mboost-dp1
unknown
Angaaende denne fejl kan man se at microsoft heller ikke er gaaet fordi:
TITLE:
Microsoft Products Fail to Restrict "shell:" Access
SECUNIA ADVISORY ID:
SA12042
VERIFY ADVISORY:
http://secunia.com/advisories/12042/
CRITICAL:
Moderately critical
IMPACT:
Security Bypass
WHERE:
>From remote
SOFTWARE:
MSN Messenger 6.x
http://secunia.com/product/1902/
Microsoft Word 2002
http://secunia.com/product/2150/
DESCRIPTION:
Jesse Ruderman has reported a vulnerability in MSN Messenger and
Microsoft Word, allowing access to the Windows "shell:"
functionality.
The problem is that the programs fail to restrict access to the
"shell:" URI handler. This allows malicious people to invoke various
programs associated with specific extensions. It is not possible to
pass parameters to these programs, only filenames, thus limiting the
impact of launching applications.
The Windows "shell:" URI handler is inherently insecure and should
only be accessed from a few trusted sources - it may even pose a
threat through Word documents. Multiple exploits in Internet Explorer
also utilise "shell:" functionality.
This is related to a similar issue in Mozilla:
SA12027
SOLUTION:
Do not follow links in MSN Messenger.
Do not follow links from Word documents originating from untrusted
sources.
PROVIDED AND/OR DISCOVERED BY:
Jesse Ruderman
OTHER REFERENCES:
SA12027:
http://secunia.com/advisories/12027/
TITLE:
Microsoft Products Fail to Restrict "shell:" Access
SECUNIA ADVISORY ID:
SA12042
VERIFY ADVISORY:
http://secunia.com/advisories/12042/
CRITICAL:
Moderately critical
IMPACT:
Security Bypass
WHERE:
>From remote
SOFTWARE:
MSN Messenger 6.x
http://secunia.com/product/1902/
Microsoft Word 2002
http://secunia.com/product/2150/
DESCRIPTION:
Jesse Ruderman has reported a vulnerability in MSN Messenger and
Microsoft Word, allowing access to the Windows "shell:"
functionality.
The problem is that the programs fail to restrict access to the
"shell:" URI handler. This allows malicious people to invoke various
programs associated with specific extensions. It is not possible to
pass parameters to these programs, only filenames, thus limiting the
impact of launching applications.
The Windows "shell:" URI handler is inherently insecure and should
only be accessed from a few trusted sources - it may even pose a
threat through Word documents. Multiple exploits in Internet Explorer
also utilise "shell:" functionality.
This is related to a similar issue in Mozilla:
SA12027
SOLUTION:
Do not follow links in MSN Messenger.
Do not follow links from Word documents originating from untrusted
sources.
PROVIDED AND/OR DISCOVERED BY:
Jesse Ruderman
OTHER REFERENCES:
SA12027:
http://secunia.com/advisories/12027/
#51 Den virker ikke i msn messenger(har ikke prøvet windows messenger).
I word 2003 virker den, hvilket den vel også skal. Den gør dog tydligt klart af at følge linket kan skade computeren.
Ved ikke om det er tilfældet i 2002.
Den virker ellers ikke i noget andet end kør, af hvad jeg har testet indtil videre.
Men tilgengæld så bruger MSN Messenger IE til at åbne addressen hvilket er derfor der ikke sker noget, så jeg vil vel tro at den sikkerhedsrapport er baseret på en dårligt sikret maskine under standardniveauet af sikkerhed. Hvis det har været muligt at gøre det.
I word 2003 virker den, hvilket den vel også skal. Den gør dog tydligt klart af at følge linket kan skade computeren.
Ved ikke om det er tilfældet i 2002.
Den virker ellers ikke i noget andet end kør, af hvad jeg har testet indtil videre.
Men tilgengæld så bruger MSN Messenger IE til at åbne addressen hvilket er derfor der ikke sker noget, så jeg vil vel tro at den sikkerhedsrapport er baseret på en dårligt sikret maskine under standardniveauet af sikkerhed. Hvis det har været muligt at gøre det.
Og har liget fået en til at teste i Office XP, der virker det dog fint nok. Men der er heller ikke særligt meget remote i det. Jeg kunne lige så vel stole på at jeg selv skulle paste det ind i kør :D
#52 - den virker tilsyneladende i msn messenger. ogsaa i word er det et sikekrhedsproblem.
"The applications both fail to restrict access to the "shell:" .. "
http://computerworld.co.nz/news.nsf/0/0CB18E5F7F58...
/stone
"The applications both fail to restrict access to the "shell:" .. "
http://computerworld.co.nz/news.nsf/0/0CB18E5F7F58...
/stone
#55 Har lige tjekket med Firefox som standard browser, nu virker den også. Men efter jeg kørte den nye update blev den stadigvæk ved med at virke.
Da jeg så slog mozilla fra som standard webbrowser virkede den ikke længere.
I Word er det kun et tilfælde om at sætte "Vil du køre linket" advarsel.
Da jeg så slog mozilla fra som standard webbrowser virkede den ikke længere.
I Word er det kun et tilfælde om at sætte "Vil du køre linket" advarsel.
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Nyheder
Gå til bund