Devítka chyb pro Internet Explorer, zase lze spustit kalkulačku

Všechny se týkají kešování objektů a na dvě z nich zatím není k dispozici oprava.
Firma GreyMagic má s odhalováním bezpečnostních děr již své zkušenosti. Není to tedy žádný začátečník. Nyní se zaměřili na Internet Explorer a jeho práci s kešováním objektů. Při komunikaci mezi jednotlivými okny se kontroluje v rámci zabezpečení, zda jsou obě komunikující okna ve stejné zóně bezpečnosti a ve stejné doméně. Dle GreyMagicu se nicméně mylně předpokládá, že některé objekty a metody budou volány jen z jejich příslušných oken, ale je možné je volat i z dočasných souborů.

Všech devět odhalených chyb má spojitost s kešováním objektů. Postiženy jsou Internet Explorer 5.5 a 6.0 (ne starší verze) a programy využívající zobrazovací jádro Internet Exploreru, naštěstí na většinu chyb již existuj opravy. Pokud máte Internet Explorer 6.0 SP1, týkají se vás jen dvě chyby. Umožňují číst lokální soubory, spouštět programy (bez zadání parametrů) a číst či měnit obsah schránky.

Kompletní popis chyb včetně ukázek zneužití lze nalézt na webu GreyMagicu, kde byly publikovány 22. října. Jako doporučené řešení se radí vypnout podporu aktivního skriptování.

Microsoft byl o chybě informován ve stejném okamžiku, jako byla zveřejněna, nedostal žádný čas na reakci. GreyMagic si tím sice vysloužil ostrou kritiku ze strany Microsoftu, vysvětluje to ale tím, že předchozí reakční dobu tři a šest měsíců u dříve odhalených chyb nepovažuje za adekvátní a chce dosáhnout rychlejší reakce.

Ohledně upozorňování na chyby se firmy snaží přimět nálezce chyb k poskytnutí časové rezervy na přípravu oprav, řada bezpečnostních odborníků se shodne na tom, že nějaký čas by měl být poskytnut, již se ale značně různí názory na délku tohoto času, zda den, týden, či měsíc.

Ačkoli GreyMagic upozorňuje, že tyto chyby jsou značně zneužitelné, popravdě tato kategorie chyb je tu již delší dobu a zatím bez vážnějších zneužití. Tyto chyby také měly delší období mezi zveřejněním chyby a reálnou dostupností opravy, ale z hlediska červů či virů nebyly zneužívány. Nově odhalené chyby navíc vyžadují náročnější programový kód. Podle pravidla „většina neinstaluje záplaty“ tak tu je řada dalších možností útoku. Pochopitelně to může být falešný pocit bezpečí, útok může přijít odkudkoli, když jsou ale otevřené hlavní dveře, pootevřené okénko v prvním patře zas takovou hrozbou není.

Diskuze (118) Další článek: Sharp představil procesor Z80 na skle

Témata článku: Internet, Internet Explorer, Stejná metoda, Stejný soubor, Chyba, Reakce, Bezpečnostní díra, Devítka


Určitě si přečtěte

Ubuntu 20.04: Zase vás chce přesvědčit, že je lepší než Windows

Ubuntu 20.04: Zase vás chce přesvědčit, že je lepší než Windows

** Britský Canonical před pár dny vydal novou verzi svého Ubuntu ** 20.04 LTS zapracovalo na grafickém desktopu, rychlosti i bezpečnosti ** V nitru tepe Linux 5.4 a volitelně i nový souborový systém

Jakub Čížek | 118

12 netradičních map České republiky, které jste ještě nikdy neviděli

12 netradičních map České republiky, které jste ještě nikdy neviděli

** Tušíte, kolik je u nás hřbitovů a jak jsou velké? ** Dokážete si představit mapu českých řek a potoků? ** Udělali jsme to všechno za vás nad daty ČÚZK

Jakub Čížek | 8

Zkusili jsme Ryzen 7 4800HS v notebooku Asus: drtí Intel výkonem a umí být potichu

Zkusili jsme Ryzen 7 4800HS v notebooku Asus: drtí Intel výkonem a umí být potichu

** Nové osmijádro AMD pro herní notebooky překvapuje výkonem ** V rámci notebooku ROG Zephyrus G15 umí být tiché i výkonné** Rozhodnou hlavně prodávané konfigurace s lepší grafikou

Tomáš Holčík | 57

Teachable Machine: Umělá inteligence za pět minut i bez doktorátu z ČVUT

Teachable Machine: Umělá inteligence za pět minut i bez doktorátu z ČVUT

** Pochopit techniky a principy A.I. je složité ** Ale nebojte, jde to i bez doktorátu z IT a matematiky ** Vyzkoušíme generátor neuronových sítí od Googlu

Jakub Čížek | 9


Aktuální číslo časopisu Computer

Megatest 24 PC zdrojů

Jak využít umělou inteligenci

10 špičkových sluchátek s ANC

Playstation 5 vs Xbox Series X