Jump to content
Forum Kopalni Wiedzy
KopalniaWiedzy.pl

Krytyczny błąd w Internet Explorerze?

Recommended Posts

W ostatni piątek na jednym z forów internetowych pojawił się post zatytułowany "IE7", który zawierał kilka linijek kodu HTML. Autor zamieścił go bez komentarza, jednak wygląda na to, że mamy do czynienia z nieznanym dotychczas poważnym błędem w Internet Explorerze.

Kilka firm zajmujących się bezpieczeństwem przetestowało kod i odkryło, że może on prowadzić do awarii przeglądarki Microsoftu. Z testów jednej z firm wynika, że IE6 oraz IE7 pracujące pod kontrolą Windows XP SP3 są podatne na atak, który pozwala przestępcy na uruchomienie dowolnego kodu w systemie. Na razie kod nie stanowi prawdziwego zagrożenia, jednak bardzo szybko na jego podstawie może powstać złośliwy program, który będzie stanowił bardzo poważne zagrożenie.

Dotychczasowe badania wykazały, że prawdopodobnie kod wykorzystuje błąd w metodzie JavaScript getElementsByTagName. Jeśli tak jest naprawdę, to użytkownicy mogą chronić się przed atakiem wyłączając Active Scripting.

Dziura najprawdopodobniej dotyczy microsoftowej biblioteki mshtml.dll, co oznacza, że nie powinna pojawić się w innych przeglądarkach.

Microsoft na razie nie odniósł się do informacji o błędzie.

Share this post


Link to post
Share on other sites

I nagle KW zamienila sie w serwis informujacy o bledach w oprogramowaniu ;)

 

MSIE ogolnie zawiera wiele luk krytycznych, wiec kolejna nie powinna znaczaco wplynac na postrzeganie IE jako najmniej bezpiecznej przegladarki.

Share this post


Link to post
Share on other sites

"it's not a bug, it's a feature" Mariusz nadal uważasz, że niemiecki chip się mylił twierdząc, że Microsoft przyznaje się do luk dopiero w momencie, gdy nie ma możliwości zaprzeczenia? Niezałatana luka z 2007...

Share this post


Link to post
Share on other sites

"it's not a bug, it's a feature" Mariusz nadal uważasz, że niemiecki chip się mylił twierdząc, że Microsoft przyznaje się do luk dopiero w momencie, gdy nie ma możliwości zaprzeczenia? Niezałatana luka z 2007...

 

Oczywiście, że się mylił. Wystarczy wiedzieć, że MS co miesiąc publikuje zestawy łat i większość z łatanych dziur to luki, o których nikt oprócz MS wcześniej nie wiedział. A MS na kilka dni przed publikacją łat ogólnie informuje, jakie dziury będą łatane, a później podaje informacje bardziej szczegółowe. Innymi słowy - nie informuje o dziurach wówczas, gdy nie ma wyjścia.

 

I nie ma mowy o żadnym roku 2007. Przecież to, co podał crunch to opis szkodliwego kodu, a nie luki. Być może ten Bloodhound potrafi wykorzystać tę dziurę, ale jeśli tak, to albo cyberprzestępcy wiedzą o niej od 2007 roku (wątpię, bo dotychczas specjaliści już zauważyliby ataki i znaleźli dziurę), albo też to czysty przypadek.

Share this post


Link to post
Share on other sites

Moim zdaniem jednak kod odnosi się do starej luki, a dopiero dalsza modyfikacja ujawniła nową - w artykule, który podlinkowałem jest też odnośnik do securityfocus.com z dokładniejszym opisem. Rzeczywiście jest to luka w IE pod XP, jednak można zauważyć, że jest ona "załatana" (cudzysłów nieprzypadkowo) 2/12/2007.

Share this post


Link to post
Share on other sites

Zgodnie z pierwszym postem - kod z postu "IE7" zapisany jako plik html daje popisać się Nortonowi, który wymienia właśnie z nazwy Bloodhound'a i jest to pierwotna wersja kodu używanego do testów (o ile były dalsze znaczące modyfikacje, bowiem z żadnego art. to nie wynika).

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

  • Similar Content

    • By KopalniaWiedzy.pl
      Z informacji opublikowanych przez Net Applications rynkowy udział przeglądarek Microsoftu jest rekordowo niski. W sierpniu Internet Explorer i Edge straciły 1,8 punktu procentowego i obecnie należy do nich 12% rynku.
      Zapewne będziemy świadkami dalszych spadków. W bieżącym roku udziały przeglądarek z Redmond wahały się wcześniej w granicach 12,4–14 procent. Za większość wrześniowego spadku, niemal 1,4 pp, odpowiada Internet Explorer. Przeglądarka, która niegdyś dominowała w internecie ma obecnie zaledwie 6,1% udziałów. Udziały Edge'a spadły o 0,4% do poziomu 5,9%. Jeszcze w sierpniu Edge zanotował wzrost i miał najwyższe udziały w swojej historii.
      Przyszłość microsoftowych przeglądarek rysuje się w czarnych barwach. Internet Explorer jest utrzymywany przy życiu tylko dlatego, że domaga się tego część przedsiębiorstw potrzebujących tej przeglądarki ze względu na kompatybilność. Jednak zainteresowanie tą przeglądarką wyraźnie spada. Dość powiedzieć, że w ubiegłym miesiącu używało jej tylko 7% użytkowników Windows, a w ciągu ostatnich miesięcy udziały IE na komputerach z Windows spadły o 60%. Microsoft wolałby nie zajmować się IE i całkowicie poświęcić się rozwojowi Edge'a. Firma zapowiada wypuszczenie wersji Edge'a opartego na google'owskim Chromium. Pozostaje pytanie, czy wobec spadającego zainteresowania Edge'em tworzenie nowej wersji przeglądarki ma sens.
      Nie najlepiej radzi sobie też Firefox. We wrześniu jego rynkowe udziały zwiększyły się o 0,3% i wynoszą obecnie 8,7%. To już czwarty miesiąc z rzędu, gdy udziały tej przeglądarki są niższe niż 9%. W ciągu ostatniego roku Firefox stracił niemal 1 pp udziałów. Nic nie wskazuje na to, by przeglądarka Mozilli miała odzyskać rynek. Przed dwoma laty jej rynkowe udziały wynosiły 11,4%. Jedynie przez 3 z ostatnich 18 miesięcy do Firefoksa należało więcej niż 10% rynku.
      Obecnym zwycięzcą konkurencji na rynku przeglądarek jest Chrome do którego należy 68,5% rynku. To o 0,1% mniej niż w rekordowym dla tej przeglądarki lipcu bieżącego roku. W ciągu roku udziały Chrome'a wzrosły o 2,1 punktu procentowego, a obserwacja obecnych trendów pozwala wysnuć przypuszczenie, że do maja przyszłego roku udziały Chrome'a wyniosą ponad 70%.
      Media prześledziły dane firmy Net Applications od stycznia 2005 roku i stwierdziły, że jak dotąd na przestrzeni ostatnich 14 lat najlepszymi wynikami mógł pochwalić się Internet Explorer. W styczniu 2005 roku należało do niego aż 89,4% rynku. Firefox posiadał wówczas 5,6% udziałów, Netscape Navigator miał 2% rynku, a Safari 1,7%. Do grudnia 2008 roku udziały IE spadły do obecnego poziomu Chrome'a.
      Obecnie do Safari należy 4,4% rynku, a Opera posiada 1,4%.

      « powrót do artykułu
    • By KopalniaWiedzy.pl
      Gavin Thomas, który w Microsofcie sprawuje funkcję Principal Security Engineering Manager, zasugerował, że ze względów bezpieczeństwa czas porzucić języki C i C++. Thomas argumentuje na blogu Microsoftu, że rezygnacja ze starszych języków na rzecz języków bardziej nowoczesnych pozwoli na wyeliminowanie całej klasy błędów bezpieczeństwa.
      Od 2004 roku każdy błąd naprawiony w oprogramowaniu Microsoftu jest przez nas przypisywany do jednej z kategorii. Matt Miller podczas konferencji Blue Hat w 2019 roku zauważył, że większość tych dziur powstaje wskutek działań programistów, którzy przypadkowo wprowadzają do kodu C i C++ błędy związane z zarządzeniem pamięcią. Problem narasta w miarę jak Microsoft tworzy coraz więcej kodu i coraz silniej zwraca się w stronę oprogramowania Open Source. A Microsoft nie jest jedyną firmą, która ma problemy z błędami związanymi  z zarządzaniem pamięcią, pisze Thomas.
      W dalszej części swojego wpisu menedżer wymienia liczne zalety C++, ale zauważa, że język ten ma już swoje lata i pod względem bezpieczeństwa czy metod odstaje od nowszych języków. Zamiast wydawać kolejne zalecenia i tworzyć narzędzia do walki z błędami, powinniśmy skupić się przede wszystkim na tym, by programiści nie wprowadzali błędów do kodu, czytamy.
      Dlatego też Thomas proponuje porzucenie C++. Jednym z najbardziej obiecujących nowych języków programistycznych zapewniających bezpieczeństwo jest Rust, opracowany oryginalnie przez Mozillę. Jeśli przemysł programistyczny chce dbać o bezpieczeństwo, powinien skupić się na rozwijaniu narzędzi dla developerów, a nie zajmować się tymi wszystkimi pobocznymi sprawami, ideologią czy przestarzałymi metodami i sposobami rozwiązywania problemów.

      « powrót do artykułu
    • By KopalniaWiedzy.pl
      Niedawno donosiliśmy o wynikach badań, z których wynika, że oceany ogrzały się bardziej niż dotychczas sądziliśmy. Teraz ich autorzy informują, że popełnili błąd w obliczeniach. Podkreślają przy tym, że pomyłka nie falsyfikuje użytej metodologii czy nowego spojrzenia na biochemię oceanów, na których metodologię tę oparto. Oznacza jednak, że konieczne jest ponowne przeprowadzenie obliczeń.
      Jak mówi współautor badań, Ralph Keeling, od czasu publikacji wyników badań w Nature, ich autorzy zauważyli dwa problemy. Jeden z nich związany jest z nieprawidłowym podejściem do błędów pomiarowych podczas mierzenia poziomu tlenu. Sądzimy, że łączy efekt tych błędów będzie miał niewielki wpływ na ostateczny wynik dotyczący ilości ciepła pochłoniętego przez oceany, ale wynik ten będzie obarczony większym marginesem błędu. Właśnie prowadzimy ponowne obliczenia i przygotowujemy się do opublikowania autorskiej poprawki na łamach Nature, stwierdza Keeling.
      Redakcja Nature również postanowiła pochylić się nad problemem. Dla nas, wydawców, dokładność publikowanych danych naukowych ma zasadnicze znaczenie. Jesteśmy odpowiedzialni za skorygowanie błędów w artykułach, które opublikowaliśmy, oświadczyli przedstawiciele pisma.

      « powrót do artykułu
    • By KopalniaWiedzy.pl
      Sędzia Judith Potter orzekła, że sądowy nakaz zajęcia pieniędzy, pojazdów i posiadłości Kima Dotcoma jest nieważny,i nie powinien zostać wydany i nie niesie ze sobą skutków prawnych.
      Właściciel Megaupload może zatem spodziewać się, że jego własność zostanie mu zwrócona, a konta odblokowane, gdyż policja i prawnicy z rządowego biura prawnego popełnili poważny błąd proceduralny.
      Sędzie Potter stwierdziła, że komisarz Peter Marshall złożył do sądu wniosek o taki typ nakazu zajęcia majątku, który nie dawał Dotcomowi możliwości przygotowania obrony. Już po policyjnej akcji i aresztowaniu Dotcoma Marshall zorientował się, że popełnił pomyłkę i wystąpił o właściwy nakaz. Został on wydany, ale tylko tymczasowo. Dlatego też sędzia Potter wkrótce będzie musiała orzec, czy błąd policji oznacza, iż Dotcomowi należy zwrócić majątek.
      Już 30 stycznia do sądu trafiła informacja z rządowego biura prawnego, które przygotowuje takie wnioski, iż popełniono błąd proceduralny.
      Jako, że sąd wydał wspomniany już właściwy nakaz, śledczy twierdzą, że dowodzi to, iż pierwotna pomyłka niczego nie zmienia. Innego zdania są obrońcy Dotcoma. Ich zdaniem majątek mężczyzny powinien zostać mu zwrócony, gdyż został zajęty bezprawnie.
      Profesor Ursula Cheer z Canterbury University mówi, że prawo dopuszcza pomyłki, a powyższa sprawa może stać się drugim poważnym zwycięstwem Dotcoma - pierwszym było jego zwolnienie z aresztu - pod warunkiem, iż jego prawnicy udowodnią policji złą wolę.
    • By KopalniaWiedzy.pl
      Kara, którą sam sobie wymierzył Google, okazała się dotkliwa dla przeglądarki Chrome. Jej rynkowe udziały spadły, zyskały natomiast Internet Explorer i Firefox.
      Jeszcze w grudniu dotychczasowy trend wśród przeglądarek utrzymywał się. Chrome zyskiwał, jego najwięksi konkurenci tracili. W listopadzie, według Net Applications, do IE należało 52,64% rynku, a w grudniu odsetek ten spadł do 51,87%. W tym samym czasie udziały Firefoksa zmniejszyły się z 22,14% do 21,83%. Chrome zwiększył swój stan posiadania z 18,18% do 19,11%.
      Jednak na początku stycznia Google ukarał się za wpadkę z płatnymi linkami w swojej wyszukiwarce zmniejszając Page Rank witryny Chrome’a do 0.
      Od razu zyskał na tym Internet Explorer, którego udziały zwiększyły się do 52,96%. Firefox znowu spadł do 20,88%, ale spadły też udziały Chrome’a, który stracił 0,17 punkta procentowego. W lutym udziały Chrome’a zmniejszyły się do 18,90%. Spadł też - o 0,12 pp - Internet Explorer. Zyskał za to Firefox, do którego należy obecnie 20,92% rynku.
      Obserwując rynkowe trendy można stwierdzić, że gdyby Google się nie ukarał, to w lutym miałby szansę ostatecznie przegonić Firefoksa i zostać drugą najpopularniejszą przeglądarką na świecie.
×
×
  • Create New...