Security Advisory 2718704 - joidenkin Microsoftin juurivarmenteeseen perustuvien varmenteiden peruuttaminen

Microsoft on julkaissut uuden Security Advisoryn 2718704 otsikolla “Unauthorized Digital Certificates Could Allow Spoofing”. Security Advisory liittyy sovellusten allekirjoittamisessa käytettyihin varmenteisiin ja niiden luottamuksen peruuttamiseen Windows-käytöjärjestelmässä varustetuissa järjestelmissä. Ongelman taustalla on kohtuullisen paljon julkisuutta saanut Flame-niminen haittaohjelma. Microsoft on haittaohjelmaa tutkiessaan havainnut, että jotkut sen komponentit on allekirjoitettu käyttämällä joihinkin Microsoftin Intermediate-varmenteisiin (ja sitä kautta…

0

Tammikuun 2012 tietoturvatiedotteet

Microsoft julkaisi eilen 10.1.2012 vuoden ensimmäiset tietoturvatiedotteet. Kuten viime torstaina julkaistussa ennakkotiedotteessa todettiin, tässä kuussa tuli ulos seitsemän uutta tietoturvatiedotetta, joista kuusi koskee Windowsin eri tuettuja versioita ja seitsemäs Microsoftin kehitysympäristöjä. Windowsia koskevista tiedotteista yksi on luokitukseltaan kriittinen ja loput kuusi tiedotetta luokitukseltaan tärkeitä. Yhteenveto tiedotteista: Kuten aikaisempinakin kuukausina, tiedotteet on myös jaettu prioriteettijärjestykseen: Microsoftin…

0

Ennakkotieto tammikuun 2012 tietoturvatiedotteista

Microsoftin Security Response Center julkaisi eilen 5.1.2012 ennakkotiedon tammikuun 2012 normaalin aikataulun puitteissa julkaistavista tietoturvatiedotteista. Tulevan viikon tiistaina 10.1. julkaistaan tämän hetken tiedon mukaan 7 uutta tietoturvatiedotetta: tiedotteista yksi on luokitukseltaan kriittinen (Critical) muut kuusi tiedotetta ovat luokitukseltaan tärkeitä (Important) tiedotteista kuusi koskee Windowsin eri tuettuja versioita seitsemäs tiedote koskee Microsoftin kehitystyökaluja tiedotteissa on korjattu…

0

Lisähuomio tietoturvatiedotteesta MS11-100

Edellisessä tiedotetta MS11-100 käsittelevässä blogipostauksessa mainitsin päivityksen testaamisesta. Testauksen tärkeyttä ei voi liikaa korostaa – kaikkien vähäänkään kriittisempien webbipalvelimien osalta tämä päivitys on testattava huolella, koska sen asentaminen vaikuttaa mm. käyttäjätunnistuksen toimintaan, erityisesti käytettäessä lomakepohjaista tunnistusta (Forms Based Authentication). Lisäksi kannattaa huomioida myös tiedotteessa haavoittuvuuden CVE-2011-3416 kohdalla mainittu seikka palvelinfarmeista (web-palvelimista, joissa useita palvelimia on…

0

Tietoturvatiedote MS11-100 julkaistu normaalin aikataulun ulkopuolella

Microsoft julkaisi tietoturvatiedotteen MS11-100 normaalista aikataulusta poiketen eilen illalla 29.12.2011 n. klo 20.00 Suomen aikaa. Tietoturvatiedote koskee .NET Frameworkin ASP.NET-kirjastoa ja siinä on korjattu neljä eri haavoittuvuutta, mm. Security Advisoryssä 2659883 kuvattu Hash Table -toiminnallisuuteen liittyvä haavoittuvuus, joka on myös ollut julkisesti tiedossa ennen tiedotteen julkaisemista. Tiedote on luokitukseltaan kriittinen ja Microsoft suosittelee, että se…

1

Security Advisory 2659883 - Haavoittuvuus ASP.NET-kirjastossa

Microsoft on julkaissut uuden Security Advisoryn 2659883 otsikolla Vulnerability in ASP.NET Could Allow Denial of Service. Security Advisory koskee ASP.NET-kirjastoa kaikissa tällä hetkellä tuetuissa .NET Frameworkin versioissa. ASP.NET-kirjastosta on löydetty haavoittuvuus, joka liittyy kirjaston tapaan käsitellä hash table -tietoja web-palvelimessa, jossa jokin web-sivu voi vastaanottaa tietoja ASP.NET-pohjaiselle lomakkeelle HTTP POST -pyynnön välityksellä. Vihamielinen hyökkääjä voi hyödyntää haavoittuvuutta…

0

Security Advisory 2641690 -

Microsoft on hetki sitten julkaissut uuden Security Advisoryn 2641690 otsikolla Fraudulent Digital Certificates Could Allow Spoofing. Security Advisory koskee Malesialaista DigiCert Sdn.Bhd -nimistä varmenteiden myöntäjää, joka on myöntänyt varmenteita, joissa on käytetty kohtuullisen heikkoja salausavaimia. Kyseessä on ns. Intermediate-tason varmentaja, joka on käyttänyt varmenteiden myöntämisessä Entrustin ja GTE Cybertrustin myöntämiä varmenteita. Molemmat ovat peruuttaneet DigiCertille myönnetyt…

0

Ennakkotieto huhtikuun 2011 tietoturvatiedotteista

Microsoft on eilen illalla julkaissut ennakkotiedon ensi tiistaina 12.4.2011 normaalin aikataulun mukaisesti julkaistavista syyskuun tietoturvatiedotteista. Ennakkotiedon mukaan tulevana tiistaina julkaistaan seitsemäntoista (17) uutta tietoturvatiedotetta: tiedotteista yhdeksän on luokitukseltaan kriittisiä (Critical), kahdeksan tiedotteista on luokitukseltaan tärkeitä (Important), kaksitoista tiedotteista koskee eri Windowsin tuettuja versioita tai jotain Windowsin komponenttia, yksi tiedotteista koskee Internet Explorer -selaimen eri versioita, neljä…

0

Yhteenveto lokakuun 2010 tietoturvatiedotteista

Microsoft on eilen 12.10.2010 n. Klo 20.00 julkistanut normaalin kuukausittaisen julkaisuaikataulun mukaisesti kuusitoista (16) uutta tietoturvatiedotetta, joista kooste alla. Tietoturvatiedotteet korjaavat neljäkymmentäyhdeksän (49) haavoittuvuutta Windowsissa ja sen eri komponenteissa, Internet Explorer –selaimessa, .NET Frameworkissä, SharePoint-palvelimessa sekä Officen Word- ja Excel-sovelluksissa. Englanninkielinen yhteenveto ja varsinainen tietoturvatiedote löytyvät osoitteesta http://www.microsoft.com/technet/security/bulletin/ms10-oct.mspx. Laitan tähän blogiin tilanpuutteen takia ainoastaan lyhyen…

0

Pari juttua tietoturvatiedotteesta MS10-070

Viime tiistaina julkaistiin siis tietoturvatiedote MS10-070 normaalin tietoturvatiedotteiden julkaisuaikataulun ulkopuolella. Tiedote koskee ASP.NET-ohjelmointirajapinnasta löytynyttä haavoittuvuutta, tiedotteen tarkempi kuvaus löytyy täältä. Tiistaina julkaisimme tiedotteeseen liittyvät päivitykset ainoastaan Microsoftin lataussivustoon, ja nyt päivitykset on julkaistu myös muiden jakelukanavien (Windows Update/Microsoft Update, automaattiset päivitykset, WSUS) kautta. Myös Microsoft Baseline Security Analyzer -työkalu tunnistaa ja osaa raportoida tietoturvatiedotteen asennustarpeesta. Olen…

0