- A hozzászóláshoz be kell jelentkezni
Hozzászólások
A DEP? Vagy nem.
- A hozzászóláshoz be kell jelentkezni
Ebben az esetben azt írta az MSRC, hogy a DEP mellett valószínűtlen a probléma kihasználása:
"although our ongoing investigation confirms that default installations of Internet Explorer 8 are unlikely to be exploited by this issue. This is due to the defense in depth protections offered from Data Execution Prevention (DEP), which is enabled by default in Internet Explorer 8 on all supported Windows platforms."
Mondjuk az MSRC és a bejelentés nincs teljesen összhangban. Az egyik azt állítja, hogy az összes támogatott Windows platformon be van kapcsolva a DEP alapértelmezetten az IE8-ban. A másik meg azt állítja, hogy a "Windows XP Service Pack 3, Windows Vista Service Pack 1, Windows Vista Service Pack 2, and Windows 7" rendszerekben.
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
"Windows XP Service Pack 3, Windows Vista Service Pack 1, Windows Vista Service Pack 2, and Windows 7"
Ez szerintem fedi az összes IE8 által támogatott desktop platformot... gondolom kiemelték őket hogy a felhasználók azonosíthassák a saját rendszerüket.
A server termékeken kapásból magasabb a biztonsági szint, nem hiszem hogy pont ott lenne megkerülhető az, ami a desktopon nem.
szerk: az sem tiszta, hogy a DEP esetén az NX feature-ra gondolnak, vagy pedig a szoftveresre. Az előbbi nincs minden gépen engedélyezve/nem elérhető, így mégiscsak problémás lehet a dolog.
- A hozzászóláshoz be kell jelentkezni
Én nem szeretek találgatni. Az advisory azért advisory, hogy pontos legyen.
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
a server edition sem fetletlen biztonsagosabb, beallitas kerdese, sot, ott elvileg midnent at kell, hogy tudj allitani, igy ha szeretned, elvileg meg kene hogy legyen a lehetoseg kikapcsolnod minden biztonsagi funkciot
- A hozzászóláshoz be kell jelentkezni
Szerveren nem játszik, mert szerveren nem böngészünk.. ugye? :)
- A hozzászóláshoz be kell jelentkezni
miért nem?
- A hozzászóláshoz be kell jelentkezni
Mert igyekszünk a kiszolgálónkat a lehető legmagasabb biztonsági szinten üzemeltetni, pont az hiányzik hogy x böngésző 0.day sebezhetőségen véletlen bemásszon valami marhaság.
- A hozzászóláshoz be kell jelentkezni
Böngészik aki feltöri :D
--
A windóz azért szar, mert szar!
A mac-et nem azért veszik, mert szar ..
- A hozzászóláshoz be kell jelentkezni
"az sem tiszta, hogy a DEP esetén az NX feature-ra gondolnak, vagy pedig a szoftveresre."
A hardveresre. A szoftveres DEP tisztesseges neve SafeSEH, ami ebbol mar sejthetoen a SEH handlerek integritasat ellenorzi. Ez viszont egy heap corruption exploit, ami a heapen egy vtable pointert ront el, SEH-hez nem nyul.
--
Fontos feladatot soha ne bizz olyan gepre, amit egyedul is fel tudsz emelni!
- A hozzászóláshoz be kell jelentkezni
Tehát olyan gépen amin nincs/kikapcsolt az NX (van azért jópár, főleg olcsóbb notebookok) kihasználható?
- A hozzászóláshoz be kell jelentkezni
Igy van.
--
Fontos feladatot soha ne bizz olyan gepre, amit egyedul is fel tudsz emelni!
- A hozzászóláshoz be kell jelentkezni