mboost-dp1

unknown

Sikkerhedshul i IE farligere end først antaget

- Via eWeek - , redigeret af Net_Srak

Et gammelt sikkerhedshul i fuldt patchede Internet Explorer browsere, viser sig nu at være langt farligere end først antaget. Sikkerhedshullet blev fundet i maj og kunne medføre et nedbrud, men blev nedprioriteret da det ikke var specielt farligt. En gruppe kaldet “Computer Terrorism”, har nu benyttet det samme sikkerhedshul, til at afvikle programmer hos en bruger, uden dennes viden, blot ved at brugeren besøger en webside.

En Microsoft talskvinde bekræfter, at Windows 2000 SP4 og Windows XP SP2 er udsat for dette sikkerhedshul. Windows Server 2003 har dog “Enhanced Security Configuration” til som standard og er derfor ikke udsat.

Et Proof-Of-Concept eksempel er tilgængeligt fra FrSirt. Dette kan nemt modificeres af ondsindede personer og derved bruges til f.eks. at starte en remote shell på brugerens computer.





Gå til bund
Gravatar #1 - GurliGebis
23. nov. 2005 07:23
Nu ved jeg ikke om jeg har misforstået noget, men kan den ikke kun starte programmer der allerede ligger på computeren?
I så fald er det begrænset hvad skade der kan gøres vil jeg mene.
Gravatar #2 - rabonzo
23. nov. 2005 07:29
#1

Lige PT er der et activeX object der gør at din IE er fatal sikkerhedsmæssigt nedbrudt.(Ihvertfald i winXP) Man kan simpelt hen kører en hvilken som helst kode på din computer, og hackeren startede blot lommeregeren op som en start.

I ka' læse mere om den på ekstrabladet.dk som dog linker til www.comon.dk
Gravatar #3 - SKPFræser
23. nov. 2005 07:33
man kan lave net send beskeder
Gravatar #4 - DrHouseDK
23. nov. 2005 07:40
Du giver SKP et dårligt rygte ;P

Suk. Nu er man ikke stolt af at være IE-brugere de næste par dage.

Man skal ALDRIG "skide" på et sikkerhedshul; selvfølgelig kan det udnyttes; ellers gav man det ikke navnet "Sikkerhedshul", vel? :)
Gravatar #5 - revald
23. nov. 2005 07:45
#1: Det kan da godt være man kun kan starte programmer der allerede ligger på computeren... men det åbner da også vide muligeheder. Du kan jo bare instruere computeren om at hente et andet program (root kit/remote admin/etc) via ftp.
Gravatar #6 - Mads
23. nov. 2005 08:10
Jeg er nu lidt bange for at noget af mit porno pludseligt bliver afspillet, mens jeg sidder og hjælper min kæreste, med hendes IT-projekt...
Gravatar #7 - thufir
23. nov. 2005 08:12
Det er jo ikke noget nyt.. :P til alle der er tabt bag en vogn: http://www.getfirefox.com :)
Gravatar #8 - NFX
23. nov. 2005 08:28
#7:
Tror ikke ret mange af de folk herinde der bruger den browser de nu gør, kan fås til at skifte.


Derudover:
Det kan godt være at jeg har været dårlig til copy/paste, men jeg har kopieret koden fra FrSirt ind i nye html-filer, og smidt dem ud på min side, men det eneste der sker når jeg besøger siden med IE, er at den skriver "Der opstod en fejl på siden", og calc.exe kører ikke.

Derudover ser det helt bestemt ud til at det exploit kan forhindres ved at slå javascript fra.
Gravatar #9 - rabonzo
23. nov. 2005 08:41
#8

Nu skal din activeobject stå på automatisk afspilnign for at få javascriptet igang. Altså, du skal få Activeobject-tingesten til automatisk at eksvere koden uden at spørge om lov.

Tror det er der din fejl ligger.

Edit: Testede lige dit link af, og min kan simpelthen ikke åbne vinduet med den lommeregner. Tror jeg har sikret mig ved at fjerne Active X afspilningen :P Så er jeg vidst ikke HELT dum til det dersens sikkerhed eller hva' :P
Gravatar #10 - .dot
23. nov. 2005 08:55
#8 - Funker heller ikke i min IE
Gravatar #11 - DjAlEx
23. nov. 2005 09:02
#8, Jeg får en fejlmelding når jeg går ind på siden
----
Linie 40: Strengkonstanten er uafsluttet
----

Trykker jeg så på et af linksne, får jeg følgende fejl:

xp:
----
Linie 125: Et objekt var ventet
----

2000:
----
Linie 134: Et objekt var ventet
----

Så om det er min IE 6 på min windows 2000 der er sikret mod det, eller om det er fejl i koden, skal jeg ikke kunne udtale mig om!
Gravatar #12 - Regus
23. nov. 2005 09:03
#8
du skal lige rette de der line wraps ud i hovedfilen...

og så skal man slå sin popup blokker fra for at det virker

og selv med det gjort var det eneste der skete for mig at der kom en ie prompt box frem som hang indtil jeg kværkede den med taskmanageren...

jeg var i øvrigt også nødt til at udkommentere
document.getElementById('table1').rows[7].cells[0].innerHTML=""
og
document.getElementById('table1').rows[9].cells[0].innerHTML=""
Gravatar #13 - stefan_v
23. nov. 2005 09:15
hmmm.. Det er da ikke det fede sikkerhedshul - det virker jo ikke :) Jeg får en null-pointer-exception :-/

Træls!
Gravatar #14 - Spook
23. nov. 2005 09:16
Nogen der har et link til et sted den virker? Jeg får bare "der opstod en fejl på siden". Vil gerne kunne teste om der er lukket el. åbent for den her på job...
Gravatar #15 - Regus
23. nov. 2005 09:17
wow det lykkedes - jeg var bare for utålmodig - da prompt-boxen kom frem skulle jeg bare vente i 2 minuter eller dermomkring så startede den calc...

Verdens langsomste sikkerhedshul er fundet...

Jeg ved ikke med jer andre men jeg ville aldrig have ventet så længe med at kværke et program under realistiske omstændigheder...
Gravatar #16 - Regus
23. nov. 2005 09:24
til dem der ikke kan få det til at virke:

der er fire linier i hovedfilen der er wrappet på siden de skal lige unwrappes for at slippe af med den fejl der opstår lige når man åbner siden de drejer sig om:

1:
document.getElementById('table1').rows[2].cells[0].innerHTML="<p align=center><B>
<font color=#339966 size=1 face=Arial>&nbsp;&nbsp;&nbsp;&nbsp;loading, please wait....
</font>"

2:
top.consoleRef.document.writeln('<iframe width=1 height=1 border=0 frameborder=0
src=fillmem.htm></iframe>')

3:
top.consoleRef.document.writeln('<iframe width=1 height=1 border=0 frameborder=0
src=bug2k.htm></iframe>')

4:
top.consoleRef.document.writeln('<iframe width=1 height=1 border=0 frameborder=0
src=bug.htm></iframe>')

ud over det skal følgende to linier fjernes (spørg mig ikke hvorfor de er der, men de giver fejl hvis man ikke fjerner dem)

document.getElementById('table1').rows[7].cells[0].innerHTML=""
document.getElementById('table1').rows[9].cells[0].innerHTML=""

Vær i øvrigt opmærksom på at hvis man kører det lokalt skal man lige acceptere at køre aktivt content både på hovedvinduet og det nye vindue der kommer frem når man vælger OS.

Og googlebarens popupblokker skal slås fra på hovedvinduet ellers sker der ingenting
Gravatar #17 - araldit
23. nov. 2005 09:25
#15, Det har du ret i, men tror nu heller ikke at hvis man virkeligt ville udnytte hullet, at man laver noget brugeren umiddelbart kan se. Du kan sikkert slette, hente og omdøbe uden at benytte en konsol. Dermed vil det jo se ud som det altid ellers gør. Det er først når den fx. genstarter næste gang, fejlen viser sig. Det er det der er skræmmende efter min mening.
Gravatar #18 - DrHouseDK
23. nov. 2005 09:27
Interessant. Min F-Secure er opdateret, og melder at den har blokeret en Exploit! :)

www.plougmann-olsen.dk/fsec.jpg
Gravatar #19 - Spook
23. nov. 2005 09:44
#16: Takker, det virker nu. Tjek her hvis I vil prøve. Så vil jeg lige tage en snak med min chef om de 3200 ubeskyttede pc'ere vi har...
Gravatar #20 - mikbund
23. nov. 2005 11:14
#19:
Der er vel ikke så meget at snakke om. Ind i group polycien, forbyd javascript/activeX og/eller eksekvering af IE i en periode og bed dem om at bruge Firefox istedet, som du naturligvis allerede har pushet over.
Når buggen er løst, og maskinerne opdateret, ændrer du GPen tilbage igen :)
Gravatar #21 - Simm
23. nov. 2005 11:36
#18: Ja, men jeg kan se på dit screenshot, at Microsoft Update har en opdatering til dig, så "din computer er muligvis i fare" :D
Gravatar #22 - skrump
23. nov. 2005 11:57
#1: da cmd.exe er installeret på din maskine, kunne scriptet også udføre en rask lille "cmd.exe /c del /s c:\*.*"

Rimeligt irriterende, hvis du (som mange Windows brugere) har administratorrettigheder på maskinen...

(Og lad nu være med at afprøve kommandoen på din maskine!)
Gravatar #23 - mora
23. nov. 2005 12:08
Postdanmarks webpack kan også udskrive pdf dokumenter til ens default printer uden man skal godkende det, ret smart, men der burde vel lige skulle en bruger tilladelse til første gang :)
Gravatar #24 - Spook
23. nov. 2005 13:23
#20: Lidt mere holdbar løsning (når IE bliver dikteret ovenfra):

Fjern muligheden for Active Scripting i IE. Har lavet en hotfix til det, skal lige teste den igennem inden vi ruller den ud. 2 kritiske systemer bruger Java, så der skal ikke bare panik-lappes :)

Sig til hvis I vil have patchen, det er bare en omgang .reg :)
Gravatar #25 - XxX
23. nov. 2005 14:05
Hej

Nu ved jeg ikke hvad jeres firma bruger af virus scanner..

Hvis det er mcafee så er det da bare at pushe dat 4634 til brugerne..

Prøvede lige at gå ind på den der side som #19 har lavet og trykke på knappen og så skal jeg ellers love for at mcafee gik bananas og slettede det...

XxX
Gravatar #26 - soopy
23. nov. 2005 14:50
I love mozilla
Gravatar #27 - thure
23. nov. 2005 19:05
Da jeg prøvede at copy/paste eksempelkoden til fillmem.htm og trykkede gem, anbefaler Kaspersky Antivirus at slette tekstdokumentet med det samme. Skummelt at en tekstfil kan detekteres som et eksploit.
Gravatar #28 - Simm
23. nov. 2005 19:38
#27: En Visual Basic Script-fil (VBS) eller JavaScript (JS), som mange orme spredes vha. er jo basalt set også bare en tekstfil med kode, som kan fortolkes af Windows Scripting Host. Så jeg synes det er et stort plus at din viruschecker også checker alm. tekstfiler :-) Der findes en del som bare checker filtypen vha. filendelsen, men potentielt kan en tekstfil vel være lige så farlig, hvis der er kode i den.
Gravatar #29 - TullejR
23. nov. 2005 21:57
#27:

det viser sådan set bare endnu et idiotisk aspekt ved windows - alle filer kan eksekveres uden videre.
Gravatar #30 - thj01
28. nov. 2005 06:54
prøve det lige af med min dinosaur win98 (beskrivelse i øvrigt MS egen, men virker fint til det jeg bruger maskinen til)


den fik IE til at gå ned - det må da være bedre end at den
lige pludselig begynder at starte programmer

off- topic

(og alligevel lidt ontopic)

se forøvrigt http://www.microsoft.com/office/evolve/default.msp...

Da jeg er på win 98 kan jeg ikke bruge deres nye MSO. hvilket må gøre min windows til en dinosauer - hvilket forøvrigt ikke er så tosset for alle de nye bots/ vira/ mallware har også udviklet sig og gjort min win98 stort set sygdomsfri
Gå til top

Opret dig som bruger i dag

Det er gratis, og du binder dig ikke til noget.

Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.

Opret Bruger Login