Suomalaisella testausohjelmalla löydettiin selaimista yli 100 uutta haavoittuvuutta

Oulun yliopistossa kehitetyllä Radamsa-ohjelmalla on löydetty suosituista selaimista jo yli sata uutta, ennalta tuntematonta haavoittuvuutta. Haavoittuvuudet on välittömsti raportoitu valmistajille.

Radamsa on Oulussa kehitetty täysin automatisoitu tietoturvan testausväline. Sen kehittämisessä ovat Oulun yliopiston lisäksi olleet mukana yrityskumppaneina esimerkiksi F-Secure, Mozilla Foundation ja Google. Ohjelmaan on yritetty koota aiempien automaattisten testausalustojen parhaita ominaisuuksia, ja tuloksista päätellen ainakin jossain määrin tavoitteeseen on päästy. Radamsa perustuu avoimeen lähdekoodiin.

- Yksi tehokas ja myös hyökkääjien suosima tapa hakea haavoittuvuuksia hyökkäyksiä varten on käytännössä hakuongelma. Kutakin ohjelmaa vastaan haetaan sellainen tieto, joka aiheuttaa ohjelman toiminnassa virheen. Ohjelmassa luonnollisesti täytyy olla virhe, jotta tämä onnistuu, mutta käytännössä kaikissa meidän tapauksissamme oli ainakin yksi virhe, kertoo Oulun yliopiston sulautettujen järjestelmien professori Juha Röning.

Selainhaavoittuvuuksia on löytynyt ainakin Google Chromesta ja Mozilla Firefoxista. Haavoittuvuuksiksi on laskettu sellaiset virheet, joita "voi valmistajan analyysin mukaan todennäköisesti käyttää hyväksi selaimen kautta tapahtuvassa hyökkäyksessä".

Radamsa on kehitetty Tekesin rahoittamassa Cloud Software -ohjelmassa.

Lähde: STT

• tietoturva
• tietoturva-aukko
• Oulun yliopisto
• Radamsa