Gyurkity Péter

Nem javítja ki a böngészőjét érintő hibát a Microsoft

A biztonsági cégek új, szinte minden elterjedt böngészőt érintő sebezhetőségről adtak hírt, a Microsoft szerint azonban nem hibáról, hanem beépített funkcióról van szó, ezért - a konkurens fejlesztőkkel ellentétben - nem tervezik a rés betömését.

A sebezhetőségről a Secunia biztonsági cég számolt be hangsúlyozva, hogy a hiba több ismert böngészőt is érint, és komoly veszélyt jelent a gyanútlan felhasználókra nézve. A JavaScript hiba lényege, hogy a felugró dialógus ablakokat tetszőleges, akár éppen inaktív oldalak is megnyithatják, így a csalók által speciálisan szerkesztett weboldalak dialógus ablakai a megbízhatónak tartott oldalak részeiként tüntethetik fel magukat.

A támadók ezáltal bizalmas adatokat, jelszavakat csalhatnak aki a figyelmetlen felhasználóktól, és saját céljaikra használhatják fel azokat. A Secunia a figyelmeztetéshez rögtönzött illusztrációt is mellékelt, így bárki letesztelheti böngészőjének védelmét. A biztonsági cég jelentése szerint a hiba az Internet Explorer Windows és Mac változatát, valamint az Opera, Safari, iCab böngészőket érinti, de a Mozilla Alapítvány szoftverei, így a Mozilla és a Firefox sem nyújt védelmet.

A problémára egyedül az Opera 8.01 és az iCab 3.0 nyújt megoldást, az Opera Software ugyanis - amint arról a héten beszámoltunk- a böngésző legújabb verziójában már kijavította a hibát. Érdekes módon azonban a Microsoft nem hajlandó javítást eszközölni, mivel szerintük nem hibáról, hanem beépített funkcióról van szó. A vállalat TechNet oldalán közzétett jelentés ugyan elismeri, hogy a támadók speciális weboldalakon keresztül saját céljaikra fordíthatják a funkciót, de ebben nem látja saját felelősségét.

"Az adathalászat elleni útmutatásunkat követve a felhasználók csökkenthetik az őket fenyegető veszély nagyságát. Amennyiben a felbukkanó dialógus ablak nem tartalmazza az oldal címét, vagy információt az oldal megbízhatóságával kapcsolatban, a felhasználó kénytelen elégtelen adatra alapozni döntését" - áll a jelentésben.

A vállalat szerint az otthoni felhasználók legfontosabb teendője a Windows XP második javítócsomagjának feltelepítése, illetve a beépített tűzfal bekapcsolása, és engedélyezniük kell az operációs rendszer frissítéseinek automatikus telepítését. Igaz, a második javítócsomag önmagában nem nyújt védelmet a hiba ellen, de a jelek szerint innentől kezdve a felhasználó saját belátására bízzák, hogy megbízik-e az adott oldalban, vagy sem.

Hozzászólások

A témához csak regisztrált és bejelentkezett látogatók szólhatnak hozzá!
Bejelentkezéshez klikk ide
(Regisztráció a fórum nyitóoldalán)
  • Piscator #72
    Na archoven visszatért.
    MegLOL!
    a cracks.am is jó spy gyűjtőgetésre, persze aki ilyen oldalakat látogat :)
  • dez #71
    LOL :)
  • FTeR #70
    ezt most vagy teljesen irónikusan értetted, vagy nem deznek szántad :)
  • Caro #69
    Ahelyett, hogy annyit dícséred az MS-t, meg a szoftvereit, mondd meg, ahelyett, hogy nálad milyen megbízható, meg stabil, hogy miben _jobb_ mint a konkurencia?
  • FTeR #68
    nem, egyáltalán nem erről beszéltem, csak a legvégén mellékesen jegyeztem meg.
    arról beszéltem, h a hiba gyakorlatilag kihasználhatatlan, ha egyáltalán hibának lehet nevezni. Ugyanis nem bug, hanem a koncepcióból adódó lehetőség. Ennyi erővel lehetne azt mondani, h kapcsoljuk ki a számítógépet, mert akkor biztos nem kapunk vírust.
    Látom a több soros szövegből sikerűlt megragadni azt a kevesebb mint másfél soros megjegyzést, amit mellékesen írtam oda, mint 1 pluszként ("Arról nem is beszélve, h [...]").
  • NEXUS6 #67
    Újra a régi téma.

    Hol húzod meg az értelmes júzer határvonalát?
    Ha te fejlesztenél böngészőt, akkor beírnád a readmebe: Figyelem, a program csak értelmes júzer kezében megbízható!?

    A windózok IE többségét NEM értelmes júzerek használják!
    Akkor kérdezem, nem kéne akkor még is csak valamit lépnie a M$-nek a problémára?

    A NEM értelmes júzer ráadásul nem csak önmagára veszélyes, mert mint virusgazda, meg zombigéptulaj az értelmes júzereket is veszélyeztetik, mivel az értelmes júzer gépének biztonsága sem 100%, csak sokkal magasabb.
  • FTeR #66
    // az előttem elhangzott minden 60iksz posttól teljesen elhatárolom magam és csak a hírre szeretnék reagálni.
    //--

    Ha jól értem, ahhoz, h ez a "hiba" kihasználható legyen, ahhoz az kell, h előbb elmenjek egy olyan oldalra, ami valamlyien spyware vagy egyéb módon adatot(okat) ki akar belőlem szedni. Majd ezek után el kell hogy menjek egy olyan általam megbízott oldalra amiről feltételezem, h kérhet tőlem/rólam adatokat és miközben ezt az oldalt böngészem a másik csúnya oldal feldob egy popupot (ami pont olyan mint amilyen oldalt nézegetek) így átverve engem. Jól értem ügye?
    Azért nem irigylem azt az adathalászt, aki ilyen megoldásra alapozik :)

    Ráadásúl ebből a logikából kiindúlva, ha elsőnek a bankhoz megyek és utána egy spyware oldalra és ez a spyware oldal dob fel egy ablakot, mintha az a bank (háttérből indított) popupja lenne, akkor ugyan ott vagyunk. Tehát más nem maradt, mint úgy ahogy van szanálni mindenféle popupot.

    Arról nem is beszélve, h értelmes júzer minden olyan popupot ami nem kattintást követően jelenik meg reflexből szanál, vagy legalább valamilyen popup killere végez vele.
  • arty #65
    LOL :DDDDD
  • arty #64
    volt, mert nem volt energiám átszokni másra ... aztán kaptam egy adag (30-70db) spywaret és win reinstall után alapbol firfox, többet IE nálam nem indul el ... s azota bárkinek összerakok gépet, első dolog az IE ikon DEL, FF install, ikon asztalra :))
  • NEXUS6 #63
    Szerintem csak mi vagyunk az ismerősei.