PAHA KYSYMYS
21.1.2010, 10:49Miksi hyökkääjä voi ajaa omaa koodia selaimen kautta?
Tämän viikon Paha kysymys liittyy ajankohtaiseen haavoittuvuuteen Internet Explorer -selaimessa.
Viikon alussa Saksan ja Ranskan tietoturvaviranomaiset kehottivat käyttäjiä välttämään Internet Explorerin käyttöä avoimen haavoittuvuuden vuoksi. Kilpailevien selainten valmistajat ovat jo ilmoittaneet omien latausmääriensä nousseen huimasti. Myös Microsoft on ottanut aukon tosissaan ja ilmoittaa julkaisevansa hätäpaikan jo tänä iltana.
Pahaan kysymykseen vastaa Microsoftin tietoturvajohtaja Kimmo Bergius.
Miten ylipäätään on mahdollista, että Internet Explorer -selaimen kautta on mahdollista ajaa omaa koodia? Eikö selaimen pitäisi jo itsessään olla niin suljettu järjestelmä, että siitä on pääsy vain hyvin rajalliseen määrään tietokoneen resursseja?
Webbisivuun voidaan pelkän html-koodin lisäksi sijoittaa erilaista aktiivista sisältöä, esimerkiksi JavaScript-ohjelmakoodia ja erilaisia ohjelmakomponentteja kuten Adoben Flashiä. Aktiivista sisältöä ja ohjelmakomponentteja käytetään webbisivujen elävöittämiseen.
Internet Explorerissa, kuten useimmissa selaimissa, on puolestaan toimintoja, joilla aktiivinen sisältö ja ohjelmakomponentit näytetään käyttäjälle osana webbisivua. Internet Explorerissa ohjelmakomponentit ovat useimmiten niin sanottuja ActiveX-komponentteja, jotka sisältävät ihan tavallista Windows-ohjelmakoodia.
Viimeisen viikon aikana julkisuudessa ollut, Microsoftin Security Advisoryssä 979352 kuvattu haavoittuvuus liittyy tapaan, jolla Internet Explorer käsittelee Web-sivulta ohjelmakomponentteja.
Hyökkääjä voi hyödyntää haavoittuvuutta rakentamalla tietyllä tavalla tehdyn web-sivun, jossa kutsutaan ohjelmakomponenttia ihan tietyllä tavalla, ja sen jälkeen houkutellaan käyttäjä avaamaan sivu Internet Explorerissa. Komponentin suorittaminen aiheuttaa Internet Explorerissa muistivirheen, jonka turvin hyökkääjä sitten pääsee mahdollisesti sijoittamaan järjestelmän muistiin sitä ”omaa ohjelmakoodiaan” ja suorittamaan sen.
Miten käyttäjä sitten voi suojautua tämän tyyppisiltä ongelmilta?
Ihan ensimmäisenä kannattaa tietysti pyrkiä siihen, että käytössä on mahdollisimman uusi versio käyttöjärjestelmästä ja selaimesta.
Windows Vistan Internet Exploreriin lisättiin selaimen suojattu tila (Protected Mode), joka rajoittaa sitä, mitä selaimessa suoritettavat ohjelmakomponentit voivat järjestelmässä tehdä. Suojattu tila on luonnollisesti käytössä myös, kun koneessa on Windows 7 ja Internet Explorerin versio 8.
Käyttäjä voi myös rajoittaa erilaisen aktiivisen sisällön suorittamista käyttämällä Internet Explorerin tietoturva-asetuksia. Kannattaa muistaa, että selaimessa tietoturva-asetukset voidaan määrittä eri tavalla eri vyöhykkeille eli zoneille. Näin internetistä tulevalle web-sivulle voidaan määrittää eri asetukset kuin esimerkiksi organisaation omasta verkosta peräisin olevalle sivulle. Tai käyttäjä voi määrittää joukon luotettuja sivustoja, joille annetaan enemmän mahdollisuuksia kuin kaikille muille sivustoille.
Sekä Vistassa että Windows 7:ssä on myös erilaisia suojaustoimintoja. Uusimman Internet Explorerin haavoittuvuuden yhteydessä on puhuttu paljon muistin suojaamisesta ja DEP-toiminnosta (Data Execution Prevention). DEPin ja muiden vastaavien toimintojen tarkoituksena on suojata käyttöjärjestelmää niin, että ulkopuolinen, mahdollisesti vihamielinen hyökkääjä, ei pääse suorittamaan sitä omaa ohjelmakoodiaan.
Kaiken kaikkiaan käyttäjän perusohjeet ovat siis pähkinänkuoressa:
- Käytä uusinta versiota sekä selaimesta että käyttöjärjestelmästä.
- Varmista, että käyttöjärjestelmään ja selaimeen on asennettu uusimmat päivitykset.
- Varmista, että koneessa on ajan tasalla oleva virustorjuntaohjelmisto ja palomuuri.
Lisäksi kannattaa tutustua erilaisiin tietoturva-asetuksiin ja hyödyntää niitä.
Olisiko sinulla ohjelmistojätille hankala kysymys? Lähetä kysymyksesi meille.
Tietoviikko valitsee kysymysten joukosta tiukimmat ja penää niihin vastauksen Microsoftilta. Asiattomat ja alatyyliset lohkaisut jätetään luonnollisesti huomiotta. Suosikkejamme ovat erityisesti yrityskäyttäjää koskettavat aiheet.
"Käyttäjä voi myös rajoittaa erilaisen aktiivisen sisällön suorittamista käyttämällä Internet Explorerin tietoturva-asetuksia. Kannattaa muistaa, että selaimessa tietoturva-asetukset voidaan määrittä eri tavalla eri vyöhykkeille eli zoneille. Näin internetistä tulevalle web-sivulle voidaan määrittää eri asetukset kuin esimerkiksi organisaation omasta verkosta peräisin olevalle sivulle. Tai käyttäjä voi määrittää joukon luotettuja sivustoja, joille annetaan enemmän mahdollisuuksia kuin kaikille muille sivustoille..."
Windows on tavalliselle käyttäjälle helppo, kuka tahansa eläkeläinen osaa tämän, vai mitä?
Pääsääntöisesti siksi, kun javascript on 'rikki'. Tietyt komennot, kuten 'eval' - voisi koko kielestä poistaa.
PAHA KYSYMYS
19.5.2011 9:39Miten on ARM-tuen laita?
Tämänkertainen Paha kysymys iskee Windowsin ARM-versioon ja sovellusten tulevaisuuteen. Onko sitä? »
PAHA KYSYMYS
21.2.2011 13:02Miksi käyttäisimme Officea kun Googlen Appsitkin ovat olemassa?
Niin, tosiaan. Tom Toivonen kertoo, miksi Office on hänen mielestään edelleen hintansa väärti. »
PAHA KYSYMYS
16.11.2010 13:20Onko Office 2010 -tuotetunnuskortti heitettävä roskiin, jos läppäriini onkin esiasennettu 2007-versio?
PAHA KYSYMYS
31.5.2010 9:11Miksei Microsoft ole tehnyt verkkokaupparatkaisua?
Kysymykseen vastaa tuote- ja ratkaisupäällikkö Arto Rämö Microsoftilta. »
Ilmoituksesi käsitellään seuraavan työpäivän kuluessa.