Supermicron hallintalaitteissa salasanavuodon mahdollistava haavoittuvuus

Osasta Supermicron valmistamista emolevyistä on löytynyt laitteen
hallintaliittymän käyttäjätunnukset ja salasanat paljastava haavoittuvuus.
Haavoittuvuus sijaitsee laitteiden IPMI-protokollaa toteuttavissa
WPCM450-nimisissä BMC-piireissä.

IPMI (Intelligent Platform Management Interface) on Intelin kehittämä
standardiprotokolla, jolla eri laitevalmistajien hallintajärjestelmät ovat
yhteensopivia eri valmistajien palvelinten ja järjestelmien kanssa.
IPMI-protokollaan kuuluva BMC (Baseboard Management Controller) mahdollistaa
virtuaalisen näppäimistön, hiiren sekä siirrettävien muistivälineiden käytön
palvelimen etähallintaan.

https://www.viestintavirasto.fi/tietoturva/haavoittuvuudet/2014/haavoittuvuu
s-2014-081.html

IPhone-varkaudet romahtivat

Applen viime vuonna esittelemä iOS-järjestelmän tappokytkin on vähentänyt
iPhone- ja iPad-laitteiden varkauksia merkittävästi. Esimerkiksi New
Yorkissa iOS-laitteiden varkaudet vähenivät alkuvuodesta 19 prosentilla, kun
varkauksien kokonaismäärä tippui vain 10 prosentin verran.

Samaan aikaan Samsungin laitteiden varkauksia raportoitiin jopa 40
prosenttia enemmän. Samsungin laitteissa ei ole oletusarvoisesti asennettuna
vastaavaa toimintoa. Vastaava ilmiö havaittiin myös San Franciscossa sekä
Lontoossa.

Isoista valmistajista myös Google ja Microsoft aikovat tuoda järjestelmiinsä
tappotkytkin-ominaisuuden.

Chrome-selaimen versiopäivitys 35.0.1916.153 korjaa neljä haavoittuvuutta

Kohde:

– työasemat ja loppukäyttäjäsovellukset

Hyökkäystapa:

– ilman kirjautumista
– ilman käyttäjän toimia

Hyväksikäyttö:

– käyttövaltuuksien laajentaminen
– tietojen muokkaaminen
– suojauksen ohittaminen

Ratkaisu:

– korjaava ohjelmistopäivitys

Google on julkaissut Chrome-selaimestaan uuden version, jossa on korjattu
neljä haavoittuvuutta. Chromeen sisäänrakennetty Flash Player-liitännäinen
päivittyy myös. Päivityksessä korjattavista haavoittuvuuksista kaksi on
luokiteltu tärkeiksi ja yksi melko tärkeäksi. Yhden osalta luokittelutietoa
ei ole julkaistu. Haavoittuvuudet liittyvät ongelmiin muistinkäsittelyssä
sekä puskuriylivuotoon. Päivitys korjaa myös bugeja jotka ovat saattaneet
johtaa ohjelmiston kaatumiseen.

Google on palkinnut Chrome-selaimesta haavoittuvuuksia löytäneitä ja niistä
Googlelle raportoineita henkilöitä 500-1000 dollarin rahapalkinnoilla.

Chrome-selaimen voi päivittää joko selaimen oman automaattisen
päivitystoiminnon avulla tai lataamalla selaimen uusimman version
valmistajan kotisivuilta osoitteesta https://www.google.fi/chrome/

HAAVOITTUVAT OHJELMISTOT:

* Google Chrome-selain ennen versiota 35.0.1916.153

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

* Ohjelmiston päivittäminen valmistajan ohjeiden mukaisesti.