lola#1
A biztonságról másként itt lehet olvasni, miszerint:
Az SP2 ellenére durva hiba az Explorerben
Index
2004. október 21., csütörtök 15:05
A Windows XP beépített böngészõje az SP2 javítócsomag ellenére összekeveri a biztonságos és az internetes "zónákat". A támadó a mindkét most felfedezett rés esetében ellenõrizetlen HTML-kódot csempészhet a számítógépre.
A Microsoft internetes böngészõjében, az Internet Explorer (IE) 6-ban két súlyos biztonsági rést fedeztek fel. Ezek kihasználásával a támadók átvehetik az irányítást a rendszer felett. A Windows XP SP2 javítócsomaggal megtoldott biztonsági mechanizmusa is megkerülhetõvé válik.
Az elsõ hiba az internetes zóna elemeinek egérrel való megfogását és más könyvtárakba dobását (Drag-and-Drop) érinti. Az informatikai biztonsági kérdésekre szakosodott Secunia szerint a gond a kép- és médiafájlokba ágyazott HTML-kóddal van.
Beengedi a "Sajátgépbe"
A preparált weboldallal operáló támadó a hibát kihasználva adott esetben ellenõrizetlen HTML-kódot csempészhet a felhasználó számítógépére. Onnan fogva pedig a "Sajátgép" zónában akár tetszõleges JavaScript kódokat is futtathat.
A második biztonsági rés a HTML-Help-Control szolgáltatással kapcsolatban a böngészõprogram biztonsági zónáinak nem megfelelõ elhatárolódásából adódik.
Ez nem olyan súgófájl
Ha a támadó a weboldalába beköti a Help-Control hivatkozást, és ebben a speciálisan preparált HHK fájlra hivatkozik, a hiba miatt a sajátgépen is futtathat HTML dokumentumokat. A zónák korlátozása ezzel az SP2 telepítését követõen is megkerülhetõ.
A Secunia szerint a hibákat kimutatták az IE6-ot és Windows XP SP2-t futattó rendszereken. Jelenleg a probléma megoldására a biztonsági cég azt javasolja, hogy a felhasználó kapcsolja ki az IE Active Scripting szolgáltatását, illetve használjon másik böngészõt.
-------------------------------------------------
Itt nem olvastam Mozilláról és Operáról, pedig ugyanaz a Secunia adta ki a jelentést...