Jos näette tämän viestin, niin Teillä on todennäköisesti myös ongelmia tämän sivun ulkoasun kanssa (CSS-tyylitiedosto). Ongelman voi korjata tyhjentämällä/poistamalla väliaikaiset internet-tiedostot ja evästeet internet-selaimestanne. Pahoittelemme häiriötä.
If you can see this message, you probably have problems with the appearance of this internet-page (CSS-problems). For correction, please clean/delete your temporary internet-files and cookies from the browsers memory. Thank You.
| Turvallisuus |
Varoitukset
164/2011: Palvelunestohaavoittuvuus useissa www-ohjelmointikielissä
Useista www-sovellusten tekemiseen käytetyistä ohjelmointialustoista ja -kielistä on löytynyt haavoittuvuus, jonka hyväksikäyttö saattaa johtaa palvelunestotilaan. Haavoittuvuus liittyy ohjelmointikielten tapaan käsitellä merkkijonojen tiivisteitä.
Lue lisää... [Turvallisuus]
163/2011: Haavoittuvuus telnetd-ohjelmistossa
Telnetd-ohjelmistossa on puskurinylivuotohaavoittuvuus, jonka hyväksikäyttö saattaa
mahdollistaa hyökkääjän ohjelmakoodin suorittamisen. Haavoittuvuus
liittyy telnetd-ohjelmiston tapaan käsitellä salausavaimia. Haavoittuvuutta
käytetään aktiivisesti hyväksi.
Lue lisää...
162/2011: Haavoittuvuus FreeBSD telnetd-palvelussa
FreeBSD-käyttöjärjestelmän telnetd-palvelussa on haavoittuvuus, jonka hyväksikäyttö saattaa mahdollistaa hyökkääjän ohjelmakoodin suorittamisen. Haavoittuvuus liittyy telnetd-palvelun tapaan käsitellä salausavaimia. Haavoittuvuutta käytetään aktiivisesti hyväksi.
Lue lisää...
161/2011: Windows 7 -käyttöjärjestelmän haavoittuvuus IFRAME-käsittelyssä Safari-selaimella
Microsoftin Windows-käyttöjärjestelmästä on löytynyt haavoittuvuus, joka mahdollistaa palvelunestotilan aiheuttamisen kaatamalla käyttöjärjestelmän. Haavoituvuus saattaa mahdollistaa myös hyökkääjän oman ohjelmakoodin suorittamisen järjestelmän oikeuksilla (kernel-mode). Win32.sys-tiedostossa oleva haavoittuvuus liittyy muistin käsittelyyn. Sitä voidaan käyttää hyväksi houkuttelemalla käyttäjä avaamaan Apple Safari -selaimella www-sivu, jolla on IFRAME, jonka korkeus on määritelty liian suureksi. Haavoittuuvuus on todettu toimivaksi Windows 7 Professional -käyttöjärjestelmän 64-bittisessä versiossa, johon on asennettu uusimmat päivitykset. Muutkin Windows-versiot saattavat olla haavoittuvia.
Lue lisää...
160/2011: Mozilla-ohjelmistoista uudet, korjatut versiot
Mozilla on julkaissut uudet versiot Firefox-, Thunderbird- ja Seamonkey-ohjelmistoista. Uudet versiot sisältävät korjaukset kuuteen haavoittuvuuteen. Mozilla on luokitellut haavoittuvuuksista neljä vakavuudeltaan kriittisiksi. MFSA 2011-53 Päivitys korjaa muistinhallintaan liittyvän haavoittuvuuden Firefox-, Thunderbird- ja Seamonkey-ohjelmistoissa. Haavoittuvuus ei vaikuta Firefoxin versiota 4 vanhempiin selaimiin. Haavoittuvuus on luokiteltu kriittiseksi. Haavoittuvuuden CVE-tunniste on CVE-2011-3660. MFSA 2011-54 Päivitys korjaa YARR-kirjastossa olevan haavoittuvuuden. Haavoittuvuus voi aiheuttaa ohjelmiston kaatumisen, kun ohjelmistossa suoritetaan tietynlaista javascript-ohjelmakoodia. Haavoittuvuus ei vaikuta Firefox 3.6- tai Thunderbird 3.1-versioihin,
koska YARR-kirjasto ei ollut käytössä vanhemmissa ohjelmistoversioissa. Mozilla on luokitellut haavoittuvuuden kriittiseksi. Haavoittuvuuden CVE-tunniste on CVE-2011-3661. MFSA 2011-55 Päivitys korjaa haavoittuvuuden Mozillan SVG-toteutuksessa. Haavoittuvuus voi sallia hyökkääjän pääsyn ohjelmiston käyttämälle muistialueelle. Haavoittuvuus ei vaikuta vanhempiin ohjelmistoversioihin kuin Firefox 8, Thunderbird 8 ja Seamonkey 2.5. Päivitys on luokiteltu kriittiseksi. Haavoittuvuuden CVE-tunniste on CVE-2011-3658. MFSA 2011-56 Päivitys korjaa haavoittuvuuden Mozillan SVG-toteutuksessa, joka mahdollistaa näppäinten painallusten havaitsemisen sivuston ohjelmistossa, vaikka Javascript on otettu asetuksista pois päältä. Haavoittuvuus ei vaikuta Firefox 3.6- tai Thunderbird 3.1 -ohjelmistoihin. Haavoittuvuuden CVE-tunniste on CVE-2011-3663. MFSA 2011-57 Päivitys korjaa Mozillan Firefox-, Thunderbird- ja Seamonkey-ohjelmistojen Mac OS X -versioissa olevan haavoittuvuuden. Haavoittuvuus voi aiheuttaa ohjelman kaatumisen kun ohjelma käsittelee liitännäisiä. Mozilla on luokitellut päivityksen tärkeyden korkeaksi (high). Haavoittuvuuden CVE-tunniste on CVE-2011-3664. MFSA 2011-58 Päivitys korjaa haavoittuvuuden, joka aiheuttaa ohjelmiston kaatumisen kun OGG-videoelementti skaalataan erittäin suureksi. Haavoittuvuus ei vaikuta Firefoxin versioon 3.6. Mozilla on luokitellut päivityksen tärkeyden kriittiseksi. Haavoittuvuuden CVE-tunniste on CVE-2011-3665.
Lue lisää...
Turvallisuus
Kuluttajavirasto listaa vaarallisten tuotteiden takaisinvedot
Kuluttajavirasto on ryhtynyt ylläpitämään taulukkoa, johon kootaan tiedot Suomessa tehdyistä vakavaa vaaraa aiheuttavien kulutustavaroiden takaisinvedoista ja turvallisuustiedotteista. Yritykset julkaisevat ilmoituksia markkinoilta vedettävistä tuotteista yleensä lehdissä ja verkkosivuillaan. Uuden taulukon avulla kuluttajat sekä elinkeinoelämän ja tiedotusvälineiden edustajat löytävät tiedot kootusti yhdestä paikasta.
Lue lisää...
Tietoturvakatsaus 1/2008
CERT‑FI:n tietoon tuli tapaus, jossa sivullinen onnistui tekemään tilisiirtoja verkkopankkiyhteyden aikana käyttäjän sitä havaitsematta. Toistaiseksi suomalaisiin pankkeihin kohdistuvat hyökkäykset ovat olleet yksittäisiä tapauksia.
CERT-FI julkaisi joukon pakkaus- ja arkistoformaattien käsittelyyn liittyviä haavoittuvuuksia. Tietoja pakataan tai arkistoidaan lähes kaikissa sovelluksissa, joten haavoittuvuudet vaikuttavat moniin eri käyttöjärjestelmiin ja ohjelmistoihin. Haavoittuvuuksia voidaan luonnehtia kokonaisuutena merkittäviksi.
Julkisuuteen tuli lukuisia cross site scripting -tyyppisiä haavoittuvuuksia monilta suosituilta suomalaisilta www-sivustoilta. Tällaiset haavoittuvuudet eivät mahdollista palvelimelle murtautumista, mutta niitä voidaan käyttää huijausyrityksiin tai www-sivustojen omistajan maineen vahingoittamiseen.
Lue lisää...
Luottokunta varoittaa sähköpostihuijauksista
Viime aikoina on jälleen ollut liikkeellä harhauttavia sähköpostiviestejä, joissa yritetään saada vastaanottaja antamaan luottokorttitietonsa. Tällaisia huijaussähköposteja kutsutaan nimellä "phishing" ja niille tunnusomaista on jäljitellä todellisten yritysten ja tunnettujen tuotemerkkien yhteystietoja ja niiden nimissä urkkia ihmisten henkilökohtaisia tietoja, esim. henkilötietoja, luottokorttinumeroita ja korttien tunnuslukuja.
Lue lisää...
Tupas-standardi
Suomen Pankkiyhdistyksen jäsenpankit ovat yhteistyönä standardoineet pankkien tuottaman tunnistuspalvelun (TUPAS), jota voidaan käyttää luotettavan tunnistamisen välineenä mm. verkkopalvelussa.
Tupas-tunnistamismenetelmää käyttävässä palvelussa pankki tunnistaa kolmannen osapuolen asiointipalvelua käyttävän asiakkaan ko. palveluntuottajan puolesta. Palvelu perustuu samojen todennusvälineiden ja pankkitunnusten käyttöön, joita asiakas käyttää pankkipalveluissaan. Palvelu on samantapainen kuin verkko-ostosten maksamisessa käytettävä e-maksupalvelu. Asiakas painaa tunnustusvaiheessa päätteensä näytössä olevaa pankkinsa logolla varustettua painiketta, joka ohjaa tunnistustapahtuman pankkiin. Tunnistusvaiheen jälkeen asiakas hyväksyy itsestään palveluntuottajalle välitettävän tiedon ja palaa palveluntuottajan palveluun. Lue lisää...
Tupas-tunnistamismenetelmää käyttävässä palvelussa pankki tunnistaa kolmannen osapuolen asiointipalvelua käyttävän asiakkaan ko. palveluntuottajan puolesta. Palvelu perustuu samojen todennusvälineiden ja pankkitunnusten käyttöön, joita asiakas käyttää pankkipalveluissaan. Palvelu on samantapainen kuin verkko-ostosten maksamisessa käytettävä e-maksupalvelu. Asiakas painaa tunnustusvaiheessa päätteensä näytössä olevaa pankkinsa logolla varustettua painiketta, joka ohjaa tunnistustapahtuman pankkiin. Tunnistusvaiheen jälkeen asiakas hyväksyy itsestään palveluntuottajalle välitettävän tiedon ja palaa palveluntuottajan palveluun. Lue lisää...
Tupas-standardi
Suomen Pankkiyhdistyksen jäsenpankit ovat yhteistyönä standardoineet pankkien tuottaman tunnistuspalvelun (TUPAS), jota voidaan käyttää luotettavan tunnistamisen välineenä mm. verkkopalvelussa.
Tupas-tunnistamismenetelmää käyttävässä palvelussa pankki tunnistaa kolmannen osapuolen asiointipalvelua käyttävän asiakkaan ko. palveluntuottajan puolesta. Palvelu perustuu samojen todennusvälineiden ja pankkitunnusten käyttöön, joita asiakas käyttää pankkipalveluissaan. Palvelu on samantapainen kuin verkko-ostosten maksamisessa käytettävä e-maksupalvelu. Asiakas painaa tunnustusvaiheessa päätteensä näytössä olevaa pankkinsa logolla varustettua painiketta, joka ohjaa tunnistustapahtuman pankkiin. Tunnistusvaiheen jälkeen asiakas hyväksyy itsestään palveluntuottajalle välitettävän tiedon ja palaa palveluntuottajan palveluun. Lue lisää...
Tupas-tunnistamismenetelmää käyttävässä palvelussa pankki tunnistaa kolmannen osapuolen asiointipalvelua käyttävän asiakkaan ko. palveluntuottajan puolesta. Palvelu perustuu samojen todennusvälineiden ja pankkitunnusten käyttöön, joita asiakas käyttää pankkipalveluissaan. Palvelu on samantapainen kuin verkko-ostosten maksamisessa käytettävä e-maksupalvelu. Asiakas painaa tunnustusvaiheessa päätteensä näytössä olevaa pankkinsa logolla varustettua painiketta, joka ohjaa tunnistustapahtuman pankkiin. Tunnistusvaiheen jälkeen asiakas hyväksyy itsestään palveluntuottajalle välitettävän tiedon ja palaa palveluntuottajan palveluun. Lue lisää...
Turvallisuus seuranta
Liian kohtelias virus: "Suo anteeksi"
Zeus-haittaohjelman uusi versio lähestyy uhreja niin kohteliaasti, että se särähtää suomalaisten korvissa.
Lue lisää...
Työntekijöiden kännykät pelottavat yrityksissä
Henkilökohtaiset älypuhelimet, tabletit ja kannettavat tietokoneet työkäytössä ovat teknologiayritysten ensi vuoden suurin tietoturvariski.
Lue lisää...
NY Timesin tuplamoka: Roskapostia ja väärä selitys
Arvostettu sanomalehti lähetti sähköpostia melkein yhdeksälle miljoonalle hengelle, kun tarkoitus oli lähestyä vain 300 lukijaa.
Lue lisää...
Verkkohyökkäys voi pysäyttää junat
Taas yksi yhteiskunnan tärkeä osa-alue todettiin haavoittuvaksi kyberhyökkäyksille. Junaliikenne on mahdollista lamauttaa, tutkija varoittaa.
Lue lisää...
Palvelunestohaavoittuvuus useissa www-sovelluskielissä
Useista www-sovellusten tekemiseen käytetyistä ohjelmointialustoista ja -kielistä on löytynyt palvelunestohaavoittuvuus. Moniin kieliin ei ole vielä saatavilla korjauspäivitystä.
Lue lisää...
 |
