Connect with us

technokrata

Internet Explorer 8 – még meg sem jelent, máris hibás

Dotkom

Internet Explorer 8 – még meg sem jelent, máris hibás

„Természetesen” az IE7-et is érinti a sebezhetőség.

A múlt héten akadt rá arra a sebezhetőségre Aviv Raff, amely leginkább a jelenlegi microsoftos webböngészőt érinti. Az Internet Explorer 7 sérülékenysége egy úgynevezett cross-site scripting hiba, és gyakorlatilag a Windows XP mindegyik változatán (SP2, SP3) problémát okozhat a felhasználóknak. A Betanews a felfedezést követően nem sokkal rájött arra is, hogy a még meg sem jelent, pusztán nyilvános bétaváltozatban létező Internet Explorer 8 is tartalmazza ezt a hibát – ami azonban csak akkor jelent veszélyt, ha a Protected Mode ki van kapcsolva.

Maga a hiba a nyomtatás során fejtheti ki hatását. Amikor egy weblapot ki akarunk nyomtatni, az IE felkínálja a különálló lapok nyomtatásának lehetőségét. A printerhez kapcsolódó folyamatok azonban „Local Machine Zone” biztonsági szinten futnak, vagyis sokkal nagyobb jogkörük van, mint egy internetes zónába tartozó processznek. Arra jött rá Raff, hogy ha elküld egy nyomtatási feladatot az IE-ből, akkor beágyazott script révén az ebben levő hiperlinkek ellenőrzés nélkül megnyitásra kerülhetnek.

Az IT-biztonsággal foglalkozó kutató létre is hozott egy úgynevezett elképzelést bizonyító kódot (proof-of-concept), amivel el tudta érni, hogy engedély nélkül elindíthassa a Windows-ba beépített Számológépet (Calculator). Ezt a kódot pedig már nem olyan nagy „művészet” megváltoztatni úgy, hogy valamilyen más, akár rosszindulatú programot futtasson le a felhasználó számítógépén egy támadó.

Raff tájékoztatta a Microsoftot, mielőtt közzétette volna felfedezését az Interneten; Redmond pedig annyit reagált, hogy megfelelő javítást fognak találni rá. Vagyis egyelőre patch nélküli a sérülékenység.



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek