neprihlásený Pondelok, 20. januára 2020, dnes má meniny Dalibor   DonaskaKvetov.sk - donáška kvetov v SR a zahraničí Pošli kvety
Neopravenej chybe v IE vystavené milióny ľudí, zneužívaná na porno stránkach

DSL.sk, 15.12.2008


Spoločnosť Microsoft aktuálne upozornila, že vážna zatiaľ neopravená bezpečnostná chyba v Internet Exploreri zverejnená minulý týždeň je masívne zneužívaná na Internete.

Podľa odhadu Microsoftu mohlo web stránky zneužívajúce túto chybu navštíviť už 0.2% všetkých užívateľov Internetu.

Pri odhadovanom počte 1.3 miliardy užívateľov Internetu mohlo tak byť chybe vystavených 2.6 milióna užívateľov.

Chyba sa podľa informácií Microsoftu zneužíva napríklad na stránkach s obsahom pre dospelých, do odstránenia bol exploit kód prítomný ale napríklad aj na stránkach populárneho taiwanského vyhľadávača.

Chyba typu pretečenia buffera v heape sa nachádza v knižnici MSHTML.dll a je zneužiteľná cez DHTML Data Binding. Na rozdiel od pôvodných zistení sa chyba nachádza vo všetkých podporovaných verziách Internet Explorera.

Proti súčasným útokom sa je možné brániť znemožnením prístupu k MSHTML.dll cez OLEDB, proti zneužívaniu chyby samotnej potenciálne iným útokom sa je možné brániť len aktivovaním DEP pre IE 7, nastavením bezpečnostnej zóny pre Internet na High respektíve zakázaním Active Scriptingu alebo jeho nastavením na pýtanie si povolenia pri každom spustení aktívnych prvkov. Iba v beta verzii Internet Explorera 8 je možné Data Binding vypnúť.

Zhrnutie všetkých možných opatrení, ktoré zabraňujú súčasným známym útokom a potenciálne sťažujú iné útoky zneužívajúce danú chybu, Microsoft zverejnil v tomto príspevku.

Ďalším riešením je nepoužívanie prehliadača Internet Explorer do opravenia chyby.

Kompletné informácie o chybe MS prináša tu, kedy bude chyba opravená nie je zatiaľ známe.


      Zdieľaj na Twitteri



Najnovšie články:

Od zajtra nové .sk domény v akcii za 4 eurá
Známy počet dôchodcov s aktivovanými elektronickými schránkami
V IE kritická neopravená zraniteľnosť zneužívaná v útokoch, aj vo Windows 7
Let s ľudskou posádkou sa posúva, hoci test SpaceX sa podaril
Na trhu SSD radičov nový hráč, s výkonným modelom vyťažujúcim PCI Express 4.0
Dôležitý test lode SpaceX pre ľudskú posádku má byť o tretej, video
Kapacita RAM smartfónov sa má zvýšiť na 16 GB
Zajtra dôležitý test lode SpaceX pre ľudskú posádku, zničí raketu
Najnovšie Star Wars zarobili miliardu
Intel sa vrátil na pozíciu najväčšieho výrobcu čipov, presvedčivo


Diskusia:
                               
 

Já bych všechny ty pretečený buffery zakazala.
Odpovedať Známka: 8.1 Hodnotiť:
 

100 bodov - dajte tej slecne kladivko nech ten zakaz odklepne :-))))))
Odpovedať Známka: 7.3 Hodnotiť:
 

Od slečny by som očakával skôr zákaz porna.
Odpovedať Známka: -6.0 Hodnotiť:
 

Prečo?
Odpovedať Známka: 3.3 Hodnotiť:
 

Myslim si, ze to je pekne zadostucinenie pre IE pouzivatelov.
Odpovedať Známka: 8.1 Hodnotiť:
 

To koľko im trvá vyriešenie takejto chyby, pre boha?!
Ďalším riešením je nepoužívanie prehliadača Internet Explorer NIKDY!!!
Odpovedať Známka: 8.5 Hodnotiť:
 

... IT IS NOT A BUG .. IT IS THE ADVANTAGE...
Odpovedať Známka: 6.9 Hodnotiť:
 

takto som to este nepocul skor
IT`S NOT A BUG ... IT`S A FEATURE
Odpovedať Známka: 9.1 Hodnotiť:
 

keď t potom chceš zo systému dostať tak normálne už advanture XD
Odpovedať Známka: 5.9 Hodnotiť:
 

Alebo adventure ...
Odpovedať Známka: 5.2 Hodnotiť:
 

V pripade MS to nie je bug, feature ani advantage, ale STANDARD! :P

BTW. Dalsia tema, v ktorej su len same zelene prispevky?:D
Odpovedať Známka: 8.9 Hodnotiť:
 

nie je
Odpovedať Známka: -7.9 Hodnotiť:
 

jediny standart ktory MS dodrziava
Odpovedať Známka: 7.3 Hodnotiť:
 

kde mozme zohnat vzorku?
Odpovedať Známka: 7.6 Hodnotiť:
 

Vzorku coho? Toho porna?
Zadaj do stryca Googla heslo "xxx".
Odpovedať Známka: 7.7 Hodnotiť:
 

je to tazke, ked sa najde m$ backdoor v IE ;)
to je problem opravit :D
Odpovedať Známka: 8.3 Hodnotiť:
 

pozerat pornostranky s IE to je vyborny navod ako si zasrat PC :-D
Odpovedať Známka: 8.1 Hodnotiť:
 

Ale grády tomu dodáš, ak budeš browsovať ako admin
Odpovedať Známka: 8.4 Hodnotiť:
 

chcem teraz otestovat, nainstalujem si win do virtualneho stroja a uvidim kolko havede sa chyti :D
Odpovedať Známka: 6.7 Hodnotiť:
 

Budes sa smiat do chvile kym sa neobjavi chyba vo virtualizacnom softveri ktory pouzivas...
Odpovedať Známka: 9.1 Hodnotiť:
 

Tak to budem zvedavy nakolko je ta haved multiplaformna ;)
Odpovedať Známka: 7.6 Hodnotiť:
 

lol to uz su jake eroticke praktiky, browsovat v IE a onanovat az kym sa nepokazi virtual box.
Odpovedať Známka: 8.9 Hodnotiť:
 

tak to si moc neužiješ.. :D
Odpovedať Známka: 7.8 Hodnotiť:
 

Ale uzije. Len si musi poriadne svihnut, taku rychlovecku. :P
Odpovedať Známka: 6.7 Hodnotiť:
 

no a teraz musia použivatelia čakať do prvého utorka v januári ako to ma ms vo zvyku:D
takže kolo 6januara 2009 by mohli vydať záplatu:D
neviem inak prečo ma ms tento system.."mame zaplatu ale vydame ju len o tri tyždne v prvý utorok v mesiaci ako máme vo zvyku..." (a stavím sa že konkretne tuto ešte ani nemaju)
Odpovedať Známka: 8.9 Hodnotiť:
 

>> mame zaplatu ale vydame ju len o tri tyždne v prvý utorok v mesiaci ako máme vo zvyku..." (a stavím sa že konkretne tuto ešte ani nemaju)

prave preto :)


Odpovedať Známka: 8.3 Hodnotiť:
 

najkrajšia veta: "Ďalším riešením je nepoužívanie prehliadača Internet Explorer do opravenia chyby." :-D

- a ďalším riešením je nepoužívať IE vôbec ;-)
Odpovedať Známka: 8.4 Hodnotiť:
 

tak to +100 bodov tomu rieseniu.

To mi pripomina ten film, ako sa to len volalo, Marecku podejte mi pero? Ak nie opravte ma,

Co sa tam ten stary pytal,

"Vsatanu o paty a pak uz neusnu"
"No to ja nespim uz od treti"

"Nemuzu vstatz postele"
"Tak to potom nevstavej!"
Odpovedať Známka: 4.4 Hodnotiť:
 

To je z filmu vesničko má středisková

http://acc.tym.cz/16.mp3

Jak se to dělá, aby to na tinypic přesměrovalo na zdroj?
Odpovedať Známka: 7.1 Hodnotiť:
 

Stačí nepozerať porno a 90% vírusového, exploitového, červového aktovieešteakého rizika je v ťahu :D
Odpovedať Známka: -2.6 Hodnotiť:
 

ale potom nepotrebujes ani internet :D

no..kazdopadne obdivujem M$ .... Vista nie je pomala, len tam treba vsetky veci, ktorymi sa M$ tak pysil vypnut.... sak vlastne ani IE neni taky nebezpecny... ono staci ked si tam das ochranu na MAX. a vtedy ti tam miesto 90 virusov prejde uz len 56,243 ...omg... get real people!! .. kupte si Mac alebo si stiahnite Linux...
Odpovedať Známka: 6.5 Hodnotiť:
 

potom mi nepojdu new hry ktore su len "Games for windows" ;[ m$ smradlavy monopol.
Odpovedať Známka: 8.9 Hodnotiť:
 

ale budes moct vpohode pozerat porno :D
Odpovedať Známka: 10.0 Hodnotiť:
 

Nech radšej Mikrosoft nič neopravuje.
Celý víkend som sa s... s inštalovaním Visty a Adobe CS4. Nainštalujem, ide, chvíľu beží a zrazu prásk, modrá obrazovka na parádu a furt dokola. Nakoniec som jej zakázal aktualizácie a kua už beží.

Ale celý víkend som rozmýšlal, prečo som prestal robiť na síce predražených, ale funkčných jablkách
Odpovedať Známka: 8.6 Hodnotiť:
 

lebo zacali hnit? :)
Odpovedať Známka: 5.5 Hodnotiť:
 

Prečo si stále myslíš, že sú predražené, keď sú funkčné?
Odpovedať Známka: 10.0 Hodnotiť:
 

Radšej by si mal prestať pracovať na tých lacných šmejdoch.
Odpovedať Známka: 10.0 Hodnotiť:
 

A tam to mate IE-kári...

Kazdy, okrem kazdeho siedmeho, teenagera az under 30tnika si pozera porno stranky cez super hyper cool modre ako nebo IE a mysli si ze "Ja ten virus (HIV) nedostanem".

A teraz sa zhlboka smejem prave tymto hardcore uzivatelom.
Odpovedať Známka: 6.0 Hodnotiť:
 

Možno ich vzrušuje aj to nebezpečie :D
Odpovedať Známka: 9.0 Hodnotiť:
 

hmm ja mam 17, a vacsina mojich kamaratov ma firefox alebo operu, vo veku to ani moc neni. Je to skor asi preto ze som ich poucil aky je IE na <>. Ludia by aj presli, len vedia howno, a tie lamacke programy su sucastou windowsov... chcelo by to billboardy s firefoxom, ze je bezpecnejsi a celkovo lepsi. Keby namiesto toho smiesneho BSA existovala dalsia neexistujuca organizacia na slovensku ktora by si prenajala billboardy na ktore by pisali o alternativach a open source, hned by to tu vyzeralo inac.
Odpovedať Známka: 8.2 Hodnotiť:
 

By si sa divil kolko uzivatelov existuje, ktori o niecom ako "browser" ani nechyruju.

....internet ? ahaaa, to je ta modra ikonka "e" na ktoru kliknem ....
Odpovedať Známka: 10.0 Hodnotiť:
 

Ked budes starsi, tak pochopis ze niektori ludia by aj pouzivali iny browser, ale su nuteny pouzivat IE - poliky vo firme ;)
Odpovedať Známka: 0.0 Hodnotiť:
 

ups *politiky
Odpovedať Známka: 4.3 Hodnotiť:
 

A načo máš portable verzie? Zasa... Nie všetky firmy majú odblokované USB:] Ale predsa portable sa dá aj stiahnuť...
Odpovedať Známka: 10.0 Hodnotiť:
 

Aj ja som nuteny pouzivat IE, hoci mi to neprikazuje sef, ale niektore redakcne systemy a podobne, sa zobrazia len pod IE. Tu chvilku to vzdy vytrpim. A keby som musel robit na firemnom kompe zo zakazom instalacie akehokolvek softu, tak firefox portable ktory nosim na kluci to isti.
Odpovedať Známka: 10.0 Hodnotiť:
 

A firefox + IE extension by nesiel ?
Odpovedať Známka: 10.0 Hodnotiť:
 

o tom som ani nevedel, diky
i ked stale to je engine z IE, a citim nebezpecie :)
https://addons.mozilla.org/sk/firefox/addon/1419
Odpovedať Známka: 10.0 Hodnotiť:
 

ja si na tieram na chleba lunex, takze mi nevadi ziadna haved...
Odpovedať Známka: -2.6 Hodnotiť:
 

No na tri si tam aj lexus. alebo na styri?
Odpovedať Známka: 10.0 Hodnotiť:
 

u inych vyvojarov cakame na datum vydania novej hry, softwaru, pripadne filmu, albumu a pod. u microsoftu na dalsiu zaplatu...tato konkrente ma datum vydania Q4/2009
Odpovedať Známka: 10.0 Hodnotiť:
 

si ludia trosku aj uvedomte, ze Windows je na podstatne vacsom pocte PC a vacsinou aj na podstatne dolezitejsich ako su ine OS, preto si Microsoft nemoze dovolit len tak vydat na druhy den aktualizaciu, ale musia dokladne otestoavat dopad tejto aktualizacie ... ked mi po update kernelu nenabootoval linux, tak som si zanadaval, ale kedze je zadarmo, tak som to pekne vratil naspat a cakal som na opravu tej opravy, avsak Microsoft si taky preslap dovolit nemoze a preto ma prisnejsi kontrolny proces na vydavanie aktualizacii a nakoniec, tato aktualizacia bude vydana mimo pravidelneho mesacneho cyklu, takze poprosim nepindat ... az budete niekto vyvyjat softver pre miliardy ludi, tak sa tu mozete vyjadrovat o tom, ake rychle ci pomale su procesy vydavania aktualizacii ...
Odpovedať Známka: 5.4 Hodnotiť:
 

A práve preto asi každého normálneho človeka šokuje, ako je možné, že soft, ktorý používa toľko miliónov ľudí je taký deravý, nebezpečný a nespoľahlivý, a ešte si zaň nechávajú mastne platiť! Veď to je na kriminál, takéto nehanebné okrádanie a podvody!
Odpovedať Známka: 5.6 Hodnotiť:
 

ukaz mi softver ktory neni deravy...
Odpovedať Známka: 7.5 Hodnotiť:
 

Kalkulacka :D
Odpovedať Známka: 6.0 Hodnotiť:
 

Skus delit nulov a hned ti to tam da ERROR :D
Odpovedať Hodnotiť:
 

Ty si toho asi vela naprogramoval... A kvalitne:)
Odpovedať Hodnotiť:
 

z časti s tebou súhlasim, ale
nemôžeš porovnávať zaplatanie webbrowserovskej zraniteľnosti s updatetom kernelu do ktorého boli pridane funkcie...
je pravda že by ti distribucia linuxu nemala ponukať neodskušane nové verzie kernelu ak nemaš zapnute aj update na betaverzie....ak ten tvoj pripad bola final verzia tak to je pravda mali poriadne odsúšať

a prave to že m$ ma toľko uživateľou a ešte stale nevidali záplatu ( a nieje to len pár hodin) k browseru je dosť zle..navyše je to sučasť windowsu kt. si platime...

Odpovedať Známka: 5.0 Hodnotiť:
 


a ešte k tomu že si nemôže dovoliť vydať software kt. poriadne neodskušal....hehe..tak ked si zobereme iba win XP - až do prichodu SP2 bol v dosť zlom stave a kritizovaný ako teraz vista ( s nou nemam skusenosti - ale z niektorých reakcii som si vytvoril nazor že ani ta nefunguje dokonale - a teda len skrz ich terminu a honby za peniazmi ju nevyladili na 99% (na 100% nepôjde žiadny os:D ) - tak to len ktomu nazoru že zaplata nieje lebo su zodpovedny a nevypustia niečo čo nieje dokonale:D

a posledne - niesom linuxovy extremista ani m$ odporca - využivam obe platformy a s xp sp2 som spojny a vo väčšine času pracujem skôr v nom takže poprosim žiadny flame....
Odpovedať Hodnotiť:
 

A preco by to nemohol porovnat? Ved tu predsa nejde o to, coho sa update tyka, ale aky velky moze mat dopad. A je logicky jasne, ze update pre stovky milionov pocitacov ma v pripade chyby daleko vacsi dopad, ako zaplata pre par sto tisic pouzivatelov (aj to som mozno prehnal, pri roztriestenosti linux distribucii)
Odpovedať Hodnotiť:
 

no hej ale zaplatanie jednej kritickej chyby webbrowsera nepotrebuje extremne testy stability systemu na rôznych konfiguraciach tak ako porovnávane updatnutie celého kerneru..či linuxového alebo windowsovského...
alebo si mysliš že tu zaplatu už maju od začiatku ale pre istotu nechávajú ohrozených miliony pc už verejným exploitom lebo ešte testuju či to nahodou na nejakej konfiguracii nezhodi prehliadač? osobne si myslim že m$ takto nefunguje...spravia zaplatu, testnu par pc, pustia to do sveta a čakaju na odozvu.
Odpovedať Hodnotiť:
 

Len tak pre predstavu, jadro IE je pouzivane v kde akej prdeli (osobne to neschvalujem, ale taky je stav) a zvlast data binding je myslim si skvely adept na "bohate" intranetove aplikacie nejakych dolezitych klientov MS. Jasne ze tu zaplatu maju. To si naozaj myslis, ze im to tak dlho trva opravit? Kde zijes chlape...

Keby si ty bol zamestnanec MS a vdaka urychleniu vydania zaplaty by sa ta nadriadeny - release manager spytal - je to OK? Co by si spravil? Nechal to prehnat este par dni testami, alebo by si si to zobral na vlastne triko? :)
Odpovedať Hodnotiť:
 

"Pri odhadovanom počte 1.3 miliardy užívateľov Internetu mohlo tak byť chybe vystavených 2.6 milióna užívateľov."

Velmi konkretna informacia pochvala pre autora :)

Bud ste tam chceli napisat IE ak nie tak ziadne ine prehliadace/os neexistuju?

Odpovedať Známka: 10.0 Hodnotiť:
 

you're absolutely right :)
Odpovedať Známka: 3.3 Hodnotiť:

Pridať komentár