V Internet Exploreri 7 Beta 2 Preview prvá vážna chyba

DSL.sk, 2.2.2006

Prvú bezpečnostnú chybu v utorok vydanej beta verzii browsera Internet Explorer, Beta 2 Preview, objavil hneď v utorok bezpečnostný expert Tom Ferris.

Ferris zistil, že špeciálne formátovaná URL použitá v niektorých HTML tagoch spôsobí pád nového Internet Explorera v dôsledku chyby v knižnici urlmon.dll.

Pád IE tak spôsobí napríklad tag "BGSOUND SRC=file://---..." s približne 344 pomlčkami, ako uvádza Ferris vo svojom oznámení.

Pád browsera spôsobený touto chybou demonštruje stránka na adrese http://www.security-protocols.com/poc/sp-x23.html.

Objavenie chyby trvalo Ferrisovi údajne iba 15 minút, keď k tomu použil vlastný nástroj na hľadanie chýb v browseroch "fuzzer". Ferris našiel v minulosti viacero vážnych chýb v Internet Exploreri aj Firefoxe.

Podľa Ferrisa sa táto chybá dá pravdepodobne využiť aj na spustenie útočníkom zvoleného kódu a získanie kontroly nad PC, fungujúci exploit ale zatiaľ nie je k dispozícii.

Podľa ďalších správ po inštalovaní IE 7 prestane korektne fungovať McAfee antivírus, v IE 7 tiež nefungujú niektoré Internet bankingy. Toto Microsoft pripisuje najmä kontrolám na strane web serverov vyžadujúcich verziu 6 Internet Explorera.




Najnovšie články:



Diskusia:

firefox Od: firefox | Pridané: 2.2.2006 10:50 je to na webe par dni a uz kriticka chyba....mrkvosoft je teda genialny.. Odpovedať Hodnotiť:

tom Od: tom | Pridané: 2.2.2006 10:57 no je to testovacia ani nie beta verzia, takze za toto im nemozes znadat... :) na druhej strane ta chyba je tak trapna, ze keby to aspon raz otestovali, tak by na nu prisli... Odpovedať Hodnotiť:

TheTOM.SK Od: TheTOM.SK | Pridané: 2.2.2006 11:10 Tak sel sem na tu stranku a nic se nestalo, tak nevim. :) http://img19.imageshack.us/img19/381/capture020220061111265cg.jpg Odpovedať Hodnotiť:

tom Od: tom | Pridané: 2.2.2006 11:14 hmm, no mne to rublo Odpovedať Hodnotiť:

unnamed Od: unnamed | Pridané: 2.2.2006 12:06 omg tak si daj zobrazit zdrojovy kod Odpovedať Hodnotiť:

TheTOM.SK Od: TheTOM.SK | Pridané: 2.2.2006 11:16 Zajimalo by mne, co to spusobuje, dal sem tu stranku do Trusted, vypnul firewall, zapol WSH a nic. Odpovedať Hodnotiť:

TheTOM.SK Od: TheTOM.SK | Pridané: 2.2.2006 11:18 Mozno mam v PC pozostatok verzie 7.0.5296.0? Idem sa spytatu na tu jeho stranku. Odpovedať Hodnotiť:

TheTOM.SK Od: TheTOM.SK | Pridané: 2.2.2006 11:18 Verzie 7.0.5299.0, sorry preklep. :) Odpovedať Hodnotiť:

tom Od: tom | Pridané: 2.2.2006 11:19 pockaj a nesiel si tam, kam smeruje linka a nie na tu URL, co je tu vypisana? :) no neviem, ja som nic nepovoloval a padne to... mam standardny build stiahnuty priamo zo stranok MS Odpovedať Hodnotiť:

TheTOM.SK Od: TheTOM.SK | Pridané: 2.2.2006 11:58 Neviem cim to je, ale je dobre vediet, ze mam zabezpeceny PC. :) Odpovedať Hodnotiť:

TheTOM.SK Od: TheTOM.SK | Pridané: 2.2.2006 11:29 V PC som nasiel 2 "urlmon.dll", jedna 6.0 a druha 7.0.5296, takze tym to nebude. :/ Odpovedať Hodnotiť:

Michal Od: Michal | Pridané: 2.2.2006 11:31 Citujem z oficiálneho IE blogu: "We did confirm that the bug crashes IE. However, we did not find that the bug was exploitable by default to elevate privilege and run arbitrary code." http://blogs.msdn.com/ie/archive/2006/02/01/522682.aspx Odpovedať Hodnotiť:

TheTOM.SK Od: TheTOM.SK | Pridané: 2.2.2006 11:48 Dik za link, idem to postnut, nebudem platit za to ze chcem urobit komentar na SP stranke, lol. Odpovedať Hodnotiť:

Domi Od: Domi | Pridané: 2.2.2006 11:49 Mne sa nepodarilo nainstalovat Corel Draw Suite X3 po nainstalovani IE7 b2 Odpovedať Hodnotiť:

brejo Od: brejo | Pridané: 2.2.2006 12:01 jediny problem ktory som zatial zaznamenal bol pociatocny problem pri spusteni outlooku s detekciou pripojenia a druhy problem tiez ale tykajuci sa outlook expressu spociva v tom ze aj po vypnuti pisma cleartype v browseri v outlooku sa aj nadalej posta zobrazuje cleartypom .. prisiel na to neikto ako to nastavit na standardne vyhladzovanie pisma ? Odpovedať Hodnotiť:

........ Od: ........ | Pridané: 2.2.2006 13:29 nezapinat ho :) Odpovedať Hodnotiť:

Pridať komentár