Haavoittuvuus WebKit-pohjaisissa sovelluksissa

WebKit-pohjaisista sovelluksista on löytynyt välimieshyökkäyksen mahdollistava haavoittuvuus. Haavoittuvuuden avulla web-selainten ja käyttöjärjestelmien välityspalvelimelle (proxy) tekemät salatut HTTPS-kyselyt ovat alttiita välimieshyökkäykselle (Man-in-the-Middle).

WebKit-pohjaisista sovelluksista on löytynyt välimieshyökkäyksen mahdollistava haavoittuvuus. Haavoittuvuus johtuu WebKit-pohjaisten asiakasohjelmistojen tavasta käsitellä HTTP CONNECT -kyselyn vastauksia. Välityspalvelinta käytettäessä asiakasohjelmistot tekevät selväkielisen HTTP CONNECT -kyselyn, kun asiakasohjelmisto on muodostamassa salattua HTTPS-yhteyttä. Hyökkääjän, joka pystyy manipuloimaan välityspalvelimen vastauksia, on mahdollista suorittaa välimiesmyökkäys, jota WebKit-pohjaisia sovelluksia käyttävät asiakasohjelmistot eivät havaitse. Tämän seurauksena selain näyttää SSL/TLS-yhteyden merkiksi lukkokuvakkeen osoiterivillä, vaikka salattua yhteyttä ei ole muodostunut.

Haavoittuvuuden hyväksikäyttö vaatii hyökkääjältä kykyä kontrolloida hyökkäyspalvelimen vastauksia, jotta välimieshyökkäys onnistuu. Tämä vaikeuttaa hyökkäyksen toteutusta ja pienentää sen aiheuttamaa uhkaa. Hyökkäyksen avulla hyökkääjän voi onnistua hankkia käyttäjätunnuksia tai manipuloida HTML ja JavaScript -vastauksia.

WebKit on yleisesti käytetty selainmoottori, ja sitä tai sen johdannaisia käytetään esimerkiksi Safari, Chrome ja Opera -selaimissa.

  • Palvelimet ja palvelinsovellukset
  • Työasemat ja loppukäyttäjäsovellukset
  • Verkon aktiivilaitteet
  • Matkaviestinjärjestelmät
  • Sulautetut järjestelmät
  • Muut

Kohde

  • Työasemat ja loppukäyttäjäsovellukset
Lisätietoa +

Hyökkäystapa

  • Etäkäyttö
  • Ilman käyttäjän toimia
Lisätietoja hyökkäystavasta +

Hyväksikäyttö

  • Tietojen muokkaaminen
  • Luottamuksellisen tiedon hankkiminen
  • Suojauksen ohittaminen
Lisätietoja hyväksikäytöstä +

Ratkaisu

  • Korjaava ohjelmistopäivitys
Lisätietoja ratkaisusta +

Haavoittuvat ohjelmistot:

  • CERT/CC on julkaissut listan haavoittuvista ohjelmistovalmistajista sivuillaan .
  • Suositeltavaa on tarkistaa ohjelmistovalmistajan sivulta onko tuote haavoittuva ja onko päivitys jo tarjolla

Ratkaisu- ja rajoitusmahdollisuudet:

  • Päivitä ohjelmisto laitevalmistajan ohjeiden mukaisesti viimeisimpään versioon

Lisätietoa:

Päivityshistoria

Asiasanat: Tietoturva , NCSC-FI , Haavoittuvuudet

LinkedIn Print

Yhteystiedot

logo

Viestintävirasto

Kyberturvallisuuskeskus

PL 313, 00181 Helsinki


Mediayhteydenotot puhelimitse 0295 390 248