» »

Nova varnostna luknja v Internet Explorerju

Nova varnostna luknja v Internet Explorerju

Slashdot - Kot verjetno veste, Internet Explorer, ali krajše IE, ni ravno najbolj varen internetni brskalnik. To dokazuje tudi najnovejša varnostna luknja. Ta je precej nevarna, saj omogoča ZlimOsebkom™ izkoriščanje luknje z uporabo %01 znaka za uporabniškim imenom in pred @ v internetnem naslovu. Vse skupaj je precej bolj podrobno opisano na domači strani danskega varnostnega podjetja Secunia. Ker pa bralcem želimo le najboljše, vam predlagamo da si namestite Mozillo ali pa Opero če želite, da se vam podobne nevšečnosti ne dogajajo. Klik! za novičko in opis luknje, tu pa še eWeekova novička.

54 komentarjev

«
1
2

poweroff ::

Hehe, vedno sem si želel imeti lastno banko... >:D

Pudding ::

Ja in kaj pol k das Mozillo gor, a kr ni vec varnostne luknje al kaj?!?!?!

AnyOne ::

Ce bi obstajal nacin da se popolnoma odstrani IE bi uporabljal drug browser ker pa ga ni nic ne pomaga zamenjava browserja...no skoraj nic.

frenk ::

zaenkrat je IE zame najbolši browser...probal sem pa tud mozillo in netscape

poweroff ::

Poiskusi tole...
http://www.ljudmila.org/matej/zlobno.ht...

Me zanima, kdaj se bo nekdo spomnil narediti kopijo amazon.com ali ryanair in bo zbiral številke kreditnih kartic...?

BSD-jas ::

Tole sem probal z ognjenim ptičem, pa dobim najverjetneje tvojo stran, URL je od matkurje še z enim dodatkom, ikona je pa nekaj podobnega C=, kar definitivno ni od kurje matere. Bi z IE moralo izpasti kaj drugače?

pivmik ::

A lahko kdo da ScreenShot od te strani v IE-ju:
http://www.ljudmila.org/matej/zlobno.ht...

Ni dovolj, da namestite Opero ali Mozillo treba jo je tudi uporabljat.
LP, Gregor GRE^

pivmik ::

Aha sem sprobal na mojem IEju
fora je samo v tem, da namesto tega tapravega naslova:
http://www.matkurja.com%00@www.ljudmil...
Izpiše tak naslov:
http://www.matkurja.com


Pridna OPERA te ob tem kliku lepo vpraša to:
--------------------------------------------
Security warning!

You are about to go to an address containing username

Username: UPORABNISKOIME
Server: SERVERNAME

Are You sure do you want to go to this address?

[OK] [Cancel]

---------------------------------------------
LP, Gregor GRE^

BSD-jas ::

Aha, če grem s kurzorjem na tisti link, mi Mozilla Firebird v statusni vrstici napise http://www.matkurja.com[]

Če prav razumem, je fora v tem, da lahko iz tistih dveh [] sklepam, da tam napisani naslov ni pravi in da IE ne pokaže niti tega []. Ali se motim, in je fora kje drugje?

pivmik ::

A HA!
Tudi Mozilla je rahlo ranljiva!

Tapravi naslov je tale(opera mi ga izpiše):
http://www.matkurja.com%00@www.ljudmil...
LP, Gregor GRE^

pivmik ::

Ok, pretestiral sem v MozillaFirebirdu 0.7 SLO in nima tega buga.
Izpiše ta naslov:
http://www.matkurja.com%01%00@www.ljudm...


Itak pa debili ki uporabljajo IE tako ali tako bi vseeno mislili da so na naslovu http://www.matkurja.com , v neki postrani, ker nimajo pojma čemu AFNA @ služi v URI naslovih.
LP, Gregor GRE^

AnyOne ::

Niso vsi debili ki uporablajo IE...no uni k pa ne vejo zakaj je @ te pa kr so.

poweroff ::

OK, zdaj sem dodal screenshot na tisti naslov in malce razlage...

Keyser Soze ::

Picnik, morda si pa ti to, za kar označuješ druge. :\

AnyOne, ti pa ravno tako.

Glede na to, da sta oba sinova staršev, ki sigurne ne poznajo vloge AT v url-ju in so zato osebe z zelo nizkim IQ, kaj nam je sklepati drugega potem. Morda moderatorjem. Pravila.

Drugače pa še ena luknja. Nič novega. Zato pa ne uporabljam interneta za posle s kreditno kartico. Varnost je še vedno na psu, tako pri IE kot Mozzili in Operi pa Firebirdu in ne vem še kje. Morda ko bo 100% varno. Se pravi nikoli.

Folk je preveč pokvarjen.
OM, F, G!

AnyOne ::

@Keyser Soze point well taken ;)

mathjazz ::

Keyser Soze: daj se malo pomiri ti pa ne govori na pamet, da ne bo kdo tebe moderiral :D. Zgleda da se slabo spoznaš na brskalnike. Brskalnik Mozzila ne obstaja, tudi Firebird ne.

Sicer se pa popolnoma strinjam, da varnost še nikoli ni bila preveč rožnata. Tu je *priznanje*, da je ranljiva tudi Mozilla, čeprav precej manj kot IE, in zraven še povezava do popravka, ki je bil na voljo nekaj minut po objavi hrošča.

Urni Microsoft namerava izdati popravek v sklopu svojih mesečnih updejtov. Spominjajo me na menstruacijo. :O
www.getfirefox.com

poweroff ::

Mogoče neumno vprašanje, ampak... kako ta popravek instaliram (za Mozillo)?

dizel ::

Popravki za Mozillo? Sam nič ne piše kere verzije naj bi ble "delno" ranljive, jst mam verzijo 1.5, pa mi pokaže vse kot je treba, s celim naslovom pred in po AT. Kere verzije pa majo probleme?
Najboljši so že padli mi pa se pogumno spotikamo naprej!

denial ::

Kostko ::

_denial_: ja samo te stvari so ble popravlene uber hitro, pri m$ju pa je treba čakat :\
Human stupidity is not convergent, it has no limit!

darkolord ::

Matthai: glede tistih stevilk kreditnih kartic jih je precej lazje dobit s streznikov internetnih trgovin :D

Dr_M ::

Kostko: no to ni cist res. v vecini primerov je patch ze na voljo, predn se kej zgodi, ampak uporabniki so sami krivi, ce ne grejo 1x na mesec na windowsupdate. zelo redko se dogaja, da bug preh pride v javnost predn je patch.
The reason why most of society hates conservatives and
loves liberals is because conservatives hurt you with
the truth and liberals comfort you with lies.

GeneralRatko ::

Aha, torej s(m)o uporabniki sami krivi, da m$ dela napake. Zanimivo, zelo zanimivo. :))
Še nekaj za folk, ki se jim zdi IE najboljši browser. Če je res tako dober, zakaj je že 100 let isti, brez kakšnih naprednih funkcij, ki jih poznajo mozilla, opera... ?

roko22 ::

Dr_M: Haha. Moram reci, da sem se lepo nasmejal tvojemu mimosunjenemu odgovoru, ki je nastal ob tvoji nevednosti o programih, patch-ih in razumevanja le teh. Iz izkusenj ti povem, da pridejo "bugi" prej v javnost preden izidejo patch-i. Niti M$ nima toliko denarja, da bi vse svoje produkte pretestiral. V Micro$oftovem primeru pridejo patchi mnogo kasneje ven in vecinoma prepozno. Kot prvo, morajo bug verificirat, reproducirat, potem se morajo sprijaznit s tem, da ne delajo popolne programske opreme; potem dajo v javnost pojasnilo, da bug res obstaja, potem grejo delat patch, ...In se vse skupaj zavlece za en mesec. V primeru Linuxa in Open Source produktov pridejo patchi mnogo hitreje ven, se preje pa se najdejo bugi; saj za vse to lepo skrbi cela skupnost, ki se vrti okoli Open Souce-a.

Cisto mimogrede. Par mesecov nazaj sem neki osebi kupil nov racunalnik, ter ji nalozil Windows XP(kupljene:)). Kupil sem ji tudi modem, nastavil vse potrebno, se povezal s svetovnim spletom, ...Cez par sekund dobim en lep okencek, ki mi pravi da se bo cez 60 sekund resetiral racunalnik. Sem si rekel "Hvala Lepa" in sem osebi instaliral Linux. Oseba ni imela nikoli prej v zivljenju izkusnje z racunalniki. Pokazal sem ji, kje najde dokumentacijo in vse potrebno za delovanje. Od dneva, ko sem osebi instaliral Linux, nisem slisal nobene pripombe glede delovanja, virusov, wormov, ... cez nekaj casa me je samo vprasala ce bi lahko dobila Office in koliko bi jo to stalo. Rekel sem ji, da nic lazjega, in da je ne bo stalo 0 tolarjev. Oseba je bila navdusena.

Dr_M ::

GeneralRatko: mal narobe si razumel zadevo. se 1x preber post nad mojim in mojga.

sam ze precej casa uporabljam mozillo, IE pa v zelo redkih primerih.
The reason why most of society hates conservatives and
loves liberals is because conservatives hurt you with
the truth and liberals comfort you with lies.

Dr_M ::

roko22: no me veseli,da sm te v dobro volji spravu.:)

kaj pa je blo z blasterjem?? jest sploh nebi vedu za njega, ce nebi na slotechu vidu. meu sm patch ze skor 1 mesec prej, pa nism meu nobenih problemov. je to semesno?? :)

kot vids, le nism tok v temo brcnu kot ti trdis :)


edit: da ne bo ksnih nesporazumov, jest NE zagovarjam microsofta, samo upozarjam vas na vaso zakompleksanost, ki vam zamegli razsodno razmisljanje. :)
The reason why most of society hates conservatives and
loves liberals is because conservatives hurt you with
the truth and liberals comfort you with lies.

BSD-jas ::

Ma, najbolj glupo pri Eksploderju je obiskovati kakšne forume (kot je npr. ST), kjer občasno kaj napišeš. Pol te pa skoraj ob vsakem kliku na back ali refresh nekaj sprašuje, in če ne paziš, kmalu pošiljaš naokrog kopije posta. OgnjeniPtič ™ 0.6, ki ga uporabljam, ima glede tega dosti več čebule v glavi, in odkar sem odkril možnost blokade popup oken, je pri deskanju ena velika nočna mora manj.

roko22 ::

Dr_M: se enkrat preberi moj post, kjer sem "odgovoril" oz. ti dal vsaj namig na tvoje vprasanje. Virusov, crvov in buge v programski opremi ne mores enaciti.

DMouse ::

Dr_M: v tem primeru patcha ne bo še en mesec. Za ta mesec MS namreč ne bo izdal nobenih popravkov...

Dr_M ::

DMouse: vem, sm vidu, zato pa sm pustu moznost, da se tut kdaj zgodi, da patcha neki casa po odkritju "luknje" ni.:)
The reason why most of society hates conservatives and
loves liberals is because conservatives hurt you with
the truth and liberals comfort you with lies.

Gandalfar ::

Full dobr to! Znana varnostna luknja, ki jo bodo popravl cez en mesec, uporabniki bodo pa rabili se efektivno en mesec, da si jo namestijo.

Ze tako traja celo vecnost, zdej pa k temu dodajmo se en mesec.

WhiteAngel ::

Jao jao, če pa ni IE en najbolj k*rc brskalnika, kr sm jih kdaj srečov. Vedno sm se prepričvov pa optimistično gledov na tale browser, da le ne more bit tko slab, pa da bo že boljš enkrat. Ha ha, ampak tale bug mi pa da vedt, da je IE res ena igrača za invalide že od samga začetka. Mislm, pa ker idiot si upa dat tak izdelk za default Windows internet browser, opala, kar sploh za vse browser. Mislm poooodn...

Bogi tisti, ki morjo delat v Windows hell environmentu. M$ sucked the big one this time.

Matri[X] ::

MyIE2 temelji na Internet Explorerju in je boljši od Opere ali Mozille. Edina slaba stvar je, da bugi v IE vplivajo tudi nanj.

mrTwelveTrees ::

prav boli me k**** za te lukne... pa nej vdirajo...

root987 ::

mrTweleveTrees: Če bi biv v podjetju in bi bila potencialno ogrožena varnost (zaupnih) dokumentov, bi še vedno govoril tako? Bi bil pripravljen tekmecem "servirati" podatke o xyz stvari?
"Myths which are believed in tend to become true."
--- George Orwell

Mr.B ::

Normalni uporabnik, domači mislim,
če ima vklopljen ICF, ter AV ki preverja prihajajočo pošto, po možnosti kak spam filter. Priporočam kak popup stoper, pa ne hodi na razne sumljive strani, se mu ni potrebno bati nobenih lukenj OS-a. Take uradne strani tudi nimajo okuženi datotek, za DL-jati.

Nikar ne bodite prepričani, da če mu inštaliraš Linux, je vseh težav konec. Ok imaš hitreje popravke to pa je tudi vse. Varnost pa je sorazmerna z uporabljenostjo OS-a. Uporabnik bo še manj znal pod linuxom updejtirati sistem.Samo statistično je manjša verjetnost udora na njegov računalnik. Katerikoli virus preko Epošte bo na wins računalniku naredil več škode, kot luknja v IE.

Moje mnenje je tako da se večina težav reši z inštalacijo konkretnega firewall-a. Noben, ki je imel ICF , ali kak podoben Firewall, ni imel težav z blastrom, in do takrat ko je bil blaster tudi na poročilih, je tak uporabnik prvič slišal za ta problem.
Tisti ki pa stopate direkt na internet, je pa zgolj za tiste profesionalce izguba časa, za začetniki pa učenje udora na računalnik.

Uporabnik, ni pomembno ali ima winse ali linuxe, ki gre na internet preko switcha z ADSL-jem, pa še dodatno aktivira NETbios, seveda file and print schering aktiviran kot seveda tudi klienta, je za katerega koli ki se malo spozna pravi hec vdreti v tak računalnik, če ti tak uporabnik pove še IP, bi mu zgolj iz veselja poslal kak massage za razvedrilo. A poznate orodje ki remote ugasne računalnik ? No v okno za info mu narediš copy past massage blaster virusa, boste videli kako bo hitro prišel jokat na tak in drugačen forum da se mu računalnik ugaša, ampak AV ne najde nič pametnega. To je iz ene teme slo-techa.

Mnogi so brali forume kako je Linux safe, pa so jim udirali v wins web serverje, pa so prešli na Linuxe. Pa so delali isto kot pod Winsi. Samo inštalirali, vse odprli in to je vse! O ja ceneje jim je prišla licenca, vse ostalo pa z istimi problemi.

Poanta je ta da realno ne boš imel težav s to določeno luknjo IE. Pa če tudi bo popravek čez pol leta. Tisti ki pa razne sumljive strani odpirati, pa je vaš problem. Vsaj omislite si kakšen conten scanner in firewall pa bo manj problemov. No viruse pa dobiš na lastni računalnik prej z epošto kot pa s takno luknjo v IE ali pa vdor preko njega. Le zakaj mi moj web strežnik detektira poizkuse vdora preko nimbde ? Zato ker za take loleke ni pomoči ne pod Linuxom in ne pod kakor drugačnim OS-om…
France Rejects Genocide Accusations Against Israel in Gaza,
To accuse the Jewish state of genocide is to cross a moral threshold

Mr.B ::

"
root987
mrTweleveTrees: Če bi biv v podjetju in bi bila potencialno ogrožena varnost (zaupnih) dokumentov, bi še vedno govoril tako? Bi bil pripravljen tekmecem "servirati" podatke o xyz stvari?
"

Kaj zaboga pa mora uporabnik hoditi na take web strani, ki to luknjo izkoriščajo. ?8-O
France Rejects Genocide Accusations Against Israel in Gaza,
To accuse the Jewish state of genocide is to cross a moral threshold

lorenz ::

he he saj ze dolgo pravim da je to parodija na browser in OS.

Paramedic ::

Hehe, zadnje čase sem uporabljal mozillo, zdej so me pa prsti spet zasrbeli, da bi probal kaj drugega še, pa sm probal še firebirda, ki je precej podobna, ampak mi je bolj všeč. Fajn ker ni nekega setupa, in dela kar na "horuk" :)). Opere pa ne bom sprobaval, ker je pol že too much!
IE pa uporabljam samo še s funkcijo Tools->Windows Update vsak teden :). Sicer mi je fajni, ampak si želim napredne funkcije (popupStop, tabs) brez kakih "MyIE" dodatkov. IE pa ne bi zbrisal, tud če bi bla možnost. Včasih pride prav.
End transmission.

BigWhale ::

> prav boli me k**** za te lukne... pa nej
> vdirajo...

Se dobr, da te ne boli hoorac, ker ti airbag v avtu ne dela, pa ker moras skoz okna not hodit, ker so kljuke na vratih pokvarjene...

:P

kockish ::

joj no spet "linux oh in sploh".

vkljucite si automatic updates in imejte firewall vklopljen. (oh, saj to je default)

roko22: ce bi tistemu na XP-jih pustil vklopljen ICF, ne bi bilo nobenih problemov.

Ce je za winse napisanih vec crvov/virusov, se ne pomeni da so slabsi.

Gandalfar ::

Pred to luknjo te firewall ne obvaruje .. ce naletis na enem forumu na en link oz. dobis po mailu in kliknes si ukanjen.. not cool :/

Mr.B ::

Če uporabniku dovoliš da odpre to stran.
France Rejects Genocide Accusations Against Israel in Gaza,
To accuse the Jewish state of genocide is to cross a moral threshold

jest10 ::

Če ne veš zanjo je tudi blokirati ne moreš

Mr.B ::

Primer računovodstva:
V računovodstvu gredo lahko na internet ampak le do strani kot so NLB, Celjska banka itd......
Kaj rabi dostop do www.slo-tech.com ?
France Rejects Genocide Accusations Against Israel in Gaza,
To accuse the Jewish state of genocide is to cross a moral threshold

Person ::

V bistvu je pa res:
Zaka za vraga pa bi moral hodit na neke underground www strani???
Pa zakaj je treba izključit firewall?

To je čist isto kot, da bi doma odprl vse vrata od bajte, pa šel mal mafiji na obisk.
(s pištolo v žepu, pa jim mal grozil)>:D
Let's make something useful!

ender ::

A je že kdo od vas kdaj čistil kakšen računalnik, ki je pripadal vodilnim v podjetju? Tisti v računovodstvu itd. res morda ne hodijo po kakšnih bolj sumljivih straneh, ampak višje kot greš, bolj zanimiv postaja history.

Glede firewalla: poizkusi uporabljat P2P programe z vklopljenim XP firewallom.

BTW, glede blasterja: Windowsi naj bi bili večopravilni sistem - zakaj za vraga se potem sesuje cel sistem, če crkne en serves?
There are only two hard things in Computer Science:
cache invalidation, naming things and off-by-one errors.

Road Runner ::

Pa zakaj je treba izključit firewall?

ker ga lahko samo vključiš in izključiš. firewall pomoje mora bit več kot to. mora dovoljevt zapiranje in odpiranje portov ipd. kako sploh deluje windows firewall? a ma block all incoming al kako? to se res nism nikol poglablu tko da če kkšna prjazna duša ve nj napiše :D

Person ::

tisti od windowsov je pač sam osnovna zaščita...
pa ma neke fore, sam da so čist na easy. Zdi se mi da lahk sam onemogočiš dostop do nekaterih storitev (FTP, IMAP, SMTP, Pop3, HTTP,...)

Pač lih tolk je, da blasterja ne dobiš, če nimaš kej boljšega ali updejta.
Let's make something useful!
«
1
2


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Resna varnostna pomankljivost v Mac OS X

Oddelek: Novice / Varnost
333471 (2232) klemen22
»

Samo Konqueror prestal varnostni test (strani: 1 2 )

Oddelek: Novice / Ostala programska oprema
685492 (5492) MrStein
»

Mozilla se je izkazala

Oddelek: Novice / Varnost
172565 (1532) BaRtMaN
»

Dvojni standardi pri kritiziranju varnosti operacijskih sistemov?

Oddelek: Novice / Varnost
262579 (2579) Microsoft
»

Virus, črv, luknja, virus, črv, luknja, luknja, luknja ...

Oddelek: Novice / Varnost
153000 (3000) BSD-jas

Več podobnih tem