Arnes - JavaScript ranljivost inicializacije 'window()' metode v kombinaciji z <BODY onload> HTML oznako omogoča izvedbo poljubne kode. Exploit je že na voljo (seveda kot "proof of concept" koda). Onemogočite JavaScript še danes, vsaj dokler MS ne izda uradnega popravka. FireFox kot kaže kode ne izvede, vendar pa se neha odzivati. Več na Arnesu, CVE, Secunia, Microsoft.
predlagana rešitev (onemogočanje active scriptinga) lahko povzroča težave pri elektronskem bančništvu - tak da boste zadevo moral nazaj vklapljat včasih.
"Figures don't lie, but liars figure."
Samuel Clemens aka Mark Twain
Če boste izklopili Active Scripting vam ne bo delovala moja vremenska postaja. Zato najboljše da date mojo vremensko postajo pod trusted pages ali pa direktno dostopate: http://www.vremenskapostaja.com/SL/
ja eni smo prisiljeni uporabljat IE - v bistvu mi sploh ni tko hudo - za bančništvo, in ja IE je res CRAP, glih tko kot alfa sam je treba povedat katera alfa v primerjavi s katerim lotusom in kater IE v primerjavi s katerim FF
zakaj jst vedno pozabim na tele trusted sites?
"Figures don't lie, but liars figure."
Samuel Clemens aka Mark Twain
Pri novici mi je zanimivo najbolj to, da so za napako vedeli že pred pol leta in se ni zanjo zmenil nihče ne MS in ne OSS skupnost, ker ni bila po prvih ugotovitvah nevarna.
Sedaj je vprašanje ali res obstaja samo koncept, ali je napako že prej kdo znal izkoristiti. Opis v v tej temi se mi zdi ravno to. Za avtorja te teme vem, da uporablja IE.
Glede tistega linka, ki sem ga prilepil malo višje. Z avtorjem tiste teme sem se pogovarjal o tem problemu, ki se mu je zgodil (sam od sebe se je namesti kvazi anti spy-ware program) in mi je reber (nick uporabnika) zatrdil, da se je to zgodilo med surfanjem po netu in vsekakor ni zagnal nobenega programa, niti ni nameščal kakšnih ActiveX vsebin (kar bi bil to čisto klasičen način za namestitev vse mogoče nesnage).
Skratka on je zadevo fasal samo s surfanjem. Zato me zanima ali bi bilo možno, da nekdo že uporablja to luknjo in so avtorji koncepta pravzaprav pozni?
Ja, tko je kot je azrael napisal. Za veliko stvari na internetu sem precej nezauplive narave in ne klikam kar tja v en dan, sem precej previden. Pa sem kljub temu staknil nekaj kar nisem hotel. Uporabljam IE, če je to krivo, potem ... ne vem kaj naj. No, varnost imam nastavljeno na srednjo, ker če je na visoko, potem cel kup strani ne dela prav zaradi activex, že siolova domača stran se ne pokaže prav No, skb.net pa dela tudi z visoko varnostjo, torej z izklopljenimi activex in javo, ampak zato nekaj drugih skb strani ne pokaže čisto vse, kar pa je v zvezi z denarjem pa dela, vsaj to, da ne bo tko kot s trezorjem je pa tko, da varnostne luknje so in bodo, in vedno se bo najdu en pametnjakovič ki nima druzga dela in to varnostno luknjo najdu in jo tut izkoristu. Na koncu pa lahko poskrbimo tudi za skoraj 100% varnost, ki pa ni ne vem kako funkcionalna ... omrežni kabel odštekat
ja smola, banka celje ma pa ebankirja za poslovne uporabnike in ta je jamral z mozilo 100 na uro, čeprav sm zdej vidu da majo celo neke zadeve na novo in morm sprobat
"Figures don't lie, but liars figure."
Samuel Clemens aka Mark Twain
Konqueror v Gnome (Debian Sid) se NE sesede. Odpre sicer dodatno okno vsebina katerega je taka: d4 Not Found The requested URL /ie/blankWindow.htm was not found on this server. 0 ampak program dela normalno naprej.
Treba bo narediti xploit ki samodejno downloada in inštalira firefox, mu da "ie skin" (idiots would never notice), IExplode ikonce na namizju pa prelinka na superiornejšo varjanto browserja. Blem rešen. Bodo exploiti enkrat za spremembo tud kej dobrega delali.
Izvedba itaq ne bo težavna, en dober programček v slo-tech banner pa se bo samodejno popravilo četrt compov vseh neukih obiskovalcev. Potem bodo pa vsi pravili "odkar obiskujem slo-tech mi ni treba vsake tri tedne reinštalirat windowsov, matr sm l33t! W00t!!!11oneeleven
edit:
p.s.: Za link gorenjske banke (ultraprimitiven piece-of-shit ki dela prek web interfejsa za ie only, pa še to neverjetno počasi - izognite se če se le morete) sem jaz na lokalni mašini ki je tudi server, tko da mora biti bolj sejf, poskrbel tako, da sem v iexploderja naštimal proxy na "ne_uporabljaj_teh_jajc" (ki se seveda ne resolva) in strani katere lahko zaobidejo proxy nastavil na strežnik od Link-a (za bančništvo). Tko da ie sedaj efektivno deluje le na eni strani, za vse ostale je pa nastavljen en konkreten browser.
če je ta bug že par dni zun... ste zgodn ni kej