Szerző: Bodnár Ádám

2009. július 27. 10:03:00

Soron kívül frissít holnap a Microsoft

Két soron kívüli hibajavítást ad ki holnap a Microsoft, egyiket az Internet Explorer video streaming ActiveX-vezérlő majdnem egy éve ismert kritikus sebezhetőségére, másikat pedig a Visual Studio egyik komponensének sérülékenységére, amelyet nem csak a Microsoft, hanem más fejlesztésű szoftverek is használhatnak.

A Microsoft minden hónap második keddjén adja ki szokásos biztonsági frissítéseit, azonban a júliusi patch kedden az ActiveX-sebezhetőséget nem foltozta a cég, csak egy olyan frissítést adott ki, ami az Internet Explorerben letiltotta a sérülékeny funkciót, elejét véve a támadások terjedésének. A bűnözőknek elég egy előkészített webhelyre csalni az áldozatokat például spammel vagy azonnali üzenetküldőn terjedő hamis üzenettel, a weblap meglátogatásakor a támadók az ActiveX-vezérlő hibáját felhasználva a gép előtt ülő felhasználóval azonos jogosultságot szerezhetnek s tetszőleges kódot indíthatnak el.

Két német biztonsági szakértő mélyebb kutatása szerint az ActiveX-vezérlő sebezhetőségét egy banális programozási hiba okozza, amely a Windowsok több komponensét is érinti, nem csak az Internet Explorert, hanem a Media Playert és a Terminal Servicest is. Ez egyben azt is jelenti, hogy a Microsoft által a hónap második keddjén kiadott frissítés is hatástalan, hiszen csak az Internet Exporerben tiltja le a kérdéses funkciót, más komponensekben nem. Thomas Dullien és Dennis Elser szerint a Windows XP-ben legalább öt, a Vistában több mint egy tucat Windows-fájl hívja meg a sebezhető függvénykönyvtárat. Dullien blogbejegyzésében emellett azt írja, akár más windowsos szoftverek is sebezhetővé válhattak azáltal, hogy ennek a függvénykönyvtárra hivatkoznak.

A Microsoft a frissítésekről kiadott előzetes értesítésében mindössze annyit ír, hogy két javítás érkezik kedden, azonban nem részletezi, hogy ezek pontosan milyen hibákat javítanak. A nyilvános információ mindössze annyi, hogy az Internet Explorert érintő javítás újraindítást követel, a Visual Studióhoz kiadott frissítés (amely egyébként csak közepes besorolást kapott) nem igényel újraindítást. Utóbbi egyébként a Visual Studio .NET, 2005 és 2008 változatát érinti, valamint a Visual C++ 2005-öt és 2008-at érinti.

a címlapról

Hirdetés

Python everywhere!

2020. február 23. 22:24

Gyere Pythonozni a HWSW rendezvényeire! Megmutatjuk, hogy a Python nem csak a fejlesztők nyelve, hiszen egyszerűsége miatt előszeretettel használják az üzemeltetők és DevOps szakemberek, tesztelők, illetve az adattudósok is, és elfut szinte bárhol, a mikrovezérlőktől egészen a böngészőkig.