18 112
Tesztek Android Google Apple Microsoft Samsung Huawei Nokia Linux Biztonság Tudomány Facebook Videojáték Film

Veszélyes, adatlopást lehetővé tevő, javítatlan IE8 bugra figyel

2010.09.08. 18.20
Levele szerint azért tette ezt, mert eddig sikertelenül próbálta rávenni a Microsoft-ot a hiba javítására. A biztonsági problémára egy PoC-t is publikált. Az Internet Explorer 8-ban jelenlevő bugot kihasználva a weben keresztül támadást intéző képes lehet az IE felhasználók 3rd party oldalahoz tartozó authentikált session-jeit eltéríteni (például egy tetszőleges weboldal ráveheti a felhasználót, hogy az postázzon ki egy tweet-et a Twitter-re). Chris szerint bizonyítékok vannak arra, hogy a Microsoft 2008 óta tud a hibáról, de javítani azt még nem javította.

A biztonsági szakember a problémára még 2009 decemberében hívta fel a figyelmet blogjában. Akkor megjegyezte, hogy több okból is különösen szépnek tartja a sebezhetőséget. Az egyik ok az volt, hogy az 5 "nagy" böngésző mindegyikét érintette a probléma.

A hibára azóta a nagy böngészőgyártók az IE kivételével reagáltak és védelmi megoldást implementáltak. Így a Chrome, Safari, Opera és Firefox már immunis a támadással szemben. Érdemes megjegyezni, hogy a Mozilla volt az utolsó a felsoroltak közül aki a javítást elvégezte.

A probléma bemutatására Evans létrehozott egy oldalt, ahol a sebezhetőség tesztelhető. A full disclosure listára küldött levelében a szakember megjegyzi, hogy ez kizárólag az IE 8 hiba, a Twitter-ben nincs ezzel kapcsolatban sebezhetőség. Megjegyzi továbbá, hogy más oldalak ellen is indítható hasonló támadás.
a cikk itt:http://seclists.org/fulldisclosure/2010/Sep/64
Kattints ide  ➜

Az Androbit technológiai és tudományos magazinnál hiszünk abban, hogy az információ mindenkit megillet. Hosszú évek munkájával megszerzett hírnevünknek köszönhetően megadatott számunkra az a lehetőség, hogy műszaki témájú médiumként is elérhessünk minden internetező korosztályt. Tesszük ezt olyan hírekkel és cikkekkel, amik között egyaránt szerepel nagyobb tömegeket és kisebb szakmai csoportokat érintő tartalom is.

A témák gondos összeválogatásának és a cikkek minőségi kidolgozottságának hála mára Magyarország egyik legnépszerűbb technológiai és tudományos információforrásává váltunk – fejlesztéseinkkel és kutatásainkkal pedig igyekszünk mindig egy lépéssel a versenytársak előtt járni.

A weboldalunkon található, szerkesztőségünk által készített tartalmakra vonatkozó összes felhasználási jogot az Androbit technológiai és tudományos magazin birtokolja. A tartalmak egyes részleteinek felhasználását kizárólag látványos (vagy jól hallható) forrásmegjelöléssel engedélyezzük. A feltételek megszegésének jogi következményei lehetnek. A feltételektől eltérő tartalomfelhasználás kizárólag megegyezés útján lehetséges.
Copyright © 2007-2017 – Makay József (makay@androbit.net)
A Qualcomm válaszolt az Apple vádjaira
Samsung: Szinte minden Galaxy Note7 veszélyes volt
Hatalmasat hibázott a Facebook
Huawei Ügyfélszolgálati Központ ‑ Vásárlás és segítségnyújtás
Elephone S7 okostelefon ‑ Majdnem Galaxy
Ez lett a Mozilla új logója
Felkapott témák
Elképesztő okból perelte be a Qualcommot az Apple
Android vs. iOS - Melyik a biztonságosabb?
Donald Trumpnak iPhone-ra kell cserélnie a korábbi Samsungját
14 ezer forintból építettek házilag egy mobiltelefont
Probléma lehet a Samsung Galaxy S7 edge kijelzőjével
🏳️0🌈 - Három karaktertől összeomlanak az iPhone-ok
Állásajánlatok
Termékmenedzser Értékesítési és marketing manager belföld
Linux rendszergazda
Villamos karbantartó mérnök HF 12-7952
Java Developer - Cloud & BigData
Műszakos termelési vezető Shift Leader
Hajtástechnikai tesztautomatizáló mérnök
Full Stack developer / webfejlesztő