Ышо один баг IE - Безопасность

Switchman · 11.12.2003, 12:44

Цитата:

Еще один баг, который обнаружил в веб-браузере Microsoft Internet Explorer 18-летний график-дизайнер Сэм Гринхалш, помогает злоумышленникам обманывать пользователей интернета, выуживая у них конфиденциальную информацию и заставляя исполнять вредоносные программы.

Составив URL особым образом, в браузер можно поместить окно, отображающее любой выбранный атакующим адрес: это позволяет мошеннику создать впечатление, что отображается, скажем, www.zdnet.ru, — на самом же деле загружается контент из другого источника. Этим способом жертву легко ввести в заблуждение с целью выведать персональные данные, например, прислать письмо от имени интернет-банка или другого подобного сайта с просьбой изменить пароль.

«Вы можете представиться кем угодно и заставить кого угодно исполнить нужную вам программу, — пояснил инженер по компьютерной безопасности Дрю Коупли. — Конечно, это не конец света, но забот у Microsoft прибавится».

Коупли, который работает в американской компании eEye Digital Security, сам специализируется на ошибках IE. На его счету множество выявленных в вездесущем веб-браузере проблем. Хотя последний баг не позволяет атакующему пробраться в систему традиционным методом «дистанционного взлома», он лишает пользователя возможности определить, кому можно доверять. «Если адрес выглядит правильно, вы не станете возражать против загрузки чего-либо с этого сайта, нажмете на нужные кнопки и введете пароль или что-там еще потребуется», — поясняет он.

Однако верхние строчки списка самых опасных уязвимостей Microsoft займут, вероятно, более серьезные ошибки, обнаруженные недавно китайской секьюрити-группой, считает Коупли. Три из них позволяют атакующему дистанционно войти в систему. У пользователей есть возможность уменьшить риск, запретив функцию active scripting, которая позволяет браузеру исполнять скрипты и код ActiveX, но это ограничит функциональность браузера, говорит Коупли.

ZDNet писал.

dr-evil · 11.12.2003, 12:54

а где полные описания?

Switchman · 11.12.2003, 15:21

dr-evil
Вот тута тестик есть. Пробуй. Кстати в Опере, такие номера не проходят.

11.12.2003, 17:59

Цитата:

Кстати в Опере, такие номера не проходят.

Вот так это выглядит в опере:

Цитата:

_https://www.********.com@********.com/***/login.shtml

Такого вида вполне достаточно.

joker99 · 12.12.2003, 00:05

Цитата:

WestFOX:
Вот так это выглядит в опере:

quote:

_https://www.********.com@********.com/***/login.shtml

Такого вида вполне достаточно.

прикол в том что по ссылке Switchmanа, ie показыватет в строке адреса
http://www.microsoft.com а не http://www.microsoft.com@zapthedingb.../ex01/vun2.htm

ShooTer · 13.12.2003, 20:27

Пойдем в Безопасность.

11.12.2003, 12:54	# 2
dr-evil ::VIP:: Регистрация: 17.02.2002 Адрес: /home/dr-evil Пол: Male Сообщения: 2 212	а где полные описания? __________________ Сеть - это диагноз... а сисадмин - состояние души. Питер! Все на сходку!!! \| Обзоры порталов. Добавь свою любимую систему!

11.12.2003, 15:21	# 3
Switchman ::VIP:: Регистрация: 25.07.2003 Адрес: Перегон Москва-Кассиопея, третий путь в палате №6. Сообщения: 714	dr-evil Вот тута тестик есть. Пробуй. Кстати в Опере, такие номера не проходят. __________________ Switchman - unknown holder of destinies.

13.12.2003, 20:27	# 6
ShooTer Chameleon MOD Регистрация: 29.04.2003 Сообщения: 2 515	Пойдем в Безопасность. __________________ "That vulnerability is completely theoretical."

Опции темы
Версия для печати Отправить на email