Gege

Biztonsági hibákat javít az Opera frissítése

Az Opera hét végén kiadott új verziója a webböngésző két sebezhetőségére jelent javítást.

A sebezhetőségeket a BugTraq biztonságtechnikai levelezőlistán hozták nyilvánosságra. Bizonyos weboldalak tehát átvehetik az irányítást az áldozat számítógépe felett, mégpedig úgy, hogy kihasználják a böngésző skinfálj-kezelési, illetve a program külsejét megváltoztató konfigurációs fájlkezelési gyengeségeit.

A finn Jouko Pynnonen által készített tanácsadó dokumentumban megtalálható az összes olyan lehetőség, mellyel a támadó Operát futtató gépeket vonhat irányítása alá. Ezen támadások csak akkor lehetnek sikeresek, ha a felhasználó közreműködését sikeresen kihasználják.
"Ahhoz, hogy ezeket a hibákat ki lehessen használni, az áldozatnak egy rosszindulatú szándékkal megírt weboldalt kell meglátogatnia" - írta Pynnonen.

Jóllehet Pynnonen szerint az egyik sebezhetőség csak windowsos rendszerekre van hatással. A másik a puffertúlcsordulás, melynek kihasználásával a támadó linuxos rendszer felett veheti át az irányítást.
"A könyvtárak bejárási problémája a Linuxon ismeretlen... Más rendszereket nem teszteltünk" - olvasható a dokumentumban, ugyanakkor azt is megjegyzi az író, hogy "a puffertúlcsordulás Linuxon is előidézhető."

Hozzászólások

A témához csak regisztrált és bejelentkezett látogatók szólhatnak hozzá!
Bejelentkezéshez klikk ide
(Regisztráció a fórum nyitóoldalán)
  • Pheel #44
    Mivel 945 találatot jelzett a seggfej szóra a google, így nem fogom megkeresni, hogy te melyik lehetsz...
  • Alien_AM #43
    Ugyanmar hat ojan ugyesvagy tucc te góógleben keresni, láma.
  • Pheel #42
    Gondolod van időm a te hülyeségeiddel foglalkozni? Elárulom: NINCS
  • Alien_AM #41
    OK mindenestre en varom ha talalsz infot esetleg a szervert ha megtalalod en csak gratulalni tudok neked.
  • Pheel #40
    No comment...
  • Lola. #39
    "Pont ezert kerdeztem... mert az ugyintezo szerint leallt. "

    Én meg pont ezért mondtam, hogy ilyen bárhol előfordulhat (banknál leginkább csak hardver hibából) a különbség csak az, hogy banknál nagyon ritkán és nem azért mert win-t használnak... Ha igy lenne, nem win-t használnának, ez ilyen egyszerű, mondhatnám a különbség egy banknál sok-sok ft-ban mérhető. (gyk: a kár amit okozna egy instabil oprendszer)
  • Lola. #37
    "Akkor ez most "mission critical" ???"

    Egy bankbank az ügyintéző gépe? Igen az. Bár a központi szerver az még "mission-criticallabb" :)
    De az teljesen természetes egy bankban, hogy nem állhatnak le az ügyintézők gépei.

    "Tehat ha lefagynak a gepek akkor az azert van mert en meg nem dolgoztam banki kornyezetben... :)

    Akkor surgosen munkahelyet valtok."

    Ha azt nem is teszed meg, de egy kis szövegértési gyakorlat nem fog megártani... :)
    De leforditom neked: ha nem tudod megérteni, miért "mission-critical" egy banknál, hogy akár az ügyintéző akár a központi szerverek stabilak és biztonságosak legyenek (ne álljanak le szoftver hibából), az valószinűleg azért van, mert még nem dolgoztál banki környezetben.

    Remélem igy már érthetőbb...
  • Lola. #35
    és rejtett kamerán látszott, hogy otp? az igen érdekes volna, mert úgy beperelnék a tv társaságot, hogy nyekkene, mivel tilos kamerázni a bank területén csak külön írásos engedéllyel...

    De ettől függetlenül persze senki semmilyen rendszerről nem állithatja, hogy sosem fagy le, elég egy memóriahiba hozzá. Viszont az józan ésszel szeirntem könnyen belátható, hogy egy bank nem engedheti meg magának, hogy ez rendszeresen előforduljon. (ha egy gép fizikailag elromlik az nem ide tartozik)
    Az otp-t én - mondjuk úgy - igen jól ismerem és tudom, hogy nincsen semmi gondjuk az informatikai infrastruktúrával.

    Nemzeti banknál sem gondolhatod ezt komolyan, hogy csak úgy lefagynak rendszeresen a gépeik szoftverhibából... Vagy ha mégis, akkor az valószinűleg azért van, mert még nem dolgoztál banki környezetben. Ott ez egyszerűen nem megengedhető.
  • Lola. #33
    "Mindenesetre a .net -et elismerem hogy jó de a wsh-val mit akarsz? magyarazd mar el nekem mivel veszi az fel a versenyt?"

    Na látszik, hogy halvány fogalmad sincs mi volt a többi rövidítés... :))
    Azokat ugyanis, ha notepad-ből "programozol" - mert ezt kérdezted - mind wsh-n keresztül éred el...
    Tehát, hogy mivel veszi fel a versenyt? Hát a *nix-ek shelljével. Nemcsak, hogy felveszi, de 100x többet tud. Wsh-n keresztül eléred a COM, activex és bármilyen objektumot. Wsh-n keresztül (adsi használatável) én felveszek egy másik telephelyen lévő DC active directoryjába 10.000 usert. Vagy lekérdezem az ott lévő 1.000 gép bios verzióját (wmi), lekérem az összes gépnek bármilyen performance counterét (több mint 1000 PC egy winben linuxon mennyi? :)) , vagy mondjuk logoffolom az összes usert, netán ki is kapcsolom a gépüket (persze, csak ha van rá jogom), kiolvasom az event logjait, és hogy ne hálózatos dolgot mondjak, automatizálom az excel-t pl úgy hogy a fent beolvasott adatokat nem a konzolra hányom ki hanem nyittatok vele egy excel-t com-on keresztül, ole automationnel a megkapott adatokat átemelem bele, megformázom, diagrammot csinálok és kinyomtatom, vagy excel helyett (netán után, a kész xls-t) az adatokat elküldöm mailben az illetékeseknek, és ezt mind-mind wsh-ból, stb-stb végtelen sokáig sorolhatnám ezeket. Gyakorlatilag bármit meg lehet csinálni wsh-ból köszönhetően a win objektumainak és szolgáltatásainak.

    És ez a szép a win-ben, ha akarom a fenti dolgokat parancssorból csinálom, ha akarom felé rakok egy full extrás kattintgatós felületet...
  • Lola. #32
    A TV üdvédje aztán hiteles forrás... :)))
    Emlékeim szerint hivatalosan is statiszták "játszanak" benne, fiktiv ügyekről.

    De komolyan gondolod, hogy magyarország legnagyobb bankja tudna úgy működni, ha össze-vissza lefagynának a gépei és nem működnének a banki rendszerei? Nem túl valószinű...
    De mondjuk, hogy mégis, mert az kereskedelmi bank, a saját baja, ha szar rendszert használ, senki nem szólhatja meg (csak már rég lehúzta volna a rolót). De mondjuk a magyar nemzeti bank? Annak egy kicsit komolyabb a szerepe és ott is w2000 és w2003 domain van mindenhol. Vajon azok is le-leállnak szerinted? :)