PDA

Просмотр полной версии : баги ie и ieview (miranda)


SergoZD
14.04.2005, 11:28
По мотивам этого поста (http://www.imho.ws/showthread.php?p=785309#post785309) и разговора по аське.

Опасно ли использование плагина ieview с точки зрения наличия багов у internet explorer?
Пока есть такие мнения:
1. Баги эксплорера можно заюзать в ieview, следовательно использование этого плага является опасным.
2. Баги эксплорера в прямую не заюзать в Ieview, но на их основе можно подогнать что-то подобное для плага.
3. Баги эксплорера ни коим образом не имеют отношения к ieview, и уязвимость в плаге можно найти целеноправленным изучением исходного кода. Соответственно опасность использования такая же, как и использование других плагинов (таких как например Popup Plus, в котором недавно была обнаружена критическая уязвимость).

Лично я придерживаюсь третьего варианта. Все уязвимости эксплорера основываются на внедрении в код странички определенных строк (javascript и т.п.).
В ieview весь код хранится в файл-шаблоне (*.ivt), а все пересылаемые сообщения конвертируются и отображаются текстом. Соответственно единственная возможность для использования багов ie - внедрение их в файл *.ivt

timsky
14.04.2005, 11:39
Проголосовал за пункт №1
Раз уж миранда обрела такую популярность, что нашли дыру в PopUp Plus, то совсем скоро появятся сплоиты и для IEView.
1 - он скоро станет очень популярным
2 - IE, на ядре которого он основан - прекрасный полигон для поиска дыр
3 - IEView - opensource, что еще больше облегчает поиск дыр в нем

ЗЫ:
Скорее всего уже налепили сплоиты, просто на паблик еще не выдали, а сами тихонько пользуются ;)

CriS
19.05.2005, 20:43
Проголосовал за пункт номер 2...
Хотя считаю, что уязвимости ИЕ можно использовать в ИЕ Вью... но не всё так плохо... Я, например, юзаю его только для проверенных "годами" юзеров, чего и всем желаю... И быстрее будут окошки для неизвестных и проще жить будет - не придётся бояться за миранду...

vvp
19.05.2005, 23:18
Голосую за третий вариант ) если уж так подходить с такими мерками, как в варианте 1 - то можно придумать ксплоиты ко всему чему угодно )