Mellékleteink: HUP | Gamekapocs
Keres
Július 19-én SYSADMINDAY: egy teljes security meetup, számos szórakoztató program, és Felméri Péter standupja várja az érdeklődőket!

Újabb foltozatlan ActiveX-sebezhetőségre bukkantak

Bodnár Ádám, 2009. július 14. 14:03
Ez a cikk több évvel ezelőtt születetett, ezért előfordulhat, hogy a tartalma már elavult.
Frissebb anyagokat találhatsz a keresőnk segítségével:

A Microsoft ma újabb ActiveX-sérülékenységről számolt be, amelyet már kihasználnak a támadók. A sebezhetőség távoli kódfuttatásra ad lehetőséget a helyi felhasználó jogosultságaival, így tetszőleges program lefuttatható vagy adatok kerülhetnek illetéktelen kezekbe.

hirdetés

Újabb, foltozatlan ActiveX-sebezhetőségen alapuló támadásokra figyelmeztet a Microsoft. Az Office Web Components hibáját kihasználva támadók az áldozattal azonos jogosultságot szerezhetnek a rendszerben és saját kódjukat futtathatják vagy éppen adatokat tulajdoníthatnak el. Egy sikeres támadáshoz elég az IE-felhasználót egy olyan weboldalra irányítani, ahol preparált Office-dokumentumok találhatók és rábírni őt, hogy megnyissa őket.

Az Office Web Components lehetővé teszi Office-állományok közvetlen megjelenítését az Internet Explorerben. A Microsoft már értesült olyan támadásokról, amelyek ezt a sérülékenységet használják ki, a McAfee szerint főképp a Távol-Keleten lehet ilyenekkel találkozni. Mivel ma van július második keddje, a Microsoft ma adja ki havonta szokásos biztonsági frissítéseit, ezt a sérülékenységet azonban most biztosan nem javítja a cég. A ma érkező javítások között is van ActiveX-sérülékenységet foltozó patch.

A Microsoft a támadások kivédéséhez egyelőre az ActiveX-vezérlők automatikus futtatásának kikapcsolását javasolja, ennek mikéntjéről a vállalat weboldalán olvasható részletes útmutató. Természetesen az Internet Explorer helyett más böngésző használata is megoldást jelent, azonban ezt a gyógymódot a Microsoft nem említi.

Facebook

Mit gondolsz? Mondd el!

Adatvédelmi okokból az adott hír megosztása előtt mindig aktiválnod kell a gombot! Ezzel a megoldással harmadik fél nem tudja nyomon követni a tevékenységedet a HWSW-n, ez pedig közös érdekünk.
A IT-üzemeltetők világnapján egy teljes security meetup, számos szórakoztató program, és Felméri Péter standupja várja az érdeklődőket az Ankertbe.