Javítás nélküli biztonsági réseket tártak fel az Exploreren
Milkovits Gábor, 2005. július 22. 20:33
Michal Zalewski szoftverbiztonsági szakember több olyan komoly biztonsági rést talált az Internet Explorer jpeg képfájlokat kezelő alkalmazásán, amelyekre a Microsoft egyelőre nem adott ki javítófoltot.
Zalewski szerint az egyik általa felfedezett hiba alkalmas arra, hogy azt kihasználva a támadó saját víruskódját futtassa a fertőzött számítógépen. Az ilyen réseket általában kritikusnak minősítik a szoftverbiztonsággal foglalkozó cégek. A szakember négy speciálisan szerkesztett jpeg képet közzé is tett az interneten a hiba meglétének és kihasználhatóságának bizonyítására. Ezek mindegyike alkalmas a Service Pack 2-vel frissített IE 6-on, vagy a Microsoft-böngésző több korábbi verzióján keresztül a PC megtámadására, kettő közülük pedig működési hibákat okoz a memóriaegységnél és a processzornál is.
Zalewski egyébként a közzététel előtt szándékosan nem értesítette előre a Microsoftot a problémáról, amit a Neophasis biztonsági weboldalra eljuttatott közleményében meg is indokolt. A szoftverszakértő saját korábbi tapasztalataira hivatkozva azt állítja, hogy véleménye szerint a biztonsági problémák hivatalos bejelentése és megvitatása a Microsoft-tal feleslegesen hosszadalmas folyamat, amely túl sok terhet ró a kutatóra, így inkább az azonnali publikálást választotta. A Microsoft részéről azt közölték az üggyel kapcsolatban, hogy a közzétett információk alapján vizsgálják az Internet Explorer lehetséges új sebezhetőségeit, amelyeket kihasználó támadásokról mindezidáig nem érkezett hozzájuk bejelentés. A szóvivő emellett elítélte Zalewski eljárását, aki a szoftveróriás álláspontja szerint nem járt el felelősen, és sok felhasználót potenciális kockázatnak tett ki.
Zalewski egyébként a közzététel előtt szándékosan nem értesítette előre a Microsoftot a problémáról, amit a Neophasis biztonsági weboldalra eljuttatott közleményében meg is indokolt. A szoftverszakértő saját korábbi tapasztalataira hivatkozva azt állítja, hogy véleménye szerint a biztonsági problémák hivatalos bejelentése és megvitatása a Microsoft-tal feleslegesen hosszadalmas folyamat, amely túl sok terhet ró a kutatóra, így inkább az azonnali publikálást választotta. A Microsoft részéről azt közölték az üggyel kapcsolatban, hogy a közzétett információk alapján vizsgálják az Internet Explorer lehetséges új sebezhetőségeit, amelyeket kihasználó támadásokról mindezidáig nem érkezett hozzájuk bejelentés. A szóvivő emellett elítélte Zalewski eljárását, aki a szoftveróriás álláspontja szerint nem járt el felelősen, és sok felhasználót potenciális kockázatnak tett ki.
Kapcsolódó cikkek
- Négy újabb javítás a windowsos Safarihoz
- Opera mobiltelefonos böngésző teljes weboldalakkal
- Kijavította a windowsos Safari hibáit az Apple
- Egymillióan töltötték le a windowsos Safarit
- 15 rést javít a Microsoft 6 biztonsági frissítése
- Három perc alatt törték fel a Windows-os Safarit
- Apple Safari böngésző Windowsra
- A Google a Vista keresőfunkcióját kritizálja
- Négy kritikus javítás kiadására készül a Microsoft
- A böngészők közül a Firefoxot frissítik a leginkább