Mozillan ohjelmistoissa kriittinen haavoittuvuus

Mozillan ohjelmistoissa Firefox, Firefox ESR ja Thunderbird, sekä TorBrowser-selaimessa on havaittu haavoittuvuus, joka mahdollistaa hyökkääjän komentojen suorittamisen Windows käyttöjärjestelmissä. Haavoittuvuuteen on julkaistu korjaus.

29.11.2016 on julkaistu Windows-käyttöjärjestelmissä toimivien Firefox-selaimien ja Thunderbird-sähköpostiohjelman haavoittuvuus, jonka avulla hyökkääjän on mahdollista päästä suorittamaan komentoja kohdejärjestelmässä. Haavoittuvuuden hyväksikäyttömenetelmä on julkaistu ja sitä tiedetään käytettävän hyväksi.

Haavoittuvuuteen on julkaistu korjaus 1.12.2016 aamulla Suomen aikaa. On hyvä huomata, että Mozillan 29.11.2016 Suomen aikaa julkaisema päivitys 50.0.1 ei korjannut tätä kyseistä kriittistä haavoittuvuutta.

Myös Firefoxiin perustuva TorBrowser on haavoittuva.

Haavoittuvuuden hyväksikäyttö edellyttää, että selaimen JavaScript on sallittu, kuten oletusasetuksena on.

Ongelmaa voi rajoittaa asettamalla JavaScript pois selaimen asetuksista, kunnes selain on päivitetty tai käyttämällä muuta selainta.

  • Palvelimet ja palvelinsovellukset
  • Työasemat ja loppukäyttäjäsovellukset
  • Verkon aktiivilaitteet
  • Matkaviestinjärjestelmät
  • Sulautetut järjestelmät
  • Muut

Kohde

  • Työasemat ja loppukäyttäjäsovellukset
Lisätietoa +

Hyökkäystapa

  • Ilman kirjautumista
  • Etäkäyttö
Lisätietoja hyökkäystavasta +

Hyväksikäyttö

  • Komentojen mielivaltainen suorittaminen
Lisätietoja hyväksikäytöstä +

Ratkaisu

  • Korjaava ohjelmistopäivitys
  • Ongelman rajoittaminen
Lisätietoja ratkaisusta +

Haavoittuvat ohjelmistot:

  • Firefox selaimet Windows käyttöjärjestelmissä versiot 41 - 50.01
  • Tor Browser 6.0.6 and 6.5a4

Ratkaisu- ja rajoitusmahdollisuudet:

  • Päivitä ohjelmistot niiden uusimpiin versioihinsa:
    • Firefox 50.0.2
    • Firefox ESR 45.5.1
    • Thunderbird 45.5.1
    • TorBrowser 6.0.7
  • Käytä jotain muuta selainta, kunnes olet päivittänyt selaimen versioon 50.0.2
  • Poista JavaScript Firefox-selaimesta:
    • Kirjoita osoiteriville about: config ja paina enteriä;
    • etsi rivi javascript.enabled ja muuta arvo "enabled" tupla klikkaamalla arvoon "false"

Lisätietoa:

Päivityshistoria

Asiasanat: Tietoturva , Haavoittuvuudet

LinkedIn Print

Yhteystiedot

logo

Viestintävirasto

Kyberturvallisuuskeskus

PL 313, 00181 Helsinki


Mediayhteydenotot puhelimitse 0295 390 248