Soome turvaintsidentide käsitlejad CERT-FI
ja Briti kriitilise infrastruktuuri kaitse agentuur CPNI teavitasid vigadest
andmete pakkimist kasutavates rakendustes.
Soomes tegutsev Oulu University Secure Programming Group (OUSPG) leidis testides vigu enamikust ACE, ARJ, BZ2, CAB, GZ, LHA, RAR, TAR, ZIP ja ZOO vormingus faile avavatest programmikoodidest, teatas riigi infosüsteemide arenduskeskus. Pakkimiseks kasutatavad programmikoodid on kasutusel paljudes tarkvaratoodetes, muu hulgas ka viirusetõrje programmides. Pakkimine on failide mahu vähendamine matemaatilisi algoritme kasutades, enamikule arvutikasutajatele on kindlasti tuttav pakkimisprogramm WinZIP.
CERT Eesti infoturbespetsialisti Tarmo Randeli sõnul oli Oulu Ülikooli teadurite leid suuremaastaabiline just pakkimist kasutavate rakenduste laia leviku tõttu. “Sama mustri järgi tekkinud vead on operatsioonisüsteemides, veebiserverites, viirusetõrjeprogrammides ja spetsiaalsetes pakkimisprogrammides,” selgitas ta.
“Hea tava järgides tuleb turvavea leidmisel teavitada esmalt asjassepuutuvaid osapooli. See annab tarkvara tootjale võimaluse parandada tooteid, enne kui sellest mingi häda sündida võiks. OUSPG teavitas tarkvaratootjaid vigadest pakkimisalgoritmides juba eelmisel aastal, mis jättis neile piisavalt pika reageerimisaja. Tavakasutajale märkamatult on viimase poole aasta jooksul vead enamikus rakendustes parandatud. Kuna praegu ei ole teada ühtegi pahavara, mis just neid nõrkusi arvutite ründamiseks kasutab, ei ole ka otsest ohtu uuendamata tarkvara kasutajatele. Samas tuleks kindlasti paigaldada tarkvarauuenduste tekkimisel need nii kiiresti kui võimalik, sest ajalugu on näidanud, et pärast turvavea avalikustamist tekivad kohe ka just seda auku kasutavad pahalased,” selgitab Randel.
Seotud lood
Soome nimetab reedel ametisse uue
välisministri, kes võtab üle senise välisministri Ilkka Kanerva
ametikohustused, kuna viimane on sattunud
järjekordsesse seksiskandaali.
Tarvavarafirma Microsoft tunnistas eile, et tema Windowsi operatsioonisüsteemis on viga, mis muudab selle häkkritele haavatavaks.
Telia Digikoristuspäev toimub juba 31. jaanuaril. Meenutame, kuidas viidi sel aastal digikoristust läbi Eesti Kaitseväes, kus IT-süsteemidest ja seadmetest kustutati kokku kümnete terabaitide ulatuses digikeltsa.