Szerző: Bodnár Ádám

2010. december 13. 09:27:00

Újabb kritikus sebezhetőség az Internet Explorerben

A múlt héten távoli kódfuttatást lehetővé tevő, kritikus sebezhetőséget találtak az Internet Explorerben, amely a böngésző legújabb verzióját is érinti, Windows 7 operációs rendszeren is. Egyelőre nem tudni, mikor jön a javítás, de a Microsoft nem tud támadásokról.

A Microsoft vizsgálja azt a kritikus sérülékenységet, amelyet múlt héten találtak az Internet Explorerben. A Full Disclosure listára beküldött információk szerint az Internet Explorer 8-as, 7-es és 6-os verziója egyaránt érintett Windows 7, Vista és Windows XP SP3 operációs rendszereken. A beküldő a sebezhetőséget kihasználó példakódot is mellékelt.

A VUPEN Security szerint a probléma oka, hogy mshtml.dll könyvtár hibásan dolgozza fel a CSS @import szabályokat. A sérülékenység távoli kódfuttatást tesz lehetővé, a támadók saját kódjukat csempészhetik az áldozat gépére, adatokat tulajdoníthatnak el vagy törölhetnek, kártevőket telepíthetnek vagy a gépet további támadások indítására használhatják. A sikeres támadás végrehajtásához az áldozatot egy megfelelően preparált weboldalra kell irányítani. A Microsoftnak egyelőre nincs információja olyan támadásokról, amelyeket ezen a sebezhetőségen keresztül hajtanak végre.

Mi történik egy mobilappal a születése után? Legtöbbször sajnos semmi. Ezen próbálunk változtatni egy ingyenes appmenedzsment meetuppal és egy 30 órás képzéssel.

Nem tudni, mikor és milyen formában javítja a Microsoft ezt a sérülékenységet. A vállalat december 14-én adja ki havonta szokásos frissítéseit, összesen 17 patch érkezik holnap, amelyek 40 sebezhetőséget foltoznak a cég különféle termékeiben, beleértve a Windowsokat, az Office-t és a SharePointot is. A javítások között csak kettő kritikus besorolású frissítés van, amelyek távoli kódvégrehajtást megengedő hibákat orvosolnak. Az egyik kritikus javítás éppen az Internet Explorer november elején felfedezett puffertúlcsordulásos rését foltozza be.

a címlapról

Hirdetés

Mi történik egy mobilappal a születése után?

2020. február 27. 19:54

Legtöbbször sajnos semmi. Ezen próbálunk változtatni egy ingyenes appmenedzsment meetuppal és egy 30 órás képzéssel. A store-ban való megjelenés az igazi munka kezdete: mérés, mérés, mérés, adat, felhasználói visszajelzések kezelése, ASO, monetizálás, marketing... és így tovább.