Poważny błąd w Windows
Nowo odkryty błąd w microsoftowym Help and Support Center pozwala na zdalne zaatakowanie systemu Windows. Do ataku dochodzi, gdy użytkownik odwiedzi specjalnie spreparowaną witrynę używając Internet Explorera.
Problem leży w błędnej implementacji mechanizmu whitelist, który pozwala sprawdzić, czy przywołany przez użytkownika dokument pomocy pochodzi z zaufanego źródła. Błąd powoduje, że atakujący może pominąć sprawdzanie przez whitelist i jest w stanie podsunąć użytkownikowi dokument z dowolnego źródła. Dzięki temu jest np. w stanie uruchomić klienta FTP, który pobierze na komputer ofiary szkodliwy kod.
Przeprowadzenie ataku jest dość skomplikowane i wymaga sporej wiedzy, gdyż konieczne jest ominięcie alertów wyświelanych przez przeglądark. Można to uczynić wykorzystując mechanizm ActiveX Windows Media Playera. Odkrywca dziury uważa jednak, że cały proces można uprościć.
Na razie zademonstrowano jego skuteczność na Windows XP SP3 z IE8 oraz Windows Media Playerem. Błąd zagraża też użytkownikom Windows Server 2003. Bezpieczni są za to posiadacze Windows 7 z IE8.
Microsoft został poinformowany o istnieniu luki przed tygodniem.
Komentarze (7)
mymy, 11 czerwca 2010, 16:15
Wciąż jeszcze niektórzy używają IE
czesiu, 11 czerwca 2010, 17:31
Weź sie mymy opanuj i popatrz jak wygląda udział przeglądarek internetowych w rynku... IE ma nadal minimalnie ponad 30% :
http://www.w3schools.com/browsers/browsers_stats.asp w dodatku istnieją hardkory korzystajace z IE6...
mymy, 11 czerwca 2010, 22:57
Weź sie mymy opanuj??
co to miało znaczyć?
chrome szybko skoczył.
Gość derobert, 12 czerwca 2010, 15:41
chrome to zło, wspaniałe okno na świat i w drugą stronę dla pana googla.
czesiu, 12 czerwca 2010, 17:46
jakoś tak oberwało ci się na odlew - sorki, nie zauważyłem uśmieszku
a poważnie chodziło o to, że IE, nadal ma znaczącą pozycję na rynku, więc twierdzenie jakoby "to jeszcze ktoś to używa" jest...
mymy, 12 czerwca 2010, 21:21
ironiczne
(dlatego uważam że rozmowy przez przeglądarki i komunikatory nigdy nie oddadzą faktycznej atmosfery, tonu)
Gość shadowmajk, 13 czerwca 2010, 20:44
Nawet w "realnym" spotkaniu mało kto bez wcześniejszego kotwicenia na siebie, ma problemy z odebraniem przekazu. Czesto sie z tym spotykam, gdy ludzie strzalaja karpia na moje ironiczne zaczepki.
Co do IE6 to... niektorzy do dzis jeżdzą syrenami, jak widać nie potrzebują nic wiecej jak to co mają i nie przeszkadzają im związane z tym przykre konsekwencje. W ogole IE do lamusa! obrzucajcie mnie kamieniami.