mboost-dp1

No Thumbnail

Hackere udnytter ny IE-fejl igennem Word-dokumenter

- Via Computerworld - , redigeret af Pernicious

David Marcus, leder af afdelingen for sikkerhed og kommunikation hos McAfee, oplyser, at hackere nu udnytter den for nyligt fundne fejl i Internet Explorer igennem Microsoft Word.

Tricket går ud på, at Word kan anvende ActiveX-komponenter, der, uset af brugeren af dokumentet, kontakter en server på internettet for at modtage ondsindet kode.

Microsoft udgav i forgårs en patch, der lukker hullet som udnyttes. Patchen er udgivet til Internet Explorer 5, 6, 7 og 8 beta2.





Gå til bund
Gravatar #1 - Brtlsn
19. dec. 2008 14:46
Nogen overraskelse?
Gravatar #2 - Abech
19. dec. 2008 14:55
#1

Ja det er en overraskelse. Hvorfor skulle det ikke være?
Gravatar #3 - RAJensen
19. dec. 2008 15:15
Overraskelse - Egentlig ikke!
Men det er da utroligt atr der stadig kan findes huller i IE 5 & 6!
Man skulle tro at alle muligheder efterhånden var blevet afsøgt! Men nej - Sæt igang. Microsoft!! ;-)
Gravatar #4 - Moulde
19. dec. 2008 15:15
#2 fordi det netop ville være overraskende hvis der IKKE var nogen der udnyttede det omtalte hul..

EDIT: #3 Jah, det er ikke rigtigt til at forstå, IE er dælme dejligt :P
Gravatar #5 - arne_v
19. dec. 2008 15:40
#0

Artiklen er håbløs.

Info om IE fejlen:

http://www.microsoft.com/technet/security/bulletin...

A remote code execution vulnerability exists as an invalid pointer reference in the data binding function of Internet Explorer. When data binding is enabled (which is the default state), it is possible under certain conditions for an object to be released without updating the array length, leaving the potential to access the deleted object's memory space. This can cause Internet Explorer to exit unexpectedly, in a state that is exploitable.

An attacker could exploit the vulnerability by constructing a specially crafted Web page. When a user views the Web page, the vulnerability could allow remote code execution. An attacker who successfully exploited this vulnerability could gain the same user rights as the logged-on user.


http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=...

Use-after-free vulnerability in mshtml.dll in Microsoft Internet Explorer 5.01, 6, and 7 on Windows XP SP2 and SP3, Server 2003 SP1 and SP2, Vista Gold and SP1, and Server 2008 allows remote attackers to execute arbitrary code via a crafted XML document containing nested SPAN elements, as exploited in the wild in December 2008.


Hvilket på mere jævnt dansk vist betyder at der var en grim bug i IE's håndtering af HTML sider med embedded XML islands.

Men hvordan kommer man fra det over til Word og ActiveX kontroller der connecter til internettet ??
Gravatar #6 - Janzidan
19. dec. 2008 15:43
Forresten hedder det ikke hacker men cracker. :) - en alt alt for stor fejl
Gravatar #7 - Proz
19. dec. 2008 15:44
#3 not really.

Det eneste utrolige er at Microsoft vælger at udgive en patch til IE5, der svjv ikke supportes mere.

Nye angrebsvinkler kan jo sagtens porteres til gammelt software, hvis funktionen også findes der. Bare fordi et stykke software/teknologi er gammelt betyder ikke at det er sikkert, men bare at folk ikke har tænkt på den "rigtige" måde for at cracke det. Bare tag det seneste DNS-hul som eksempel.
Gravatar #8 - arne_v
19. dec. 2008 16:00
#7

IE 5.01 supporteres ikke generelt.

Men den er supporteret paa Windows 2000 SP4 indtil 2 år efter release af SP5 eller slut på Windows 2000 support i juli 2010 hvad der måtte ske først.

Derfor har de releaset fix til IE 5.01 på Windows 2000 SP4.
Gravatar #9 - 3214N
19. dec. 2008 16:22
"sjovt" nok ingen patch til IE 5.2 (Mac).
Gravatar #10 - ostelarsen
19. dec. 2008 16:24
3214N (9) skrev:
"sjovt" nok ingen patch til IE 5.2 (Mac).


Tror du det mon kan være fordi det er en så talentløs browser, at macfolk ikke gider bruge den?
Gravatar #11 - arne_v
19. dec. 2008 16:28
#9 og 10

http://support.microsoft.com/lifecycle/?p1=6874 siger ingen support.
Gravatar #12 - 3214N
19. dec. 2008 16:31
Jeg får da af og til requests om at installere den når "de kreative" får nye maskiner, men ja - den er da håbløs - og ja jeg er klar over at der ikke er MS support på den længere.
"sjovt" når de laver en patch til 5.01, men ikke til 5.2...
Gravatar #13 - arne_v
19. dec. 2008 16:42
#12

5.01 er som sagt supporteret (på Windows 2000 SP4).
Gravatar #14 - lolage
19. dec. 2008 17:42
geeks...
Gravatar #15 - Clauzii
19. dec. 2008 18:20
ostelarsen (10) skrev:
Tror du det mon kan være fordi det er en så talentløs browser, at macfolk ikke gider bruge den?


Jeg kan ikke rate herinde endnu så du får lige et par julestjerner eller fem her: *****!

LOL
Gravatar #16 - dummyddd
20. dec. 2008 11:35
Nååh, det er derfor at det er vigtigt at kunne bruge platform afhængige objekter i dokumenter. Mange tak Microsoft for at vise os lyset
Gravatar #17 - Dustie
21. dec. 2008 02:58
arne_v (5) skrev:
#0

Artiklen er håbløs.

<snip>

Men hvordan kommer man fra det over til Word og ActiveX kontroller der connecter til internettet ??


" One of the most prominent and unique techniques adopted by the malware authors involves a Microsoft word document being sent out to an unsuspecting user.

Upon opening the word document the embedded ActiveX control with the following classid is instantiated and executed.

* {AE24FDAE-03C6-11D1-8B76-0080C744F389}

This control stores configuration data for the policy setting Microsoft Scriptlet Component.


The control then makes a request to the webpage hosting the IE 7 exploit. The charm with this approach is that the exploit is downloaded and run without the knowledge or permission of the user. To the unsuspecting user it will just appear as yet another normal Doc file."

- McAfee Avert Labs
Gravatar #18 - arne_v
21. dec. 2008 03:03
#17

Interessant. Så er der en sammenhæng.

Men jeg er stadig ikke helt med. Hvorfor lade den ActiveX kontrol connecte til en web side - hvorfor ikke bare lade den slette harddisken eller hvad nu hackeren har lyst til ?

(jeg mener ikke at ActiveX er i sandkasse)
Gravatar #19 - Cortz
23. dec. 2008 14:06
lolage (14) skrev:
geeks...


Det var super du lige fik smidt en kommentar!

Hvad med bare at lade være?
Gå til top

Opret dig som bruger i dag

Det er gratis, og du binder dig ikke til noget.

Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.

Opret Bruger Login