neprihlásený Piatok, 3. júla 2026, dnes má meniny Miloslav
V Internet Exploreri 7 ďalšia chyba

DSL.sk, 25.10.2006


Dánska IT-bezpečnostná spoločnosť Secunia dnes upozornila už na druhú bezpečnostnú chybu v novom prehliadači Internet Explorer 7 vydanom len pred necelým týždňom.

Chyba je opäť druhého stupňa závažnosti z piatich, umožňuje útočníkovi po kliknutí užívateľa na linku otvoriť pop-up okno s útočníkom zvoleným obsahom, okno ale môže zobrazovať ako adresu stránky ľubovoľnú inú zvolenú URL adresu, napríklad www.microsoft.com.

Užívateľ tak môže považovať obsah pop-up okna podľa URL adresy za dôveryhodný, hoci bude generovaný útočníkom.

Takéto správanie IE 7 je možné dosiahnuť použitím špeciálnych znakov v URL adrese dokumentu pop-upu, čo spôsobí jej nesprávne zobrazenie. Otestovať si prejav tejto chyby je možné na stránke Secunie tu, správu Secunie o chybe je možné nájsť tu.

Chyba je už druhou chybou v novom Internet Exploreri 7, prvá zverejnená len niekoľko hodín po vydaní novej verzie umožňuje sprístupniť útočníkovi podvrhnutím škodlivého kódu v stránke obsah web stránok v iných oknách prehliadača užívateľa.

Prvá chyba je spôsobená nesprávnym spracovaním presmerovávanie URL s protokolom "mhtml:", podľa Microsoftu je ale chyba v skutočnosti v knižnici patriacej Outlook Expressu. Väčšina IT-bezpečnostných expertov ale považuje napriek vyjadreniu Microsoftu chybu stále za chybu Internet Explorera 7.



Najnovšie články:

Intel výrazne zvýšil ceny najnovších desktopových procesorov
V Poľsku budú mať 2.4 GWh a v Nemecku 5.7 GWh batériové úložiská, na Slovensku máme 20 MWh
Konkurent Starlinku má už dosť satelitov pre spustenie služby
Pokuta 4.1 miliardy pre Google za zneužívanie Androidu platí, rozhodol najvyšší európsky súd
Nová verzia OpenWrt opravuje vážne zraniteľnosti, odporúčané upgradovať
Používanie Blu-ray skončí aj na hry pre PlayStation
IBM vyvinula výrobu 0.7-nm čipov
Stanice STVR prejdú čoskoro do DVB-T2, zostanú bezplatné
Štandardné bezdrôtové nabíjanie smartfónov zrýchli na 50 Wattov
NASA zvažuje poslať na Mesiac testovaciu kópiu robotického vozidla pre Mars


Diskusia:
                               
 

no objavujte objavujte...
IE bude stale IE, ja mam radsej alternativu :)
Odpovedať Hodnotiť:
 

Ja som aj tak za IE!! Ano chiby maju a vela aj ine prehladace!! Skusal som uz vela alternativnych prehladacou ale IE je medzi nimy 1!
Odpovedať Hodnotiť:
 

chyby maju i alternativne prehliadace,len pri IE sa dostane do tlace hadam kazda..ved aj alternat.prehliadace kazdy mesiac cirka vydavaju updaty svojich verzii,kde zaplataju niekolko bezp.chyb.... explorer nepouzivam,ale skor zhladiska vyzoru a funkcii
Odpovedať Hodnotiť:
 

v tomto je vyhoda opensource - keby bol ie opens., tak by v nom uz polovica chyb nebola ... takto z toho tazi FF a opera
Odpovedať Hodnotiť:
 

Je jasne, ze bezpecnostne chyby sa najdu v kazdom prehliadaci, ale "rychlost" vydavania zaplat pri exploreri je zalostna
Odpovedať Hodnotiť:
 

A hlavne je strasne cool objavit chybu v IE7...cela banda hackerov aj ostatnych "bezpecnostnych" technikov nebude tyzdne spat a s rohlikom a s vodou budu zmurat do pocitaca aby ONI objavili chybu v DOKONALOM Internet Exploreri...no radsej pouzivam Firefox
Odpovedať Hodnotiť:
 

Chlapci, chlapci (a dievcata :) !!
Tato chyba je uplna kravina. Ked sa hocikde klikne, tie znaky sa opat ukazuju spravne. Je to jednoducho normalne zobrazenie KONCA adresy = medzier, ktory moze byt samozrejme hocijaky.

Secunia dni a noci nespi, aby si takymito volovinami narobili reklamu a potom zacnu predavat IE7Secure+ za $49.99
Lebo seci na to naletia.

Chyby tam isto su, ale TOTO = selekcia adresy chyba nie je, SORRY!
Odpovedať Hodnotiť:
 

fuuu...to uz aj na slovensku mame takychto bezpecnostnych expertov...? No super..prerazime do sveta :)
Odpovedať Hodnotiť:
 

no... az sa budes prihlasovat do InternetBankingu alebo e-penazenky, nakupvat cez net alebo co ja viem co, kde budes zadavat pristupove hesla k svojim financiam, tak si over, podla URL ci sa neprihlasujes na nejaku fake stranku tretich stran, ktora sa od teba snazi ziskat pristupove udaje... a az ti URL bude sediet a tebe neskor aj tak zmiznu peniaze, tak to nezvaluj na chybu v IE, lebo toto nie je chyba...
Odpovedať Hodnotiť:
 

No a aj keby, odchytia hesla, cez ktore sa dostanu k pasivnemu IB. K aktivnym operacia treba SecureID token alebo SMS kod. A tam im ani fake stranka nepomoze.
Predpokladam totiz, ze fake stranka nedokaze spravne zobrazit moje ucty, transakcie a zostatky, takze to by som si uz vsimol. Okrem toho, overeny certifikat mam ulozeny. Ak sa zmeni, browser sa pyta, ci ho ma akceptovat. Raz za rok (dva) je to plany poplach, lebo stary expiroval a banka ma obnoveny, ale potom je zase dlho pokoj.


Odpovedať Hodnotiť:
 

Mas pravdu, davajme hesla fake strankam bez strachu... aj tak mame GRID karty, SMS overovanie a ine...

Nie vsade a nie kazdy ma vseliake taketo overovania pripadne ich ma niekto z nam neznamych dovodov vypnute. Vid priklad e-gold, poznam ludi ktori tam maju tisice dolarov. Kazdy kto ma nejaku stranku podporujucu platby cez e-gold musi mat tieto somarinky vypnute lebo skript taketo veci nevie obist. Samozrejme ze ten doticny majitel uctu sa tam musi niekedy aj sam prihlasit, vtedy musi dbat na bezpecnost ale koli skriptu ma vypnute overovanie mailom a pod.

To ze nieco mas ty vyriesene jednoducho, to este neznamena ze kazdy to ma a musi mat tak...

btw fake stranka ak je premakana tak ti moze zobrazit stav uctu, lebo ty ked sa na nu prihlasis s fake udajmi tak skript sa moze s tymi istymi udajmi okamzite prihlasit na orig. stranku a zobrazovat ti udaje priamo z nej i ked v praxi som sa s tym este nestretol.
Odpovedať Hodnotiť:
 

Toto nie je chyba. Jediny problem je, ze to okno ma stanovenu sirku.
Inak ta cela "chyba" je v tom, ze %A0 nie je medzera (ktora sa vzdy od konca defaultne trimuje), ale tzv non-breaking space, cize pevna medzera (&nbsp). To je teda "chyba".
Naco je potom vymyslena &nbsp ??

Ak niekto zadava citlive udaje na stranku, ktoru nepozna a nepozrie si ju, tak je to jeho problem.
Sorry.
Vraj chyba...
Odpovedať Hodnotiť:
 

no sorry, ale ak URL sedi a stranka vyzera tak ako ma tak nemam dovod pochybovat o pravosti tejto stranky a s touto "nie chybou" IE to moze utocnik lahko vyuzit
Odpovedať Hodnotiť:
 

spoofovacie chyby su ale taketo, clovek nemoze pri kazdom zobrazenom okne preskumat, ci je vsetko ako ma byt a pre istotu vzdy kliknut na adresu stranky. kontrolovat to ma browser.

a v reale to dostane take iste percento ludi ako akakolvek ina chyba.
Odpovedať Hodnotiť:
 

Ak je toto chyba, tak secunia straca u mna kredit. Ak si kliknete do baru s adresou na tom popupe zistit, ze za tou adresou je vela medzier. preto sa cela adresa posunula (jasne dalo by sa to ihned trimovat), po kliknutie hocikde na stranku je adresa uz trimnuta...
proste...ze bezpecnostna chyba...
Odpovedať Hodnotiť:
 

s tym ze to nieje chyba sa mylis, vid moje predchadzajuce prispevky a to ze su to len medzery na konci URL je tiez omyl.

URL zacina ako: http://secunia.com/result_22542/?
Za tym je: %A0%A0 -%A0 nie je medzera. Je to specialny znak ale neviem aky, ale nie medzera, pretoze medzera je %20

Nasleduje fake adresa ktora je zobrazena: http://www.microsoft.com/

a zas zopar desiatok tychto znakov: %A0%A0%A0%A0%A0
akurat ze ich je asi 20x viac

poskladajte si to dokopy, celu URL napisat nemozem lebo najdlhsie slovo prispevku moze mat len 40 znakov...
Odpovedať Hodnotiť:
 

No ja som na to klikol v opere 9.02 aj FF2 a to okno sa otvorilo tiez.
Odpovedať Hodnotiť:
 

asi si dobre necital, ono okno sa ma otvorit, ale pozri si URL toho okna v opere ci FF a v IE7
Odpovedať Hodnotiť:
 

LENZE: V Opere sa pouzivatelovi zobrazi ako adresa toho okna SECUNIA !, nie MICROSOFT ...
Odpovedať Hodnotiť:
 

No na IE je to zatial slusny vysledok, 2 chyby do tyzdna :)
Odpovedať Hodnotiť:
 

hlupost ... pri 1280x1024 sa mi zobrazi http://secunia.com/result_22542/? http://www.microsoft.com/ ... odreze to len pri mensich rozliseniach, ktore uz ale takmer nikto nepouziva a rozhodne sa nejedna o bezpecnostnu chybu ... Secunia u mna skoncila ... toto je uz fakt trapne ...
Odpovedať Hodnotiť:
 

Ja používam 800x600. :-)) Kôli tomu, lebo dobre nevidím.
Odpovedať Hodnotiť:
 

To si hodil do normalneho okna tu konkretnu adresu. To okno musi vyskocit do pop-up cez skript a pri povolenych vsetkych skriptoch dokonca zablokuje natahovanie okna. Vtedy ma akurat taku sirku, ze vidno len tuto cast.
Inak -suhlasim- je to ale kravina. Strasna kravina.
Odpovedať Hodnotiť:
 

NECHAPEM, NACO TO TU FURT PISU A KYDAJU NA MRKVOSOFT...VED TO TAK BUDE VZDY KEDZE JE VYUZIVANIE CHYB A DIER V IE NAJLUKRATIVNEJSIE, BO HO POUZIVA VACSINA LUDI...AKY INFORMACNY ZMYSEL TO TEDA MA, KED NORMALNI LUDIA SI DAJU ALTERNATIVU ALEBO SI DOKAZU PC OCHRANIT AJ S POUZIVANIM IE (NECH TERAZ NEFRAJERIA NIEKTORI MUDRCI, ZE TO JE OMYL) BO NAJVACSI PROBLEM JE V TOM, ZE ZA PC SEDI KON KTOREMU JE TO JEDNO ALEBO SA O TO NESTARA A POTOM ZACNE BEDAKAT, MNE TO NEIDE, MNE TO VYHADZUJE CHYBY...ATD...
OSOBNE IE NEPOUZIVAM, ALE BEZUCELNE NAN KYDAT? CHLAPCI A (MOZNO) DIEVCATA...SA UVEDOMTE
Odpovedať Hodnotiť:
 

toto sa ma dost dotklo, lebo velka cast ludi ak si precitas prispevky kyda na to, co niektory nazyvaju chybou a niektory nie... riesi sa tu problem bezpecnosti a to, ze sa tu jeden clovek zacne narazat do IE a MS ti este nedava dovod MAT ZAPNUTY CAPS LOCK...
Odpovedať Hodnotiť:

Pridať komentár