Mortimer
IE 5.5 bug már az első héten
A múlt héten megjelent Internet Explorer 5.5-ben máris biztonsági hibát találtak, mellyel bele lehet nézni a felhasználó gépén tárolt file-okba.
A hibát a bolgár Georgi Guninski találta meg, és elmondása szerint a támadó beleolvashat a felhasználó file-jaiba. A probléma forrása a már régebben kiadott ActiveX vezérlőben van, ezt használja a Microsoft, hogy a webböngésző együtt tudjon müködni más, erőteljesebb asztali alkalmazásokkal. A technológia már eddig is számos alkalommal biztonsági hibák eredője volt.
Az AcitveX vezérlőt a Dynamic HTML (DHTML) szerkesztőjéhez mellékelik, amivel a webszerkesztők automatizált elemeket adhatnak oldalukhoz. De mivel probléma van a Microsoft objektmodellezési megoldásával (Document Object Model, DOM), mely egyszerű útja a scriptek használatának, a szerkeszthető komponens lehetővé teszi a rosszándékú embereknek, hogy frame-ek (a weblapon belüli kisebb ablakok) kombinációjával információkat szerezhessenek az áldozat számítógépéből és a vágólapjáról, ahol időlegesen szövegeket lehet tárolni.
Ismertetőjében Guninski utalt arra is, hogy a frame-ek és a szerkesztett komponens megfelelő kombinációja további biztonsági aggodalmakat is felvet.
A Microsoft képviselője elmondta, hogy a vállalat vizsgálja Guninski beszámolóját, de nem kommentálta azt. Guninski jelentése, mely csak egy a Microsoft szoftvereiben található biztonsági hibák hosszú sorából, a Bugtraq levelezőlistáján egy kommentár kiséretében járt körbe.
"Egy újabb böngésző biztonsági hiba részleteinek megbeszélése helyett jó alkalom ez arra, hogy inkább a bug-ok végeláthatatlan áradatának megszünetésének lehetséges módjaira koncentráljunk" - irta a SecurityFocus elemzője és a Bugtraq moderátora, Elias Levy. "Egyértelmű, hogy a jelenlegi módszer a kód kiadására, és utána hiba találása esetén annak javítására egy patch kiadására nem megfelelő. A fogyasztók operációs rendszerében használt jelenlegi biztonsági technológia nem felel meg az internet kor kihívásainak."
A hibát a bolgár Georgi Guninski találta meg, és elmondása szerint a támadó beleolvashat a felhasználó file-jaiba. A probléma forrása a már régebben kiadott ActiveX vezérlőben van, ezt használja a Microsoft, hogy a webböngésző együtt tudjon müködni más, erőteljesebb asztali alkalmazásokkal. A technológia már eddig is számos alkalommal biztonsági hibák eredője volt.
Az AcitveX vezérlőt a Dynamic HTML (DHTML) szerkesztőjéhez mellékelik, amivel a webszerkesztők automatizált elemeket adhatnak oldalukhoz. De mivel probléma van a Microsoft objektmodellezési megoldásával (Document Object Model, DOM), mely egyszerű útja a scriptek használatának, a szerkeszthető komponens lehetővé teszi a rosszándékú embereknek, hogy frame-ek (a weblapon belüli kisebb ablakok) kombinációjával információkat szerezhessenek az áldozat számítógépéből és a vágólapjáról, ahol időlegesen szövegeket lehet tárolni.
Ismertetőjében Guninski utalt arra is, hogy a frame-ek és a szerkesztett komponens megfelelő kombinációja további biztonsági aggodalmakat is felvet.
A Microsoft képviselője elmondta, hogy a vállalat vizsgálja Guninski beszámolóját, de nem kommentálta azt. Guninski jelentése, mely csak egy a Microsoft szoftvereiben található biztonsági hibák hosszú sorából, a Bugtraq levelezőlistáján egy kommentár kiséretében járt körbe.
"Egy újabb böngésző biztonsági hiba részleteinek megbeszélése helyett jó alkalom ez arra, hogy inkább a bug-ok végeláthatatlan áradatának megszünetésének lehetséges módjaira koncentráljunk" - irta a SecurityFocus elemzője és a Bugtraq moderátora, Elias Levy. "Egyértelmű, hogy a jelenlegi módszer a kód kiadására, és utána hiba találása esetén annak javítására egy patch kiadására nem megfelelő. A fogyasztók operációs rendszerében használt jelenlegi biztonsági technológia nem felel meg az internet kor kihívásainak."