mboost-dp1

Microsoft

Microsoft kendte kritisk fejl i over et år

- Via The Register - , redigeret af Net_Srak

Microsoft har netop udsendt en advarsel om en kritisk fejl i Internet Explorer 6 og 7 til Winows XP og Windows Server 2003, der skyldes en svaghed i en ActiveX-kontrol. Nu ser det ud til, at svagheden har været kendt i over et år.

I Microsofts advarsel krediteres Ryan Smith og Alex Wheeler for opdagelsen. På spørgsmålet om, hvornår de indberettede den, svarer Wheeler undvigende, idet han er bundet af en NDA, men oplyser dog, at han arbejdede med problemet, inden han skiftede til sin nuværende arbejdsgiver, hvilket skete i starten af 2008.

Hos Microsoft forsvarer Mike Reavey, chef for Microsoft Security Response Center, den lange ventetid med, at en forhastet løsning, der evt. ødelægger software, blot vil afholde folk fra at anvende løsningen.

Sårbarheden, der kan give komplet adgang til en ramt computer, ser ud til at være udnyttet siden starten af juni år. Anvender man IE 6 eller 7 anbefales det at opdatere browseren til IE 8 eller anvende denne “Fix it” fra Microsoft.





Gå til bund
Gravatar #1 - Windcape
9. jul. 2009 08:53
*sigh*

Man burde slet ikke benytte ActiveX overhovedet.
Gravatar #2 - Kyoobix
9. jul. 2009 09:02
#1

Man burde slet ikke benyttet ActiveX Microsoft Internet Explorer overhovedet.
Gravatar #3 - Hyhan
9. jul. 2009 09:09
#2
Lige mine ord... :)
Gravatar #4 - Lares
9. jul. 2009 09:16
Man bør i hvert fald ikke bruge IE 6 og 7.
Jeg forstår ikke, hvorfor folk (som min far) nægter at skifte noget som helst ud.
Gravatar #5 - Dungdae
9. jul. 2009 09:18
Eller endnu bedre råd fra Microsofts side.. (Oversat self!!)
Microsoft skrev:

Træk internet kablet ud af computeren, afmonter netkort og destruér det, med kølle. Derved undgår du hentning af skadelig software, og sikrer de skrøbelige unge fra at opdage sider med forstyret seksuelt indhold
Gravatar #6 - mathiass
9. jul. 2009 09:24
Man burde slet ikke benytte ActiveX overhovedet.
Man burde ikke bruge forældet software. IE8 har ikke problemet...
Gravatar #7 - HydrA
9. jul. 2009 09:27
Umiddelbart er det ikke en kendt exploit vi taler om i blandt de fleste hackere. Den er hverken på milw0rm eller andre diverse sites og ingen af mine bekendte kendte til en PoC til hullet.

Så hvor mange gange fejlen egentlig er bleven udnyttet kunne jeg godt tænke mig at vide. Tror næppe der har været mange tilfælde, i det Microsoft nok havde været noget hurtigere med en patch.
Gravatar #8 - michael007dk
9. jul. 2009 09:40
mathiass (6) skrev:
Man burde ikke bruge forældet software. IE8 har ikke problemet...


Vista har ikke problemet.
Gravatar #9 - Kyoobix
9. jul. 2009 10:06
michael007dk (8) skrev:
Vista har ikke problemet.


Du er ironisk, right?
Gravatar #10 - spiral
9. jul. 2009 10:26
mathiass (6) skrev:
Man burde ikke bruge forældet software. IE8 har ikke problemet...


Desværre det er mange uvidende personer (især kvinder) som glemmer at opdater deres system eller som ignorer automatiske opdateringer.
Gravatar #11 - krainert
9. jul. 2009 10:34
Rettelse:
juni år > juni i år
Gravatar #12 - Slettet Bruger [547865275]
9. jul. 2009 10:36
Lares (4) skrev:
Man bør i hvert fald ikke bruge IE 6 og 7.
Jeg forstår ikke, hvorfor folk (som min far) nægter at skifte noget som helst ud.


Hvorfor ændre noget der fungere?

for en person der ikke bruger sin browser til andet end netbank, EB og qxl.

#11 vil du gerne ha credit for din rettelse ? ^^

http://newz.dk/news/newsubmit/33580
Gravatar #13 - TormDK
9. jul. 2009 10:58
Qubix (9) skrev:
Du er ironisk, right?


Det tror jeg ikke han er. Vista/server 2008 har ikke problemet.

Det er kun XP/2003 med IE6 eller 7 kørende som kan rammes.
Gravatar #14 - Nightcover
9. jul. 2009 11:07
Qubix (9) skrev:
Du er ironisk, right?

Vista lukker en browser ind i en sandbox, så det der er i browseren ikke slipper ud i resten af systemet. (sådan har jeg forstået det i hvertfald.)

SlettetBruger (12) skrev:


Hvorfor ændre noget der fungere?



Det virker jo lige netop ikke. Derfor skal man opdatere til IE8.
Gravatar #15 - hviidskid
9. jul. 2009 11:21
Lige et spørgsmål. Skal man ikke altid acceptere et active X object første gang det skal anvendes?

Min Karma er forøvrigt vurderet til "Uheldig". Skal jeg så passe ekstra meget på sorte katte og stiger.
Gravatar #16 - Chewy
9. jul. 2009 11:39
@8
Vista + UAC har ikke problemet er vist den rette formulering...
Gravatar #17 - luuuuu
9. jul. 2009 12:14
Jeg er rimlig sikker på der også findes en exploit til Firefox 1.0.? og Chrome 0.8.?beta og Safari ?.?.? og så videre.


Det eneste problem her er at folk ikke er blevet tvunget til at opdatere deres IE, hvor imod de andre browsere ikke giver en meget at sige.
Gravatar #18 - Pinster
9. jul. 2009 12:26
Jeg syntes at det er flot at de har vidst det i over et år, når vi andre har vidst at MS prdukter altid har været ustabile og usikre siden Windows 3.11
Gravatar #19 - hallandsen
9. jul. 2009 14:43
#15

hviidskid (15) skrev:
Lige et spørgsmål. Skal man ikke altid acceptere et active X object første gang det skal anvendes?


Nix; der findes en lang række af standard-ActiveX(R)-objekter, der følger med Internet Explorer, og som har tilladelse til at køre uden brugerens accept som standard. Tjek add-on-manageren og vælg "Run without permission" i listen for at se disse.
Gravatar #20 - Barnabas
9. jul. 2009 23:38
hallandsen (19) skrev:
Nix; der findes en lang række af standard-ActiveX(R)-objekter, der følger med Internet Explorer, og som har tilladelse til at køre uden brugerens accept som standard. Tjek add-on-manageren og vælg "Run without permission" i listen for at se disse.


Disse kan vel fjernes fra den liste, og resultatet vil være en iexplore, der prompter een hver gang et activex komponent bliver forsøgt startet?
Gravatar #21 - hallandsen
10. jul. 2009 11:26
#20

Barnabas (20) skrev:
Disse kan vel fjernes fra den liste, og resultatet vil være en iexplore, der prompter een hver gang et activex komponent bliver forsøgt startet?


Så vidt jeg kan se, kan man godt bede om at blive spurgt hver gang, en webside ønsker dem kørt, ja. Der er nok bare ikke så mange, der vælger at ændre på standardindstillingen.
Gå til top

Opret dig som bruger i dag

Det er gratis, og du binder dig ikke til noget.

Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.

Opret Bruger Login