Kirjaudu

Uutiskirje

Rekisteröidy Sektoriin ja tilaa itsellesi joko aamuisin tai iltaisin ilmestyvä uutiskirje sähköpostiisi.

Perjantai, 3.12.2004

Microsoft korjasi Internet Explorerin Iframe-haavoittuvuuden

Microsoft on julkistanut korjauksen Internet Explorer -selaimesta marraskuun alussa löytyneeseen Iframe-haavoittuvuuteen. Korjaus on saatavilla Windows Update -sivuston tai Windows-käyttöjärjestelmän automaattisen päivitystoiminnon avulla.

Haavoittuvuus koskee ainoastaan Internet Explorer -selaimen versiota 6. Internet Explorerin Iframe-haavoittuvuus ei koske Windows XP -käyttöjärjestelmällä varustettuja tietokoneita, joihin on asennettu aiemmin syksyllä julkistettu SP2-päivityspaketti. Microsoft suosittelee, että kaikki tietokoneet, joissa on Windows XP -käyttöjärjestelmä, päivitetään mahdollisimman pian SP2-päivityksellä.

Jos koneessa käytetään jotain muuta käyttöjärjestelmää kuin Windows XP:tä, ja käytössä on Internet Explorerin versio 6, Microsoft suosittelee, että Internet Exploreriin asennetaan mahdollisimman pian eilen julkistettu selainkorjaus.

Lue juttu oma, 3.12.2004 00:06. Lähde: Microsoft

Muita aiheeseen liittyviä uutisia

Rekisteröidy ja kirjaudu sisään, jos haluat kommentoida.

Kommentit ( 9 uutta / 9 )
pistettä.
Näytä vain kommentit joilla on vähintään
janilxx Drag&Drop
janilxx, 3.12.2004 07:22:55		 Pisteet: 0
Eikös tämä Iframehomma liity niihin Drag&Drop ongelmiin?

Tämän uutisen mukaan
http://mikropc.net/uutiset/uutiset.html?categoryId...
uusin D&D ongelma olisi myös SP2 XP:ssä.
Re: Drag&Drop
mxmattil, 3.12.2004 10:03:30		 Pisteet: 0
Eikös tämä Iframehomma liity niihin Drag&Drop ongelmiin?
Ei.

"Vika löytyy IE:n tavasta käsitellä IFRAME-tagin attribuutteja. SRC- ja NAME-attribuutteihin voidaan kirjoittaa ylipitkiä merkkijonoja, jotka johtavat puskurin ylivuototilanteeseen."
http://www.dvd.to - DVD hakukone
Karitku Re: Drag&Drop
Karitku, 3.12.2004 08:53:59		 Pisteet: 0
Eikös tämä Iframehomma liity niihin Drag&Drop ongelmiin? Tämän uutisen mukaan
http://mikropc.net/uutiset/uutiset.html?categoryId...
uusin D&D ongelma olisi myös SP2 XP:ssä.
Ei ilmeisesti, tosin kysymyksesi tuo hyvin esiin kuinka sekavaa nykyinen aukkojen tiedotus tuntuu olevan. Koska esim. Secunian vakavat haavoituvuudet voi olla tyyliä käyttäjän pitää ajaa tiedosto niin tässä sitä ollaan. Sitten kun päälle pistetään sekoilevat ns. tietoturva viranomaiset niin soppa on valmis.
Jos muistan oikein niin Microsoft ei pidä tuota D&D ongelmaa suurena koska se vaatii aina käyttäjän avaamaan tietyn tiedoston, sitä en tiedä onko tuo uusi haavoittuvuus muuttanut tätä kantaa.
Sitten oma mielipide, tuo MikroPC:n juttu on yhtä laadukas kuin kyseinen lehtikin eli ei hirveän hyvä. Lyhyt käynti läpi parin sivuston osoitti ettei missään niistä ollut tietoja tuosta uudesta D&D aukosta.
Voitku
engine Re: Drag&Drop
engine, 3.12.2004 09:05:33		 Pisteet: +1
Ei ilmeisesti, tosin kysymyksesi tuo hyvin esiin kuinka sekavaa nykyinen aukkojen tiedotus tuntuu olevan. Koska esim. Secunian vakavat haavoituvuudet voi olla tyyliä käyttäjän pitää ajaa tiedosto niin tässä sitä ollaan. Sitten kun päälle pistetään sekoilevat ns. tietoturva viranomaiset niin soppa on valmis.
Ja sitten kun MS päättää painostuksen edessä myöntyä näiden "tietoturvaviranomaisten" vaatimuksiin, menee homma (tai on varmaan jo osittain mennytkin) siihen, että joka h*vetin tiedostoa ladattaessa kysellään, varmistellaan, kysellään uudestaan ja vaaditaan sertifikaatteja ties mihin.

Sitä varten käytänkin vaihtoehtoisia selaimia, ne eivät kysele turhia vaan luottavat siihen että tiedän mitä teen. Se ei ole MS:n vika, mutta se siitä loppupeleissä kärsii.
Kaikki mielipiteet, jotka esitän kirjallisesti tai suullisesti tällä tai millä hyvänsä julkisella keskustelualueella, ovat vain ja pelkästään omiani, eivätkä ne edusta minkään yrityksen, yhteisön, ryhmän tai muun yksityishenkilön ajatuksia tai periaatteita. Täten olen kirjoituksistani henkilökohtaisesti yksin vastuussa, jolloin niiden käyttö minuun liittyviä tahoja, kuten työnantajaani tai perhettäni vastaan, on ehdottomasti kielletty.
kenu Re: Drag&Drop
kenu, 3.12.2004 10:27:47		 Pisteet: 0
Eikös tämä Iframehomma liity niihin Drag&Drop ongelmiin? Tämän uutisen mukaan
http://mikropc.net/uutiset/uutiset.html?categoryId...
uusin D&D ongelma olisi myös SP2 XP:ssä.
Ei ilmeisesti, tosin kysymyksesi tuo hyvin esiin kuinka sekavaa nykyinen aukkojen tiedotus tuntuu olevan. Koska esim. Secunian vakavat haavoituvuudet voi olla tyyliä käyttäjän pitää ajaa tiedosto niin tässä sitä ollaan. Sitten kun päälle pistetään sekoilevat ns. tietoturva viranomaiset niin soppa on valmis.
Sitten oma mielipide, tuo MikroPC:n juttu on yhtä laadukas kuin kyseinen lehtikin eli ei hirveän hyvä. Lyhyt käynti läpi parin sivuston osoitti ettei missään niistä ollut tietoja tuosta uudesta D&D aukosta.
Varoitus on SecurityFocuksella päivätty 28.11.:
http://www.securityfocus.com/bid/11770
SP2 on ihan selkeästi haavoittuvien osuudessa. Myös Secunia on päivittänyt edellistä varoitustaan; huono otsikko Microsoft Internet Explorer Two Vulnerabilities :-( http://secunia.com/advisories/12889/

Viittaus siinä on alkuperäiseen d&d-haavaan SA12321.
http://secunia.com/advisories/12889/
Eli kyllä tuo on ihan usean tietoturvayhtiön noteeraama.
Karitku Re: Drag&Drop
Karitku, 3.12.2004 18:14:05		 Pisteet: 0
Varoitus on SecurityFocuksella päivätty 28.11.: http://www.securityfocus.com/bid/11770
SP2 on ihan selkeästi haavoittuvien osuudessa. Myös Secunia on päivittänyt edellistä varoitustaan; huono otsikko Microsoft Internet Explorer Two Vulnerabilities :-( http://secunia.com/advisories/12889/
Viittaus siinä on alkuperäiseen d&d-haavaan SA12321.
http://secunia.com/advisories/12889/
Eli kyllä tuo on ihan usean tietoturvayhtiön noteeraama.
Eipä toiminut, yritti luoda jotain c:\windows\pchealth kansioon muttei onnistunut. Eli torjunta ohje numero yksi älä käytä default windows-kansiota. Koska tuo ei onnistunut niin D&D ei toiminut joten hiljaiseksi jäi.

Secunian sivuilta löytynyt testi jutska.
http://freehost07.websamba.com/greyhats/longnamevu...
Voitku
kenu Re: Drag&Drop
kenu, 4.12.2004 00:04:59		 Pisteet: 0
Secunian sivuilta löytynyt testi jutska.
Testisivu oli tarjolla SecurityFocuksen varoituksessa.
Karitku Re: Drag&Drop
Karitku, 4.12.2004 12:39:51		 Pisteet: 0
Secunian sivuilta löytynyt testi jutska.
Testisivu oli tarjolla SecurityFocuksen varoituksessa.
Ups, tuli ajatusvirhe näköjään. No eipä se silti toiminut vaikka tuli tehtyä ne hakemistot ja kaikki. Eli joku XP2 omistava voisi sanoa toimiiko tuo, minulla ei ja on XP2. Ota sitten taas selvää näistä, tuntuu tarpeettomalta pelottelulta jos ei des toimi, tyypillistä Secuniaa.
Voitku
kenu Re: Drag&Drop
kenu, 4.12.2004 14:12:29		 Pisteet: 0
Ups, tuli ajatusvirhe näköjään. No eipä se silti toiminut vaikka tuli tehtyä ne hakemistot ja kaikki. Eli joku XP2 omistava voisi sanoa toimiiko tuo, minulla ei ja on XP2. Ota sitten taas selvää näistä, tuntuu tarpeettomalta pelottelulta jos ei des toimi, tyypillistä Secuniaa.
Juuri tässä koneessa SP1 ja oletuspolut, eli C:\Windows\Pchealth.
Ei tullut herjaa kansion puuttumisesta. Palomuuri kyllä aika tiukalla, eli en usko että kansioon putosi mitäään tavaraa. Avautui suoraan se nurtsinäkymä ja porkkanan kohdalla oli punaisella rastilla varustettu laatikko, samanlainen joka tulee kun activex:t on estetty.
Sen verran kyllä luotan tietoturvayhtiöiden labroihin, että en mene kuvaan koskemaan. Suosittelen muillekin samaa. Jos he ovat saaneet SP1- ja SP2-koneilla tuon todennettua, miksi emme uskoisi heitä. Secunian luokituskin on sentään 4/5; Highly critical.
Eli pointti on että kuvan raahaaminen saastuttaa koneen. Uuden tästä tekee se, että klikkausta ei siis tarvita.

ja on XP2.
Tarkoittanet siis SP2. Molemmat siis mainittu ao. varoituksessa.