Mäkkimies ei JAVAA kaipaa

Keskustelua tietoturvasta ja varmuuskopioinnista Mac-, iPhone- ja iPad -käyttäjien näkökulmasta
Avatar
securapple
Viestit: 631
Liittynyt: 9.7.2008 klo 17.44

Mäkkimies ei JAVAA kaipaa

Viesti Kirjoittaja securapple »

Hei!
Asia liittyy tuohon JAVA-haavaan, mutta pistetään nyt uusi postaus kun haavan status on muuttunut.Tutkijoiden mukaan ko. haavoittuvuutta käytetään aktiivisesti nettisivuilla OSX-tietomurtoihin.

Vaaraton koekoodi(proof of concept) : Jokainen voi kokeilla surffaamalla
http://landonf.bikemonkey.org/static/mo ... hello.html

Riski:
Konettasi yritetään hakkeroida selaimen kautta : tulee admin-salasana kysely surffaillessa jonka jälkeen tarttuu jotain kökköä koneelle.

Suojautuminen :
1. Disabloi JAVA safarista ja firefoxista (100% varma suojautuminen), pistä päälle väliaikaisesti kun tarvitset jollain sivulla.
2. Common Sense Antivirus 2009 pro (älä pelaile java-pelejä oudoilla sivuilla, jne...) , älä anna admin-salasanaa kun se tulee surffatessasi selaimella. Asenna ohjelmistojan vain applen sivustolla olevista linkeistä.
3. Käytä firefoxia ja sen lisäosia "WOT"(varoittaa "laitapuolen" sivustoista) sekä "Noscript" (salli JAVA vain sivustoilla joilla se on mielestäsi tarpeen).

Turvallista matkaa!

-Securapple

Lähteet: http://secunia.com/advisories/35118/2/ sekä http://landonf.bikemonkey.org/code/maco ... 90519.html ja http://blog.cr0.org/2009/05/write-once- ... ryone.html
Kyberukkeli
iPhone 6,iPad Air,iPad Mini 3,rMBP-2014 twitter: http://twitter.com/securapple
Ylös
Raikka
Viestit: 4446
Liittynyt: 20.2.2004 klo 23.05
Paikkakunta: Helsinki

Re: Mäkkimies ei JAVAA kaipaa

Viesti Kirjoittaja Raikka »

Pitikö tuon koejutun siis tehdä se admin-salasanan kysely? Vaiko jotain muuta?
Huom! Vain oma vaatimaton arveluni - ei välttämättä tietoa!
R.
Ylös
Avatar
securapple
Viestit: 631
Liittynyt: 9.7.2008 klo 17.44

Re: Mäkkimies ei JAVAA kaipaa

Viesti Kirjoittaja securapple »

Hei!

Koekoodi murtautuu java-hiekkalaatikosta ja käyttää järjestelmän resursseja, tässä tapauksessa taitaa käyttää say -komentoa.

Ei kysy salasanaa koska ko. toiminto ei tarvitse suurempia käyttöoikeuksia.

-Securapple
Kyberukkeli
iPhone 6,iPad Air,iPad Mini 3,rMBP-2014 twitter: http://twitter.com/securapple
Ylös
Avatar
terosa
Viestit: 441
Liittynyt: 26.3.2008 klo 17.06
Paikkakunta: Tampere

Re: Mäkkimies ei JAVAA kaipaa

Viesti Kirjoittaja terosa »

Seuraava askel on varmaan, että älä surffaa. [:)]

Ihmettelin kyllä jo toisessakin ketjussa, mutta ihmettelenpä täälläkin, että kumma on kun Apple ei saa tuohon jaeltua korjausta inhimillisessä ajassa. Eivät taida Applella panostaa tähän puoleen samaan malliin kuin esim. Microsoftilla kun ei näitä reikiä ihan samaan malliin tupsahtele..

PS. Suht. tuore ompun käyttäjä olen niin en tiedä kuinka nopeasti ovat aiemmin tälläisiin reagoineet.
Tero <tero (dot) saari (a) spof (dot) fi>
"Only those who do nothing make no mistakes."
Ylös
Avatar
kronos
Viestit: 815
Liittynyt: 11.6.2008 klo 14.39
Paikkakunta: Lohja

Re: Mäkkimies ei JAVAA kaipaa

Viesti Kirjoittaja kronos »

Ei kannata huolestua. Noita korjauksia on joskus tullut hyvinkin nopeasti. Vaikea sanoa miksi nyt näyttää kestävän mutta eiköhän tähänkin saada pian paikka nyt kun tieto on levinnyt netissä varsin laajalle ja kun tuota haavoittuvuutta nyt ilmeisesti käytetään aktiivisesti hyödyksi.
Attention, the Universe, by kingdoms right wheel!
Ylös
Avatar
kermit
Viestit: 5892
Liittynyt: 10.3.2005 klo 2.39

Re: Mäkkimies ei JAVAA kaipaa

Viesti Kirjoittaja kermit »

Koska Apple on korjannut jotain nopeasti?
Ylös
Avatar
honpsu
Viestit: 1663
Liittynyt: 16.5.2006 klo 23.09
Paikkakunta: Lappeenranta

Re: Mäkkimies ei JAVAA kaipaa

Viesti Kirjoittaja honpsu »

Onkos tämä nyt Applen vai esim. Sunin harteilla?
MacBook (Late 2008 AluUnibody, 2GHz C2D / 8GB / 128GiB SSD & 160GiB 7200rpm, 10.8)
iPhone 4 32Gb
Ylös
Avatar
kermit
Viestit: 5892
Liittynyt: 10.3.2005 klo 2.39

Re: Mäkkimies ei JAVAA kaipaa

Viesti Kirjoittaja kermit »

Sun on korjannut jo aikoja sitten.
Ylös

Palaa sivulle “Tietoturva ja varmuuskopiointi”