Szerző: Hlács Ferenc

2015. július 24. 12:33:00

Négy kritikus biztonsági rés tátong az Internet Exploreren

Fél év elteltével sem foltozott be négy, az Internet Explorert - pontosabban annak mobilos verzióját - érintő biztonsági sebezhetőséget a Microsoft. A hibákat a HP Zero Day Initiative jelezte a cégnek, miután azonban a javítások nem készültek el a kijelölt határidőre, a szervezet most közzétette a biztonsági réseket.

Négy, az Internet Exploreren tátongó zero day biztonsági hibát tett közzé a HP Zero Day Initiative (ZDI) hasonló sebezhetőségek után kutató kezdeményezése. A ZDI a Microsoft felé már jóval korábban jelezte a hibákat, a cég azonban a kijelölt 120 napos, majd többszöri hosszabbítással mintegy fél évre kitolt határidőn belül nem javította azokat, ezért a HP biztonsági csapata most nyilvánosságra hozta a sebezhetőségeket.

A Zero Day Initiative-et eredetileg a HP által korábban felvásárolt TippingPoint alapította, a kezdeményezés kifejezetten a nagy kockázatot jelentő zero day sebezhetőségek összegyűjtését célozza. A szervezet javarészt különböző, külsős kutatóktól vásárolja meg meg a patch nélküli hibákat, amelyeket saját laboratóriumában hitelesít. A ZDI a felfedezett hibákat ezután jelzi az érintett vállalatok felé, amelyeknek jellemzően 120 napos határidőt ad befoltozásukra, mielőtt közzétenné azokat. Ha a patch elkészült, a szervezet az adott céggel együttműködve teszi közzé a hibával, illetve javításával kapcsolatos tudnivalókat.

Hét kedvenc előadónk az idei HWSW mobile!-ról (x) 90 fős előadó lesz a konferencián, segítve az eligazodást, kiemeltük neked a hét kedvencünket.

A patch azonban egyelőre várat magára, a helyzetet pedig súlyosbítja, hogy kifejezetten nagy biztonsági kockázatot jelentő biztonsági résekről van szó, miután azok mindegyike távoli kódfuttatást tesz lehetővé. A ZDI először tavaly november 12-én értesítette a redmondi céget a hibákról, majd eső körben május 12-ig, azt követően pedig július 19-ig hosszabbította meg a kijelölt határidőt. Miután a Microsoft ezután is csak egy dátum nélküli "várható javításról" beszélt, a biztonsági szakértők végül július 22-én tették közzé a hibákat.

A SecurityWeek értesülései szerint a biztonsági rések csak a böngésző mobilos Windowsra készült verzióját érintik, az asztali változatnál a fejlesztő már tavaly nyáron befoltozta azokat. A Qualys biztonsági cég műszaki igazgatója Wolfgang Kandek szerint egyelőre nagy valószínűséggel még nem készült a sebezhetőségeket kihasználó rosszindulatú kód - a védekezés mindenesetre nem árthat, erre jelenleg az egyetlen lehetőség, ha a veszélyeztetett platformon kerüljük az Internet Explorer használatát.

a címlapról

Hirdetés

Hét kedvenc előadónk az idei HWSW mobile!-ról

2019. november 15. 23:54

Idén 90 fős előadói gárdával készülünk a HWSW mobile! digitális termékfejlesztési konferenciára, de hogy segítsünk az eligazodásban, kiemeltük neked a hét kedvencünket.