Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Kritikus IE7 sebezhetőség

2009.11.22. 09:28 | buherator | 4 komment

Egy eddig foltozatlan, Internet Explorer 6 és 7 típusú böngészőket érintő sebezhetőség látott napvilágot tegnap a Bugtraq listán. A probléma speciális STYLE tagek getElementsByTagName() segítségével történő feldolgozásakor jelentkezik.  A hiba böngészőn keresztüli távoli kódfuttatásra ad lehetőséget, ezért érdemes legalább a hivatalos folt megjelenéséig más böngészőre váltani.

Ja, és majdnem elfelejtettem a legviccesebbet: Az IE8 XSS szűrője a hírek szerint alkalmas arra, hogy XSS-t idézzen elő, akár egyébként rendes szűréssel megáldott webalkalmazásokban is. A probléma ott van, hogy a szűrő veszélyes tartalom érzékelésekor megváltoztatja megjelenítendő HTML kódot, ez a transzformáció pedig lehetővé teszi olyan tartalmak összeállítását, melyet maga a böngésző fog veszélyes, kliens oldali szkriptté alakítani. A NoScript ezzel szemben nem a HTTP választ, hanem a kérést módosítja, így ezt a plugint nem fenyegeti ilyen veszély.  

Címkék: internet explorer xss 0day

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Aldo · http://autostat.hu/markakereskedesek-szervizek 2009.11.22. 18:40:09

nem is tudtam, hogy létezik még az IE... szerintem már minden épeszű ember firefoxot használ

matx 2009.11.22. 22:57:55

Azert az sem lenne annyira jo, ugyanis a firefox a legsebezhetobb browser. Legalabbis szerintuk:

www.hwsw.hu/hirek/43369/mozilla-firefox-internet-explorer-security-biztonsag-res-hiba-javitas-patch-update.html

elemzes itt:
www.cenzic.com/downloads/Cenzic_AppSecTrends_Q1-Q2-2009.pdf

En szemely szerint a chromera szavazok, tulelte a pwn2own-t is :)

buherator · http://buhera.blog.hu 2009.11.23. 09:27:27

@matx: A Cenzic jelentése egyrészt nem erről szól, másrészt a hibák számának összehasonlítása nem jelent semmit, harmadszor pedig a "melyik a legbiztonságosabb böngésző?" kérdésnek nincs is igazából értelme. "A biztonság nem egy termék."