» »

Varnostne luknje v IE6/SP2

Slashdot - Secunia je ponovna objavila opozorilo o kritičnih varnostnih luknjah. Tokrat je na udaru Microsoft Internet Explorer 6. Kritične napake je mogoče izkoristiti v sistemih z nameščenim drugim skupkom popravkov za Windows XP. Težave se pojavljajo v Microsoftovi ActiveX kontroli, ki dovoli skriptnim jezikom pisati poljubne datoteke na disk. V povezavi z ostalima dvema luknjama pa je mogoče tudi poganjati poljubne ukaze.

Preizkus ranljivosti vam bo hitro povedal ali ste tudi vi ranljivi. Varnostno podjetje predlaga kot rešitev napake zamenjavo brskalnika. Microsoft je bil obveščen o napaki 21. oktobra 2004.

53 komentarjev

strani: « 1 2

|bLaD3| ::

OMG ! Jst sem ranljiv :/

NoOrdinary ::

dobr, folderjov po disku ti ne serje... sej če tko pogledaš je IE u bistvu tko ko ene sorte java, vse živo lahko "sprogramiraš", sigurno je to microsfotov plan!!!1
brez ideje sem za podpis

mavec ::

Jest pa nisem ranljiv ker ne uporabljam bednega IE6 se manj pa SP2 ki je skropucalo od nule >:D . Mam SP1 toj pa tud use :D

HairyFotr ::

Sm slišov, d misljo ta tedn izdat nekj zelo kritičnih popravkov, sam se ne spomnm kje :8)

Sj vseen... mam itak Opero. :D

Predator ::

IE6, sp2, navaden account : ne zgodi se nič
Building a better mousetrap merely results in smarter mice.

NoOrdinary ::

predator a si pogledov na disk? mal čudn da se ne bi nč zgodil, glede na to da mam winXP, sp2 pa vse popravke do zdej, pa niti ne nucam IE drugač, pa vseen pali. pa piše da moreš za ta test met windowse u c:\windowse.
brez ideje sem za podpis

Predator ::

meni tale exploit dela samo, če sem logiran kot admin

mogoče mam v default acc kakšne čudne nastavitve, čeprav za ie dvomim, ker drugače uporabljam firefox
Building a better mousetrap merely results in smarter mice.

_Tom_ ::

WIN XPsp2 + AVANT browser (IE) + admin logon ---- ne zgodi se nič. Pa tudi drugi exploiti niso šli skozi....

Zgodovina sprememb…

  • spremenil: _Tom_ ()

ZaphodBee ::

Sn tud posebej za to priložnost zagnau ie6 pa mi je za trenutek odprlo help file ki je takoj zgino (nimam win pod c....)
To so pa hude bede si privoščli...
Mislim da bom še bol se oklepo totega firefox-a...

Zgodovina sprememb…

Ziga Dolhar ::

Predator, greva ustanovit klub "Ne-uporabljam-administratorskega-računa" windows userjev? >:D
Legal systems are not supposed to be efficient. They are
designed to ensure that innocent people are not found guilty.
If that requires inefficiencies, so be it.

gumby ::

hja, v XP-jih je 99.9999% folka adminov. ker drugace igrice ne delajo. baje. 99,9854% folka pa itak ne loci med admin in navadnim racunom. 99.923% niti ne ve, kaj je to admin racun...

seveda tole zelo blagodejno vpliva na siritev raznih virusov/crvov/exploitov/karkoli

Gandalfar ::

Sej ni panike. Itak je sam 3 mesce stara luknja. Microsoft efektivno popravlja napake >:D

darkolord ::

Vazno da meni ne dela ta luknja...
spamtrap@hokej.si
spamtrap@gettymobile.si

Trinitron ::

Jst ne poznam nobenga človeka, k uporabla windowse, pa ne ve, kaj je Admin account. Tok butasti pa spet nismo windows uporabniki. Sicer pa je men, takoj k sm pršu na tisto testno stran, norton reku, da je odkril virus in tko naprej. Zgodil se ni nič...

Zgodovina sprememb…

gfighter ::

He, jst pa poznam najmanj 10 takih ljudi samo v moji vasici, BoguZaLeđima... Ah, kje 10, vsaj 20 al pa rajš več (pa da ne bo kakšnih neumnih pripomb, vsi vejo, kaj je računalnik in ga celo uporabljajo)
Catapultam habeo. Nisi pecuniam omnem mihi dabis, ad caput saxum immane mittam

Mr.B ::

99.9% niti ne ve da obstja, kaj šele da bi mu nastavili password
Večina v PRIVATNEM Sektorju ni tako dobro plačana,
kot se s pogromom nanje skuša prikazati, številke iz,
konteksta so brca mimo in so za 20% pod zagotovljenim minimalcem.

Predator ::

sej zato pa majo nas, da se jim to nastavi, vsili kaksen alternativni brskalnik, antivirus, vklopi firewall pa recimo mshtml.dll blokira :)

/edit mislim, da smo zašli offtopic
Building a better mousetrap merely results in smarter mice.

gazda ::

Zanalasc se logiral kot root.

Windows 2003/IE6 : nic
Windows XP SP2 : nic

Kje so ze buggy? Vse kar rabis je imeti high security nastavitve in nikoli ni nic (ali seveda .. firefox :) )

Kot zanimivost pa se tole, kaj se zgodi ce dam view source na strani (symantec antivirus corporate):
Scan type: Realtime Protection Scan
Event: Virus Found!
Virus name: Bloodhound.Exploit.21
File: C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\861BEAON\www.jmcardle[1]
Location: Quarantine
Computer: INTSERVER35
User: Administrator
Action taken: Quarantine succeeded : Access denied
Date found: 9. januar 2005 13:07:48

Krofojed ::

Meni tudi brez view source Norton antivirus javi virus in ne dovoli odpiranja strani (najbrz zato, ker nimam ravno najbolj paranoicnih nastavitev IE).

Vlady ::

Ja sej v XP-jih ne moreš skor nič zagnat, če nisi prijavljen kot administrator...:\
"Lotereya - naibolee točnyj sposob učeta količestva optimistov"

Ziga Dolhar ::

;)
Legal systems are not supposed to be efficient. They are
designed to ensure that innocent people are not found guilty.
If that requires inefficiencies, so be it.

dëych ::

XP SP2:
ni važn pod kaj si prijavljen, v obeh primerih nardi tisto mapo. :\

3p ::

Ne vem. Meni se je antivirus zbunil. A ostali pa ste vsi brez?

Azrael ::

MyIE2, Win98, se ne zgodi nič, edino AV javi opozorilo.

LP, Azrael
Nekoč je bil Slo-tech.

Myth ::

Nič ni najdlo... Očitno imam že od nekdaj srečo z Windowsi ali pa sem tak hudičevo pameten. >:D :D
¤ Space is Mystery. And Myth is on Earth. ¤

MrStein ::

Ziggga , kaj pa klub "1000 hekerjev, ki fiksajo programe, ki ne delajo kot ne-admin" ? ;(

Sicer jaz laufam vse kot ne-admin, ampak zraven pa mam kanister rujnega, za kompenzacijo živcev, ki jih zgubim s temi bedastimi programi...

On topic :
Sem probal test pa javi napako na strani ko kliknem link "Test Now". Dir na C: se NE kreira. Je pa res da laufam z K: diska ne pa C:, čeprav je na C: tudi ena instalacija.

Windows 2003, ne-admin, vsi updati.
Je mogoče kaki test, ki dela tudi z ne-C: instalacijo ?

PS: Žal pa tisti test, ki ti bluskrina PC še kako dela :-(

Popravek : Zdaj sem še probal ta test, pa mi Sophos javi, da je onemogočil dostop do tega-in-tega fajla, ker je okužen z virusom Exp/Phel-A.
Teštiram če delaž - umlaut dela: ä ?

Zgodovina sprememb…

  • spremenil: MrStein ()

Microsoft ::

Tole bo z ostalimi brskalniki primerljivo, ko bodo imeli ActiveX.


by Miha
s8eqaWrumatu*h-+r5wre3$ev_pheNeyut#VUbraS@e2$u5ESwE67&uhukuCh3pr

MrStein ::

Ah, misliš ob Svetem Nikoli ? ;)

Če pa imaš kake podatke o planirani uvedbi ActiveX v druge browserje pa povej.
( sorry, če gre za splošno znano dejstvo, jaz to prvič slišim )
Teštiram če delaž - umlaut dela: ä ?

NoOrdinary ::

se prav to skorda ni bug, ker je kriv activeX. ok, poj pa ni sranje IE, ampak activeX, IE zarad tega ni nč bolši....
brez ideje sem za podpis

Gandalfar ::

ActiveX je tko bolj bedno vgrajevat v druge browserje, ker je Win only tehnologija in ni Microsoftu v interesu, da bi se kje drugje tekla..

Microsoft ::

Lahka pa testirate tako, da ActiveX popolnoma disjeblas, pa je.


by Miha
s8eqaWrumatu*h-+r5wre3$ev_pheNeyut#VUbraS@e2$u5ESwE67&uhukuCh3pr

ahac ::

Men ne dela. Nimam C: particije. ;)
This post is awesome. I should get a medal.

BendeR ::

Negative on that security hole Huston. Kdaj se bodo ljudje naučili, da se ne logirat kot admin. :\
:=)

AndrejS ::

WinXP , SP2, vsi popravki IE. Logiran kot admin. Ko klikenm link mi javi error on page ?
Aja... Activex mam disablan, že dolgo...
Saj to je že dolgo znano da je activeX nevaren , potem pa kr bugi za njega ven hodijo, namesto da bi en napisal da je activeX en sam bug

Gandalfar ::

AndrejS: tko se pa nismo zmenili. Microsoft je pa ja najboljsa firma. Kako si sploh upas namigovati, da imajo izdelek ki je ze nekaj let buggy in nevaren in da ga se niso popravili? Heretik!

gazda ::

ActiveX ni en sam bug, ampak je cisto ok stvar. Samo ljude se morajo navaditi da bi v IEju morale biti nastavitve da se noben activex ne zazene sam (torej vedno prompt) in da se nepodpisanih activex-ov sploh ne da zagnati. Tako bi bila cisto ok. (seveda so obcasni bugi, ampak vecinoma so problemi zaradi preslabih varnostnih nastavitev, ki bi bilo bolje ce jih IE sploh ne bi podpiral).

ahac ::

BendeR: Če test ne dela, če nisi admin še ne pomeni, da noben exploit ne dela. Sej ni nujno, da ti dostopa do c:\windows\ .. lahko tudi do datotek do katerih imaš kot navaden user dostop (recimo tvoj pr0n collection). ;)
This post is awesome. I should get a medal.

ginekolog ::

u fak, huda luknja :(

Maxthon je tudi rannjiv zgleda 8-O bodo že zrihtali... samo bad vseeno.
Divers do it deeper.

Zgodovina sprememb…

NoOrdinary ::

gine, stran dela v ff, tko da je problem na tvoji strani. bol me zanima kva počneš tm, bolnik :)
brez ideje sem za podpis

AndrejS ::

@Gandalfar: Se opravičujem ker sem se narobe izrazil. ActiveX je MS izdal da bi bil njihov brskalnik zmogljivejši od ostalih. Je res zelo dobra stvar, toda žal zaradi teh zmogljivosti je postal nevaren ker prihaja do zlorab njegovih zmožnosti.

alesrosina ::

@Gandalf & ostali k nucate winXP z limted userji ....
namrec jst mam problem, sej sm ze okol sprasvou pa nekak noben ne ve kej bi blo, in sicer ko kreiram v WinXP limted userja, se le-ta ne more prijavit (tukile se printscreen errorja: KLIK). Poskusil sem ze marsikaj, ampak samo ce je user admin deluje. Mam pa WinXP SP2 z vsemi poravki (automatic update). Ksn predlog?

pa sori za offtopic :)
www.shelastyle.net

Gandalfar ::

ASPmaster: se nikoli v zivljenju nisem uporabljal XP-jev za workstation na kaksni od mojih masin :>

Ziga Dolhar ::

ASPMaster: probi tole

Ko sem jaz uporabljal WinXP z limited userjem, nisem imel "Welcome" zaslona, ampak klasično prijavno okno [zaradi prijave v domeno] in tega problema nisem imel. Zdaj sem na w2k3 in enako ni težav.
Legal systems are not supposed to be efficient. They are
designed to ensure that innocent people are not found guilty.
If that requires inefficiencies, so be it.

Zgodovina sprememb…

BigWhale ::

> Jst ne poznam nobenga človeka, k uporabla windowse, pa ne ve, kaj je Admin
> account. Tok butasti pa spet nismo windows uporabniki.

Imas prav. Povprecje je precej bolj butasto. Niti ne vedo kaj je account.

M.B. ::

Jaz pa poznam kakšnih 20 ljudi, ki ne vejo kaj je račun, ki si downloadajo IRC pa iščejo tabulator tipko med meniji. Pa še kako ki ne ve, ki je presledek in pišejo tekste brez njega..
Everyone started out as a newbie.
Sadly only a handful ever progress past that point.

Poldi112 ::

Ja, saj to vemo. Ampak potem namigovati, da je ActiveX ok, ce te vprasa, je pa smesno, ce ves da bo 96% ljudi samo kliknilo ok. Ni efekta.
-------------------------------------------------
Nočem foto avatarja. Hočem risan avatar.
-------------------------------------------------

alesrosina ::

Ziggga: hm, nič pametnega ni. To z domeno je nekaj čisto drugega, tko da ne vem. Mogoče še kakšen predlog?
www.shelastyle.net

ahac ::

Ja, večina tistih, ki znajo uporabljat browser itak ni na IE. Ostajajo večinoma samo še ovce za katere je pa vseeno kaj jih browser vpraša.. v vsakem primeru jim bo uspelo klikat tako, da bodo kmalu imel viruse, spyware, ... :O
This post is awesome. I should get a medal.

Myth ::

ahac, ne meči vseh v en koš... ;((
¤ Space is Mystery. And Myth is on Earth. ¤
strani: « 1 2


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Windows XP - težave pri zagonu

Oddelek: Operacijski sistemi
81073 (1042) LordPeter
»

Windows XP - težave z zagonom

Oddelek: Operacijski sistemi
61947 (1789) SebaR
»

Nova luknja Internet Explorerja

Oddelek: Novice / Brskalniki
371598 (1598) Gigabit
»

Odkrita varnostna luknja v vstavku Java

Oddelek: Novice / Varnost
171609 (1609) CWIZO
»

Mozilla se je izkazala

Oddelek: Novice / Varnost
171620 (587) BaRtMaN

Več podobnih tem