Microsoft Internet Explorer CSS Handling Code Execution Vulnerability (0day)

 ( trey | 2009. november 22., vasárnap - 18:09 )

A Microsoft Internet Explorer 6-os és 7-es verzióját érintő 0day-t hozott nyilvánosságra tegnapelőtt K4mr4n_st a Bugtraq-on. A VUPEN "critical" besorolással illette. A biztonsági oldal szerint a teljesen felpatchelt Windows XP SP3 IE6 és IE7 böngészővel sebezhető. A VUPEN nem tud hivatalos javításról. Workaround: Active Scripting letiltása az Internet és Local intranet biztonsági zónákban. A részletek itt.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Ezekre hogy jonnek ra'...?

IE6 esetén van egy tippem: megpróbál szabványos futtatni, majd miután az sehogy se akar működni - nagy káromkodások közepette - elkezdi lépésről-lépésre vizsgálni, hogy mért nem megy. :)

Oke, de az hogy nem tudja a szabvanyokat kezelni (vagy valamitol mondjuk elhasal, elke'khalalozik, barmi), abbol nem kovetkezik, hogy egy tetszoleges kodfuttatast leheto"ve' tevo" hibanak a kihasznalasi modjara egyszeruen ra lehessen jonni...

Pedig még forráskódjuk sincs hozzá, mi? ;)

Szerintem sem. De esetleg támadhat egy jó ötlete a folyamat közben. Ki tudja... Vagy a múzsája súgta a fülébe álmában. :)

Ebben az esetben valoszinubb az, hogy megtalalta pontosan milyen kod fagyasztja le, es rutinbol egybol teleszorta a memoriat egy shellcode-dal.

A "lefagyasos" hibaknal altalaban rossz memoriacimre ugrik a program. Ha az adott programmal eleg sok dolgot lehet memoriaban taroltatni (itt pl. javascript string-eket), akkor jo eselyunk van ra, hogy a hiba miatt beleugrik a mi kodunkba (ez az exploit is csak neha mukodik, neha meg csak lefagyasztja).

Rég feltalálták már a debuggereket.

ez csúf, hogy ilyen létezhet :-/
Az Active Scripting mit takar? Ha a Javascript motort, akkor az egy biztonságra valamit is adó rendszergazda esetén egy IE only vállalatnál elég kellemetlen …

—-—-—
int getRandomNumber() {
	return 4;//szabályos kockadobással választva.
}		//garantáltan véletlenszerű. xkcd

Miért kellemetlen?
Pl.: VBScript jobb, mint a Jscript? (IE-ben nincs Javascript, csak Jscript)

"-Pedig vegetariánus vagyok; csak növényevő állatokat fogyasztok!"
azenoldalamponthu

Azt jelenti hogy az IE6 és IE7 használók egy részének újabb programok lesznek telepítve a gépére, anélkül hogy tudna róla. Vírus írtó, tűzfal megy a levesbe. A komoly baj az, hogy például a digitális aláíráshoz böngészőből szükséges az active scripting használata, de nyilván nem fogja letiltani az aki napi szinten a munkájában használja.

Ezért szerintem komolytalan az a cég és szervezet, aki a kliensen nem használ Linuxot, az ilyen esetekre felkészült tervekkel, pl.: firefoxról is kiderült már hasonló, csak ott gyorsan jön a patch. De alternatív böngészőt könnyebb használni néhánynapig, mint az MS IE esetén, ha erre gondolva tervezik meg a rendszerüket, akkor szervezet szinten át lehet állítani a felhasználókat néhány perc alatt, anélkül hogy a munkájukban ez megrázkódtatás lenne. Ez a megoldás MS IE-re írt programok esetén kivitelezhetetlen...

"Csak a változás állandó." - Herakleitos ---> Használj VCS-t!

"Ezért szerintem komolytalan az a cég és szervezet, aki a kliensen nem használ Linuxot"
WTF?

Ezért szerintem komolytalan az a cég és szervezet, aki a kliensen nem használ Linuxot

Ez igy csak szimplan rotfl.

---
pontscho / fresh!mindworkz

Ezért szerintem komolytalan az a cég és szervezet, aki a kliensen nem használ Linuxot, az ilyen esetekre felkészült tervekkel, pl.: firefoxról is kiderült már hasonló, csak ott gyorsan jön a patch.

Főleg ezzel együtt vicces ezt olvasni...

"Mozilla doesn't have a security model for extensions and Firefox fully trusts the code of the extensions."

valamint

"JavaScript in DOM event handlers such as onLoad is evaluated in the chrome privileged browser zone."

Egy 'by design' problémát vajon milyen gyorsan patchelnek a Firefoxnál? ;)

WSUS, vagy egyszerű Windows Update. Otthon is cégnél is IE8 megy. Hol a gondod?

A böngésző nem frissítése az a user (vagy rendszergazda) sara, fontos látni megint a régi verziókat érinti, de tény hogy az MS csinálhatna FORCED updateket.

Life is a game, play hard! | 10 féle ember létezik: aki ismeri a bináris számokat és aki nem...

Latom, megjott az ugyeletes expert is.

--
Fontos feladatot soha ne bizz olyan gepre, amit egyedul is fel tudsz emelni!

Dobják már ki valami extrém forced update-tel ezeket a retek verziókat. Magam is utálom a különdebuggot IE6, 7 barátainknak. Ahhh...

A mozilla előtt le a kalappal, ők megoldják a frissítést, Chrome-ek is.

Life is a game, play hard! | 10 féle ember létezik: aki ismeri a bináris számokat és aki nem...

Abból lenne még csak igazán nagy balhé, ha kérdés nélkül lenyomnák az IE8-at mindenkihez...

új lehetsz errefelé :)

Egyel lejjebb kellett volna ezt írnod... ;P

Ironikus utalásnak szántam hozzászólásod szélmalomharcjellegére vonatkozólag :)

? a mozilla frissítése senkit nem zavar, a chrome-é sem.

Nem a Chrome frissítette anno kérdés nélkül önmagát? Engem zavart volna ;)

Úgy látom, de távol álljon tőlem ,hogy az MS-t védem, hogy az IE frissítése az embereknek nyűg, míg az FF-et, Chrome-ot eszetlenül OKézza. Nem értem a trendet...

Bár sokat köpködtek 7.0ás frissítéskor, hogy "valamiért???" kiírta a Windows hogy "Ön szoftverhamisítás áldozatává vált" És emiatt nem frissít inkább. "Rendben van" hogy a szemét MS pénzt kér az akadálymentes Updateért és Supportért, de tényleg használjon más (ingyenes) OS-t akinek baja van vele. Ha illegál, akkor meg csak egy valakit okolhat ezért. Itt HUP-on nem is kérdés, hogy ezt megtették (más os-ra váltás), viszon leginkább a felháborodást Warez Pistikre mondom.

Jah, mert a mindenhová bedrótozott IE frissítése vagy fél óra, ellenberger a FF 2 perces frissitésével.

Nem értek egyet... (Windows 7 Home Premium HUN alatt biztosan nem, mármint nem gáz az IE frissítés)

Milyen esetben nem lenne indokolt a legfrissebb Explorert használni?

Nem IE specifikus a dolog... Az emberek nem feltétlenül szeretik ha kérés/kérdés nélkül tesznek bármit - akár jót is - nekik. :)

Ja ok! 100%ban egyetértek. Én is utálom mikor a mozilla mondja, hogy megvan az update indítsak újra. De az MS meg a másik véglet, meg szerencsétlentől elvárják, hogy supportolja a régi mocskait.

Valami aranyközépút kellene... De hát mondani könnyű.

UP: bár sok felhasználó asse' tudja mit használ. Max lecseréli mert nem megy a youtube, chrome alatt meg igen, de a miértjét nem is nézi, nem is érdekli. Sőt még az is lehet, hogy üzenetet is kapott róla, egy kis statusbar-on de azt meg nem olvassa, mert "Dehát az angolul volt" (közben meg nem).

Jogosítványhoz kötném a PC használatot :D

Miért nem kérdezi meg rendszerleállítás előtt, hogy frissítheti-e ezt a szutykot, majd kikapcsolhatja-e a rendszert?

Úgylátom még nem használtál windows updatet :) !!Spanyol viasz warning!!

XP óta garantáltan így van. :)

http://download.windowssecrets.com/images/wsn/W20090305-XP-Shutdown.jpg

"A Leállítás gomb megjelenése néha megváltozik. Amennyiben a számítógép az automatikus frissítések fogadására van beállítva, és a frissítések készen állnak a telepítésre, a Leállítás gomb ezt mutatni fogja."

http://windows.microsoft.com/hu-HU/windows7/Turning-off-your-computer-properly

xpsp3-on kipróbáltam ie6-tal a cuccot és az 'ie notification bar' vagy mi a szösz megfogja. még localhoston is. sőt, úgy is, hogy file://