Veszélyes, adatlopást lehetővé tevő, javítatlan IE8 bugra figyelmeztet a Google biztonsági szakértője

 ( trey | 2010. szeptember 5., vasárnap - 11:31 )

Chris Evans, Google egyik biztonsági szakértője a full disclosure levelezési lista nyilvánosságához fordult egy eddig még javítatlan Internet Explorer 8 buggal kapcsolatban. Levele szerint azért tette ezt, mert eddig sikertelenül próbálta rávenni a Microsoft-ot a hiba javítására. A biztonsági problémára egy PoC-t is publikált. Az Internet Explorer 8-ban jelenlevő bugot kihasználva a weben keresztül támadást intéző képes lehet az IE felhasználók 3rd party oldalahoz tartozó authentikált session-jeit eltéríteni (például egy tetszőleges weboldal ráveheti a felhasználót, hogy az postázzon ki egy tweet-et a Twitter-re). Chris szerint bizonyítékok vannak arra, hogy a Microsoft 2008 óta tud a hibáról, de javítani azt még nem javította.

A biztonsági szakember a problémára még 2009 decemberében hívta fel a figyelmet blogjában. Akkor megjegyezte, hogy több okból is különösen szépnek tartja a sebezhetőséget. Az egyik ok az volt, hogy az 5 "nagy" böngésző mindegyikét érintette a probléma.

A hibára azóta a nagy böngészőgyártók az IE kivételével reagáltak és védelmi megoldást implementáltak. Így a Chrome, Safari, Opera és Firefox már immunis a támadással szemben. Érdemes megjegyezni, hogy a Mozilla volt az utolsó a felsoroltak közül aki a javítást elvégezte.

A probléma bemutatására Evans létrehozott egy oldalt, ahol a sebezhetőség tesztelhető. A full disclosure listára küldött levelében a szakember megjegyzi, hogy ez kizárólag az IE 8 hiba, a Twitter-ben nincs ezzel kapcsolatban sebezhetőség. Megjegyzi továbbá, hogy más oldalak ellen is indítható hasonló támadás.

A részletek itt és itt.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Lazán kapcsolódik. HUP statisztika:

Firefox            55,40% 	
Chrome             20,19% 	
Opera               8,46% 	
Internet Explorer   7,37%

Illetve ha már statisztika, akkor érdemes megjegyezni, hogy nőtt a HUP-ot Linux alól látogatók száma. Áprilisban ~ 26% érkezett Linux alól. A jelenlegi adatok:

Windows     57,28%
Linux       34,54%
Macintosh    5,36%
Android      0,88%
(not set)    0,77% 

--
trey @ gépház

hmm...
én eddig azt hittem forditva van, a windows linux arány, ezen az oldalon.
-------------------------------------------------------------------------
Nem, de lehetne.

+1

--
"Windows... az mi?"

Amíg nem lesz 2011 a Linux Desktop éve, addig így marad. ;)

Van akinek a munkahelyen a munkájához engedhetetlen a Windows (sajnos). Így ha bentről is ránéz az oldalra, akkor növeli azt a tábort is.

elég fogalmatlan dolog volt

lol, ahhoz nagyon sok víznek kell még lefolyni a Temzén.

A Linuxnak most lett 1,13% penetrációja az OS-ek között. Ez egy Unix-os szakmai oldal, tehát az arány egy kicsit jobb.

Pölö én is nagyrészt Winfosról látogatom a HUP-ot mivel a jelenlegi munkáltatom megköveteli, hogy MS rendszert használjak. Ez egy ördögi kör. Jómagam is szívesen elmennék linux kernel hackernek, de nagyon kevés az olyan meghirdetett álláslehetőség. :P

Dolgoztam, olyan helyen ahol nem lehetett felrakni csak Microsoftos terméket. Csak Visual Studio, Visual Sourcesafe meg MS SQL Server. Illetve fordítva is, ahol Linuxon fejlesztettünk winfosra.

Viszont ma már széles körben elfogadott a Firefox vagy akár a git. De azt, hogy milyen OS-t használsz azt nagyban meghatározza, hogy milyen fejlesztő környezetet vagy kénytelen használni. Ma már mindenhol elnézik hogy ha valaki emacs buzi és legalább az ugyanúgy néz ki VAX-on is, mint winfoson.

--
GPLv3-as hozzászólás.

A Linuxnak most lett 1,13% penetrációja az OS-ek között.
Ezt én is olvastam, azért globálban is kicsit többre számítottam.
-------------------------------------------------------------------------
Nem, de lehetne.

Illetve fordítva is, ahol Linuxon fejlesztettünk winfosra

Komoly fejlesztés lehetett... batch filet kellett szerkeszteni csupán?

> Komoly fejlesztés lehetett... batch filet kellett szerkeszteni csupán?

Tegyél szmájlit. Úgy kevésbé bunkóság.

te is sokat fejlesztesz linuxon winfosra? :)

Szánalmasak ezek a winfos, m$, window$, stb kifejezések. Azt hiszed, hogy attól leszel linux expert, hogy ilyen szavakat használsz?

Teljes mértékben egyetértek!. Remélem, hogy majd legközelebb szót emelsz a binuxozoknál is!

--
trey @ gépház

"Amilyen az adjon Isten, olyan a fogadj Isten"

Sosem winfosozok. Mondjuk engem nem zavar egyik sem.

--
trey @ gépház

Csak arra próbáltam utalni, hogy valószínűleg nem a binuxozás volt előbb, úgyhogy az okot és az okozatot ne próbáljuk felcserélni...

Semmit sem cserélek fel. Kutatásokat sem végeztem, hogy melyik volt előbb. Számomra mindkét oldal egyformán mókás.

--
trey @ gépház

Nagy kutatásokat nem is kell végezni, mert lehet tudni, hogy a "binux" eredetileg egy jóhiszemű elírás következménye, míg a többi "móká$" szövegekről ez kevésbé képzelhető el.

Rendben, de ez változtat azon a tényen, hogy a használója bekerül egy bizonyos csoportba egyes embereknél.

--
trey @ gépház

A binuxozással sem értek egyet, de sokkal több winfosozást látok, mint binuxozást. Nem csak ezen a fórumon, hanem szinte mindenhol. Ezek jellemzően olyan emberektől jönnek, akik felraktak az asztali pc-re egy ubuntut és azt hiszik, hogy mekkora haxorok lettek. Többek között ezek miatt ábrándult ki rengeteg ember a linux közösségből. És az ilyen winfosozó arrogáns idióták hozták létre a binuxozó embereket.

Értem. Ez ilyen dac.

--
trey @ gépház

Én azt találtam ki, hogy nekik úgy válaszolok, hogy a válaszom összes s-ét $-ra cserélem, így elkerülve a binuxozást. A gond csak az, hogy általában semmi kedvem etetni az ilyen trollokat.

--
Don't be an Ubuntard!

oracl€ :D

Nem lehetne megoldani vhogy, hogy globálisan is így nézzen ki a statisztika?

Ha te üzemelteted valamelyik globális statisztikakészítő cég rendszerét, vagy fel tudsz törni egyet, akkor semmi akadálya. :)

"nőtt a HUP-ot Linux alól látogatók száma"

Talán augusztusban kevesebben melóznak.

so true

Nem tudom Windows alól látogatni az oldalt, mert nagyon akadályozna a többi tevékenységemben, pl munkámban. Bár van elérhetően legális Windowsom, csak a használatához át kell bootolnom, ami visszaboottal együtt legalább egy óra kiesést jelentene. Marha kényelmetlen.
:D

"javitatalan"

A jól van. Közben rájöttem. :D

--
trey @ gépház

Igaz, csak felületesen futottam át a két cikket, de nem találtam, hogy mitől lenne javíthatatlan a bug. Valamiféle tervezési hiba? Mit lehet róla tudni? Ha tényleg javíthatatlan, (létezik ilyen bug egyébként?) akkor vége az IE-nek? Vagy én vagyok láma? Vagy elírás? Nem mintha használnék IE-t, de kíváncsivá tett.
---
WGábor

Nem javíthatatlan. Javítás nélküli. Javítatlan.

--
trey @ gépház