Szerző: Bodnár Ádám

2006. november 6. 11:59

Kritikus sérülékenység a Windowsban

A Microsoft XML Core Services biztonsági hibája miatt egy megfelelően előkészített weboldal látogatóinak gépén a támadók tetszőleges kódot futtathatnak a bejelentkezett felhasználó nevében, így adatokhoz férhetnek hozzá, fájlokat törölhetnek vagy akár kártevőket is telepíthetnek. A támadás kivitelezéséhez egy HTML formátumú e-mail megnyitása is elegendő lehet. A Secunia különösen kritikus besorolással látta el a sérülékenységet, amelyet állítólag már ki is használnak.

[HWSW] A Microsoft XML Core Services biztonsági hibája miatt egy megfelelően előkészített weboldal látogatóinak gépén a támadók tetszőleges kódot futtathatnak a bejelentkezett felhasználó nevében, így adatokhoz férhetnek hozzá, fájlokat törölhetnek vagy akár kártevőket is telepíthetnek. A támadás kivitelezéséhez egy HTML formátumú e-mail megnyitása is elegendő lehet. A Secunia "különösen kritikus" besorolással látta el a sérülékenységet, amelyet állítólag már ki is használnak.

A hiba gyakorlatilag az összes, ma használatban levő Windows-változatot érinti, köztük a Windows 2000 asztali és szerverváltozatait, a Windows XP-t, valamint a Windows Server 2003-at. A sebezhetőség az XMLHTTP 4.0 ActiveX Controlban található, a Microsoft a javítás megérkezésééig azt javasolja a felhasználóknak, az Internet Explorert úgy állítsák be, hogy ne hajtsa végre kérdés nélkül az ActiveX vezérlőket. A vállalat emellett azt is tanácsolja, senki se nyisson meg gyanús e-maileket.

Utoljára október elején derült ki a Windowsról, hogy "különösen kritikus" sérülékenységet tartalmaz, akkor a Windows Shellben találtak hibát: egy megfelelően előkészített weboldalt Internet Explorerrel böngészve a WebViewFolderIcon ActiveX-vezérlőn keresztül a támadók ugyanolyan jogosultságot szerezhettek, mint a gépnél ülő felhasználó. Ezt a hibát a Microsoft azóta kijavította, de "third party" javítás is megjelent rá.

Duna melletti szabadtéri helyszínen, a Budapest Gardenben idén is megrendezzük a hazai Sysadmindayt, az IT-üzemeltetők világnapját. Standup, IT security meetup, kvízek, szakmázás, barátok, még több sörcsap.

a címlapról

Hirdetés

Ollé, lesz SYSADMINDAY!

2025. július 5. 20:23

Duna melletti szabadtéri helyszínen, a Budapest Gardenben idén is megrendezzük a hazai Sysadmindayt, az IT-üzemeltetők világnapját. Standup, IT security meetup, kvízek, szakmázás, barátok, még több sörcsap.

SEMMI

7

Bemutatkozott a Nothing első igazi csúcsmobilja

2025. július 3. 11:59

A prémium modellnek szánt Nothing Phone 3 legegyedibb vonása a hátlapon található Glyph Matrix, amivel a tervezők célja a főképernyő előtt töltött idő csökkentése.