ראשי > אבטחת מידע > פרצה "~חדשה" בXP, וכן, ב Sp2, שוב בDND.
02/12/2004 19:10:54
cp77fk4r
הבאג הוא בממשק של האפשרות Dag and Drop, הבאג הוא שידרוג של באג שהיה קיים בSp1, וכדי לעקוף את החסימה שSp2 נותנת, משתמשים בבאג לא כ"כ חדש שיש בActiveX, הבאגים מוכרים, השילוב בינהם מאפשר להריץ קבצים ופקודות שנקבעו מראש על הגולש.
מומחי אבטחה זיהו פגם אבטחה (נוסף) במערכת ההפעלה לבית מיקרוסופט, חלונות XP עם חבילת SP2. כדי לנצל את הפגם ולפרוץ למחשב, יש להשתמש בשתי פרצות שונות בגרסה 6 של דפדפן האקספלורר, וכן בפרצות של רכיבי ה-ActiveX.
ניצול נכון של כל הפרצות – עניין לא טריוויאלי כלל – ייאפשר מעקף של מערך האבטחה הקיים במחשבים שעליהם הותקנה חבילת התיקונים SP2. כאשר משתמש מזיז קובץ או תמונה מחלק אחד של עמוד רשת לחלק אחר, ניתן לנצל את הפרצה על מנת להוריד למחשב קוד זדוני.
חוקרים מחברת האבטחה הדנית Secunia דירגו את הפרצה כ"קריטית ביותר", משום שעל אף שקשה לנצל אותה, היא מאפשרת גישה לחלקים נרחבים מהמחשב האישי.
"זוהי הפרצה החמורה ביותר ב-SP2 עד כה", אמר תומס כריסטנסן ל-ZDnet. "הבעיה היא שבאמצעות ניצול הפרצה באקספלורר ניתן לגרור קובץ לתוך האזור המקומי [הלא מקוון] במחשב האישי, ולשנות את הגדרותיו".
02/12/2004 19:14:31
cp77fk4r
הידיעה המקורית פורסמה ע"י Dan Ilett ב ZdNet.
קוד: "This is the most serious vulnerability for SP2 that we have the moment," said Thomas Kristensen. "The problem is that by exploiting this vulnerability in IE it’s possible to drag a file into the local security zone and change the settings. On an SP2 system, this shouldn’t be a problem, but it is still possible to bypass the security with an Active X control."
הוא דירג את זה כ"הבאג המסוכן ביותר עד כה לSp2", ומה שמוזר זה שזה לא באג חדש משהו, פשוט שילוב של כמה באגים ישנים- מה שמראה על דרך העבודה של מייקרוסופט...
עמודים:
1
