2013. január 2. 09:43

Gyorsan javították az Internet Explorer sebezhetőségét

A Microsoft december 29-i tájékoztatója szerint sérülékeny az Internet Explorer 6, 7 és 8, a böngészők hibáját kihasználva a támadók saját kódjukat futtathatják az áldozat gépén. A vállalat már ki is adott egy gyorsjavítást.

Nem teltek nyugodtan az ünnepek az Internet Explorert fejlesztő csapat számára, a böngészőben december utolsó napjaiban távoli kódfuttatásra alkalmas kritikus sebezhetőséget találtak, amelyet aktívan ki is használtak az interneten - az Egyesült Államok külügyi tanácsának (Council on Foreign Affairs) feltört weboldalán keresztül backdoor kódot terjesztettek amerikai, kínai, koreai látogatók számára például. A Symantec szerint a támadások a felfedezés előtt már jó ideje tarthattak, ami arra utal, hogy a készítők igen magas szintű ismeretekkel rendelkeztek.

A sérülékenység az Internet Exporer 6, 7 és 8 verzióit érinti, ismerte be a Microsoft, az újabb változatok (IE9, IE10) nem érintettek. A VulnHuntra hivatkozó Buherablog szerint "object user after free" sebezhetőségről van szó, az exploit a felhasználó tudta nélkül képes megfertőzni a gépet és a jogosultságaikkal bármilyen kódot futtathat - ehhez elég a fertőzött weboldalra csalni az áldozatot. Az exploit képes megkerülni a Windowsok olyan védelmeit mint a DEP (Data Execution Prevention) és az ASLR (Address Space Layer Randomization).

IT security meetup és Benk Dénes a SYSADMINDAY-en

4 klassz IT biztonsági előadással, több millió forintos képzési nyereményalappal, és Benk Dénes standupjával vár a hazai SYSADMINDAY július 19-én.

IT security meetup és Benk Dénes a SYSADMINDAY-en 4 klassz IT biztonsági előadással, több millió forintos képzési nyereményalappal, és Benk Dénes standupjával vár a hazai SYSADMINDAY július 19-én.

A Microsoft természetesen a legújabb verzióra való frissítést javasolja elsősorban, azonban ez nem minden esetben lehetséges: a sérülékenység által nem érintett Internet Explorer 9 és 10 például nem fut Windows XP-n, előbbihez legalább Windows Vista SP2 kell, utóbbi pedig egyelőre csak Windows 8-ra létezik végleges kiadásként, Windows 7-en csak előzetesként érhető el. Védelmet nyújthat a támadások ellen alternatív böngésző (pl. Opera, Firefox, Chrome) használata is, de vállalat környezetben néha ez nem kivitelezhető.

A vállalat fejlesztői végül december 31-én adták ki a gyorsjavítást (Fix It 50971), amelynek lefuttatása után az Internet Explorer többé nem sérülékeny. A gyorsjavítás egyetlen kattintással telepíthető és a tájékoztatás szerint nem akad össze a végleges javítással, amelyről egyelőre nem tudni, pontosan mikor érkezik.

Gyorsan javították az Internet Explorer sebezhetőségét

A Microsoft december 29-i tájékoztatója szerint sérülékeny az Internet Explorer 6, 7 és 8, a böngészők hibáját kihasználva a támadók saját kódjukat futtathatják az áldozat gépén. A vállalat már ki is adott egy gyorsjavítást.

IT security meetup és Benk Dénes a SYSADMINDAY-en

Hiába tiltakozott, kapuőr a TikTok

TSMC: az amerikaiak legyenek csak partnerek, ne társak

Vizsgálat indulhat a Google-Samsung AI üzlete miatt

Gyorsan javították az Internet Explorer sebezhetőségét

A Microsoft december 29-i tájékoztatója szerint sérülékeny az Internet Explorer 6, 7 és 8, a böngészők hibáját kihasználva a támadók saját kódjukat futtathatják az áldozat gépén. A vállalat már ki is adott egy gyorsjavítást.

IT security meetup és Benk Dénes a SYSADMINDAY-en

Hiába tiltakozott, kapuőr a TikTok

TSMC: az amerikaiak legyenek csak partnerek, ne társak

Vizsgálat indulhat a Google-Samsung AI üzlete miatt

Kritikus sérülékenységet jelentett a Cisco

IT security meetup és Benk Dénes a SYSADMINDAY-en

Gartner: A vártnál kevesebb lesz az IT-kiadás

Kritikus sérülékenységet jelentett a Cisco

Gartner: A vártnál kevesebb lesz az IT-kiadás

Ember legyen a talpán, aki látja a TikTok amerikai jövőjét