Teksti suurus

Reavahe

Kontrastsus
Seaded

 

Soome teadurite suuremastaabiline leid

Soome turvaintsidentide käsitlejad CERT-FI ja Briti kriitilise infrastruktuuri kaitse agentuur CPNI teavitasid vigadest andmete pakkimist kasutavates rakendustes.

Soomes tegutsev Oulu University Secure Programming Group (OUSPG) leidis testides vigu enamikust ACE, ARJ, BZ2, CAB, GZ, LHA, RAR, TAR, ZIP ja ZOO vormingus faile avavatest programmikoodidest. Pakkimiseks kasutatavad programmikoodid on samaaegselt kasutusel paljudes tarkvaratoodetes, muuhulgas ka viirusetõrje programmides. Pakkimine on failide mahu vähendamine matemaatilisi algoritme kasutades, enamusele arvutikasutajatele on kindlasti tuttav pakkimisprogramm WinZIP.

CERT Eesti infoturbe spetsialisti Tarmo Randeli sõnul oli Oulu Ülikooli teadurite leid suuremaastaabiline just pakkimist kasutavate rakenduste laia leviku tõttu: “Sama mustri järgi tekkinud vead on operatsioonisüsteemides, veebiserverites, viirusetõrje programmides ja spetsiaalsetes pakkimisprogrammides.”

“Hea tava järgides tuleb turvavea leidmisel teavitada esmalt asjassepuutuvaid osapooli. See annab tarkvara tootjale võimaluse parandada tooted, enne kui sellest mingi häda sündida võiks. OUSPG teavitas tarkvaratootjaid vigadest pakkimisalgoritmides juba eelmisel aastal, mis jättis neile piisavalt pika reageerimisaja. Tavakasutajale märkamatult on viimase poole aasta jooksul vead enamikus rakendustes parandatud. Kuna hetkel ei ole teada ühtegi pahavara, mis just neid nõrkusi arvutite ründamiseks kasutab, ei ole ka otsest ohtu uuendamata tarkvara kasutajatele. Samas tuleks kindlasti paigaldada tarkvarauuenduste tekkimisel need nii kiiresti kui võimalik, sest ajalugu on näidanud, et peale turvavea avalikustamist tekivad koheselt ka just seda auku kasutavad pahalased”, selgitab Randel.

Täpsem info CERT-FI avaldusest
F-secure on parandused oma viirusetõrje toodetele avaldanud

Teema: CERT, Küberturve

Lisatud 18.03.2008

Tagasi lehele "Uudised"