:

Szerző: Bizó Dániel

2009. november 24. 12:12

Kritikus sebezhetőség az IE6 és 7 böngészőkben

Megerősítette a Microsoft az Internet Explorer 6 és 7 elsőként múlt hét pénteken publikált foltozatlan sebezhetőségét. A több biztonsági cég által is kritikusnak minősített CSS-kezelési rés a vállalat vizsgálata szerint nem érinti az IE 8-at.

Biztonsági tesztek megerősítették, hogy a közzétett támadó HTML/CSS kód vagy összeomlasztja az azt feldolgozó IE6/7 szoftvereket, vagy lehetőséget teremt tetszőleges program rendszerbe injektálására. A kritikus sebezhetőséget az elemzések szerint a mshtml.dll (Microsoft HTML Viewer) memóriakorrupciót okozhat, ha bizonyos CSS-elemekhez a \"getelementsbytagname\" JavaScript-metódussal fér hozzá. Lehetséges ugyanis, hogy olyan objektumhoz akarjon hozzáférni a szoftver, melyet már töröltek, így a támadó saját kódjával helyettesítheti azt - így megvalósul a támadás.

A Microsoft vizsgálatot indított, és megállapította, hogy az Internet Explorer 6 és 7 böngészői a a Windows XP, Server 2003, Vista és Server 2008 összes támogatott verzióján sebezhetőek, ráadásként pedig az IE6 SP1 és Windows 2000 SP4 kombinációk is. A cég egyúttal közölte, hogy az IE8 nem érintett, valamint hozzátette, hogy az IE5.01 SP4 kiadása sem, amely tipikusan egyes Windows 2000 gépeken teljesít még szolgálatot - a HWSW oldalait az elmúlt 30 napban összesen öt alkalommal látogatták meg IE5.01 alól.

A Microsoft javasolja, hogy nem megbízható weboldalak látogatása esetén a lehető legmagasabbra állítsuk az IE biztonsági szintjét, például az IE7 védett üzemmódja Windows Vistán korlátozza a támadás kockázatait, míg Server 2003 és 2008 környezetekben alapértelmezetten csökkentett módban fut a böngésző. A Microsoft további javaslataként a böngészőt futtató felhasználók jogait korlátozva csökkenthetjük a kockázatokat.

A biztonsági közlemény szerint a Microsoftnak nincs tudomása, hogy a 0-day támadási lehetőséget valóban kihasználná bárki is, és a vizsgálat végén dől el, hogy készít-e hozzá patchet, valamint hogy az a rendes havi frissítési ciklusba kerül bele, vagy soron kívül adja-e ki. A következő patch kedd december 8-ára esedékes, vagyis két hét múlva.

Szeptember 15-én, hétfőn ONLINE formátumú, a Kafka alapjaiba bevezető képzést indít a HWSW, ezért most összefoglaltuk röviden, hogy miért érdemes részt venni ezen a tanfolyamon.

a címlapról

MS

0

Lezárta a Teams-ügyet az EU

2025. szeptember 12. 12:45

A Bizottság elfogadta a Microsoft által tett engedményeket, nincs retorzió az idestova öt éve húzódó eljárás végén.

bango

4

Tartalomautomatával bővül a OneTV

2025. szeptember 12. 09:27

A One tévés platformjába a Bango DVM-jét integrálják, ami jelentős mértékben megkönnyíti az új tartalomszolgáltatások bevezetését.