Gyurkity Péter

Újabb rés az Internet Explorerben

Egy holland egyetemi hallgató szerint a Microsoft által kiadott ideiglenes javítás nem foltozza be azt a biztonsági rést, amelyen keresztül az esetleges támadók tetszőleges kódot futtathatnak számítógépeinken.

A redmondi cég oldalán pénteken jelent meg a böngésző frissítése, ami megakadályozza a kémszoftver által használt trójai vírus terjedését. A hírek szerint azonban újabb hasonló résre bukkantak, ami valószínűleg elkerülte a Microsoft programozóinak figyelmét. A veszélyre egy holland egyetemi hallgató, Jelmer Kuperus hívta fel a figyelmet, aki szerint a javítással csak a probléma egy részét oldották meg, és a Download.Ject néven ismert sebezhetőség módosított változatával továbbra is tetszőleges kódot futtathatunk a számítógépen a felhasználó tudta nélkül.

Kuperus eljárása mindössze annyiban tér el az eredeti megoldástól, hogy a javításban érintett ADODB.Stream objektum helyett a Shell.Application ActiveX objektumokat használja a böngészőn keresztül indított támadásban. Kuperus hangsúlyozta, hogy a jelenleg elérhető biztonsági frissítések nem nyújtanak védelmet a behatolás ellen. Elmondása szerint a hiba nem új, ugyanis egyes biztonsági fórumokon már januárban megjelent. Veszélyességét akkor minimálisnak vélték, ám időközben kiderült, hogy két másik sebezhetőséggel együtt használva akár a számítógép teljes irányítását is átvehetjük.

"Manapság leginkább összetett támadásokkal találkozunk, amelyek egyszerre több kisebb sebezhetőséget használnak ki" - jelentette ki Kuperus. "Ezek a sebezhetőségek önmagukban nem jelentenek veszélyt, ám együttes használatuk komoly fenyegetést jelent számítógépeinkre nézve."

A Microsoft szóvivője elismerte a hiba jelenlétét, és sietett leszögezni, hogy hamarosan újabb javítást adnak ki a böngészőhöz. Számos szakértő ugyanakkor egyéb böngészők használatát javasolja, mivel az Internet Explorer túlságosan sebezhetővé vált.

Hozzászólások

A témához csak regisztrált és bejelentkezett látogatók szólhatnak hozzá!
Bejelentkezéshez klikk ide
(Regisztráció a fórum nyitóoldalán)
  • Pheel #30
    "Nem keverem active-x-el azt ugy ahogy van ki kéne vágni a francba..."

    Comet, már megint hülyeségeket beszélsz. Nem kívánok beleszólni a Mozilla vs IE vitába, de ez a mondat legalább akkora égbekiáltó baromság, mint a múltkori okosságod, miszerint a Windowst struktúrált programozással kellene fejleszteni.


    Ja és volt azért egy másik igencsak értelmes megnyílvánulásod is:
    "Mellesleg milyen mozilla bugról beszélünk amikor a legtöbb mozilla felhasználót nem is érinti: linuxot használnak."

    Hol láttál te BÁRMILYEN VALÓS kimutatást arról, hogy a Mozillát használók tábora főként Linux alól használja a browserét?!? Tényeket! Bár elég belegondolni a Linux desktopon való alacsony elterjedtségébe, illetve a Mozilla arányára a browser piacon és máris látszik, hogy ez lehetetlen.


    Visszatérve az első problémára: már régen kiderült rólad, hogy a programozásról és annak paradigmáiról, mint olyanokról annyi fogalmad van, mint egy marék lepkének, a Windows hátterét/felépítését szinte nem is ismered, mégis osztod itt az észt. A saját javaslatod rád is érvényes: tanulj!
  • comet #29
    Mondtam hogy tanulj, pl angolul. A cikk első mondata arra vonatkozik, hogy a mozillában fedeztek fel egy hibát, és a cikk nem az IE-ről szól(!!!!!!!!!!), DE a cikk további részében kiderül hogy a mozilla hibája egy olyan kódrész ami esetleg támadásra használható rossz kezekben exploit segítségével, már IE-re is létezik!

    Jaj istenem....tudod ugye hogy egyrészt minden második hozzászólásodban megcáfolod önmagad?
    Mivel ilyen hihetetlenül képzett vagy nyilván azért használsz ennyire kifinomult előadástechnikát hogy bizonyíts olyan dolgot ami nem igaz. Körülbelül én, itt fejeztem be az értelmetlen vitát, de azért ha megnézed ez a cikk például a legújabb ie hibáról szól: a Shell.Application (aminek nincs köze a shell://-hez), és nem a mozilláról. Csak úgy elárulom hogy a shell kezelést a mai napig nem javították ki rendesen az IE-ben.
  • Lola. #28
    kár, hogy a shell exploitok úgy egy éve voltak problémásak ie-re, - mint azt már leirtam párszor... - ezt javitották ie-ben kb. 1 éve.

    "szóval érd be annyival hogy nincs igazad, ld. előző kommentjeim + cikkek. "

    Szivesen beérném, ha épp nem az általad beidézett cikk kezdődne azzal a mondattal, hogy ez a hiba ie-t nem érinti.

    "Mert én most éppen többet beszélek angolul mint magyarul..."

    Akkor lehet itt a hiba, próbáld meg angol forumokon terjeszteni az igét, hátha ott beveszik.
  • comet #27
    "És ez pontosan igy van, csak te próbálod ennek ellenkezőjét bizonygatni, hogy a mozillát kimossad..."

    Annyi hülyeséget összehordtál hogy nem is tudom mire reagáljak...szóval érd be annyival hogy nincs igazad, ld. előző kommentjeim + cikkek.
  • comet #26
    [big]Secunia notes that multiple exploits in Internet Explorer also utilise "shell:" functionality. "The shell: URI handler is inherently insecure and should only be accessed from a few trusted sites - or not from a browser at all," it says.[/big]


    Tudsz angolul?
    Mert én most éppen többet beszélek angolul mint magyarul...
  • Lola. #25
    idézgessünk?

    "A popular browser for Windows is subject to a security hole that creates a means for hackers to run malicious code on vulnerable machines. But this time, the vulnerability involves Mozilla and Firefox browsers - not Internet Explorer. "

    not internet explorer.
    Személyeskedés ide vagy oda, lehet az angol tudásodon is csiszolni kéne. Mit is ir amit ideraktál? Az ie is használja a shell-t. Ez a shell elérés nem biztonságos, ezért csak trusted site-okról szabad elérni vagy browserből egyáltalán nem. Pontosan ezt próbálom veled megértetni több napja, az előbbit valósitotta meg az ie talán egy éve, utóbbit fogja az xp2 ha megjelenik... Ha az ie-ben ez ma kihasználható lenne (nem trusted site-ról) akkor maga a securityfocus kerülne ellentmondásba önmagával, mikor az első mondatában irja, hogy ez a shell hiba ie-t nem érint. És ez pontosan igy van, csak te próbálod ennek ellenkezőjét bizonygatni, hogy a mozillát kimossad...

    Tehát, hagy idézzelek: olvass, tanulj...
  • comet #24
    Nem keverem active-x-el azt ugy ahogy van ki kéne vágni a francba...

    "Hát nem véletlen következtetek a tudásszinted alacsony voltára... Nem az a valós fenyegetés, hogy pár script kiddie összekattintgat egy gagyi virust, vagy pár lúzer aki nem patcheli gépét (lehet az linux is, 2 nap alatt több tizezer gépet vágott haza a slapper pl) és bekap pár férget..."

    Mondom, iratkozz fel pár levlistára, olvass, tanulj...
    Mellesleg: direkt próbálom kerülni a személyeskedést, te is tehetnéd ugyanezt.
  • comet #23
    Security firm Secunia rates the problem as "moderately critical". So it's less serious than still unresolved issues bedevilling IE but still unwelcome to Windows users defecting from IE for security reasons. Secunia notes that multiple exploits in Internet Explorer also utilise "shell:" functionality. "The shell: URI handler is inherently insecure and should only be accessed from a few trusted sites - or not from a browser at all," it says.

    Hiába ismételed hogy nem okozott hibát. Hülyeségeket beszélsz.
    Securityfocus hír

    Hehe...kormányzati szinten nincsenek ilyen gondok...ott nem így mennek a dolgok, legalábbis az USA-ban nem.
  • Lola. #22
    "Az IE megoldása hibás,a probléma igazi kiküszöbölése "xp" kód újraírását igényli."

    Ugye nem activex-el kevered? IE-ben jelenleg nincs shell protokollt érintő hiba, mert az jó ideje lekezelte ezt amit mozilla csak két évvel később tett meg.

    "Tudtak róla, ld. bugreportok, de mikor is volt olyan a microsoft hogy bármi ilyesmit megjavítson? Tudod, windows closed-source..."

    Jah, hogy closed source? Hagy kérdezzem már akkor meg, mi változott meg az elmúlt 2 évben???? A "hiba" - amit ismételnék, más böngészőkben nem okozott hibát - ott volt 2 éve. Felhivták rá a figyelmét a mozilla fejlesztőknek. Magasról tettek rá, a hiba ott volt az elmúlt 2 évben, majd tegnap előtt kijön egy exploit rá (persze valószinűleg legalább 1 éve van exploit csak az alvilágban maradt) erre kiadják a mozilla(!!!) patch-t. Akkor magyarázd már meg, hogy miért kellett ezzel 2 évet várni? Az ég egy adta világon semmi nem változott azóta, csak elkezdték törni a mozillákat. (nem, nem az ie-ket, nem az operákat, a mozillákat.)

    "Ha olvasnál Bugtraq, FD vagy az insecure.org-n megtalálható levelezőlista-gyűjteményről párat, megtudhatnád hogy a legtöbb internetes visszaélést (most csak a windowsról beszélve) régóta is ismert, jól dokumentált és egyáltalán nem alvilági hibákat kihasználva követik el. "

    Hát nem véletlen következtetek a tudásszinted alacsony voltára... Nem az a valós fenyegetés, hogy pár script kiddie összekattintgat egy gagyi virust, vagy pár lúzer aki nem patcheli gépét (lehet az linux is, 2 nap alatt több tizezer gépet vágott haza a slapper pl) és bekap pár férget... Ennél jóval komolyabb probléma, a vállalati kémkedés, adatlopás, kormányszintű kémkedések stb-stb. Na ezeket a szinteken jönnek be az ismert és nem patchelt, vagy az ismeretlen (a bugsite-ok, a "közvélemény" számára ismeretlen) bugokkal való kereskedés stb-stb.
  • Emmegki #21
    Tehát a lényeg az, hogy használjatok Operát. Ámen.
    #9: A 7.5-ös verzió nagyon stabil.

    Ja, és az IE felhasználóktól kérdezem: Mi tetszik nektek az IE-ben?