Mellékleteink: HUP | Gamekapocs
Keres

Nyomtatáskor sebezhető az Internet Explorer

Bodnár Ádám, 2008. május 16. 10:46
Ez a cikk több évvel ezelőtt születetett, ezért előfordulhat, hogy a tartalma már elavult.
Frissebb anyagokat találhatsz a keresőnk segítségével:

Aviv Raff izraeli biztonsági szakértő olyan sebezhetőséget fedezett fel az Internet Explorerben, amelyek kihasználva támadók átvehetik az irányítást az áldozat gépe felett, és onnan adatokat másolhatnak le vagy módosíthatnak, illetve tetszőleges szoftvereket futtathatnak.

[HWSW] Aviv Raff izraeli biztonsági szakértő olyan sebezhetőséget fedezett fel az Internet Explorerben, amelyek kihasználva támadók átvehetik az irányítást az áldozat gépe felett, és onnan adatokat másolhatnak le vagy módosíthatnak, illetve tetszőleges szoftvereket futtathatnak.

A sérülékenység az Internet Explorer nyomtatási moduljában van. Amint az ismert, a böngészőből a weboldalak a rajtuk található összes hivatkozással együtt is kinyomtathatók ("Print Table of Links", magyarul "Hivatkozások táblázatának nyomtatása"). Amikor az IE kinyomtat egy oldalt, egy scripttel először létrehoz egy új HTML állományt, ami a nyomtatni kívánt weboldal kódja mellett egy fejlécet, egy láblécet, valamint a hivatkozott oldalak címét tartalmazza. Raff felfedezte, hogy ez a script nem ellenőrzi az URL-eket, és a támadók egy trükkel akár a saját kódjukat is idecsempészhetik, amely a nyomtatást elindító felhasználó jogosultságaival le is fut.


Ez egy sebezhető böngésző

A sérülékenység az Internet Explorer 7 mellett az IE8 bétájában is megtalálható, de a korábbi verziók is érintettek lehetnek. A sebezhetőség Windows XP mellett Windows Vistán is veszélyes lehet, amennyiben a User Account Control beállításai ezt lehetővé teszik. Megfelelően beállított User Account Cotrol esetében kódfuttatásra nincs lehetőség, de a támadók bizalmas adatokat tulajdoníthatnak el. Raff már tájékoztatta a Microsoftot a problémáról, a redmondiak pedig neki is láttak a javításnak.