• Strona główna

---

• Aktualności
• Newsletter
• Nowe produkty
• Testy

• SIECI KOMPUTEROWE
• BEZPIECZEŃSTWO
• TELEKOMUNIKACJA
• APLIKACJE I SYSTEMY OPERACYJNE
• SERWERY I PAMIĘCI MASOWE
• RYNEK
• UPS I ZASILANIE
• ZARZĄDZANIE SIECIAMI

---

• PRZEGLĄD PRODUKTÓW SIECIOWYCH 2008
• PORADY
• Opinie, Felietony, Wywiady
• Forum
• Programy
• Seminaria
• Whitepapers
• Suplementy
• Kompendium
• Archiwum
• Prenumerata

• Ekspert Forum

Wojciech Labocha

Sieci: Ekspert D-Link odpowiada...

Pozostali eksperci
-- wybierz-- AOC ArcaBit Cube Group Dagma: Antywirusy Dagma: Firewalle ITL Polska Kei.pl MediaRecovery Microsoft MKS OpenOffice Polska Performance Media Performance Media Quantus: AVG

IE6 - kolejna luka '0 day'?

27 czerwca 2008 14:05

Daniel Cieślak

Grupa chińskich hakerów o nazwie Ph4nt0m Security Team poinformowała o wykryciu nowego, niezałatanego błędu typu cross site scripting w zabezpieczeniach przeglądarki Internet Explorer. Ich zdaniem, luka ta pozwala przestępcom na m.in. przechwytywanie wszystkich znaków w oknie przeglądarki wpisanych z klawiatury.

Z pierwszych informacji wynika, że problem dotyczy tylko Internet Explorera w wersji 6 - wydania 7 oraz 8 (beta) nie są zagrożone. Zdaniem jednego z analityków firmy McAfee, nowa luka może być wariantem błędu opisanego miesiąc temu na konferencji BlueHat (zorganizowanej przez Microsoft) przez cenionego specjalistę ds. bezpieczeństwa - Manuela Caballero.

Caballero, który swego czasu pracował dla Microsoftu jako ekspert od testów penetracyjnych, zdawkowo opisał podczas swojej prezentacji metodę wykradania danych wprowadzonych w oknie przeglądarki internetowej. Co ważne, owa metoda miała być skuteczna w każdej przeglądarce z plug-inem Flash (do skorzystania z niej niezbędne było uruchomienie specjalnego złośliwego skryptu).

Chińscy hakerzy postanowili najwyraźniej bliżej przyjrzeć się temu problemowi i na własną rękę odkryli metodę wykorzystania luki do ataku na Internet Explorera. Członkowie "Ph4nt0m Security Team" przygotowali już nawet odpowiednio exploita, ilustrującego przebieg ataku.

Informacja ta została już zweryfikowana i potwierdzona przez specjalistów z duńskiej firmy Secunia, specjalizującej się w monitorowaniu informacji o lukach w popularnym oprogramowaniu. Z ich analiz wynika, że błąd związany jest z walidacją danych wprowadzonych do przeglądarki (może on doprowadzić do tego, że skrypt osadzony na potencjalnie niebezpiecznej stronie zostanie uruchomiony z takimi samymi przywilejami, jak skrypt na witrynie zaufanej).

Secunia potwierdza także, że problem nie występuje w IE7 - dlatego firma zaleca użytkownikom przeglądarki Microsoftu zainstalowanie tej wersji programu (i korzystanie z niej przynajmniej do momentu, w którym koncern z Redmond przygotuje odpowiednią poprawkę dla IE6).

O problemie zostali już poinformowali przedstawiciele Microsoftu - jednak firma na razie nie komentuje tych doniesień. Nie wiadomo więc czy i kiedy powstanie poprawka usuwająca nową lukę w IE6.

Komentarze

Redakcja NetWorld nie ponosi odpowiedzialności za wypowiedzi Internautów opublikowane na stronach serwisu oraz zastrzega sobie prawo do redagowania, skracania bądź usuwania komentarzy zawierających treści zabronione przez prawo, uznawane za obraźliwie lub naruszające zasady współżycia społecznego. Osoby zamieszczające wypowiedzi naruszające prawo lub prawem chronione dobra osób trzecich mogą ponieść z tego tytułu odpowiedzialność karną lub cywilną.

• Liczba zatwierdzonych komentarzy (10) |
• dodaj komentarz |
• zobacz wszystkie