0day Internet Explorer 6, 7 exploit szabadon

 ( trey | 2010. március 12., péntek - 9:04 )

A Microsoft a héten jelezte, hogy egy, az Internet Explorer 6-ot és 7-et érintő, aktívan kihasznált sebezhetőséget vizsgál. A sebezhetőséget kihasználó exploit-ot bárki elérheti az internetről, illetve illesztésre került a Metasploit Framework névre hallgató pentest eszközhöz.

A sebezhetőség a hírek szerint az iepeers.dll-ben található. A probléma az IE 6, 7 verziókat érinti, az IE 5 és az IE 8 nem érintett. Egy, az interneten talált exploit elérhető itt (forrásban és Metasploit Framework modulban).

Az exploit-ot sikeresen tesztelték az alábbi platformokon:

  • Microsoft Internet Explorer 7, Windows Vista SP2
  • Microsoft Internet Explorer 7, Windows XP SP3
  • Microsoft Internet Explorer 6, Windows XP SP3

A Microsoft már korábban azt javasolta ügyfeleinek, hogy mielőbb frissítsenek Internet Explorer 8-ra. A HUP látogatói a statisztikák alapján nem egy nagy IE felhasználók:

HUP böngészőstat. 20100204 - 20100306
A Google Analytics szerint mindössze a látogatók 15,54%-a használja a Microsoft böngészőjét

IE verziók részesedése
És az Internet Explorer felhasználók kicsivel több mint fele már a 8-as verziót használja

Itt az ideje a többieknek is frissíteni!

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

off

picit mókás hogy a FF kapta a kék színt, a Chrome a narancsot, az IE pedig a zöldet. A kék alapján én az IE-re asszociáltam, a narancs meg ugye a FF :)

on

Mivel készült ez a statisztika?

ha enyleg nem tudod: google analytics

Nem is kell tudni, csak el kell olvasni. Ugyanis benne van a cikkben.

--
trey @ gépház

jé tenyleg:)

Milyen verzió az a 999.1? :)

user agent switcher ?:D

Úristen. ie 4-es verzió?

Mikor volt utoljara olyan het, hogy az IE-rol nem derult ki security hole? Nem vagyok fanboy, mert azt pl elismerem, hogy aaz oo.o az MS Office nyomaba se er, de ha biztonsagrol van szo, (de IE eseteben telejsitmenyrol is) nevetseges, amit ez a bongeszo csinal. Es sajnos ezt raeroltethetik az emberre, majdnem midnnekinek kotelezo hazsnalnia munkaban jelenleg

"My grandma is safer on desktop Linux then your Grandpa on Windows 7, even if I give her the root password"

Az, hogy sebezhetőség derül ki, az hagyján. Melyik szoftverben ne lenne hiba? Az már nagyobb baj viszont, ha a sebezhetőségre széles körben elérhető 0day exploit is szabadon hozzáférhetővé válik _bárki_ számára.

--
trey @ gépház

0day exploit=0 nap alatt kene kijavitani? :D de 0day exploitokba is eleg sok IEsbe futottunk mar iden ha jol emlkeszem

"My grandma is safer on desktop Linux then your Grandpa on Windows 7, even if I give her the root password"

[off]
Bocs, hogy írok, de az aláírásodban szerintem el lett írva a then/than...
[/off]

Koszi, hamarosan at is irom

"My grandma is safer on desktop Linux than your Grandpa on Windows 7, even if I give her the root password"

aha, szoval a szoftver hibaja, hogy kiadnak ra publikus exploitokat :)))

--
NetBSD - Simplicity is prerequisite for reliability

Én inkább a program gyártóját, megíróját okolom elsősorban.

--
trey @ gépház

ms csinalja az exploitokat is? :)

--
NetBSD - Simplicity is prerequisite for reliability

A hibákat. Mire megírják az exploit-okat. És mivel lassan javít - lásd ezt az esetet - az exploit 0day. Nem kevés ideig.

--
trey @ gépház

"Az, hogy sebezhetőség derül ki, az hagyján. Melyik szoftverben ne lenne hiba? Az már nagyobb baj viszont, ha a sebezhetőségre széles körben elérhető 0day exploit is szabadon hozzáférhetővé válik _bárki_ számára."

Bizony, en mindig mondom, sokkal jobb, ha csak azok erhetik el, akik eleget fizetnek erte. :)

--
Fontos feladatot soha ne bizz olyan gepre, amit egyedul is fel tudsz emelni!

:))

Gondolom nem azt akarod mondani, hogy mindenkinek van rá hibától függően 5, 10, 20K dollárja. Ha nem ezt, akkor nem tudom mit szeretnél.

--
trey @ gépház

Aztán majd kiderül hogy az IE 8-ban is van hiba és a végén még valaki kitalálja hogy akkor IE 5-re kell "frissíteni". :-)

Nem, majd akkor jelenik meg az ie9. :)

Vettem észre... Közeleg a fenyegető rém: Letölthető az Internet Explorer 9 előzetese :-)