Neopravenej chybe v IE vystavené milióny ľudí, zneužívaná na porno stránkach

DSL.sk, 15.12.2008

Spoločnosť Microsoft aktuálne upozornila, že vážna zatiaľ neopravená bezpečnostná chyba v Internet Exploreri zverejnená minulý týždeň je masívne zneužívaná na Internete.

Podľa odhadu Microsoftu mohlo web stránky zneužívajúce túto chybu navštíviť už 0.2% všetkých užívateľov Internetu.

Pri odhadovanom počte 1.3 miliardy užívateľov Internetu mohlo tak byť chybe vystavených 2.6 milióna užívateľov.

Chyba sa podľa informácií Microsoftu zneužíva napríklad na stránkach s obsahom pre dospelých, do odstránenia bol exploit kód prítomný ale napríklad aj na stránkach populárneho taiwanského vyhľadávača.

Chyba typu pretečenia buffera v heape sa nachádza v knižnici MSHTML.dll a je zneužiteľná cez DHTML Data Binding. Na rozdiel od pôvodných zistení sa chyba nachádza vo všetkých podporovaných verziách Internet Explorera.

Proti súčasným útokom sa je možné brániť znemožnením prístupu k MSHTML.dll cez OLEDB, proti zneužívaniu chyby samotnej potenciálne iným útokom sa je možné brániť len aktivovaním DEP pre IE 7, nastavením bezpečnostnej zóny pre Internet na High respektíve zakázaním Active Scriptingu alebo jeho nastavením na pýtanie si povolenia pri každom spustení aktívnych prvkov. Iba v beta verzii Internet Explorera 8 je možné Data Binding vypnúť.

Zhrnutie všetkých možných opatrení, ktoré zabraňujú súčasným známym útokom a potenciálne sťažujú iné útoky zneužívajúce danú chybu, Microsoft zverejnil v tomto príspevku.

Ďalším riešením je nepoužívanie prehliadača Internet Explorer do opravenia chyby.

Kompletné informácie o chybe MS prináša tu, kedy bude chyba opravená nie je zatiaľ známe.




Najnovšie články:



Diskusia:

....... Od: ......... | Pridané: 15.12.2008 14:31 Já bych všechny ty pretečený buffery zakazala. Odpovedať Známka: 8.1 Hodnotiť:

Re: ....... Od: den | Pridané: 15.12.2008 16:27 100 bodov - dajte tej slecne kladivko nech ten zakaz odklepne :-)))))) Odpovedať Známka: 7.3 Hodnotiť:

Re: ....... Od: cca1 | Pridané: 16.12.2008 8:47 Od slečny by som očakával skôr zákaz porna. Odpovedať Známka: -6.0 Hodnotiť:

Re: ....... Od: nekomimi_ga_suki_da | Pridané: 16.12.2008 9:28 Prečo? Odpovedať Známka: 3.3 Hodnotiť:

skodoradost? asi. Od: rms | Pridané: 15.12.2008 14:36 Myslim si, ze to je pekne zadostucinenie pre IE pouzivatelov. Odpovedať Známka: 8.1 Hodnotiť:

amatéri Od: Ja. | Pridané: 15.12.2008 14:42 To koľko im trvá vyriešenie takejto chyby, pre boha?! Ďalším riešením je nepoužívanie prehliadača Internet Explorer NIKDY!!! Odpovedať Známka: 8.5 Hodnotiť:

Re: amatéri Od: 3ton | Pridané: 15.12.2008 15:22 ... IT IS NOT A BUG .. IT IS THE ADVANTAGE... Odpovedať Známka: 6.9 Hodnotiť:

Re: amatéri Od: nepocul | Pridané: 15.12.2008 15:31 takto som to este nepocul skor IT`S NOT A BUG ... IT`S A FEATURE Odpovedať Známka: 9.1 Hodnotiť:

Re: amatéri Od reg.: Spiro | Pridané: 15.12.2008 16:11 keď t potom chceš zo systému dostať tak normálne už advanture XD Odpovedať Známka: 5.9 Hodnotiť:

Re: amatéri Od: aleluja | Pridané: 15.12.2008 18:04 Alebo adventure ... Odpovedať Známka: 5.2 Hodnotiť:

Re: amatéri Od: mylankooo | Pridané: 15.12.2008 17:16 V pripade MS to nie je bug, feature ani advantage, ale STANDARD! :P BTW. Dalsia tema, v ktorej su len same zelene prispevky?:D Odpovedať Známka: 8.9 Hodnotiť:

Re: amatéri Od: rms | Pridané: 15.12.2008 19:24 nie je Odpovedať Známka: -7.9 Hodnotiť:

Re: amatéri Od: TTTT | Pridané: 15.12.2008 21:05 jediny standart ktory MS dodrziava Odpovedať Známka: 7.3 Hodnotiť:

????? Od: :) :) | Pridané: 15.12.2008 14:44 kde mozme zohnat vzorku? Odpovedať Známka: 7.6 Hodnotiť:

Re: ????? Od: Zmurko | Pridané: 15.12.2008 16:24 Vzorku coho? Toho porna? Zadaj do stryca Googla heslo "xxx". Odpovedať Známka: 7.7 Hodnotiť:

je to tazke Od: tazke | Pridané: 15.12.2008 14:48 je to tazke, ked sa najde m$ backdoor v IE ;) to je problem opravit :D Odpovedať Známka: 8.3 Hodnotiť:

tak im treba Od: lamka2 | Pridané: 15.12.2008 14:58 pozerat pornostranky s IE to je vyborny navod ako si zasrat PC :-D Odpovedať Známka: 8.1 Hodnotiť:

Re: tak im treba Od: Ja. | Pridané: 15.12.2008 15:00 Ale grády tomu dodáš, ak budeš browsovať ako admin Odpovedať Známka: 8.4 Hodnotiť:

Re: tak im treba Od reg.: kane777 | Pridané: 15.12.2008 15:32 chcem teraz otestovat, nainstalujem si win do virtualneho stroja a uvidim kolko havede sa chyti :D Odpovedať Známka: 6.7 Hodnotiť:

Re: tak im treba Od: 567567 | Pridané: 15.12.2008 15:42 Budes sa smiat do chvile kym sa neobjavi chyba vo virtualizacnom softveri ktory pouzivas... Odpovedať Známka: 9.1 Hodnotiť:

Re: tak im treba Od: ARnyXXX | Pridané: 15.12.2008 15:45 Tak to budem zvedavy nakolko je ta haved multiplaformna ;) Odpovedať Známka: 7.6 Hodnotiť:

Re: tak im treba Od reg.: Alino | Pridané: 15.12.2008 17:34 lol to uz su jake eroticke praktiky, browsovat v IE a onanovat az kym sa nepokazi virtual box. Odpovedať Známka: 8.9 Hodnotiť:

Re: tak im treba Od: adminko LL | Pridané: 16.12.2008 4:24 tak to si moc neužiješ.. :D Odpovedať Známka: 7.8 Hodnotiť:

Re: tak im treba Od: Zmurko | Pridané: 16.12.2008 10:34 Ale uzije. Len si musi poriadne svihnut, taku rychlovecku. :P Odpovedať Známka: 6.7 Hodnotiť:

zaplaty Od: Tomiboyko | Pridané: 15.12.2008 15:10 no a teraz musia použivatelia čakať do prvého utorka v januári ako to ma ms vo zvyku:D takže kolo 6januara 2009 by mohli vydať záplatu:D neviem inak prečo ma ms tento system.."mame zaplatu ale vydame ju len o tri tyždne v prvý utorok v mesiaci ako máme vo zvyku..." (a stavím sa že konkretne tuto ešte ani nemaju) Odpovedať Známka: 8.9 Hodnotiť:

Re: zaplaty Od: prave preto | Pridané: 15.12.2008 15:32 >> mame zaplatu ale vydame ju len o tri tyždne v prvý utorok v mesiaci ako máme vo zvyku..." (a stavím sa že konkretne tuto ešte ani nemaju) prave preto :) Odpovedať Známka: 8.3 Hodnotiť:

pronnn Od: enx | Pridané: 15.12.2008 16:04 najkrajšia veta: "Ďalším riešením je nepoužívanie prehliadača Internet Explorer do opravenia chyby." :-D - a ďalším riešením je nepoužívať IE vôbec ;-) Odpovedať Známka: 8.4 Hodnotiť:

Re: pronnn Od: aleluja | Pridané: 15.12.2008 18:07 tak to +100 bodov tomu rieseniu. To mi pripomina ten film, ako sa to len volalo, Marecku podejte mi pero? Ak nie opravte ma, Co sa tam ten stary pytal, "Vsatanu o paty a pak uz neusnu" "No to ja nespim uz od treti" "Nemuzu vstatz postele" "Tak to potom nevstavej!" Odpovedať Známka: 4.4 Hodnotiť:

Re: pronnn Od: Accuphose+ | Pridané: 15.12.2008 20:53 To je z filmu vesničko má středisková http://acc.tym.cz/16.mp3 Jak se to dělá, aby to na tinypic přesměrovalo na zdroj? Odpovedať Známka: 7.1 Hodnotiť:

Hehe, porno Od reg.: Arthur von Fofot | Pridané: 15.12.2008 16:07 Stačí nepozerať porno a 90% vírusového, exploitového, červového aktovieešteakého rizika je v ťahu :D Odpovedať Známka: -2.6 Hodnotiť:

Re: Hehe, porno Od: anonym | Pridané: 15.12.2008 16:42 ale potom nepotrebujes ani internet :D no..kazdopadne obdivujem M$ .... Vista nie je pomala, len tam treba vsetky veci, ktorymi sa M$ tak pysil vypnut.... sak vlastne ani IE neni taky nebezpecny... ono staci ked si tam das ochranu na MAX. a vtedy ti tam miesto 90 virusov prejde uz len 56,243 ...omg... get real people!! .. kupte si Mac alebo si stiahnite Linux... Odpovedať Známka: 6.5 Hodnotiť:

Re: Hehe, porno Od reg.: Alino | Pridané: 15.12.2008 17:37 potom mi nepojdu new hry ktore su len "Games for windows" ;[ m$ smradlavy monopol. Odpovedať Známka: 8.9 Hodnotiť:

Re: Hehe, porno Od reg.: XAPOH | Pridané: 15.12.2008 23:34 ale budes moct vpohode pozerat porno :D Odpovedať Známka: 10.0 Hodnotiť:

Windows su fajn ;-) Od: jo2X | Pridané: 15.12.2008 17:46 Nech radšej Mikrosoft nič neopravuje. Celý víkend som sa s... s inštalovaním Visty a Adobe CS4. Nainštalujem, ide, chvíľu beží a zrazu prásk, modrá obrazovka na parádu a furt dokola. Nakoniec som jej zakázal aktualizácie a kua už beží. Ale celý víkend som rozmýšlal, prečo som prestal robiť na síce predražených, ale funkčných jablkách Odpovedať Známka: 8.6 Hodnotiť:

Re: Windows su fajn ;-) Od reg.: OmeGa | Pridané: 15.12.2008 19:02 lebo zacali hnit? :) Odpovedať Známka: 5.5 Hodnotiť:

Re: Windows su fajn ;-) Od: cca1 | Pridané: 16.12.2008 8:49 Prečo si stále myslíš, že sú predražené, keď sú funkčné? Odpovedať Známka: 10.0 Hodnotiť:

Re: Windows su fajn ;-) Od: cca1 | Pridané: 16.12.2008 8:50 Radšej by si mal prestať pracovať na tých lacných šmejdoch. Odpovedať Známka: 10.0 Hodnotiť:

iExplorer Od: aleluja | Pridané: 15.12.2008 18:03 A tam to mate IE-kári... Kazdy, okrem kazdeho siedmeho, teenagera az under 30tnika si pozera porno stranky cez super hyper cool modre ako nebo IE a mysli si ze "Ja ten virus (HIV) nedostanem". A teraz sa zhlboka smejem prave tymto hardcore uzivatelom. Odpovedať Známka: 6.0 Hodnotiť:

Re: iExplorer Od: Ja. | Pridané: 15.12.2008 18:48 Možno ich vzrušuje aj to nebezpečie :D Odpovedať Známka: 9.0 Hodnotiť:

Re: iExplorer Od reg.: Alino | Pridané: 15.12.2008 19:19 hmm ja mam 17, a vacsina mojich kamaratov ma firefox alebo operu, vo veku to ani moc neni. Je to skor asi preto ze som ich poucil aky je IE na <>. Ludia by aj presli, len vedia howno, a tie lamacke programy su sucastou windowsov... chcelo by to billboardy s firefoxom, ze je bezpecnejsi a celkovo lepsi. Keby namiesto toho smiesneho BSA existovala dalsia neexistujuca organizacia na slovensku ktora by si prenajala billboardy na ktore by pisali o alternativach a open source, hned by to tu vyzeralo inac. Odpovedať Známka: 8.2 Hodnotiť:

Re: iExplorer Od: vivi | Pridané: 15.12.2008 19:46 By si sa divil kolko uzivatelov existuje, ktori o niecom ako "browser" ani nechyruju. ....internet ? ahaaa, to je ta modra ikonka "e" na ktoru kliknem .... Odpovedať Známka: 10.0 Hodnotiť:

Re: iExplorer Od: drakan | Pridané: 15.12.2008 21:55 Ked budes starsi, tak pochopis ze niektori ludia by aj pouzivali iny browser, ale su nuteny pouzivat IE - poliky vo firme ;) Odpovedať Známka: 0.0 Hodnotiť:

Re: iExplorer Od: drakan | Pridané: 15.12.2008 21:56 ups *politiky Odpovedať Známka: 4.3 Hodnotiť:

Re: iExplorer Od reg.: FAbi2 | Pridané: 15.12.2008 22:10 A načo máš portable verzie? Zasa... Nie všetky firmy majú odblokované USB:] Ale predsa portable sa dá aj stiahnuť... Odpovedať Známka: 10.0 Hodnotiť:

Re: iExplorer Od reg.: Alino | Pridané: 15.12.2008 22:21 Aj ja som nuteny pouzivat IE, hoci mi to neprikazuje sef, ale niektore redakcne systemy a podobne, sa zobrazia len pod IE. Tu chvilku to vzdy vytrpim. A keby som musel robit na firemnom kompe zo zakazom instalacie akehokolvek softu, tak firefox portable ktory nosim na kluci to isti. Odpovedať Známka: 10.0 Hodnotiť:

Re: iExplorer Od: aleluja | Pridané: 15.12.2008 22:24 A firefox + IE extension by nesiel ? Odpovedať Známka: 10.0 Hodnotiť:

Re: iExplorer Od reg.: Alino | Pridané: 15.12.2008 23:46 o tom som ani nevedel, diky i ked stale to je engine z IE, a citim nebezpecie :) https://addons.mozilla.org/sk/firefox/addon/1419 Odpovedať Známka: 10.0 Hodnotiť:

gsdfgsdfgsdfg Od: fdgsdfgsdfgsd | Pridané: 15.12.2008 20:16 ja si na tieram na chleba lunex, takze mi nevadi ziadna haved... Odpovedať Známka: -2.6 Hodnotiť:

Re: gsdfgsdfgsdfg Od: Zmurko | Pridané: 16.12.2008 10:42 No na tri si tam aj lexus. alebo na styri? Odpovedať Známka: 10.0 Hodnotiť:

windows Od: Tupcek | Pridané: 15.12.2008 23:00 u inych vyvojarov cakame na datum vydania novej hry, softwaru, pripadne filmu, albumu a pod. u microsoftu na dalsiu zaplatu...tato konkrente ma datum vydania Q4/2009 Odpovedať Známka: 10.0 Hodnotiť:

vydavanie zaplat ... Od reg.: Uhlik | Pridané: 16.12.2008 8:16 si ludia trosku aj uvedomte, ze Windows je na podstatne vacsom pocte PC a vacsinou aj na podstatne dolezitejsich ako su ine OS, preto si Microsoft nemoze dovolit len tak vydat na druhy den aktualizaciu, ale musia dokladne otestoavat dopad tejto aktualizacie ... ked mi po update kernelu nenabootoval linux, tak som si zanadaval, ale kedze je zadarmo, tak som to pekne vratil naspat a cakal som na opravu tej opravy, avsak Microsoft si taky preslap dovolit nemoze a preto ma prisnejsi kontrolny proces na vydavanie aktualizacii a nakoniec, tato aktualizacia bude vydana mimo pravidelneho mesacneho cyklu, takze poprosim nepindat ... az budete niekto vyvyjat softver pre miliardy ludi, tak sa tu mozete vyjadrovat o tom, ake rychle ci pomale su procesy vydavania aktualizacii ... Odpovedať Známka: 5.4 Hodnotiť:

Re: vydavanie zaplat ... Od: ppppppppppppp | Pridané: 16.12.2008 8:33 A práve preto asi každého normálneho človeka šokuje, ako je možné, že soft, ktorý používa toľko miliónov ľudí je taký deravý, nebezpečný a nespoľahlivý, a ešte si zaň nechávajú mastne platiť! Veď to je na kriminál, takéto nehanebné okrádanie a podvody! Odpovedať Známka: 5.6 Hodnotiť:

Re: vydavanie zaplat ... Od: misoooo | Pridané: 16.12.2008 8:37 ukaz mi softver ktory neni deravy... Odpovedať Známka: 7.5 Hodnotiť:

Re: vydavanie zaplat ... Od: Biglama-neprihlaseny | Pridané: 16.12.2008 13:17 Kalkulacka :D Odpovedať Známka: 6.0 Hodnotiť:

Re: vydavanie zaplat ... Od reg.: LMDizajn | Pridané: 16.12.2008 20:52 Skus delit nulov a hned ti to tam da ERROR :D Odpovedať Hodnotiť:

Re: vydavanie zaplat ... Od: reg.: x x l l | Pridané: 16.12.2008 15:28 Ty si toho asi vela naprogramoval... A kvalitne:) Odpovedať Hodnotiť:

Re: vydavanie zaplat ... Od: Tomiboyko | Pridané: 16.12.2008 10:45 z časti s tebou súhlasim, ale nemôžeš porovnávať zaplatanie webbrowserovskej zraniteľnosti s updatetom kernelu do ktorého boli pridane funkcie... je pravda že by ti distribucia linuxu nemala ponukať neodskušane nové verzie kernelu ak nemaš zapnute aj update na betaverzie....ak ten tvoj pripad bola final verzia tak to je pravda mali poriadne odsúšať a prave to že m$ ma toľko uživateľou a ešte stale nevidali záplatu ( a nieje to len pár hodin) k browseru je dosť zle..navyše je to sučasť windowsu kt. si platime... Odpovedať Známka: 5.0 Hodnotiť:

Re: vydavanie zaplat ... Od: Tomiboyko | Pridané: 16.12.2008 10:45 a ešte k tomu že si nemôže dovoliť vydať software kt. poriadne neodskušal....hehe..tak ked si zobereme iba win XP - až do prichodu SP2 bol v dosť zlom stave a kritizovaný ako teraz vista ( s nou nemam skusenosti - ale z niektorých reakcii som si vytvoril nazor že ani ta nefunguje dokonale - a teda len skrz ich terminu a honby za peniazmi ju nevyladili na 99% (na 100% nepôjde žiadny os:D ) - tak to len ktomu nazoru že zaplata nieje lebo su zodpovedny a nevypustia niečo čo nieje dokonale:D a posledne - niesom linuxovy extremista ani m$ odporca - využivam obe platformy a s xp sp2 som spojny a vo väčšine času pracujem skôr v nom takže poprosim žiadny flame.... Odpovedať Hodnotiť:

Re: vydavanie zaplat ... Od: reg.: x x l l | Pridané: 16.12.2008 15:34 A preco by to nemohol porovnat? Ved tu predsa nejde o to, coho sa update tyka, ale aky velky moze mat dopad. A je logicky jasne, ze update pre stovky milionov pocitacov ma v pripade chyby daleko vacsi dopad, ako zaplata pre par sto tisic pouzivatelov (aj to som mozno prehnal, pri roztriestenosti linux distribucii) Odpovedať Hodnotiť:

Re: vydavanie zaplat ... Od: Tomiboyko | Pridané: 16.12.2008 17:17 no hej ale zaplatanie jednej kritickej chyby webbrowsera nepotrebuje extremne testy stability systemu na rôznych konfiguraciach tak ako porovnávane updatnutie celého kerneru..či linuxového alebo windowsovského... alebo si mysliš že tu zaplatu už maju od začiatku ale pre istotu nechávajú ohrozených miliony pc už verejným exploitom lebo ešte testuju či to nahodou na nejakej konfiguracii nezhodi prehliadač? osobne si myslim že m$ takto nefunguje...spravia zaplatu, testnu par pc, pustia to do sveta a čakaju na odozvu. Odpovedať Hodnotiť:

Re: vydavanie zaplat ... Od reg.: x x l l | Pridané: 16.12.2008 22:04 Len tak pre predstavu, jadro IE je pouzivane v kde akej prdeli (osobne to neschvalujem, ale taky je stav) a zvlast data binding je myslim si skvely adept na "bohate" intranetove aplikacie nejakych dolezitych klientov MS. Jasne ze tu zaplatu maju. To si naozaj myslis, ze im to tak dlho trva opravit? Kde zijes chlape... Keby si ty bol zamestnanec MS a vdaka urychleniu vydania zaplaty by sa ta nadriadeny - release manager spytal - je to OK? Co by si spravil? Nechal to prehnat este par dni testami, alebo by si si to zobral na vlastne triko? :) Odpovedať Hodnotiť:

Zaujimavy pohlad Od reg.: respect | Pridané: 16.12.2008 10:01 "Pri odhadovanom počte 1.3 miliardy užívateľov Internetu mohlo tak byť chybe vystavených 2.6 milióna užívateľov." Velmi konkretna informacia pochvala pre autora :) Bud ste tam chceli napisat IE ak nie tak ziadne ine prehliadace/os neexistuju? Odpovedať Známka: 10.0 Hodnotiť:

Re: Zaujimavy pohlad Od reg.: Čestmír =) | Pridané: 16.12.2008 10:17 you're absolutely right :) Odpovedať Známka: 3.3 Hodnotiť:

Pridať komentár