Szerző: Bodnár Ádám

2006. március 28. 16:19

Nem hivatalos javítás a kritikus IE-hibára

A Microsoft április 11-re ígéri az Internet Explorerben a múlt héten felfedezett kritikus hiba javítását, aki nem tud addig várni, feltelepítheti az eEye Digital Security által kibocsátott patchet, amely blokkolja a hozzáférést a biztonsági rést rejtő szoftverkomponenshez.

HIRDETÉS

[HWSW] A Microsoft április 11-re ígéri az Internet Explorerben a múlt héten felfedezett kritikus hiba javítását, aki nem tud addig várni, feltelepítheti az eEye Digital Security által kibocsátott patchet, amely blokkolja a hozzáférést a biztonsági rést rejtő szoftverkomponenshez.

A Microsoft azt tanácsolja a felhasználóknak, kapcsolják ki az Active Scriptek támogatását és várják meg a hivatalos javítást, az eEye szoftverét pedig ne telepítsék, mivel az nem ellenőrzött és hivatalosan jóváhagyott patch, így nem garantált a működése. Még az eEye is elismeri, hogy az általuk kiadott patch csak átmeneti gyógyírt jelent, a végső megoldást a hivatalos javítás feltelepítése jelenti majd. A Blink nevű behatolásvédelmi eszközről ismert vállalat ügyfelei kérésére készítette el a patchet, de végül mindenki által elérhetővé tette weboldalán -- nyilván nem elvetve az ezzel járó publicitást.

A szóban forgó hibajelenség a createTextRange() eljárás végrehajtásával kapcsolatos: megfelelően előkészített weboldalak tetszőleges kódot juttathatnak a felhasználó számítógépére. A probléma az Internet Explorer 6 mellett az Internet Explorer 7 előzetes változatait is érinti. Biztonsági cégek szerint már több mint 200 olyan weboldal található az interneten, amelyek e hiba kihasználásával intéznek támadásokat a felhasználók ellen. A Microsoft a hatóságokkal együtt igyekszik eltávolítani ezeket az oldalakat a hálóról.

A történelem ismétli önmagát: pár hónappal korábban szintén kritikus hibát fedeztek fel a Windowsban, amely WMF-fájlok kezelésével volt kapcsolatos. Akkor szintén mások siettek a Microsoft-ügyfelek védelmére és egy orosz programozó által készített "független" hibajavítás előbb látott napvilágot mint a hivatalos patch. Redmondban akkor annyira súlyosnak ítélték a helyzetet, hogy a javítást végül a tervezettnél hamarabb kiadták. Könnyen megeshet, hogy most is ez lesz a helyzet és a patch napokon belül letölthető lesz, a Microsoft állítása szerint ugyanis már elkészült, jelenleg a tesztelése zajlik.

Június 23-án a modern fejlesztői környezetek biztonságával foglalkozó ingyenes meetup lesz. Kiderül hogyan kell a biztonságot a cég kultúra részéve tenni, hogyan lehet skálázni mindezt a deploy sebességével együtt, és lesz szó a Docker és Kubernetes biztonságáról is.

a címlapról

Hirdetés

Találkozzunk, idén is lesz SYSADMINDAY!

2021. június 19. 23:52

Duna melletti szabadtéri helyszínen, a Budapest Gardenben idén is megrendezzük a hazai Sysadmindayt, az IT-üzemeltetők világnapját. Hosszú hónapok bezártsága után ez egy jó lehetőség, hogy találkozzunk barátokkal, kollégákkal, szakmázzunk, és sörözzünk együtt.