Connect with us

technokrata

A Windowsok jó része és az Explorerek is érintettek az új biztonsági hibákban

Dotkom

A Windowsok jó része és az Explorerek is érintettek az új biztonsági hibákban

Számos új biztonsági hiányosságot fedeztek fel az elmúlt időszakban, melyek között akad kritikusnak minősített is.

A Microsoft Virtual Machine (VM) az összes 32 bites windowsos környezetben megtalálható – így a legtöbb Windows verzióban és az Internet Explorer több változatában is.

Az első probléma abban rejlik, hogy olyan Java appletek is hozzáférhetnek COM objektumokhoz, melyeknek ehhez egyébként nem lenne jogosultságuk. Ennek kihasználásával a támadó képes a rendszer feletti uralmat átvenni. A következő egy applet kódjának aktuális elhelyezkedését képes elrejteni – ezáltal egy nem biztonságosnak meghatározott helyen tartózkodó applet is képes lefutni, amelyet egyébként a rendszer nem engedélyezne.

A harmadik biztonsági rés segítségével lehetővé válik, hogy egy olyan website-on levő applet fusson le, amelyet tulajdonképpen meg sem nyitott a felhasználó böngészés közben – csak az átirányítás és az applet elhelyezkedésének elrejtése révén kerülhet feldolgozásra. Ezáltal bizalmas adatok szerezhetők meg a felhasználó rendszeréről. Ezen felül létezik egy probléma is, amely abból származik, hogy a Microsoft VM nem akadályozza meg az appletek számára a JDBC API-k hívását. Ezzel tulajdonképpen adatbázis tartalmak módosítására, hozzáadására, törlésére nyílik lehetőség – jogtalanul.

Bizonyos, a támadó által meghatározott Java objektumok betöltődését és futtatását akadályozza meg az ötödik hiányosság. Létezik ugyanis egy biztonsági eljárás, a Standard Security Manager, mely képes megakadályozni egyes Java appletek futását – ennek a jogtalan megbuherálásával el lehet azt érni, hogy olyan Java objektumok is tiltólistára kerüljenek, melyeknek egyébként futniuk kellene.

Megszerezni egy felhasználó rendszerben használt nevét – erre képes a következő hiányosság (illetve kihasználásával a támadó). Egy biztonsági hibának köszönhetően ugyanis a user.dir hozzáférhető olyan appletek számára is, melyek erre nem jogosultak. Végül az utolsó probléma két Java objektum közötti egymásrahatásnál jelentkezik – ennek eredményeként lefagyasztható az Internet Explorer.

Az első hiba kritikusnak minősített, ám az utolsó három már csak alacsony prioritást kapott – ennek ellenére (vagy éppen ezért) érdemes letölteni a javítást a Microsoft Windows Update-jén keresztül.



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek