaimessa
    Apple korjaa kolme haavoittuvuutta Safari-selaimen uusilla versioilla 5.0.2 ja 4.1.2. Haavoittuvuuksia hyväksikäyttämällä hyökkääjän voi olla mahdollista aiheuttaa palvelunestotila tai suorittaa omaa ohjelmakoodia, mikäli käyttäjä vierailee haitallista sisältöä tarjoavalla www-sivulla tai avaa tiedoston hakemistossa, johon myös muilla on kirjoitusoikeus. Ensimmäinen haavoittuvuus liittyy Safarin tapaa avata hakemisto, johon ladatut tiedostot talletetaan. Muut haavoittuvuudet liittyvät Safarin käyttämän WebKit-selainalustan tapaan käsitellä syötteitä ja osoittimia.

  • 138/2010: Apple iTunes 10 julkaistu
    Apple on julkaissut iTunes-päivityksen Windows-käyttöjärjestelmille. Päivitys korjaa useita iTunesin käyttämän WebKit-selainalustan haavoittuvuuksia. Haavoittuvuudet liittyvät RSS-syötteiden käsittelyyn, automaattisesti täytettävien lomaketietojen paljastumiseen sekä Safarin käyttämän WebKit-selainmoottorin virheisiin verkkosivujen käsittelyssä. Haavoittuvuuksia hyväksikäyttämällä hyökkääjän voi olla mahdollista saada tietoonsa selaimelle syötettyjä tietoja, aiheuttaa palvelunestotila tai suorittaa omaa ohjelmakoodia, mikäli käyttäjä vierailee haitallista sisältöä tarjoavalla www-sivulla.

  • 137/2010: AIX-käyttöjärjestelmän ftpd-ohjelmiston haavoittuvuus paikattu
    AIX-käyttöjärjestelmän ftp-palvelinohjelmassa /usr/sbin/ftpd on puskurin ylivuodosta johtuva haavoittuvuus. Antamalla ylipitkän NLST-komennon yhteyden aikana hyökkääjä voi saada salasanojen DES-salatut tiivisteet, jos järjestelmässä on sallittu tiedostojen kirjoittaminen ftp-yhteyden kautta. Hyökkäyksen voi toteuttaa julkiseksi tarkoitetun anonymous ftp -tunnuksen avulla tai kirjautumalla palvelimelle olemassa olevalla käyttäjätunnuksella.

  • 136/2010: VMware ESX -ohjelmistojen päivityksissä korjattiin haavoittuvuuksia
    VMware ESX -virtualisointiympäristön kolmannen osapuolen ohjelmistoihin on julkaistu päivityksiä. Päivityksissä korjataan haavoittuvuuksia ohjelmistoissa cpio, tar, samba, krb5 ja perl.

  • 135/2010: Apple Quicktime ActiveX-kontrollin haavoittuvuus
    Apple QuickTime ActiveX-komponentissa QTPlugin.ocx on haavoittuvuus, joka mahdollistaa hyökkääjän koodin suorittamisen web-selaimen kontekstissa jos käyttäjä vierailee selaimella haitallista sisältöä sisältävällä www-sivulla tai avaa haitallisen tiedoston. Haavoittuvuus johtuu siitä, että QTPlugin.ocx hyväksyy parametrin _Marshaled_pUnk, jota se käsittelee osoittimena (pointer). Syöttämällä parametrina epäkelvon osoitteen hyökkääjä voi pakottaa ohjelman siirtymään tiettyyn muistipaikkaan ja siten suorittamaan haluamaansa ohjelmakoodia. Metasploit-haavoittuvuustestaustyökaluun on julkaistu haavoittuvuutta hyödyntävä moduuli.

  • 133/2010: Päivitys korjaa haavoittuvuuden FCKEditor.netissä
    FCKEditor.net on yleisesti web-sovelluksissa käytetyn tekstieditorin .net -versio. Editorista on löytynyt haavoittuvuus minkä avulla hyökkääjän on mahdollista suorittaa omaa ohjelmakoodiaan kohteena olevassa järjestelmässä. Haavoittuvuuden onnistunut hyväksikäyttö vaatii, että kohdejärjestelmän www-palvelin on toteutettu käyttäen IIS:ää. Haavoittuvuus liittyy vuoden 2009 lopulla julki tulleeseen haavoittuvuuteen IIS www-palvelimissa. CERT-FI on julkaissut haavoittuvuudesta haavoittuvuustiedotteen 132/2009.

  • 134/2010: Haavoittuvuus Cisco IOS XR -ohjelmistossa
    Cisco IOS XR -ohjelmistossa on löytynyt haavoittuvuus, joka liittyy ohjelmiston virheelliseen tapaan käsitellä BGP-reittimainostuksiin liittyviä lisämääreitä. Ohjelmistovirheen takia IOS XR -ohjelmisto korruptoi sille tuntemattomat lisämääreet ennen niiden välittämistä eteenpäin BGP-naapureilleen. Ciscon laite voi päätyä palvelunestotilaan mikäli korruptoituneet lisämääreet antavat BGP-naapureille syyn katkaista yhteyden.

  • 132/2010: Adobe Shockwave Player -ohjelmiston päivitys korjaa useita haavoittuvuuksia
    Adobe Shockwave Player -ohjelmistosta on julkaistu päivitys, jossa korjataan useita haavoittuvuuksia, joista vakavimmat voivat mahdollistaa hyökkääjän koodin suorittamisen järjestelmässä.

  • 131/2010: Apple Mac OS X -päivityksessä korjattu useita haavoittuvuuksia
    Apple Mac OS X -käyttöjärjestelmän päivityksessä 2010-005 korjataan useita haavoittuvuuksia käyttöjärjestelmästä ja sovelluksista.

Mainospalkki
Moozites-template
© 2010 moozites.net
Joomla! is Free Software released under the GNU General Public License.
www.moozites.net
Uusimmat
Suosituimmat