|
Title: Ένα ακόμη κρίσιμο κενό στον IE Post by: NetBuster on March 24, 2006, 14:17:05 pm Ένα ακόμη κρίσιμο κενό στον IE
23-3-2006 ,www.pcw.gr Η εβδομάδα που διανύουμε δεν είναι η καλύτερη για τον Internet Explorer (IE). Μετά τα δύο κενά ασφαλείας που εντοπίστηκαν τις προηγούμενες ημέρες, ένα τρίτο κενό έγινε γνωστό την Τετάρτη 22 Μαρτίου και το οποίο κρίνεται κρίσιμο, καθώς επιτρέπει τον έλεγχο του συστήματος από εξωτερική πηγή. Το νέο πρόβλημα εντοπίστηκε από την βρετανική Computer Terrorism η οποία δημοσίευσε και τη σχετική ανακοίνωση. Το πρόβλημα αφορά στον τρόπο που ο ΙΕ επεξεργάζεται στοιχεία με τη μέθοδο createTextRange(). Με τη χρήση παραποιημένου κώδικα, κακόβουλοι χρήστες θα μπορούσαν να αλλοιώσουν τη μνήμη του συστήματος και να το ξεγελάσουν έτσι ώστε να τρέξει λογισμικό χωρίς την έγκριση του χρήστη. Η Computer Terrorism δεν δημοσιοποίησε κώδικα που να υποδεικνύει τον τρόπο εκμετάλλευσης του συγκεκριμένου κενού ασφαλείας, παρά μόνο ορισμένες λεπτομέρειες. Αυτές βρίσκονται στη διεύθυνση http://lists.grok.org.uk/pipermail/full-disclosure/2006-March/044300.html. Η εταιρεία πάντως δήλωσε πως έχει αναπαράγει έναν αξιόπιστο "proof of concept" κώδικα τον οποίο και έτρεξε στον IE 6 και στη νέα beta 2 του IE 7 που τρέχουν στην τελευταία έκδοση των Windows XP. Σύμφωνα με μία άλλη εταιρεία ασφαλείας, τη Secunia, η Microsoft εργάζεται ήδη για την αντιμετώπιση του προβλήματος. Και η Secunia στην αναφορά της τοποθετεί το νέο κενό στην ομάδα των ιδιαίτερα κρίσιμων. Διαβάστε την αναφορά της Secunia. Όπως αναφέραμε, πρόκειται για το τρίτο κενό ασφαλείας που εντοπίζεται τις τελευταίες ημέρες στον Internet Explorer. Διαβάστε αναλυτικά για τα προηγούμενα δύο κενά ασφαλείας σε προηγούμενο άρθρο του PCW.gr. Η επόμενη προγραμματισμένη ενημέρωση ασφαλείας της Microsoft αναμένεται στις 11 Απριλίου. Που να βγει και ο ΙΕ7 ΟΕΟ!!!!! ;D Title: Re: Ένα ακόμη κρίσιμο κενό στον IE Post by: fugiFOX on March 24, 2006, 14:26:29 pm ερχεται ο Firefox 2!
Title: Επικίνδυνη λειτουργία του ΙΕ! Post by: anonymous-root on September 22, 2006, 15:59:40 pm Μπαίνετε σε μια ιστοσελίδα και χωρίς να το γνωρίζετε, αυτοί οι κύριοι αντιγράφουν ότι αρχεία έχετε στο "πρόχειρό" σας.
Στην πραγματικότητα δεν είναι bug, αλλα δυνατότητα, πολύ χρήσιμη για προγραμματιστές, αλλά απολύτως επικίνδυνη για τον απλό χρήστη. Και αν στο πρόχειρο έχετε κάνει copy πολύτιμα username και password (πχ πιστωτικές κάρτες ή online τραπεζικών εργασιών)? Αυτό θα σας έβαζε σε πολύ μεγάλο κίνδυνο - ειδικά αν μπορούσαν να ταυτοποιηθούν τα στοιχεία που έχετε στην μνήμη σας, με το ποιός είστε (αν για παράδειγμα είσασταν εγγεγραμμένος χρήστης). Ο ίδιος δικτυακός τόπος που δημοσίευσε το πρόβλημα, προτείνει και την λύση: (αλλά μην κάνετε κάποιες αλλαγές προτού δείτε με τα μάτια σας πως δουλεύει αυτή η κλοπή). Πηγαίντε στο Tools -> internet options -> security του Internet Explorer σας Πατήστε το κουμπί custom level Στο security settings, επιλέξτε disable στο Allow paste operations via script. Αλλά καλύτερα ακόμη, ζητήστε του να σας ενημερώνει όποτε κάποιος προσπαθεί να διαβάσει τα προσωπικά σας δεδομένα : Αν αντί για disable στο Allow paste operations via script επιλέξετε το Prompt, τότε θα σας ρωτάει κάθε φορά που - πονηρά - η σελίδα στο internet θέλει να διαβάσει τι έχετε εσείς στην μνήμη του υπολογιστή σας… Τώρα δεν μπορούν να μάθουν τα περιεχόμενα της μνήμης του υπολογιστή σας με αυτόν τον τρόπο… Kάντε τώρα ένα πείραμα για να εκπλαγείτε και να βεβαιωθείτε. Τον κώδικα θα τον βρείτε σε αυτό τον ιστότοπο: http://www.sourcecodesworld.com/special/clipboard-code.asp Επισκεφτείτε την και αμέσως θα σας δείξει τα "copy" σας στο πρόχειρο και τι κάνατε paste την τελευταία φορά. Πείραμα επίσης μπορείτε να κάνετε στο http://arkoudos.com/blog/?p=967 Αφού εκπλαγείτε και βεβαιωθείτε δώστε την εντολή prompt και κάντε ένα δοκιμαστικό σερφάρισμα σε διάφορα sites. Θα εκπλαγείτε απο αυτό που θα δείτε. Θα βγαίνει ένα μήνυμα (σωτήριο για εσάς) που θα σας ενημερώνει ότι κάποιος θέλει να αντιγράψει τα αρχεία που είχατε στο πρόχειρο. Και φυσικά θα γίνεστε θηρίο. Μετά τις ρυθμίσεις, τεστ μπορείτε να κάνετε και πάλι στο http://www.sourcecodesworld.com/special/clipboard-code.asp Κώδικας: Code: <Script Language="JavaScript"> πηγή: http://actionnemesis.com/v2/index.php?option=com_content&task=view&id=965&Itemid=53 ΥΓ. Στο ΦΦ δε δουλεύει! ;) 8) ::) Title: Re: Ένα ακόμη κρίσιμο κενό στον IE Post by: fugiFOX on September 22, 2006, 16:37:48 pm Τι εννοείς δεν δουλεύει;
Title: Απ: Ένα ακόμη κρίσιμο κενό στον IE Post by: Axel on September 22, 2006, 17:52:35 pm Αυτο ειναι παλιο bug. Δεν εχει κλεισει ακομα?
Title: Απ: Ένα ακόμη κρίσιμο κενό στον IE Post by: Zarathoustra on September 22, 2006, 18:27:16 pm Όσο περισσότερα bugs στον WoW Live!!!Super Gamato Microsoft Internet Explorer Extreme EditionTM τόσο καλύτερα!!
Title: Re: Ένα ακόμη κρίσιμο κενό στον IE Post by: fugiFOX on September 22, 2006, 18:29:33 pm Ξέχασες να βάλεις ΤΜ και στις υπόλοιπες λέξεις..
Title: Απ: Ένα ακόμη κρίσιμο κενό στον IE Post by: Zarathoustra on September 22, 2006, 18:31:17 pm Μάλλον ξέχασα να βάλω παρένθεση.Πιάνει όλο το όνομα :)
Title: Re: Ένα ακόμη κρίσιμο κενό στον IE Post by: fugiFOX on September 22, 2006, 18:33:59 pm Απαράδεκτος!
Τι θα πει πιάνει όλο το όνομα. Θες να πληρώνεις προστιμο; Βάλε σε κάθε μια λέξη να είσαι σίγουρος Title: Απ: Ένα ακόμη κρίσιμο κενό στον IE Post by: anonymous-root on September 22, 2006, 20:41:52 pm Τι εννοείς δεν δουλεύει; Εννοώ ότι δε λειτουργεί! O Internet Explorer ασφαλέστερος από τον firefox Η μεγάλη εταιρεία ασφαλείας Symantec, γνωστότερη από τη σειρά προϊόντων Norton, "έκαψε" τον δημοφιλή browser Firefox με μια αναφορά της, βάσει της οποίας ο Internet Explorer είναι αρκετά ασφαλέστερος. Το βασικό προσόν του Firefox έναντι του ανταγωνισμού, βάσει όσον ισχυρίζονται οι δημιουργοί του, είναι η αυξημένη του ασφάλεια. Ο Firefox παρουσιάζει λιγότερα, και μικρότερης σημασίας προβλήματα από ανταγωνιστικές λύσεις - και, κυρίως, "την ανταγωνιστική λύση", που τυχαίνει να είναι για όλους τους browsers ο κυρίαρχος Internet Explorer της Microsoft. Να, όμως, που μια νέα αναφορά της Symantec ανατρέπει αυτούς τους ισχυρισμούς. Σύμφωνα με την Symantec, στις αρχές του 2005 ο Firefox παρουσίαζε 25 αρκετά σημαντικά προβλήματα ασφαλείας, ενώ ο βασικός ανταγωνιστής του, Internet Explorer, μόλις 13 - αλλά εξίσου σημαντικά. Η Symantec, όμως, δεν υπολόγισε και το χρόνο που χρειαζόταν κάθε πρόβλημα για να διορθωθεί, τομέας στον οποίο η Microsoft είναι διάσημη για τις καθυστερήσεις της. Επιπλέον, τα προβλήματα που κατέγραψε ήταν μόνο τα "επισήμως αναγνωρισμένα", αλλά όχι κατ' ανάγκη και τα μοναδικά. Η Symantec αναγνώρισε πως τα παραπάνω είναι σημαντικοί παράγοντες, και παραδέχτηκε πως δεν υπάρχουν μεγάλα ξεσπάσματα κακόβουλου κώδικα που να εκμεταλλεύεται εναλλακτικούς του Internet Explorer browsers αλλά, όπως σωστά αναρωτιέται, ως πότε θα ισχύει αυτό; http://www.thelab.gr/showthread.php?s=&threadid=30974 http://news.com.com/Symantec+Mozilla+browsers+more+vulnerable+than+IE/2100-1002_3-5873273.html Ένα πράγμα έχω να πω: Νόρτον σακς! Title: Re: Ένα ακόμη κρίσιμο κενό στον IE Post by: poly1 on September 22, 2006, 20:44:53 pm Ολα ειναι ψεματα
Ακατανομαστος σακς Title: Re: Ένα ακόμη κρίσιμο κενό στον IE Post by: fugiFOX on September 22, 2006, 20:45:50 pm Η Νόρτον καλύπτει τη Μ$.
Αναμενόμενο Title: Re: Ένα ακόμη κρίσιμο κενό στον IE Post by: madmetal on September 22, 2006, 21:32:14 pm και εγω ειδα το παραπανω αρθρο και ψαχνω ενα αναλογο που αναφερει γιατι το ελευθερο λογισμικο ειναι "πιο ευαλωτο" στις επιθεσεις..
σημειο πρωτο. οταν ο FF εχει ενα καινο ασφαλειας η ομαδα το ανακοινωνει ενω αν το βρει ενας τριτος το κανει αμμεσως γνωστος και στελνει διορθωσεις... το αντιστοιχο στον ΙΕ δεν γινεται. με αποτελεσμα τα προγραμματα ανοιχτου λογισμικου να εχουν ΑΝΑΚΟΙΝΩΜΕΝΑ περισσοτερα προβληματα και κενα ασφαλειας.. οχι ομως οτι στην πραγματικοτητα ισχυει. σημειο δευτερο. η διορθωση του προβληματος.. οσοι ασχολειστε με λινουξ η βασικη διαφορα μεταξυ λειτουργικων για servers ειναι το διαστημα απο την αποκαλυψη προβληματος μεχρι την διορθωση.. στον τομεα αυτο το ανοιχτο λογισμικο ειναι χροοοοονια μπροστα... οποτε μονο με τιτλους χωρις αναλυση δεν γινεται ερευνα αλλα διαφημιση... Title: Re: Ένα ακόμη κρίσιμο κενό στον IE Post by: fugiFOX on September 24, 2006, 13:30:17 pm οποτε μονο με τιτλους χωρις αναλυση δεν γινεται ερευνα αλλα διαφημιση... Title: Re: Ένα ακόμη κρίσιμο κενό στον IE Post by: madmetal on September 26, 2006, 12:53:01 pm και επειδη μια χαρα ειμαστε σε linux με firefox αλλα ορισμενοι δεν μας υπολογιζουν οταν σχεδιαζουν sites...
(http://motogp.com/en/motogp/index.htm / http://pelargoi.gr/ σε ubuntu 6.06 με firefox 1.5.0.1 δεν τα βλεπω) οριστε... http://www.theinquirer.net/default.aspx?article=34625 και οπως λεει και το αρθρο "offers one more reason not to boot Windows" πλεον το μονο που μενει ειναι το λογισμικο της sony ericsson μεχρι να βαλουν μυαλο οτι και εμεις πελατες ειμαστε... Title: Re: Ένα ακόμη κρίσιμο κενό στον IE Post by: fugiFOX on September 26, 2006, 12:56:26 pm εγώ τα βλέπω κανονικά
Title: Re: Ένα ακόμη κρίσιμο κενό στον IE Post by: madmetal on September 26, 2006, 13:07:22 pm με τον flash καποιο προβλημα εχω αλλα και παλι δεν ουτε απο μεριας flash εχει γινει οτι καλυτερο για firefox και linux.
Title: Re: Ένα ακόμη κρίσιμο κενό στον IE Post by: fugiFOX on September 26, 2006, 13:13:18 pm για την ανυπαρξία του flash ευθύνεται η macromedia και πλέον η Adobe.
Την πολιτική της τελευταιας δεν την καταλαβαίνω. Το επόμενη μεγάλο θύμα της Μ$ είναι όπως όλα δέίχνουν η Adobe και αυτή αντί να στηρίξει και να συμμαχήσει με το ανοικτό λογισμικό και τον απόλυτο browser, συνεχίζει να υποστηρίζει τα προιόντα της Μ. ΈΛεος! Title: Re: Ένα ακόμη κρίσιμο κενό στον IE Post by: madmetal on September 26, 2006, 13:26:11 pm οντως η Adobe μαλλον πλεει στραβα...
ηδη sites που χρησιμοποιουσαν προγραμματα της οπως το youtube εχουν κανει τροποποιησεις... Title: Απ: Ένα ακόμη κρίσιμο κενό στον IE Post by: bakeneko on October 03, 2006, 02:56:15 am Η συζήτηση για το καινούριο κενό ασφαλείας του Firefox μεταφέρθηκε στο αντίστοιχο θέμα: Οι χάκερς επιτίθενται στον Firefox - εκμετάλλευση κενού ασφαλείας. (http://www.thmmy.gr/smf/index.php?topic=6546.0)
|