Jos näette tämän viestin, niin Teillä on todennäköisesti myös ongelmia tämän sivun ulkoasun kanssa (CSS-tyylitiedosto). Ongelman voi korjata tyhjentämällä/poistamalla väliaikaiset internet-tiedostot ja evästeet internet-selaimestanne. Pahoittelemme häiriötä.
If you can see this message, you probably have problems with the appearance of this internet-page (CSS-problems). For correction, please clean/delete your temporary internet-files and cookies from the browsers memory. Thank You.
| Turvallisuus |
Varoitukset
048/2010: Maaliskuun päivityspaketti Microsoftilta
Microsoft on julkaissut kaksi tietoturvatiedotetta, jotka korjaavat yhteensä 8 haavoittuvuutta. Korjaukset ovat luokiteltu tärkeiksi. Ensimmäinen tiedote (MS10-016) CVE-2010-0265 Tämä tiedote liittyy Windows-käyttöjärjestelmien mukana tulevaan Windows Movie Maker -sovellukseen. Sama haavoittuvuus koskee myös Microsoft Producer 2003 -sovellusta. Windows Live Movie Maker -sovellus sen sijaan ei ole haavoittuva. Haavoittuvuuden avulla hyökkääjän voi olla mahdollista suorittaa kohdejärjestelmässä haluamaansa ohjelmakoodia houkuttelemalla käyttäjä avaamaan tietyllä tavalla muokatun tiedoston haavoittuvissa sovelluksissa. Toinen tiedote (MS10-017) CVE-2010-0257 CVE-2010-0258 CVE-2010-0260 CVE-2010-0261 CVE-2010-0262 CVE-2010-0263 CVE-2010-0264 Tämän tiedotteen päivitykset korjaavat Microsoft Office Excel -sovelluksesta löytyneet seitsemän haavoittuvuutta. Haavoittuvuudet koskevat kaikkia tuettuja Excel-sovelluksen versiota sekä Windows- että Mac OS X -käyttöjärjestelmille. Myös Microsoft Office SharePoint Server 2007 on haavoittuva mikäli palvelimelle on oletusarvoisesti tai erikseen asennettuna Excel-palvelu. Haavoittuvuuksien avulla hyökkääjän voi olla mahdollista suorittaa kohdejärjestelmässä
haluamaansa ohjelmakoodia houkuttelemalla käyttäjä avaamaan
tietyllä tavalla muokatun tiedoston.
Lue lisää... [Turvallisuus]
047/2010: Vanhemmissa Internet Explorer -selaimissa haavoittuvuus
Microsoft tutkii haavoittuvuutta, joka liittyy Internet Explorer -selaimen tapaan käsitellä käytöstä poistettuja osoittimia. Tietyissä tilanteissa haavoittuvuutta voi olla mahdollista käyttää hyväksi niin, että hyökkääjä pääsee suorittamaan omaa ohjelmakoodia kohdejärjestelmässä. Haavoittuvuutta voi käyttää hyväksi siten, että käyttäjä tavalla tai toisella houkutellaan www-sivulle jossa on tietyllä tavalla muokattua sisältöä. Tämänhetkisen tiedon mukaan haavoittuvuus koskee Internet Explorer -selaimen versioita 6 ja 7. Internet Explorer 8 ei ole haavoittuva eikä haavoittuvuus koske Microsoft Outlook, Microsoft Outlook Express ja Windows Mail -sähköpostiohjelmia mikäli ActiveX-kontrollien ajaminen ja Active Scripting -toiminto on estetty sähköposteja luettaessa. Microsoft on julkaissut haavoittuvuudesta tietoturvatiedotteen. Tiedotteen mukaan haavoittuvuutta käytetään hyväksi kohdistetuissa hyökkäyksissä.
Lue lisää...
046/2010: Haavoittuvuuksia Apache Web-palvelinohjelmistossa
Apache Web-palvelinohjelmistosta on korjattu haavoittuvuuksia jotka liittyvät mod_proxy_ajp- ja mod_isapi-moduuleihin. Jälkimmäisen moduulin haavoittuvuuteen on olemassa julkinen hyväksikäyttömenetelmä joka mahdollistaa komentojen mielivaltaisen suorittamisen Windows-pohjaisissa käyttöjärjestelmissä. Yllä mainittujen korjausten lisäksi mod_ssl-moduuliin on tehty muutoksia jotka korjaavat haavoittuvuuksia SSL/TLS-toteutuksessa. Korjaus vaatii että järjestelmässä on käytössä OpenSSL-kirjasto 0.9.6m tai myöhempi versio.
Lue lisää...
045/2010: Opera-selaimen haavoittuvuus 'Content-Length' -otsakkeen käsittelyssä
Opera-selaimesta on löytynyt haavoittuvuus, joka voi mahdollistaa selaimen kaatamisen ja hyökkääjän koodin suorittamisen työasemassa jos käyttäjä houkutellaan lataamaan hyökkäystarkoituksessa muodostettu www-sivu. Haavoittuvuus johtuu puskurin ylivuodosta käsiteltäessä HTTP-protokollan 'Content-Length:' -otsaketta.
Lue lisää...
044/2010: IBM Informix Dynamic Server -ohjelmiston RPC-haavoittuvuudet
IBM Informix Dynamic Server -ohjelmistossa on haavoittuvuuksia, jotka voivat mahdollistaa palvelunestohyökkäyksen tai hyökkääjän koodin suorittamisen palvelimella. Haavoittuvuudet johtuvat Portmapper-palvelun (portmap.exe) käyttämän RPC-protokollakirjaston (librpc.dll)
virheistä porttiin 36890/TCP suunnattujen pakettien käsittelyssä.
Lue lisää...
Turvallisuus
Kuluttajavirasto listaa vaarallisten tuotteiden takaisinvedot
Kuluttajavirasto on ryhtynyt ylläpitämään taulukkoa, johon kootaan tiedot Suomessa tehdyistä vakavaa vaaraa aiheuttavien kulutustavaroiden takaisinvedoista ja turvallisuustiedotteista. Yritykset julkaisevat ilmoituksia markkinoilta vedettävistä tuotteista yleensä lehdissä ja verkkosivuillaan. Uuden taulukon avulla kuluttajat sekä elinkeinoelämän ja tiedotusvälineiden edustajat löytävät tiedot kootusti yhdestä paikasta.
Lue lisää...
Tietoturvakatsaus 1/2008
CERT‑FI:n tietoon tuli tapaus, jossa sivullinen onnistui tekemään tilisiirtoja verkkopankkiyhteyden aikana käyttäjän sitä havaitsematta. Toistaiseksi suomalaisiin pankkeihin kohdistuvat hyökkäykset ovat olleet yksittäisiä tapauksia.
CERT-FI julkaisi joukon pakkaus- ja arkistoformaattien käsittelyyn liittyviä haavoittuvuuksia. Tietoja pakataan tai arkistoidaan lähes kaikissa sovelluksissa, joten haavoittuvuudet vaikuttavat moniin eri käyttöjärjestelmiin ja ohjelmistoihin. Haavoittuvuuksia voidaan luonnehtia kokonaisuutena merkittäviksi.
Julkisuuteen tuli lukuisia cross site scripting -tyyppisiä haavoittuvuuksia monilta suosituilta suomalaisilta www-sivustoilta. Tällaiset haavoittuvuudet eivät mahdollista palvelimelle murtautumista, mutta niitä voidaan käyttää huijausyrityksiin tai www-sivustojen omistajan maineen vahingoittamiseen.
Lue lisää...
Luottokunta varoittaa sähköpostihuijauksista
Viime aikoina on jälleen ollut liikkeellä harhauttavia sähköpostiviestejä, joissa yritetään saada vastaanottaja antamaan luottokorttitietonsa. Tällaisia huijaussähköposteja kutsutaan nimellä "phishing" ja niille tunnusomaista on jäljitellä todellisten yritysten ja tunnettujen tuotemerkkien yhteystietoja ja niiden nimissä urkkia ihmisten henkilökohtaisia tietoja, esim. henkilötietoja, luottokorttinumeroita ja korttien tunnuslukuja.
Lue lisää...
Tupas-standardi
Suomen Pankkiyhdistyksen jäsenpankit ovat yhteistyönä standardoineet pankkien tuottaman tunnistuspalvelun (TUPAS), jota voidaan käyttää luotettavan tunnistamisen välineenä mm. verkkopalvelussa.
Tupas-tunnistamismenetelmää käyttävässä palvelussa pankki tunnistaa kolmannen osapuolen asiointipalvelua käyttävän asiakkaan ko. palveluntuottajan puolesta. Palvelu perustuu samojen todennusvälineiden ja pankkitunnusten käyttöön, joita asiakas käyttää pankkipalveluissaan. Palvelu on samantapainen kuin verkko-ostosten maksamisessa käytettävä e-maksupalvelu. Asiakas painaa tunnustusvaiheessa päätteensä näytössä olevaa pankkinsa logolla varustettua painiketta, joka ohjaa tunnistustapahtuman pankkiin. Tunnistusvaiheen jälkeen asiakas hyväksyy itsestään palveluntuottajalle välitettävän tiedon ja palaa palveluntuottajan palveluun. Lue lisää...
Tupas-tunnistamismenetelmää käyttävässä palvelussa pankki tunnistaa kolmannen osapuolen asiointipalvelua käyttävän asiakkaan ko. palveluntuottajan puolesta. Palvelu perustuu samojen todennusvälineiden ja pankkitunnusten käyttöön, joita asiakas käyttää pankkipalveluissaan. Palvelu on samantapainen kuin verkko-ostosten maksamisessa käytettävä e-maksupalvelu. Asiakas painaa tunnustusvaiheessa päätteensä näytössä olevaa pankkinsa logolla varustettua painiketta, joka ohjaa tunnistustapahtuman pankkiin. Tunnistusvaiheen jälkeen asiakas hyväksyy itsestään palveluntuottajalle välitettävän tiedon ja palaa palveluntuottajan palveluun. Lue lisää...
Tupas-standardi
Suomen Pankkiyhdistyksen jäsenpankit ovat yhteistyönä standardoineet pankkien tuottaman tunnistuspalvelun (TUPAS), jota voidaan käyttää luotettavan tunnistamisen välineenä mm. verkkopalvelussa.
Tupas-tunnistamismenetelmää käyttävässä palvelussa pankki tunnistaa kolmannen osapuolen asiointipalvelua käyttävän asiakkaan ko. palveluntuottajan puolesta. Palvelu perustuu samojen todennusvälineiden ja pankkitunnusten käyttöön, joita asiakas käyttää pankkipalveluissaan. Palvelu on samantapainen kuin verkko-ostosten maksamisessa käytettävä e-maksupalvelu. Asiakas painaa tunnustusvaiheessa päätteensä näytössä olevaa pankkinsa logolla varustettua painiketta, joka ohjaa tunnistustapahtuman pankkiin. Tunnistusvaiheen jälkeen asiakas hyväksyy itsestään palveluntuottajalle välitettävän tiedon ja palaa palveluntuottajan palveluun. Lue lisää...
Tupas-tunnistamismenetelmää käyttävässä palvelussa pankki tunnistaa kolmannen osapuolen asiointipalvelua käyttävän asiakkaan ko. palveluntuottajan puolesta. Palvelu perustuu samojen todennusvälineiden ja pankkitunnusten käyttöön, joita asiakas käyttää pankkipalveluissaan. Palvelu on samantapainen kuin verkko-ostosten maksamisessa käytettävä e-maksupalvelu. Asiakas painaa tunnustusvaiheessa päätteensä näytössä olevaa pankkinsa logolla varustettua painiketta, joka ohjaa tunnistustapahtuman pankkiin. Tunnistusvaiheen jälkeen asiakas hyväksyy itsestään palveluntuottajalle välitettävän tiedon ja palaa palveluntuottajan palveluun. Lue lisää...
Turvallisuus seuranta
Vodafone myi saastuneen matkapuhelimen
Teleoperaattori Vodafonen myymässä matkapuhelimessa oli peräti kolme haittaohjelmaa: Conficker, Lineage ja Mariposa.
Lue lisää...
Myös toisen pankin verkkopankkitunnuksia urkittu
Tällä kertaa kohteena olivat Nordean asiakkaat.
Lue lisää...
Microsoft hälyttää selaimen nollapäiväaukosta
Microsoft ei sittenkään voinut ottaa rennosti tiistaina, vaikka julkaisikin vain kaksi tietoturvapäivitystä. Internet Explorerissa on taas uusi korjaamaton haavoittuvuus. Tähän hyökätään jo.
Lue lisää...
Internet Explorer jäi paikkaamatta
Paikkauksen sijaan Microsoft ilmoitti toisesta paikkaamattomasta haavoittuvuudesta.
Lue lisää...
Verkkopankin tunnuksia urkittu sähköpostitse
Pankki muistuttaa että he eivät koskaan kysy verkkopalvelutunnuksia sähköpostitse tai puhelimitse.
Lue lisää...
 |
