Gyurkity Péter
Nem javítja ki a böngészőjét érintő hibát a Microsoft
A biztonsági cégek új, szinte minden elterjedt böngészőt érintő sebezhetőségről adtak hírt, a Microsoft szerint azonban nem hibáról, hanem beépített funkcióról van szó, ezért - a konkurens fejlesztőkkel ellentétben - nem tervezik a rés betömését.
A sebezhetőségről a Secunia biztonsági cég számolt be hangsúlyozva, hogy a hiba több ismert böngészőt is érint, és komoly veszélyt jelent a gyanútlan felhasználókra nézve. A JavaScript hiba lényege, hogy a felugró dialógus ablakokat tetszőleges, akár éppen inaktív oldalak is megnyithatják, így a csalók által speciálisan szerkesztett weboldalak dialógus ablakai a megbízhatónak tartott oldalak részeiként tüntethetik fel magukat.
A támadók ezáltal bizalmas adatokat, jelszavakat csalhatnak aki a figyelmetlen felhasználóktól, és saját céljaikra használhatják fel azokat. A Secunia a figyelmeztetéshez rögtönzött illusztrációt is mellékelt, így bárki letesztelheti böngészőjének védelmét. A biztonsági cég jelentése szerint a hiba az Internet Explorer Windows és Mac változatát, valamint az Opera, Safari, iCab böngészőket érinti, de a Mozilla Alapítvány szoftverei, így a Mozilla és a Firefox sem nyújt védelmet.
A problémára egyedül az Opera 8.01 és az iCab 3.0 nyújt megoldást, az Opera Software ugyanis - amint arról a héten beszámoltunk- a böngésző legújabb verziójában már kijavította a hibát. Érdekes módon azonban a Microsoft nem hajlandó javítást eszközölni, mivel szerintük nem hibáról, hanem beépített funkcióról van szó. A vállalat TechNet oldalán közzétett jelentés ugyan elismeri, hogy a támadók speciális weboldalakon keresztül saját céljaikra fordíthatják a funkciót, de ebben nem látja saját felelősségét.
"Az adathalászat elleni útmutatásunkat követve a felhasználók csökkenthetik az őket fenyegető veszély nagyságát. Amennyiben a felbukkanó dialógus ablak nem tartalmazza az oldal címét, vagy információt az oldal megbízhatóságával kapcsolatban, a felhasználó kénytelen elégtelen adatra alapozni döntését" - áll a jelentésben.
A vállalat szerint az otthoni felhasználók legfontosabb teendője a Windows XP második javítócsomagjának feltelepítése, illetve a beépített tűzfal bekapcsolása, és engedélyezniük kell az operációs rendszer frissítéseinek automatikus telepítését. Igaz, a második javítócsomag önmagában nem nyújt védelmet a hiba ellen, de a jelek szerint innentől kezdve a felhasználó saját belátására bízzák, hogy megbízik-e az adott oldalban, vagy sem.
A sebezhetőségről a Secunia biztonsági cég számolt be hangsúlyozva, hogy a hiba több ismert böngészőt is érint, és komoly veszélyt jelent a gyanútlan felhasználókra nézve. A JavaScript hiba lényege, hogy a felugró dialógus ablakokat tetszőleges, akár éppen inaktív oldalak is megnyithatják, így a csalók által speciálisan szerkesztett weboldalak dialógus ablakai a megbízhatónak tartott oldalak részeiként tüntethetik fel magukat.
A támadók ezáltal bizalmas adatokat, jelszavakat csalhatnak aki a figyelmetlen felhasználóktól, és saját céljaikra használhatják fel azokat. A Secunia a figyelmeztetéshez rögtönzött illusztrációt is mellékelt, így bárki letesztelheti böngészőjének védelmét. A biztonsági cég jelentése szerint a hiba az Internet Explorer Windows és Mac változatát, valamint az Opera, Safari, iCab böngészőket érinti, de a Mozilla Alapítvány szoftverei, így a Mozilla és a Firefox sem nyújt védelmet.
A problémára egyedül az Opera 8.01 és az iCab 3.0 nyújt megoldást, az Opera Software ugyanis - amint arról a héten beszámoltunk- a böngésző legújabb verziójában már kijavította a hibát. Érdekes módon azonban a Microsoft nem hajlandó javítást eszközölni, mivel szerintük nem hibáról, hanem beépített funkcióról van szó. A vállalat TechNet oldalán közzétett jelentés ugyan elismeri, hogy a támadók speciális weboldalakon keresztül saját céljaikra fordíthatják a funkciót, de ebben nem látja saját felelősségét.
"Az adathalászat elleni útmutatásunkat követve a felhasználók csökkenthetik az őket fenyegető veszély nagyságát. Amennyiben a felbukkanó dialógus ablak nem tartalmazza az oldal címét, vagy információt az oldal megbízhatóságával kapcsolatban, a felhasználó kénytelen elégtelen adatra alapozni döntését" - áll a jelentésben.
A vállalat szerint az otthoni felhasználók legfontosabb teendője a Windows XP második javítócsomagjának feltelepítése, illetve a beépített tűzfal bekapcsolása, és engedélyezniük kell az operációs rendszer frissítéseinek automatikus telepítését. Igaz, a második javítócsomag önmagában nem nyújt védelmet a hiba ellen, de a jelek szerint innentől kezdve a felhasználó saját belátására bízzák, hogy megbízik-e az adott oldalban, vagy sem.