:

Szerző: Bodnár Ádám

2010. december 27. 13:33

Megerősítette a Microsoft az IE kritikus sebezhetőségét

A Microsoft karácsony előtt megerősítette, kritikus sebezhetőség van az Internet Explorerben, amely távoli kódfuttatásra ad lehetőséget. A hiba súlyossága azonban nem indokolja soron kívüli javítás kiadását.

December 22-én ismerte be a Microsoft, hogy távoli kódfuttatást lehetővé tevő biztonsági rés van az Internet Explorer jelenleg támogatott összes verziójában (6, 7, 8), azonban egyelőre nincs információja olyan támadásokról, amelyek ezt a sérülékenységet vennék célba, csupán mintakódok léteznek.

A hibára december elején hívták fel a figyelmet biztonsági cégek, miután a sebezhetőséget kihasználó példakódok felkerültek a Full Disclosure biztonsági levelezőlistára. A VUPEN Security szerint a probléma oka, hogy mshtml.dll könyvtár hibásan dolgozza fel a CSS @import szabályokat. A sérülékenység távoli kódfuttatást tesz lehetővé, a támadók saját kódjukat csempészhetik az áldozat gépére, adatokat tulajdoníthatnak el vagy törölhetnek, kártevőket telepíthetnek vagy a gépet további támadások indítására használhatják.

Az AI és a nagy full-full-stack trend

Az AI farvizén számos új informatikai munkakör születik, vagy már ismert munkák kapnak új nevet és vele extra elvárásokat is.

Az AI és a nagy full-full-stack trend Az AI farvizén számos új informatikai munkakör születik, vagy már ismert munkák kapnak új nevet és vele extra elvárásokat is.

A Windows Vistában, illetve a Windows 7-ben levő "Protected mode" az operációs rendszer többi részétől elválasztva futtatja az Internet Explorert, így ha a támadó le is futtatja kódját, rendszerfájlokhoz vagy rendszerbeállításokhoz nem tud hozzáférni. A Microsoft igyekezett hangsúlyozni, hogy a sikeres támadáshoz az áldozatokat a támadó kódot tartalmazó weboldalra kell csábítani, vagyis a távoli kódfuttatáshoz a technika mellett social engineeringre, vagyis a felhasználók megtévesztésére is szükség van.

A Microsoft Security Response Center blogban olvashatók szerint a vállalat egyelőre nem ítéli olyan súlyosnak a helyzetet, amely rendkívüli javítás kiadását indokolná. A Microsoft következő frissítőkeddje 2011. január 11-én lesz.

Október 13-án 6 alkalmas, 18 órás CI/CD alapozó képzést indítunk. Az élő képzések órái utólag is visszanézhetők, és munkaidő végén kezdődnek.

a címlapról

roszkoszmosz

10

Saját Starlink-riválist indít Oroszország

2025. szeptember 17. 13:43

Az első indítások idén év végén jöhetnek, 2035-re valósulhat meg a teljes, országos lefedettség, beleértve az Észak-sarkvidéket.