Mellékleteink: Unix / Linux | Gamekapocs

Új felhasználó vagy? Regisztrálj itt | Bejelentkezés

TESZTEK | Archívum | Hírlevél |

Twitter Apróhirdetés | Fórum | Blog | Karrier

Vásárlás: ADSL | Szoftver | Notebook

a HWSW bemutatja > BigScreen 2012: Konferencia a televíziózás technológiájának jövőjéről, Cinema City Allee, február 29.

Kritikus sebezhetőség az IE6 és 7 böngészőkben

Bizó Dániel, 2009. november 24. 12:12

Szólj hozzá!

Ez a cikk több évvel ezelőtt születetett, ezért előfordulhat, hogy a tartalma már elavult.

Frissebb anyagokat találhatsz a keresőnk segítségével:

Megerősítette a Microsoft az Internet Explorer 6 és 7 elsőként múlt hét pénteken publikált foltozatlan sebezhetőségét. A több biztonsági cég által is kritikusnak minősített CSS-kezelési rés a vállalat vizsgálata szerint nem érinti az IE 8-at.

hirdetés

Biztonsági tesztek megerősítették, hogy a közzétett támadó HTML/CSS kód vagy összeomlasztja az azt feldolgozó IE6/7 szoftvereket, vagy lehetőséget teremt tetszőleges program rendszerbe injektálására. A kritikus sebezhetőséget az elemzések szerint a mshtml.dll (Microsoft HTML Viewer) memóriakorrupciót okozhat, ha bizonyos CSS-elemekhez a "getelementsbytagname" JavaScript-metódussal fér hozzá. Lehetséges ugyanis, hogy olyan objektumhoz akarjon hozzáférni a szoftver, melyet már töröltek, így a támadó saját kódjával helyettesítheti azt - így megvalósul a támadás.

A Microsoft vizsgálatot indított, és megállapította, hogy az Internet Explorer 6 és 7 böngészői a a Windows XP, Server 2003, Vista és Server 2008 összes támogatott verzióján sebezhetőek, ráadásként pedig az IE6 SP1 és Windows 2000 SP4 kombinációk is. A cég egyúttal közölte, hogy az IE8 nem érintett, valamint hozzátette, hogy az IE5.01 SP4 kiadása sem, amely tipikusan egyes Windows 2000 gépeken teljesít még szolgálatot - a HWSW oldalait az elmúlt 30 napban összesen öt alkalommal látogatták meg IE5.01 alól.

A Microsoft javasolja, hogy nem megbízható weboldalak látogatása esetén a lehető legmagasabbra állítsuk az IE biztonsági szintjét, például az IE7 védett üzemmódja Windows Vistán korlátozza a támadás kockázatait, míg Server 2003 és 2008 környezetekben alapértelmezetten csökkentett módban fut a böngésző. A Microsoft további javaslataként a böngészőt futtató felhasználók jogait korlátozva csökkenthetjük a kockázatokat.

A biztonsági közlemény szerint a Microsoftnak nincs tudomása, hogy a 0-day támadási lehetőséget valóban kihasználná bárki is, és a vizsgálat végén dől el, hogy készít-e hozzá patchet, valamint hogy az a rendes havi frissítési ciklusba kerül bele, vagy soron kívül adja-e ki. A következő patch kedd december 8-ára esedékes, vagyis két hét múlva.

Mit gondolsz? Mondd el!

Adatvédelmi okokból az adott hír megosztása előtt mindig aktiválnod kell a gombot! Ezzel a megoldással harmadik fél nem tudja nyomon követni a tevékenységedet a HWSW-n, ez pedig közös érdekünk.

A HWSW szerkesztőség munkájához a T-Mobile 4G/LTE szolgáltatását használja (x)

Nyomtatás

RSS

Hírlevél feliratkozás

Hibát találtál a cikkben?

Kapcsolódó anyagok

Egy kis türelmet kérünk, töltjük a kommenteket...

Új komment írásához be kell jelentkezned!

A Fórumos azonosítódat is használhatod.

Ha még nem vagy tagunk, regisztrálj! Csak 2 perc az egész.

Tipp #1: több formázási lehetőséged van, ha a Fórumban szólsz hozzá a témához!
Tipp #2: készítettünk egy gyűjtőoldalt, ahol az összes friss kommentet megtekintheted.

Kritikus sebezhetőség az IE6 és 7 böngészőkben

Megerősítette a Microsoft az Internet Explorer 6 és 7 elsőként múlt hét pénteken publikált foltozatlan sebezhetőségét. A több biztonsági cég által is kritikusnak minősített CSS-kezelési rés a vállalat vizsgálata szerint nem érinti az IE 8-at.

Kapcsolódó anyagok

Új komment írásához be kell jelentkezned!

Új vezérigazgató az Invitel élén

HWSW Friss hírek

Nick vagy e-mail:
Jelszó:
vagy Mégse