Szerző: Bizó Dániel

2009. november 24. 12:12

Kritikus sebezhetőség az IE6 és 7 böngészőkben

Megerősítette a Microsoft az Internet Explorer 6 és 7 elsőként múlt hét pénteken publikált foltozatlan sebezhetőségét. A több biztonsági cég által is kritikusnak minősített CSS-kezelési rés a vállalat vizsgálata szerint nem érinti az IE 8-at.

Biztonsági tesztek megerősítették, hogy a közzétett támadó HTML/CSS kód vagy összeomlasztja az azt feldolgozó IE6/7 szoftvereket, vagy lehetőséget teremt tetszőleges program rendszerbe injektálására. A kritikus sebezhetőséget az elemzések szerint a mshtml.dll (Microsoft HTML Viewer) memóriakorrupciót okozhat, ha bizonyos CSS-elemekhez a \"getelementsbytagname\" JavaScript-metódussal fér hozzá. Lehetséges ugyanis, hogy olyan objektumhoz akarjon hozzáférni a szoftver, melyet már töröltek, így a támadó saját kódjával helyettesítheti azt - így megvalósul a támadás.

A Microsoft vizsgálatot indított, és megállapította, hogy az Internet Explorer 6 és 7 böngészői a a Windows XP, Server 2003, Vista és Server 2008 összes támogatott verzióján sebezhetőek, ráadásként pedig az IE6 SP1 és Windows 2000 SP4 kombinációk is. A cég egyúttal közölte, hogy az IE8 nem érintett, valamint hozzátette, hogy az IE5.01 SP4 kiadása sem, amely tipikusan egyes Windows 2000 gépeken teljesít még szolgálatot - a HWSW oldalait az elmúlt 30 napban összesen öt alkalommal látogatták meg IE5.01 alól.

A Microsoft javasolja, hogy nem megbízható weboldalak látogatása esetén a lehető legmagasabbra állítsuk az IE biztonsági szintjét, például az IE7 védett üzemmódja Windows Vistán korlátozza a támadás kockázatait, míg Server 2003 és 2008 környezetekben alapértelmezetten csökkentett módban fut a böngésző. A Microsoft további javaslataként a böngészőt futtató felhasználók jogait korlátozva csökkenthetjük a kockázatokat.

A biztonsági közlemény szerint a Microsoftnak nincs tudomása, hogy a 0-day támadási lehetőséget valóban kihasználná bárki is, és a vizsgálat végén dől el, hogy készít-e hozzá patchet, valamint hogy az a rendes havi frissítési ciklusba kerül bele, vagy soron kívül adja-e ki. A következő patch kedd december 8-ára esedékes, vagyis két hét múlva.

A nyári leállás után, szeptember 29-30-án az Amazon felhőszolgáltatása és a microservicek témája köré épülő meetupokkal indul újra a HWSW free! meetup-sorozat.

a címlapról

Hirdetés

AWS és microservice meetupokkal kezdjük az őszt!

2021. szeptember 16. 20:25

A nyári leállás után, szeptember 29-30-án az Amazon felhőszolgáltatása és a microservicek témája köré épülő meetupokkal indul újra a HWSW free! meetup-sorozat.