Szerző: Bodnár Ádám

2006. március 23. 12:13

Két újabb kritikus hiba az Internet Explorerben

A hét elején nyilvánosságra hozott nem kritikus sérülékenység után újabb két hibára derült fény az Internet Explorerben, ezek azonban már súlyosak és lehetővé teszi a támadó számára hogy átvegye az irányítást a számítógép felett. Az egyik problémára egy 25 éves holland programozó bukkant rá, aki weboldalán részletesen ismertette a hiba kiaknázásának lehetőségeit, de később a Microsoft kérésére eltávolította a részletes leírást.

HIRDETÉS

[HWSW] A hét elején nyilvánosságra hozott nem kritikus sérülékenység után újabb két hibára derült fény az Internet Explorerben, ezek azonban már súlyosak és lehetővé teszi a támadó számára hogy átvegye az irányítást a számítógép felett. Az egyik problémára egy 25 éves holland programozó bukkant rá, aki weboldalán részletesen ismertette a hiba kiaknázásának lehetőségeit, de később a Microsoft kérésére eltávolította a részletes leírást.

Az első biztonsági rés a HTA állományok kezelésével kapcsolatos és az Internet Explorer 6-os verzióját érinti Windows 98, Windows XP és Windows 2003 Server platformokon. A hiba kihasználásával egy támadó tetszőleges kódot futtathat a célbavett számítógépen, így adatokat tulajdoníthat el, törölhet, vagy akár más rendszerek ellen indított támadások kiindulópontjaként használhatja a gépet.

A Microsoft vizsgálja a sérülékenységet, a cég egyelőre nem tud olyan támadásról, amely ezen a biztonsági résen alapult volna. A redmondiak ígérete szerint a javítás jövő hónap második keddjén, április 11-én menetrendszerűen meg fog érkezni. A cég állítása szerint már tudomásuk volt a problémáról, amikor a sérülékenységről napvilágot láttak az információk.

A másik sérülékenység sérülékenységet a Secunia dán biztonsági cég tette közzé. Ez a hiba a createTextRange() eljárás végrehajtásával kapcsolatos: megfelelően előkészített weboldalak tetszőleges kódot juttathatnak a felhasználó számítógépére. A probléma az Internet Explorer 6 mellett az Internet Explorer 7 előzetes változatait is érinti. A Microsoft megerősítette a hiba létezését és közölte, hogy dolgozik a javításon.

Június 23-án a modern fejlesztői környezetek biztonságával foglalkozó ingyenes meetup lesz. Kiderül hogyan kell a biztonságot a cég kultúra részéve tenni, hogyan lehet skálázni mindezt a deploy sebességével együtt, és lesz szó a Docker és Kubernetes biztonságáról is.

a címlapról

Hirdetés

Találkozzunk, idén is lesz SYSADMINDAY!

2021. június 19. 23:19

Duna melletti szabadtéri helyszínen, a Budapest Gardenben idén is megrendezzük a hazai Sysadmindayt, az IT-üzemeltetők világnapját. Hosszú hónapok bezártsága után ez egy jó lehetőség, hogy találkozzunk barátokkal, kollégákkal, szakmázzunk, és sörözzünk együtt.