:

Szerző: Bodnár Ádám

2008. december 11. 10:13

Patch-kedd után 0-day szerda: javítatlan sebezhetőség maradt az Internet Explorerben

Minden idők legnagyobb frissítéscsomagját adta ki tegnapelőtt a Microsoft, mégis maradtak foltozatlan biztonsági lyukak a vállalat szoftvereiben. A szakembereket az Internet Explorerben és a WordPadben felfedezett sebezhetőségek foglalkoztatják a leginkább.

[HWSW] Minden idők legnagyobb frissítéscsomagját adta ki tegnapelőtt a Microsoft, mégis maradtak foltozatlan biztonsági lyukak a vállalat szoftvereiben. A szakembereket az Internet Explorerben és a WordPadben felfedezett sebezhetőségek foglalkoztatják a leginkább.

A redmondi cég összesen négy kritkus sérülékenységet foltozott kedden az Internet Explorerben, azonban felbukkant egy újabb, amelyet Ázsiában máris támadnak, bár a jelentések szerint a támadókód elég megbízhatatlan, csak az esetek harmadában működőképes. A biztonsági rés a böngésző HTML-megjelenítő motorjában található, és a span HTML-tag segítségével használható ki.

A Microsoft megerősítette, hogy a tegnapi frissítések során erre a hibára nem adott ki javítást és jelenleg is vizsgálja a beérkezett jelentéseket. A sebezhetőség egy teljesen frissített Windows XP SP3 operációs rendszerre telepített Internet Explorer 7-ben is jelen van -- a Vista érintettségét egyelőre nem erősítették meg.

Szakemberek egybehangzó véleménye szerint nem véletlen, hogy a támadások éppen a decemberi patch-kedden indultak útjukra, ez arra enged következtetni, hogy a bűnözők már korábban felfedezték ezt a sérülékenységet és elkezdték a támadó kódokat fejleszteni. Mivel a Microsoft havonta egyszer ad ki frissítést a szoftvereihez, elméletileg január közepéig szabadon garázdálkodhatnak ezek a kódok, persze ha a helyzet súlyosbodik, a redmondiak alighanem soron kívüli javítást adnak majd ki.

Biztonsági hibát találtak a WordPad Tect Converterben is, amelyet már szintén támadnak, noha ez a sérülékenység Windows XP SP3, Windows Vista és Windows Server 2008 operációs rendszeren már nem használható ki, csak korábbi Windows-változatokon. A sikeres támadáshoz egy előre preparát WordPad-állományt (.wri) kell megnyitni az áldozatnak, ezzel távoli felhasználó az éppen bejelentkezett felhasználóéval megegyező jogosultságokat szerezhet. A Microsoft megkezdte a sebezhetőség kiértékelését.

Szeptember 15-én, hétfőn ONLINE formátumú, a Kafka alapjaiba bevezető képzést indít a HWSW, ezért most összefoglaltuk röviden, hogy miért érdemes részt venni ezen a tanfolyamon.

a címlapról

MS

0

Lezárta a Teams-ügyet az EU

2025. szeptember 12. 12:45

A Bizottság elfogadta a Microsoft által tett engedményeket, nincs retorzió az idestova öt éve húzódó eljárás végén.

bango

7

Tartalomautomatával bővül a OneTV

2025. szeptember 12. 09:27

A One tévés platformjába a Bango DVM-jét integrálják, ami jelentős mértékben megkönnyíti az új tartalomszolgáltatások bevezetését.