:

Szerző: Bodnár Ádám

2006. szeptember 19. 11:54

Vadon terjed az IE6 hibáját kihasználó kód

A Sunbelt Software biztonsági cég munkatársai olyan, vadon terjedő kódokra bukkantak, amelyek a legújabb frissítéseket is tartalmazó Internet Explorer 6 védelmén is átjutnak, majd puffertúlcsordulás segítségével tetszőleges kód futtatását teszik lehetővé, a támadók így átvehetik az irányítást a PC-k felett, adatokat lophatnak vagy további kártevőket telepíthetnek. A probléma a Windows XP és Windows 2000 operációs rendszerek felhasználóit egyaránt érinti.

[HWSW] A Sunbelt Software biztonsági cég munkatársai olyan, vadon terjedő kódokra bukkantak, amelyek a legújabb frissítéseket is tartalmazó Internet Explorer 6 védelmén is átjutnak, majd puffertúlcsordulás segítségével tetszőleges kód futtatását teszik lehetővé, a támadók így átvehetik az irányítást a PC-k felett, adatokat lophatnak vagy további kártevőket telepíthetnek. A probléma a Windows XP és Windows 2000 operációs rendszerek felhasználóit egyaránt érinti.

A dán Secunia "különösen kritikus" besorolásúvá nyilvánította a sérülékenységet, amelynek létét a Microsoft is elismerte, javítással azonban egyelőre nem szolgált. A probléma az ActiveX vezérlők használatával kapcsolatos, a javításig a maximális biztonságra törekedő felhasználók kapcsolják ki ezek futtatását, vagy kössék azokat egyedi engedélyezéshez. A sérülékenységet kihasználó kártevő kódok állítólag több orosz (pornó-) oldalra felkerültek már. A hiba leírása mindössze pár nappal azután került napvilágra, hogy a Microsoft kiadta havi szokásos biztonsági frissítéseit.

Jelenleg ez a második olyan ismert hiba a Microsoft szoftvereiben, amelyre még nincs javítás. A hónap elején a Word szövegszerkesztőben találtak kritikus biztonsági rést, amelyet kihasználva támadók tetszőleges kódot indíthatnak el a felhasználók számítógépein. A sebezhetőséget a nagyvállalati körben még mindig széles körben használt Windows 2000 operációs rendszeren lehet kihasználni előre preparált Word-dokumentumok segítségével. A Secunia szerint már az interneten keringenek ilyen fájlok.

November 25-26-án 6 alkalmas K8s security és 10 alkalmas, a Go és a cloud native szoftverfejlesztés alapjaiba bevezető képzéseket indítunk. Az élő képzések órái utólag is visszanézhetők, és munkaidő végén kezdődnek.

a címlapról