Aktualności: Oprogramowanie

rozmiar czcionki A A A

IE6 - kolejna luka '0 day'?

Daniel Cieślak

27 czerwca 2008 14:05

Grupa chińskich hakerów o nazwie Ph4nt0m Security Team poinformowała o wykryciu nowego, niezałatanego błędu typu cross site scripting w zabezpieczeniach przeglądarki Internet Explorer. Ich zdaniem, luka ta pozwala przestępcom na m.in. przechwytywanie wszystkich znaków w oknie przeglądarki wpisanych z klawiatury.

Z pierwszych informacji wynika, że problem dotyczy tylko Internet Explorera w wersji 6 - wydania 7 oraz 8 (beta) nie są zagrożone. Zdaniem jednego z analityków firmy McAfee, nowa luka może być wariantem błędu opisanego miesiąc temu na konferencji BlueHat (zorganizowanej przez Microsoft) przez cenionego specjalistę ds. bezpieczeństwa - Manuela Caballero.

Caballero, który swego czasu pracował dla Microsoftu jako ekspert od testów penetracyjnych, zdawkowo opisał podczas swojej prezentacji metodę wykradania danych wprowadzonych w oknie przeglądarki internetowej. Co ważne, owa metoda miała być skuteczna w każdej przeglądarce z plug-inem Flash (do skorzystania z niej niezbędne było uruchomienie specjalnego złośliwego skryptu).

Chińscy hakerzy postanowili najwyraźniej bliżej przyjrzeć się temu problemowi i na własną rękę odkryli metodę wykorzystania luki do ataku na Internet Explorera. Członkowie "Ph4nt0m Security Team" przygotowali już nawet odpowiednio exploita, ilustrującego przebieg ataku.

Informacja ta została już zweryfikowana i potwierdzona przez specjalistów z duńskiej firmy Secunia, specjalizującej się w monitorowaniu informacji o lukach w popularnym oprogramowaniu. Z ich analiz wynika, że błąd związany jest z walidacją danych wprowadzonych do przeglądarki (może on doprowadzić do tego, że skrypt osadzony na potencjalnie niebezpiecznej stronie zostanie uruchomiony z takimi samymi przywilejami, jak skrypt na witrynie zaufanej).

Secunia potwierdza także, że problem nie występuje w IE7 - dlatego firma zaleca użytkownikom przeglądarki Microsoftu zainstalowanie tej wersji programu (i korzystanie z niej przynajmniej do momentu, w którym koncern z Redmond przygotuje odpowiednią poprawkę dla IE6).

O problemie zostali już poinformowali przedstawiciele Microsoftu - jednak firma na razie nie komentuje tych doniesień. Nie wiadomo więc czy i kiedy powstanie poprawka usuwająca nową lukę w IE6.

Wystaw ocenę:

Średnia ocena:

(Głosów: )

» Dodaj komentarz

Komentarze

Redakcja PC World nie ponosi odpowiedzialności za wypowiedzi Internautów opublikowane na stronach serwisu oraz zastrzega sobie prawo do redagowania, skracania bądź usuwania komentarzy zawierających treści zabronione przez prawo, uznawane za obraźliwie lub naruszające zasady współżycia społecznego. Osoby zamieszczające wypowiedzi naruszające prawo lub prawem chronione dobra osób trzecich mogą ponieść z tego tytułu odpowiedzialność karną lub cywilną.

Liczba zatwierdzonych komentarzy (10) |
dodaj komentarz |
zobacz wszystkie

xav

ocena: brak oceny
IP: 85.89.164.218
27-06-2008, 17:23

IMO poprawka nie powinna powstać, wszyscy zainteresowani powinni zainstalować IE7 i przestać używać tego 7 letniego śmiecia jakim jest IE6.

ocena: brak oceny
IP: 80.48.115.32
27-06-2008, 19:45

ale po co instalowac cos nowego... wkoncu jak sie przesledzi wypowiedzi dzieci neo i pseudo informatykow to:
MS wydaje Win95 - tweirdzenie ze 3.11 jest lepsze a W95 do bani

MS wydaje Win98 - twierdzenie ze 95 jest lepsze a W98 do bani

MS wydaje XP - To dopiero porazka wkoncu lepsze jest W98

MS wydaje Viste - no coz... trzeba poczekac bo poki co lepszy jest XP...do czasu wydania przez MS Windowsa 7
Wtedy bedzie ze to vista lepsza :D:D

To samo ma sie do przegladarek... juz od dawna jest IE7 ale ludzie nie istaluja bo:
- uzywaja jakze dziadowego Windowsa XP w wersji pirackiej wiec nie moga zainstalowac nowego IE
- nie wiedza ze to potrzebne... wkoncu lepiej nazekac na IE a uzywac Firefoxa... lecz mimo nie uzywania IE dziora w przegladarce (systemie) istnieje nadal

W niedlugim czasie wyjdzie IE8 a ludzie dalej beda siedzieli na IE6

ech...

popdruid

ocena: brak oceny
IP: 83.21.56.153
27-06-2008, 20:29

Nie no - IE6 to napewno nie jest lepsze od IE7 lub IE8 - tu daję głowę... :-))

ocena: brak oceny
IP: 87.119.2.78
27-06-2008, 21:09

a co mnie tam ludzie obchodzą, ważne co ja używam...

ocena: 5
IP: 83.4.35.173
27-06-2008, 22:07

@80.48.115.32: akurat można bez problemu korzystać z IE7 na mniej legalnym systemie windows :P
Ale i tak najlepiej się czuję na linuksie + firefox (czasem konqueror)

ocena: brak oceny
IP: 83.4.163.119
27-06-2008, 22:44

Pozatym, mniej legalny system też można automatycznie aktualizować. Chyba że mnie oszukali i dali mi oryginał :)

viśtek®

ocena: brak oceny
IP: 85.25.152.185
29-06-2008, 00:52

IE7 od dawna barany można bez sprawdzania legalności instalować !!!
zresztą trzeba być kompletnym idiotą żeby na kompie z dostępem do neta jakieś IE6 jeszcze używać!! macie szczęście że MS go w ogóle jeszcze wspiera z aktualizacjami bezpieczeństwa włącznie !!

ocena: brak oceny
IP: 83.4.61.127
29-06-2008, 04:55

Zguglajcie sobie mpa.one.microsoft.com, zmienicie w 30sekund pirata w oryginała, pobierzecie aktualizację z wu, defendery, internet explorery i wmp...

Bez kraków, sraków i innych pierdół.