Tietoturvayhtiö F-Securen verkkosivuilta paljastui viime yönä nolo tietoturva-aukko.

Kyseessä oli niin sanottu cross-site scripting- eli xss-haavoittuvuus, jonka avulla sivulle saattoi syöttää ulkopuolista koodia.

F-Securen Mobile Anti-theft -tuotteen lataamiseen tarkoitetulla verkkosivulle oli mahdollista luoda linkki, joka näytti johtavan F-securen omille sivuille, mutta sen sijaan käynnisti hyökkääjän tekemän JavaScript-koodin.

F-Securen tietoturva-asiantuntija Mikko Hyppönen kertoo virheestä firman blogissa. Hän arvelee, että verkkosivuille haavoittuvuuden aiheuttanutta koodia ei testattu yhtiön normaalien tarkastusmenetelmien mukaisesti.

Aukko on Hyppösen mukaan nyt korjattu, eikä sitä ole käytetty haitalliseen toimintaan. Hyppönen kuitenkin kertoo, että XSS-aukkoa olisi voitu käyttää haittaohjelman levittämiseen.

Aukon avulla olisi voinut käynnistää esimerkiksi roskapostikampan, joka olisi näyttänyt tulevan F-Securelta. Sähköpostiin olisi voinut sisällyttää linkin, josta olisi voinut latautua haittaohjelma vastaanottajan koneelle.

Aukon paljasti eilen alkuillasta Xylitol-nimimerkkiä käyttävä tietoturvatutkija, joka on paljastanut aukkoja muun muassa IBM:n ja Nasan verkkosivuilla. F-Secure sulki sivun viime yönä kolmen aikoihin, ja avasi korjatun sivun tänään aamukuudelta.