18 543
Tesztek Android Google Apple Microsoft Samsung Huawei Nokia Linux Biztonság Tudomány Facebook Videojáték Film

Veszélyes, adatlopást lehetővé tevő, javítatlan IE8 bugra figyel

2010.09.08. 18.20
Levele szerint azért tette ezt, mert eddig sikertelenül próbálta rávenni a Microsoft-ot a hiba javítására. A biztonsági problémára egy PoC-t is publikált. Az Internet Explorer 8-ban jelenlevő bugot kihasználva a weben keresztül támadást intéző képes lehet az IE felhasználók 3rd party oldalahoz tartozó authentikált session-jeit eltéríteni (például egy tetszőleges weboldal ráveheti a felhasználót, hogy az postázzon ki egy tweet-et a Twitter-re). Chris szerint bizonyítékok vannak arra, hogy a Microsoft 2008 óta tud a hibáról, de javítani azt még nem javította.

A biztonsági szakember a problémára még 2009 decemberében hívta fel a figyelmet blogjában. Akkor megjegyezte, hogy több okból is különösen szépnek tartja a sebezhetőséget. Az egyik ok az volt, hogy az 5 "nagy" böngésző mindegyikét érintette a probléma.

A hibára azóta a nagy böngészőgyártók az IE kivételével reagáltak és védelmi megoldást implementáltak. Így a Chrome, Safari, Opera és Firefox már immunis a támadással szemben. Érdemes megjegyezni, hogy a Mozilla volt az utolsó a felsoroltak közül aki a javítást elvégezte.

A probléma bemutatására Evans létrehozott egy oldalt, ahol a sebezhetőség tesztelhető. A full disclosure listára küldött levelében a szakember megjegyzi, hogy ez kizárólag az IE 8 hiba, a Twitter-ben nincs ezzel kapcsolatban sebezhetőség. Megjegyzi továbbá, hogy más oldalak ellen is indítható hasonló támadás.
a cikk itt:http://seclists.org/fulldisclosure/2010/Sep/64
Kattints ide  ➜

Bemutatkozott az LG G6
PC‑t varázsol a telefonunkból a Remix Singularity
Reklámok jönnek a Facebook‑videókba – a YouTube retteghet
A felhasználókat már nem érdeklik a Google fejlesztései
Ezen a területen az Apple iOS magasan veri az Androidot
Kigyulladt egy Apple iPhone 7 Plus (videó)
Felkapott témák
Exkluzív információk a nemzeti operációs rendszerről
Nokia 3310 (2017) – Evleaks szerint igaz az Androbit spekulációja
Kiderült, hogy mi lesz az Android 8.0 neve
PC-t varázsol a telefonunkból a Remix Singularity
Újabb fotók szivárogtak ki a Samsung Galaxy S8-ról
A felhasználókat már nem érdeklik a Google fejlesztései
Állásajánlatok
Alkalmazás - paraméterező
Minőségügyi mérnök - vevői kapcsolattartó
ICT szolgáltatásüzemeltetési szakértő
Information Security Operator
Teszt koordinátor / Teszt menedzser E-AL02
Application Lifecycle Management consultant
Pályakezdő Villamosmérnök karbantartási területreR01PV