Jos näette tämän viestin, niin Teillä on todennäköisesti myös ongelmia tämän sivun ulkoasun kanssa (CSS-tyylitiedosto). Ongelman voi korjata tyhjentämällä/poistamalla väliaikaiset internet-tiedostot ja evästeet internet-selaimestanne. Pahoittelemme häiriötä.
If you can see this message, you probably have problems with the appearance of this internet-page (CSS-problems). For correction, please clean/delete your temporary internet-files and cookies from the browsers memory. Thank You.
| Turvallisuus |
Varoitukset
111/2010: Kaksi vakavaa haavoittuvuutta HP Openview Network Node Managerissa
HP Openview Network Node Managerista (OV NNM) on löytynyt kaksi etäältä hyväksikäytettävissä olevaa haavoittuvuutta. Haavoittuvuuksia hyväksikäyttämällä hyökkääjän voi olla mahdollista suorittaa omaa ohjelmistokoodiaan järjestelmässä. Toinen haavoittuvuus (CVE-2010-2703) koskee vain Windows-käyttöjärjestelmissä käytettäviä Openview-tuotteita. Toinen haavoittuvuus (CVE-2010-2704) koskee Windows-käyttöjärjestelmien lisäksi myös HP-UX, Linux ja Solaris -käyttöjärjestelmiä. Kummatkin haavoittuvuudet ovat pisteytetty korkeimmalla mahdollisella CVSS-pisteytyksellä (10,0).
Lue lisää... [Turvallisuus]
112/2010: Haavoittuvuuksia OpenLDAP-hakemistopalvelussa
OpenLDAP on avoimen lähdekoodin toteutus yleisesti käytetystä LDAP-hakemistoprotokollasta (Lightweight Directory Access Protocol). LDAP-hakemistoja käytetään yleisesti käyttäjien tunnistamiseen. OpenLDAP-ohjelmistosta on löydetty kaksi haavoittuvuutta, joita hyväksikäyttämällä hyökkääjä voi aiheuttaa palvelunestotilan tai mahdollisesti suorittaa omia komentojaan kohdejärjestelmässä. Haavoittuvuuksia voi hyväksikäyttää lähettämällä palvelulle tietyllä tavalla muokattuja komentoja. Hyväksikäyttö ei vaadi palvelimelle kirjautumista. HaavoittuvuuskoordinointiHaavoittuvuuden löysivät Ilkka Mattila ja Tuomas Salomäki Codenomicon Oy:n järjestämässä Crash Test Party-testitilaisuudessa Codenomicon LDAPv3-testityökalulla. CERT-FI
on koordinoinut haavoittuvuuksien julkaisun haavoittuvuuden löytäjien ja valmistajan kanssa. CERT-FI kiittää OpenLDAP-projektia ja haavoittuvuuden löytäjiä yhteistyöstä haavoittuvuuksien korjaamisessa.
Lue lisää...
110/2010: Haavoittuvuuksia libpng-kirjastossa
Libpng on png-muotoisten kuvien käsittelyyn tarkoitettu kirjasto.
Libpng-kirjastosta on löytynyt kaksi haavoittuvuutta. Ensimmäinen haavoittuvuus (CVE-2010-1205) voi
mahdollistaa hyökkääjän omien komentojen suorittamisen haavoittuvaa
kirjastoa käyttävässä järjestelmässä. Toisen haavoittuvuuden (CVE-2010-2249) hyväksikäyttö
johtaa haavoittuvaa kirjastoa käyttävän sovelluksen kaatumiseen. Haavoittuvuuksia voi hyväksikäyttää houkuttelemalla käyttäjä avaamaan haitallisella tavalla muotoillun
tiedoston ohjelmalla, joka hyödyntää haavoittuvaa kirjastoa. Ensimmäinen haavoittuvuus on yksi Oulun yliopiston OUSPG-tutkimusryhmän Chromium-selaimen turvallisuusohjelmalle raportoimista haavoittuvuuksista.
Lue lisää...
109/2010: Mozillan päivitykset korjaavat 14 haavoittuvuutta
Mozilla on julkaissut turvallisuuspäivityksen Firefox-selaimeen, Thunderbird-sähköpostiohjelmaan ja Seamonkey-ohjelmistopakettiin. Päivitys korjaa 14 haavoittuvuutta, joista kahdeksan on luokiteltu kriittisiksi. Kriittisten haavoittuvuuksien hyväksikäyttö saattaa johtaa hyökkääjän ohjelmakoodin suorittamiseen kohdejärjestelmässä.
Lue lisää...
108/2010: Applelta iTunes-päivitys
Apple on julkaissut iTunes-päivityksen Windows-käyttöjärjestelmille. Päivitys korjaa haavoittuvuuden, jonka avulla hyökkääjä voi suorittaa omaa ohjelmakoodia käyttäjän järjestelmässä. Haavoittuvuutta voidaan hyväksikäyttää houkuttelemalla käyttäjä seuraamaan itpc:// -alkuista linkkiä tietyllä tavalla laaditulle www-sivustolle.
Lue lisää...
Turvallisuus
Kuluttajavirasto listaa vaarallisten tuotteiden takaisinvedot
Kuluttajavirasto on ryhtynyt ylläpitämään taulukkoa, johon kootaan tiedot Suomessa tehdyistä vakavaa vaaraa aiheuttavien kulutustavaroiden takaisinvedoista ja turvallisuustiedotteista. Yritykset julkaisevat ilmoituksia markkinoilta vedettävistä tuotteista yleensä lehdissä ja verkkosivuillaan. Uuden taulukon avulla kuluttajat sekä elinkeinoelämän ja tiedotusvälineiden edustajat löytävät tiedot kootusti yhdestä paikasta.
Lue lisää...
Tietoturvakatsaus 1/2008
CERT‑FI:n tietoon tuli tapaus, jossa sivullinen onnistui tekemään tilisiirtoja verkkopankkiyhteyden aikana käyttäjän sitä havaitsematta. Toistaiseksi suomalaisiin pankkeihin kohdistuvat hyökkäykset ovat olleet yksittäisiä tapauksia.
CERT-FI julkaisi joukon pakkaus- ja arkistoformaattien käsittelyyn liittyviä haavoittuvuuksia. Tietoja pakataan tai arkistoidaan lähes kaikissa sovelluksissa, joten haavoittuvuudet vaikuttavat moniin eri käyttöjärjestelmiin ja ohjelmistoihin. Haavoittuvuuksia voidaan luonnehtia kokonaisuutena merkittäviksi.
Julkisuuteen tuli lukuisia cross site scripting -tyyppisiä haavoittuvuuksia monilta suosituilta suomalaisilta www-sivustoilta. Tällaiset haavoittuvuudet eivät mahdollista palvelimelle murtautumista, mutta niitä voidaan käyttää huijausyrityksiin tai www-sivustojen omistajan maineen vahingoittamiseen.
Lue lisää...
Luottokunta varoittaa sähköpostihuijauksista
Viime aikoina on jälleen ollut liikkeellä harhauttavia sähköpostiviestejä, joissa yritetään saada vastaanottaja antamaan luottokorttitietonsa. Tällaisia huijaussähköposteja kutsutaan nimellä "phishing" ja niille tunnusomaista on jäljitellä todellisten yritysten ja tunnettujen tuotemerkkien yhteystietoja ja niiden nimissä urkkia ihmisten henkilökohtaisia tietoja, esim. henkilötietoja, luottokorttinumeroita ja korttien tunnuslukuja.
Lue lisää...
Tupas-standardi
Suomen Pankkiyhdistyksen jäsenpankit ovat yhteistyönä standardoineet pankkien tuottaman tunnistuspalvelun (TUPAS), jota voidaan käyttää luotettavan tunnistamisen välineenä mm. verkkopalvelussa.
Tupas-tunnistamismenetelmää käyttävässä palvelussa pankki tunnistaa kolmannen osapuolen asiointipalvelua käyttävän asiakkaan ko. palveluntuottajan puolesta. Palvelu perustuu samojen todennusvälineiden ja pankkitunnusten käyttöön, joita asiakas käyttää pankkipalveluissaan. Palvelu on samantapainen kuin verkko-ostosten maksamisessa käytettävä e-maksupalvelu. Asiakas painaa tunnustusvaiheessa päätteensä näytössä olevaa pankkinsa logolla varustettua painiketta, joka ohjaa tunnistustapahtuman pankkiin. Tunnistusvaiheen jälkeen asiakas hyväksyy itsestään palveluntuottajalle välitettävän tiedon ja palaa palveluntuottajan palveluun. Lue lisää...
Tupas-tunnistamismenetelmää käyttävässä palvelussa pankki tunnistaa kolmannen osapuolen asiointipalvelua käyttävän asiakkaan ko. palveluntuottajan puolesta. Palvelu perustuu samojen todennusvälineiden ja pankkitunnusten käyttöön, joita asiakas käyttää pankkipalveluissaan. Palvelu on samantapainen kuin verkko-ostosten maksamisessa käytettävä e-maksupalvelu. Asiakas painaa tunnustusvaiheessa päätteensä näytössä olevaa pankkinsa logolla varustettua painiketta, joka ohjaa tunnistustapahtuman pankkiin. Tunnistusvaiheen jälkeen asiakas hyväksyy itsestään palveluntuottajalle välitettävän tiedon ja palaa palveluntuottajan palveluun. Lue lisää...
Tupas-standardi
Suomen Pankkiyhdistyksen jäsenpankit ovat yhteistyönä standardoineet pankkien tuottaman tunnistuspalvelun (TUPAS), jota voidaan käyttää luotettavan tunnistamisen välineenä mm. verkkopalvelussa.
Tupas-tunnistamismenetelmää käyttävässä palvelussa pankki tunnistaa kolmannen osapuolen asiointipalvelua käyttävän asiakkaan ko. palveluntuottajan puolesta. Palvelu perustuu samojen todennusvälineiden ja pankkitunnusten käyttöön, joita asiakas käyttää pankkipalveluissaan. Palvelu on samantapainen kuin verkko-ostosten maksamisessa käytettävä e-maksupalvelu. Asiakas painaa tunnustusvaiheessa päätteensä näytössä olevaa pankkinsa logolla varustettua painiketta, joka ohjaa tunnistustapahtuman pankkiin. Tunnistusvaiheen jälkeen asiakas hyväksyy itsestään palveluntuottajalle välitettävän tiedon ja palaa palveluntuottajan palveluun. Lue lisää...
Tupas-tunnistamismenetelmää käyttävässä palvelussa pankki tunnistaa kolmannen osapuolen asiointipalvelua käyttävän asiakkaan ko. palveluntuottajan puolesta. Palvelu perustuu samojen todennusvälineiden ja pankkitunnusten käyttöön, joita asiakas käyttää pankkipalveluissaan. Palvelu on samantapainen kuin verkko-ostosten maksamisessa käytettävä e-maksupalvelu. Asiakas painaa tunnustusvaiheessa päätteensä näytössä olevaa pankkinsa logolla varustettua painiketta, joka ohjaa tunnistustapahtuman pankkiin. Tunnistusvaiheen jälkeen asiakas hyväksyy itsestään palveluntuottajalle välitettävän tiedon ja palaa palveluntuottajan palveluun. Lue lisää...
Turvallisuus seuranta
Firefoxin paikkaus aiheutti kriittisen haavoittuvuuden
Mozilla joutui jälleen korjaamaan Firefox-selaintaan pian versiopäivityksen jälkeen. Selaimeen syntyi kriittinen haavoittuvuus viime viikon suurpäivityksen jäljiltä.
Lue lisää...
Afganistanin siviilikuolemat paljastuvat verkossa
Kiistelty informaatiosivusto Wikileaks julkaisi 90 000 salaista raporttia Afganistanin sodasta. Tiedot tuovat esiin aiemmin tuntemattomia tapauksia, joissa Naton operaatio aiheutti siviiliuhreja.
Lue lisää...
WoW-pelaaja: Tietojasi ongitaan taas
Tietoturvayhtiöt varoittavat uusista huijauksista, joilla metsästetään World of Warcraft -pelaajien tilitietoja.
Lue lisää...
Cert-fi tutkii mahdollista Stuxnet-tartuntaa
Windowsin pikakuvakeaukkoon iskevä Stuxnet-haittaohjelma on voinut levitä Suomeen. Lisäksi aukkoon tunkee jo muitakin haittaohjelmia maailmalla.
Lue lisää...
Työkaluja Stuxnet-haittaohjelman rajoitusmenetelmiin
Microsoft ja Siemens ovat julkaisseet automatisoituja työkaluja Stuxnet-haittaohjelman rajotusmenetelmien asentamiseen. Stuxnetin saastuttamia tietokoneita on eniten Iranissa, Indonesiassa ja Intiassa. Windowsin linkkihaavoittuvuuden hyväksikäyttöä on havaittu myös muissa haittaohjelmissa.
Lue lisää...
 |
