Connect with us

technokrata

Problémás az új Internet Explorer patch

Dotkom

Problémás az új Internet Explorer patch

A Microsoft böngészőjét javító, nem Redmond által készített biztonsági javítás több gondot okozhat, mint amennyit elhárít.

Az Openwares.org által publikált (első) patch annak nyomán született meg, hogy az Internet Exporerben felfedezett egyes biztonsági hiányosságokat a Microsoft – egyelőre – nem javította ki. A weboldalon azért jelent meg a frissítés, mert annak készítői úgy gondolták, nem várhat tovább a rések befoltozása. A patch azonban puffertúlcsordulási hibákat okozott.

Körülbelül 6500 ember érint az eset, hozzávetőleg ennyien töltötték le az eredeti javítást; annak ellenére, hogy ennek beszerzését semelyik, IT-biztonsággal foglalkozó szakértő sem javasolta. Azonfelül, hogy felmerül a harmadik félben való megbízhatóság kérdése (például annak lehetősége, hogy így gyakorlatilag észrevétlenül spyware-t telepíthetünk a rendszerre), az is óva intő jel volt, hogy a készítők nem rendelkeznek, rendelkeztek az Internet Explorer forráskódjához való hozzáférés jogával.

Magát a sérülékenységet még november végén fedezték fel. Ekkor derült ki, hogy lehetőség van arra: a böngésző által a címsorban kijelzett URL-lel nem megegyező (máshol hostolt) weboldal is megjeleníthető a látható URL alatt. Ennek kihasználásával például hamis bejelentkező oldalakat lehet létrehozni, amiben a felhasználók megbíznak (lévén egy jól megalkotott kezelőfelület-másolat és az ismert URL bárkinek a figyelmét elaltathatja), így szerezvén meg titkos adataikat. Az Openwares első javítása azonban csak a 256 byte-nál rövidebb címek kiszűrésében jeleskedik, egy ennél nagyobb URL megadása puffertúlcsordulást okoz.

Éppen ezért kiadtak egy újabb javítást, melyet az eredeti alapján írtak át, s több tucatszor teszteltek le. Ezt egyébként hétfő reggel óta több mint 2500-an töltötték már le a weblapról. A Microsoft ugyanakkor még mindig nem jelentetett meg javítást a problémára.

Az Operwares által készített patch-ek egyikét sem ajánljuk letöltésre!



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek