Ένα ακόμη κρίσιμο κενό στον IE

[Thmmy.gr portal]

  Thmmy.gr portal
   Forum
   Downloads
   Ενεργ. Λογαριασμού
   Επικοινωνία
  
  Χρήσιμα links
   Σελίδα τμήματος
   Βιβλιοθήκη Τμήματος
   Elearning
   Φοιτητικά fora
   Πρόγραμμα Λέσχης
   Πρακτική Άσκηση
   Ηλεκτρονική Εξυπηρέτηση Φοιτητών
   Διανομή Συγγραμμάτων
   Ψηφιακό Καταθετήριο Διπλωματικών
   Πληροφορίες Καθηγητών
   Instagram @thmmy.gr
   mTHMMY
  
  Φοιτητικές Ομάδες
   ACM
   Aristurtle
   ART
   ASAT
   BEAM
   BEST Thessaloniki
   EESTEC LC Thessaloniki
   EΜΒ Auth
   IAESTE Thessaloniki
   IEEE φοιτητικό παράρτημα ΑΠΘ
   SpaceDot
   VROOM
   Panther
  

THMMY.gr Web

Helios_MultiScribbles2SMF Default ThemeSMFone_Blue

[Ανεβάζετε τα θέματα των εξετάσεων στον τομέα Downloads]

Είσαι πρωτοετής;... Καλώς ήρθες! Μπορείς να βρεις πληροφορίες εδώ. Βοήθεια για τους καινούργιους μέσω χάρτη.

Κατεβάστε εδώ το Android Application για εύκολη πρόσβαση στο forum.

Ανεβάζετε τα θέματα των εξετάσεων στον τομέα Downloads με προσοχή στα ονόματα των αρχείων!

[NetBuster]

Ένα ακόμη κρίσιμο κενό στον IE
23-3-2006 ,www.pcw.gr

Η εβδομάδα που διανύουμε δεν είναι η καλύτερη για τον Internet Explorer (IE). Μετά τα δύο κενά ασφαλείας που εντοπίστηκαν τις προηγούμενες ημέρες, ένα τρίτο κενό έγινε γνωστό την Τετάρτη 22 Μαρτίου και το οποίο κρίνεται κρίσιμο, καθώς επιτρέπει τον έλεγχο του συστήματος από εξωτερική πηγή.

Το νέο πρόβλημα εντοπίστηκε από την βρετανική Computer Terrorism η οποία δημοσίευσε και τη σχετική ανακοίνωση. Το πρόβλημα αφορά στον τρόπο που ο ΙΕ επεξεργάζεται στοιχεία με τη μέθοδο createTextRange(). Με τη χρήση παραποιημένου κώδικα, κακόβουλοι χρήστες θα μπορούσαν να αλλοιώσουν τη μνήμη του συστήματος και να το ξεγελάσουν έτσι ώστε να τρέξει λογισμικό χωρίς την έγκριση του χρήστη.

Η Computer Terrorism δεν δημοσιοποίησε κώδικα που να υποδεικνύει τον τρόπο εκμετάλλευσης του συγκεκριμένου κενού ασφαλείας, παρά μόνο ορισμένες λεπτομέρειες. Αυτές βρίσκονται στη διεύθυνση http://lists.grok.org.uk/pipermail/full-disclosure/2006-March/044300.html. Η εταιρεία πάντως δήλωσε πως έχει αναπαράγει έναν αξιόπιστο "proof of concept" κώδικα τον οποίο και έτρεξε στον IE 6 και στη νέα beta 2 του IE 7 που τρέχουν στην τελευταία έκδοση των Windows XP.

Σύμφωνα με μία άλλη εταιρεία ασφαλείας, τη Secunia, η Microsoft εργάζεται ήδη για την αντιμετώπιση του προβλήματος. Και η Secunia στην αναφορά της τοποθετεί το νέο κενό στην ομάδα των ιδιαίτερα κρίσιμων. Διαβάστε την αναφορά της Secunia.

Όπως αναφέραμε, πρόκειται για το τρίτο κενό ασφαλείας που εντοπίζεται τις τελευταίες ημέρες στον Internet Explorer. Διαβάστε αναλυτικά για τα προηγούμενα δύο κενά ασφαλείας σε προηγούμενο άρθρο του PCW.gr. Η επόμενη προγραμματισμένη ενημέρωση ασφαλείας της Microsoft αναμένεται στις 11 Απριλίου.


Που να βγει και ο ΙΕ7 ΟΕΟ!!!!!

[fugiFOX]

ερχεται ο Firefox 2!

[anonymous-root]

Μπαίνετε σε μια ιστοσελίδα και χωρίς να το γνωρίζετε, αυτοί οι κύριοι αντιγράφουν ότι αρχεία έχετε στο "πρόχειρό" σας.

Στην πραγματικότητα δεν είναι bug, αλλα δυνατότητα, πολύ χρήσιμη για προγραμματιστές, αλλά απολύτως επικίνδυνη για τον απλό χρήστη.
Και αν στο πρόχειρο έχετε κάνει copy πολύτιμα username και password (πχ πιστωτικές κάρτες ή online τραπεζικών εργασιών)?

Αυτό θα σας έβαζε σε πολύ μεγάλο κίνδυνο - ειδικά αν μπορούσαν να ταυτοποιηθούν τα στοιχεία που έχετε στην μνήμη σας, με το ποιός είστε (αν για παράδειγμα είσασταν εγγεγραμμένος χρήστης).

Ο ίδιος δικτυακός τόπος που δημοσίευσε το πρόβλημα, προτείνει και την λύση: (αλλά μην κάνετε κάποιες αλλαγές προτού δείτε με τα μάτια σας πως δουλεύει αυτή η κλοπή).
Πηγαίντε στο Tools -> internet options -> security του Internet Explorer σας
Πατήστε το κουμπί custom level
Στο security settings, επιλέξτε disable στο Allow paste operations via script.
Αλλά καλύτερα ακόμη, ζητήστε του να σας ενημερώνει όποτε κάποιος προσπαθεί να διαβάσει τα προσωπικά σας δεδομένα :
Αν αντί για disable στο Allow paste operations via script επιλέξετε το Prompt, τότε θα σας ρωτάει κάθε φορά που - πονηρά - η σελίδα στο internet θέλει να διαβάσει τι έχετε εσείς στην μνήμη του υπολογιστή σας…
Τώρα δεν μπορούν να μάθουν τα περιεχόμενα της μνήμης του υπολογιστή σας με αυτόν τον τρόπο…
Kάντε τώρα ένα πείραμα για να εκπλαγείτε και να βεβαιωθείτε.
Τον κώδικα θα τον βρείτε σε αυτό τον ιστότοπο: http://www.sourcecodesworld.com/special/clipboard-code.asp
Επισκεφτείτε την και αμέσως θα σας δείξει τα "copy" σας στο πρόχειρο και τι κάνατε paste την τελευταία φορά.
Πείραμα επίσης μπορείτε να κάνετε στο http://arkoudos.com/blog/?p=967
Αφού εκπλαγείτε και βεβαιωθείτε δώστε την εντολή prompt και κάντε ένα δοκιμαστικό σερφάρισμα σε διάφορα sites. Θα εκπλαγείτε απο αυτό που θα δείτε. Θα βγαίνει ένα μήνυμα (σωτήριο για εσάς) που θα σας ενημερώνει ότι κάποιος θέλει να αντιγράψει τα αρχεία που είχατε στο πρόχειρο. Και φυσικά θα γίνεστε θηρίο.
Μετά τις ρυθμίσεις, τεστ μπορείτε να κάνετε και πάλι στο http://www.sourcecodesworld.com/special/clipboard-code.asp

Κώδικας:

Code:

<Script Language="JavaScript">
var content = clipboardData.getData("Text");
alert(content);
</Script>

πηγή: http://actionnemesis.com/v2/index.php?option=com_content&task=view&id=965&Itemid=53


ΥΓ. Στο ΦΦ δε δουλεύει!  8) 

[fugiFOX]

Τι εννοείς δεν δουλεύει;

[Axel]

Αυτο ειναι παλιο bug. Δεν εχει κλεισει ακομα?

[Zarathoustra]

Όσο περισσότερα bugs στον WoW Live!!!Super Gamato Microsoft Internet Explorer Extreme Edition^TM τόσο καλύτερα!!

[fugiFOX]

Ξέχασες να βάλεις ΤΜ και στις υπόλοιπες λέξεις..

[Zarathoustra]

Μάλλον ξέχασα να βάλω παρένθεση.Πιάνει όλο το όνομα 

[fugiFOX]

Απαράδεκτος!
Τι θα πει πιάνει όλο το όνομα.
Θες να πληρώνεις προστιμο;
Βάλε σε κάθε μια λέξη να είσαι σίγουρος

[anonymous-root]

Τι εννοείς δεν δουλεύει;

Εννοώ ότι δε λειτουργεί!

O Internet Explorer ασφαλέστερος από τον firefox

Η μεγάλη εταιρεία ασφαλείας Symantec, γνωστότερη από τη σειρά προϊόντων Norton, "έκαψε" τον δημοφιλή browser Firefox με μια αναφορά της, βάσει της οποίας ο Internet Explorer είναι αρκετά ασφαλέστερος. Το βασικό προσόν του Firefox έναντι του ανταγωνισμού, βάσει όσον ισχυρίζονται οι δημιουργοί του, είναι η αυξημένη του ασφάλεια.

Ο Firefox παρουσιάζει λιγότερα, και μικρότερης σημασίας προβλήματα από ανταγωνιστικές λύσεις - και, κυρίως, "την ανταγωνιστική λύση", που τυχαίνει να είναι για όλους τους browsers ο κυρίαρχος Internet Explorer της Microsoft.

Να, όμως, που μια νέα αναφορά της Symantec ανατρέπει αυτούς τους ισχυρισμούς. Σύμφωνα με την Symantec, στις αρχές του 2005 ο Firefox παρουσίαζε 25 αρκετά σημαντικά προβλήματα ασφαλείας, ενώ ο βασικός ανταγωνιστής του, Internet Explorer, μόλις 13 - αλλά εξίσου σημαντικά. Η Symantec, όμως, δεν υπολόγισε και το χρόνο που χρειαζόταν κάθε πρόβλημα για να διορθωθεί, τομέας στον οποίο η Microsoft είναι διάσημη για τις καθυστερήσεις της. Επιπλέον, τα προβλήματα που κατέγραψε ήταν μόνο τα "επισήμως αναγνωρισμένα", αλλά όχι κατ' ανάγκη και τα μοναδικά.

Η Symantec αναγνώρισε πως τα παραπάνω είναι σημαντικοί παράγοντες, και παραδέχτηκε πως δεν υπάρχουν μεγάλα ξεσπάσματα κακόβουλου κώδικα που να εκμεταλλεύεται εναλλακτικούς του Internet Explorer browsers αλλά, όπως σωστά αναρωτιέται, ως πότε θα ισχύει αυτό;

http://www.thelab.gr/showthread.php?s=&threadid=30974
http://news.com.com/Symantec+Mozilla+browsers+more+vulnerable+than+IE/2100-1002_3-5873273.html


Ένα πράγμα έχω να πω: Νόρτον σακς!

[poly1]

Ολα ειναι ψεματα
Ακατανομαστος σακς

[fugiFOX]

Η Νόρτον καλύπτει τη Μ$.
Αναμενόμενο

[madmetal]

και εγω ειδα το παραπανω αρθρο και ψαχνω ενα αναλογο που αναφερει γιατι το ελευθερο λογισμικο ειναι "πιο ευαλωτο" στις επιθεσεις..

σημειο πρωτο.
οταν ο FF εχει ενα καινο ασφαλειας η ομαδα το ανακοινωνει ενω αν το βρει ενας  τριτος το κανει αμμεσως γνωστος και στελνει διορθωσεις...
το αντιστοιχο στον ΙΕ δεν γινεται.
με αποτελεσμα τα προγραμματα ανοιχτου λογισμικου να εχουν ΑΝΑΚΟΙΝΩΜΕΝΑ περισσοτερα προβληματα και κενα ασφαλειας..
οχι ομως οτι στην πραγματικοτητα ισχυει.


σημειο δευτερο.
η διορθωση του προβληματος..
οσοι ασχολειστε με λινουξ η βασικη διαφορα μεταξυ λειτουργικων για servers ειναι το διαστημα απο την αποκαλυψη προβληματος μεχρι την διορθωση..
στον τομεα αυτο το ανοιχτο λογισμικο ειναι χροοοοονια μπροστα...

οποτε μονο με τιτλους χωρις αναλυση δεν γινεται ερευνα αλλα διαφημιση...

[fugiFOX]

οποτε μονο με τιτλους χωρις αναλυση δεν γινεται ερευνα αλλα διαφημιση...

[madmetal]

και επειδη μια χαρα ειμαστε σε linux με firefox αλλα ορισμενοι δεν μας υπολογιζουν οταν σχεδιαζουν sites...
(http://motogp.com/en/motogp/index.htm  / http://pelargoi.gr/  σε ubuntu 6.06 με firefox 1.5.0.1 δεν τα βλεπω)
οριστε...

http://www.theinquirer.net/default.aspx?article=34625

και οπως λεει και το αρθρο  "offers one more reason not to boot Windows"
πλεον το μονο που μενει ειναι το λογισμικο της sony ericsson μεχρι να βαλουν μυαλο οτι και εμεις πελατες ειμαστε...