Podziel się opinią o serwisie

reklama

IBM

Strefa IBM System x


Strefa IBM System x"..."Zarządzanie infrastruktura IT w obecnej chwili pochłania znaczną część budżetu IT. W odpowiedzi na tą sytuację IBM dołącza do serwerów IBM System x® system do zarządzania IBM Systems Director®, który oferuje obszerny zbiór narzędzi ułatwiających administrację.
Zapraszamy do strefy »

popularne komentowane nowości

Biblioteka Wiedzy poleca

Dynamiczna kostka: moc wirtualizacji w olsztyńskim RCI

Niższe rachunki za energię, wysoka wydajność i zwiększona dostępność systemu - to korzyści w obszarze IT jakie Uniwersytet Warmińsko Mazurski uzyskał...
pobierz »

Raport o internetowych zagrożeniach bezpieczeństwa

"Internet Security Threat Report" - kolejna edycja znanego raportu firmy Symantec zawierającego globalny przegląd stanu bezpieczeństwa w Internecie....
pobierz »

Implementing IBM Systems Director 6.1

Poznaj możliwości noweczesnego systemu zarządzającego całą infrastrukturą IT. IBM Systems Director 6.1. jest jedynym na rynku bezpłatnym systemem o...
pobierz »

Więcej bezpłatnych raportów w serwisie
powiększ tekst >
AKTUALNOŚCI

IE - kolejna luka "zero-day"

10 marca 2010

securitystandard
Microsoft oficjalnie ostrzegł użytkowników przed atakami wykorzystującymi nieznaną wcześniej lukę w zabezpieczeniach przeglądarki Internet Explorer. Sprawa jest poważna, ponieważ informacje o błędzie zostały już upublicznione, a koncern na razie nie przygotował poprawki rozwiązującej problem.

To już druga luka "zero-day" w IE, wykryta w ostatnich dwóch miesiącach - w połowie stycznia koncern potwierdził, że w IE6 znajduje się luka, która została już w grudniu wykorzystana do zaatakowania m.in. firm Google oraz Adobe. Krótko później błąd został załatany - po kilku dniach od opublikowania pierwotnego alertu Microsoft udostępnił użytkownikom awaryjną (tzn. przygotowaną poza standardowym cyklem uaktualniania) poprawkę dla IE. Przypomnijmy: za lukę "zero-day" uznaje się błąd, który został publicznie ogłoszony zanim producent danej aplikacji zdołał przygotować odpowiednie uaktualnienie.

Tym razem zagrożone są dwie wersje przeglądarki Microsoftu - IE 6 i IE7 (IE 5.1 oraz IE8 nie są podatne na atak). Wiadomo już, że luka ma status błędu krytycznego, co oznacza, że można ona zostać wykorzystana do uruchomienia w systemie złośliwego kodu bez żadnej akcji ze strony użytkownika.

"Odnotowaliśmy już pierwsze próby przeprowadzania ataków za pośrednictwem owego błędu. Wiemy też, że w Sieci pojawiły się szczegółowe informacje na temat tych problemów" - przyznali przedstawiciele koncernu z Redmond.

Wydaje się, że na razie owe ataki nie były skuteczne. "Najwyraźniej nikt nie stworzył i nie opublikował na razie exploita wykorzystującego ów błąd" - komentuje Andrew Storms, szef działu bezpieczeństwa firmy nCircle Network Security. Jego zdaniem luka nie została wykryta przez pracowników Microsoftu - bardziej prawdopodobne jest, iż zgłosił ją koncernowi jeden z partnerów (np. jakaś firma specjalizująca się w bezpieczeństwie) za pośrednictwem programy Microsoft Active Protections Program (MAPP).

Microsoft na razie nie poinformował, kiedy zamierza załatać ów błąd - nie wiadomo więc, czy stosowna poprawka pojawi się dopiero wraz z następnym pakietem poprawek (czyli za miesiąc - bo marcowy zestaw łat został udostępniony wczoraj), czy może raczej firma zdecyduje się na kolejne awaryjne łatanie. Ten drugi scenariusz wydaje się dość prawdopodobny - Microsoft raczej nie zwleka z łataniem błędów, które są już wykorzystywane do atakowania użytkowników.

"Zwykle "pozacyklowa" poprawka pojawia się, jeśli na dany błąd jest już skuteczny exploit. Szczegółowe informacje o błędzie są już opublikowane, jest więc bardzo prawdopodobne, że exploit będzie wkrótce. Ale równie dobrze możemy na niego czekać jeszcze kilka tygodni. Tak więc trudno tu coś prowokować - wszystko zależy od rozwoju sytuacji" - tłumaczy Andrew Storms.

Na razie Microsoft zaleca użytkownikom uaktualnienie Internet Explorera do najnowszej wersji - IE8. Dla użytkowników, którzy z jakiegoś powodu nie chcą lub nie mogą tego zrobić, koncern przygotował zestaw instrukcji (zalecano m.in. wyłączenie obsługi skryptów w IE oraz włączenie w Windows systemu Data Execution Prevention). Szczegółowe instrukcje można znaleźć na stronie Microsoftu.
Wystaw ocenę:
    Średnia ocena (liczba głosów: 2)
wydrukuj wydrukuj wyslij do znajomegowyślij do znajomego rss

Komentarze

Redakcja securitystandard.pl - bezpieczeństwo IT , aktualnosci, porady, produkty nie ponosi odpowiedzialności za wypowiedzi Internautów opublikowane na stronach serwisu oraz zastrzega sobie prawo do redagowania, skracania bądź usuwania komentarzy zawierających treści zabronione przez prawo, uznawane za obraźliwie lub naruszające zasady współżycia społecznego. Osoby zamieszczające wypowiedzi naruszające prawo lub prawem chronione dobra osób trzecich mogą ponieść z tego tytułu odpowiedzialność karną lub cywilną.

~Gość

  • ocena: brak oceny
  • IP: 85.128.36.194
  • 10-03-2010, 13:10

Również nie podatne gdy systemem jest: Windows 7 x64 lub
Windows Server 2008 R2 - bez względu na preglądarkę.

~Gość

  • ocena: brak oceny
  • IP: 85.128.36.194
  • 10-03-2010, 13:14

a pozatym IE8 działa w piaskownicy a uprawnienia wszystkiegiego co znajdzie się w tej przeglądarce nie osiąga praw administratora nawet gdy użytkownik lekcewarząco ma takie uprawnienia i to od początku jej istnienia, nie osiąga też szczegółowych praw dających dostęp do róznych krytycznych zasobów naweg gdyby użytkownik przeglądarki miał takie prawa. To tak w standardzie.