Tietotori – Osallistu ja vaikuta

Tietotori

Windows XP:n päivityksestä löytyi reikiä

Internet-tietoturvaportaali Heise Securityn tutkijat ovat löytäneet Windows XP:n Service Pack 2:sta haavoittuvuuksia. Verkkovandaalit voivat käyttäjän kömmähdysten avulla kiertää uudet turvaominaisuudet ja levittää SP2:lla varustetuissa koneissa viruksia.

Heise Securityn mukaan käyttäjien on syytä olla lataamatta ohjelmia epäilyttäviltä Web-sivuilta. Haavoittuvuudet löytänyt tutkija ei kuitenkaan pidä aukkoja vakavina ja suosittelee SP2:n asentamista.

Haavoittuvuuksia ei voi hyödyntää verkon yli. Kummankin hyödyntämiseksi krakkeri tarvitsisi käyttäjän kömmähdyksiä.

Toinen haavoittuvuus liittyy ZoneID-turvamerkintöihin, jotka Internet Explorer ja Outlook Express leimaavat tallennettuihin tiedostoihin. Komentokehoite jättää tekemättä asianmukaisen varoituksen, kun käyttäjä käynnistää Internetistä ladattua tiedostoa.

Vaara syntyisi, jos käyttäjä ajaisi tuhoa tekevän tiedoston komentokehoitteessa. Näin krakkeri voisi käyttäjän avustuksella levittää viruksia.

Korjausta ei tule

Toinen haavoittuvuus on ohjelmavirhe, jonka vuoksi XP ei päivitä uudelleennimetyn tiedoston ZoneID:tä. Krakkeri voisi näin nimetä tuhoa tekevän tiedostonsa väliaikaisesti uudelleen ja kiertää näin Windowsin tekemät varoitukset.

Microsoftille tiedotettiin haavoittuvuuksista elokuun 12. päivä. Heise Security on päivännyt tiedotteensa 13. päivälle. Heisen mukaan Microsoftin Security Response Center ei pidä haavoittuvuuksia vakavina eikä aio tehdä korjausta.

T:Christian