AfterDawn logo

Kaikista yleisimmistä nettiselaimista löytyi vakava haavoittuvuus

Manu Pitkänen Manu Pitkänen
8 kommenttia

Tutkijat löysivät käytännössä kaikista suurimmista nettiselaimista tietoturva-aukon, joka mahdollisti salatun HTTPS-istunnon tietojen kaappaamisen niin sanottujen keksitiedostojen avulla.

Haavoittuvuuden ydin oli käytännössä siinä, että vaikka selaimet mahdollistavat vain HTTPS-yhteyden yli käytettävät keksitiedostot, eivät selaimet tarkistaneet mistä lähteestä "suojatut keksit" oli asetettu. Hyökkääjä saattoi siis korvata aidon, vaikkapa verkkopankin luoman, HTTPS-keksin hyökkääjän itsensä hallitsemalla keksillä, joka on naamioitu verkkopankin keksiksi.

Aukko kosketti Applen Safaria, Microsoftin Internet Exploreria ja uutta Edge-selainta, Mozilla Firefoxia, Google Chromea, Operaa ja Vivaldia. Haavoittuvuus on jo korjattu näissä kaikissa selaimissa.

Verkkosivujen ylläpitäjiä Yhdysvaltain CERT-viranomainen suosittelee ottamaan käyttöön HSTS-tietoturvamekanismi ja hyödyntää sen includeSubdomains-valintaa.

8 KOMMENTTIA

Lumikki1/8

Ei oikein ymmärrä. Minulla on aina ollut käytössä että ei sallita kolmannen osapuolen keksejä. Eikö tämä muka tarkista keksiä siihen verkkotunnukseen https:llä? Koska jos se ei tarkista niin miksi edes valinta joka ei tee mitään?

WereCatf2/8

Lainaus, alkuperäisen viestin kirjoitti Lumikki:

Ei oikein ymmärrä. Minulla on aina ollut käytössä että ei sallita kolmannen osapuolen keksejä. Eikö tämä muka tarkista keksiä siihen verkkotunnukseen https:llä? Koska jos se ei tarkista niin miksi edes valinta joka ei tee mitään?

Subdomaineja ei lasketa kolmansiksi osapuoliksi. HSTS taas on serveripuolen asetus, ei selainpuolen, joten käyttäjä ei käytännössä voi tehdä mitään asialle atm.

Jarzka_3/8

Milloin opimme käyttämään oikeaa termiä web-selain?

hannes14/8

Eikö tietoturva-aukkoja suojaa selainta?

Qummitusq (vahvistamaton)5/8

Lainaus, alkuperäisen viestin kirjoitti WereCatf:



Subdomaineja ei lasketa kolmansiksi osapuoliksi. HSTS taas on serveripuolen asetus, ei selainpuolen, joten käyttäjä ei käytännössä voi tehdä mitään asialle atm.

Uutisessa lukee, että haavoittuvuuksia on jo korjattu, joten kyllä käyttäjä voi vaikuttaa asiaan huolehtimalla, että selaimesta on riittävän uusi versio asennettu

jarckz593 (vahvistamaton)6/8

Lainaus, alkuperäisen viestin kirjoitti Jarzka_:

Milloin opimme käyttämään oikeaa termiä web-selain?

Tai cookie.

Lumikki7/8

Lainaus:

Subdomaineja ei lasketa kolmansiksi osapuoliksi.


Mutta eikö aliverkkotunnuksen käyttö ja hallinta ole sillä pääverkkotunnuksen omistajalla eli ei kolmas osapuoli sitä oikeasti pysty käyttämään.

RekookeR8/8

Mulla on ollut vuosia käytössä Maxthon, se on selviytynyt hyvin, eikä ole haavoittuva.

TÄMÄN UUTISEN KOMMENTOINTI ON PÄÄTTYNYT

Seuraa! Kirjekuoren symboli
Uutiskirje
Threadsin logo
Threads
Blueskyn logo
Bluesky
Mastodonin logo
Mastodon
Sulje palkki