חברת אבטחת המידע eEye הודיעה כי גילתה סדרת פרצות אבטחה קריטיות בדפדפן אינטרנט אקספלורר ובתוכנת הדואר אאוטלוק. החברה מהירה לדווח על כך למיקרוסופט ואף העניקה לה ארכה לתקן את הפרצות בטרם תמסור באילו גירסאות של התוכנות מדובר. דיווח של אתר CNET.
על פי הדיווח, הפרצות שהתגלו לא מאפשרות חדירה והתפשטות של תולעים, אך הן עלולות לאפשר לתוקף להתקין על המחשב סוסים טרויאנים ללא ידיעת בעליו ומבלי שתידרש ממנו לבצע פעולה כלשהי שתהווה טריגר להדבקה.
לדברי בן נגי, מהנדס בכיר ב- eEye, "אם גולש מתפתה להגיע לאתר המכיל קוד זדוני, הוא עלול להידבק אפילו באמצעות מעבר על באנר". לדבריו, החברה מבצעת בדיקות עצמאיות על כמה פלטפורמות על מנת להעריך באילו מהן קיימות הפרצות ובאילו דרגות חומרה. נגי ציין עוד כי עד כה לא ידוע על ניצול בפועל של הפרצות עליהן דווח. עוד הוא סיפר כי מיקרוסופט הודתה בקיומן של הפרצות אבל הטיל ספק בכך שהחברה תשחרר טלאי אבטחה שלא במסגרת סבב העידכונים החודשי.
04/04/2005 17:39:09
cp77fk4r
הדיווח מהאתר של Cnet, מדובר שם גם על באגים בOutlook. http://news.com.com/Critical+flaws+in+IE+and+Outlook+discovered/2100-1002_3-5650238.html?tag=nefd.top.
קוד: The vulnerabilities allow for remote code execution with no actions from the computer user, eEye said. Although the flaws would not allow self-propagating worms to infiltrate a system, there is the potential of attackers installing backdoor Trojans without a person’s knowledge, Ben Nagy, an eEye senior security engineer, said Friday.
"If a user is tricked (into going) to a site carrying malicious code, they can become infected by just surfing across a banner ad," Nagy said.
eEye notified Microsoft several days ago of the flaws in the default installation of Outlook and IE and is giving the software giant time to develop a patch before releasing details on which versions of the software are affected, Nagy said.
For now, only a few details are included in eEye’s page of upcoming advisories.
Nagy added that eEye is also still conducting its own testing of various platforms to evaluate which ones are affected and to what degree.
No exploits are known to have been developed yet, Nagy said.
"Microsoft has acknowledged a vulnerability does exist and is real, but I doubt they will release a patch out of (their monthly) cycle," Nagy said.
Microsoft, meanwhile, said it is investigating privately reported, possible vulnerabilities in Microsoft Windows.
"At this time, Microsoft is not aware of any malicious attacks attempting to exploit the reported vulnerabilities, and there is no customer impact based on this issue," said a company spokeswoman. "Upon completion of this investigation, Microsoft will take the appropriate action to protect our customers, which may include providing a fix through a service pack, our monthly release process or an out-of-cycle security update, depending on customer needs."
בינתיים אין הרבה מידע באתר של eEye על הבאגים, אבל אחרי שהם "יגמרו לבדוק אותם על מספר פלטפורמות" הם יעדכנו- כאן: http://www.eeye.com/html/research/upcoming/20050329.html
05/04/2005 00:39:03
-Hawk-
תודה שדיווחת בזכותך אני מעודכן כל הזמן
05/04/2005 19:56:09
cp77fk4r
חח, אני לא זה שמגלה את הבאגים, אני רק אוסף מידע על אבטחת מידע וכל מה שמסביב מאתרי חדשות בארץ ובעולם.
יש לי במעודפים רשימה של אתרי חדשות, בלוגים של אנשי אבטחה, ושאר מקומות שמתחדשים במידע על הנושא- וכל פעם שאני מתיישב ליד המחשב, אני נכנס אליהם ובודק מה התחדש בזמן שלא הייתי מחובר. ככה אני נשאר מעודכן, ממליץ גם לך :)
05/04/2005 23:25:23
nickless
עוד סיבה לא להשתמש בIE... TNX
06/04/2005 00:34:22
C4$p3r
ואם זה היה באג ב-FF היית אומר הנה עוד סיבה לא להשתמש ב-FF?! תודה על העדכון, למרות שראיתי כבר (=
07/04/2005 23:20:00
nickless
חחחחח לא כי עם כל הבאגים שנמצאו אז אני עדיין עם FF...הוא פשוט יותר טוב =)
08/04/2005 23:54:04
Z-oro
אולי יום אחד תשתף אותנו באתרים שלך שאתה מתדעדכן מהם ואז אפילו לא נצטרך להיכנס לפה(LOL)
09/04/2005 20:29:17
cp77fk4r
כשאני לוקח ידיעה או כתבה ממקום מסויים- אני תמיד מוסיף את הקישור לכתבה המקורית : )
עמודים:
1
