Tämä on mainospaikka. Maksamme sivuston palvelinkulut mainoksilla. Ethän blokkaa, kiitos!

Näyttäisimme tässä kohtaa mainoksia. Maksamme sivuston palvelinkulut mainoksilla. Ethän blokkaa, kiitos!

Operan haavoittuvuus uhkaa Wiin tietoturvaa
Lähettänyt Su 22.04.2007 - 17:19 käyttäjä Hakkiz

Hakkerit ovat onnistuneet löytämään Wiin verkkoselaimesta haavoittuvuuden, joka uhkaa konsolin tietoturvaa. McAfee-tietoturvayhtiö kertoo blogissaan, että selain kaatuu käyttäjän avatessa sopivasti muotoillun JPEG-kuvan. Se antaa hyökkääjälle teoreettisen mahdollisuuden päästä käsiksi konsoliin.

Haavoittuvuus koskee Opera-selainta, jota Wiin Internet Channel käyttää pohjanaan. Tietoturva-aukko on vain selaimen alkuperäisessä konsoliversiossa, joten hiljattain julkaistun parannellun version asentaneet ovat turvassa.

Vanhan version voi päivittää lataamalla uuden painoksen Shop Channelilta. Lataus on ilmainen kesäkuun loppuun asti. Sen jälkeen siitä veloitetaan 500 Wii-pistettä (noin viisi euroa).

Galleria: 
E3 2006: Wii saa myös Operan

Kommentit

Lähettänyt Su 22.04.2007 - 17:31 käyttäjä Viper7

Hetkinen voiko JPEG edes sisältää haitallista koodia, kun noista viruksista tein esitelmän monet lähteet kertoivat että ainoastaan sovellukset ja erillaiset makropohjaiset tiedostot voisivat näitä sisältää.

Mitenhän hemmetissä JPEG muotoon sitä haitallista koodia saa kun kyseessähän on pelkkä (häviöllinen)Pittikarttan muoto johon ainakaan tietämäni mukaan ei saa mitään haitallista koodia edes laitettua.

Selittäkääpäs nyt niin olen taas hivenen tietäväisempi allalla joka mitä luultavammin tulee tuomaan leivän pöytääni.

Lähettänyt Su 22.04.2007 - 17:51 käyttäjä foghorn

Niin jos pääte on vain .jpg ja tiedoston sisältö jotain muuta.
Eihän sen tiedoston sisältö ole pakko olla kuva, vaan vain jotain koodia joka saastuttaa sille tarkoitetun ohjelman, ja tässä tapauksessa Wiin Operassa oli .jpg kuvien tuessa aukko.
Ja sillä muokatulla .jpg tiedostolla ne sai Operan ainakin kaatumaan.

Lähettänyt Su 22.04.2007 - 18:02 käyttäjä Hakkiz

JPEG-kuvat kertovat tiettyjä tietoja itsestään jo ennen kuin niitä ladataan. Tässä tapauksessa näitä otsaketietoja oikealla tavalla muuttamalla saadaan aikaan kuva, joka huijaa selainta ja aiheuttaa virheen.

Kuviin on mahdollista asettaa hyvin monenlaista tietoa. Tietojen perusteella pystytään esimerkiksi määrittelemään kuvan muokkaukseen käytetty ohjelma, kuvan ottaja, kuvan ottamiseen käytetty kamera ja niin edelleen.

Muistan vielä hyvin, kun Project Gotham Racing 3 häämötti kaukaisessa tulevaisuudessa ja pelistä julkaistiin ensimmäisiä renderöintejä. Eräässä kuvassa, jonka aitoudesta (pelikuva vai ei) keskusteltiin monessa paikassa, luki C.a.r.R.e.n.d.e.r.3.6.0._M.a.g.a.z.i.n.e._.C.o.v.e.r._.r.e._.t.o.u.c.h.e.d.u.p", kun sen HEX-editorilla avasi. :)

Lähettänyt Su 22.04.2007 - 18:42 käyttäjä Viper7

Kyllähän kuva voi tietoa sisältää, mutta tietääkseni mitään soveltavaa koodipätkää siihen ei voi lisätä. Eli viruksen iskiessä koneelle ei tämä pysty itseään lisäämään kuin soveltaviin tiedostoihin sekä tiedostoihin kuten Doc joka voi omata makro koodia. JPG ei tietääkseni ole kuin Word doc johon voisi makroakaan ujuttaa.

Eli siis JPG tietokoneella ei voi sisältää virusta mutta voiko muka selaimen kautta Jpg:tä käyttäen jotenkin haittaohjelman ujuttaa koneen muistiin?

Vähän menee vain ristiin oman ymmärrykseni mukaan tämä. En väitä ettei näin voisi tehdä kun tätä todistaa jo yllä oleva uutinen mutta miten ihmeessä :D

Lähettänyt Su 22.04.2007 - 18:56 käyttäjä Hakkiz

Tässä ei siis ole kyse viruksesta tai muusta haittaohjelmasta. Käsitin asian niin, että sopivasti muotoiltu kuvadata huijaa Operaa varaamaan väärän määrän muistia kuvalle. Tällöin syntyy mahdollisuus ujuttaa koneeseen varsinainen haittaohjelma kyseisen haavoittuvuuden kautta.

Tein uutiseen pienen muutoksen, joka toivottavasti vähentää väärinymmärryksen riskiä.

Lähettänyt Su 22.04.2007 - 19:14 käyttäjä taikajanne

Puskuriylivuotoa (jollainen ei taida nyt olla kyseessä?) hyväksikäyttämällä on helppo saada suoritettua omaa koodia järjestelmässä mistä tahansa tiedostosta jota käsitellään haavoittuvalla ohjelmalla. Tämä tuli todettua aikoinaan ohjelmoinnin tunnilla kun kokeiltiin :p

Lähettänyt Su 22.04.2007 - 22:34 käyttäjä Viper7

Juu en minäkään mitään kamalasti näistä asioista ymmärrä, kunhan vain mielenkiinnolla kyselin, kun esitelmäni lähteet kertoivat ettei kuvissa voi olla haitalista koodia. Ammattikorkeaan tietokoneinsinööriksi olisi aika aloitaa opiskelu niin näistä asioista on hyvä tietää, toivottavasti siellä sitten käydään läpi näitäkin asioita oikein kunnolla.

Tarvitaankohan kohta konsoleihinkin oma Fsecure tai Norton :D

Lähettänyt Ma 23.04.2007 - 00:29 käyttäjä Anonyymi (ei varmistettu)

Jpegeissä on voinut olla haittakoodia jo melko pitkään.

http://www.sophos.com/pressoffice/news/articles/2002/06/va_perrun.html

Mikä lie käytännön tietoturvakoulutuksen laita kouluissa näinä päivinä.

Lähettänyt Ma 23.04.2007 - 10:16 käyttäjä WeePee

Ja kohta Wiille Spybot tai Ad-aware ohjelma. Iwata suosittelee, että ajat ohjelmat läpi joka toinen tunti. V***n viruskoodaajaspedet !!!

Lähettänyt Ma 23.04.2007 - 14:24 käyttäjä Jesta

Ihmeen kauan tuossa sitten menikin...

Lähettänyt Ma 23.04.2007 - 19:05 käyttäjä kirves

Jos tuossa on todellinen tietoturvaongelma, niin selainpäivitystä ei kyllä kannata maksulliseksi muuttaa. Oikeasti kohta varmaan konsoleissakin alkaa pyörimään F-Secure tms. :D

Lähettänyt Ti 24.04.2007 - 23:44 käyttäjä sinappipipo

saisivat laittaa uusimman flashin siihen... (tietoturva-asioita kommentoimatta)

Kommentoi

Kirjaudu kommentoidaksesi

Lisää sisältöä

KonsoliFIN – Peliuutiset, peliarvostelut, pelikeskustelut – Pelaamisen keskipiste!

Lista sivulta löytyvistä peleistä

Tietoa sivustosta

Toimitus

Evästevalinnat