-->
Středa 10. 11. 2004 (15:23)
Počítače, internet, IT
Microsoft zkoumal, ale zatím nevyzkoumal
Internet Explorer bez SP2, tzn. každý Internet Explorer používaný mimo Windows XP s SP2 má dosti závažnou díru. Elementy frame, iframe a embed mohou způsobit přetečení zásobníku a tím i další neplechu. Více v CERT Knowledge Base: Vulnerability Note VU#842160. Díry už začaly směle využívat některé varianty viru MyDoom. O tomto více na CD-R.CZ v článku Nová varianta viru MyDoom se nešíří jako příloha.Člověk si řekne, že když Internet Explorer z Windows XP s SP2 postižen není, takže tam Microsoft problém podchytil a vyřešil a že to samé neudělá i pro uživatele Internet Exploreru třeba stále oblíbených Windows 2000, je jen důsledek kampaně tlačící uživatele k (nejlépe legálnímu) pořízení Windows XP s SP2. Zřejmě je tomu tentokrát jinak. Problém se v SP2 pro Windows XP vyřešil asi sám nebo součinností nějakých jiných zásahů, protože Microsoft si není vědom, že by IE někdy podobnou díru obsahoval a proto jen zkoumá, ale nemůže vydat žádnou záplatu pro samotný Internet Explorer, když neví, kde je zakopaný pudl. Tak jak? Opravdu je oprava v SP2 jen náhoda? Nebo Microsoft mlží? I když Microsoft má všelijaké praktiky, které se někomu líbí a někomu ne, tentokrát bych to viděl na mnou právě vyřčenou verzi o náhodné opravě.
Jestli je tedy skutečně Microsoft tak bezzubý, měl by se vzhledem k závažnosti a nikoliv teoretické, ale již praktické zneužitelnosti vydat za vývojáři Maxthonu, kteří problém vyřešili a svým uživatelům nabízejí záplatu!!! Aktualizující uživatelé Maxthonu tedy ani nemusí používat Gecko a mohou dál surfovat s jádrem Internet Exploreru a přitom se jich podobně jako uživatelů Windows XP s SP2 problém nedotýká.
Reagoval xergic: Tak to je teda supr... Microsoft záplatu vydat nedokáže a Maxthon (mimochodem můj oblíbený) už ji dávno má. Microsoft by se měl poučit. Toto je celkem jasný důkaz, že (některé) nadstavby IE nejsou tak nebezpečné, jak mnozí tvrdí. Snaží se jen zastávat svých Mozill/Oper a ostatní odsuzují.
Má odpověď: V tomto konkrétním případě máš pravdu, ale bohužel IE těch potencionálně zneužitelných děr má mnohem více a bohužel ani Maxthon je všechny nevyřeši :-( Pokud nepřehodíš jádro na Gecko, čímž se však bohužel značně snižuje funkčnost :-(
Reagoval Pepak: Odstranit pricinu chyby muze bejt PODSTATNE slozitejsi nez jen obejit jeden jeji konkretni projev. Jiste by se tenhle problem v IFRAME dal vyresit treba tak, ze se z jeho SRC vezme maximalne prvnich 20 (30? 40?) znaku, ale to neni reseni - chyba se muze projevit za tejden treba ve zpracovani atributu CLASS nebo ID nebo HREF, a zase bude prusvih. Orezavat vsechny atributy dost dobre nejde (krome toho - co kdyz se to pak projevi treba ve specialne zformatovanym textu odstavce???)
Má odpověď: První větu mohu potvrdit. Své programátorské dovednosti bych v žádném případě nechtěl přeceňovat, nicméně i na té primitivní úrovni, na jaké programuji, vím, že odhalení chyby a vyřešení chyby jsou dva rozdílné procesy a bohužel i rozdílné náročné na čas. Ovšem IMHO to nemusí platit obecně.
Má odpověď: V tomto konkrétním případě máš pravdu, ale bohužel IE těch potencionálně zneužitelných děr má mnohem více a bohužel ani Maxthon je všechny nevyřeši :-( Pokud nepřehodíš jádro na Gecko, čímž se však bohužel značně snižuje funkčnost :-(
Reagoval Pepak: Odstranit pricinu chyby muze bejt PODSTATNE slozitejsi nez jen obejit jeden jeji konkretni projev. Jiste by se tenhle problem v IFRAME dal vyresit treba tak, ze se z jeho SRC vezme maximalne prvnich 20 (30? 40?) znaku, ale to neni reseni - chyba se muze projevit za tejden treba ve zpracovani atributu CLASS nebo ID nebo HREF, a zase bude prusvih. Orezavat vsechny atributy dost dobre nejde (krome toho - co kdyz se to pak projevi treba ve specialne zformatovanym textu odstavce???)
Má odpověď: První větu mohu potvrdit. Své programátorské dovednosti bych v žádném případě nechtěl přeceňovat, nicméně i na té primitivní úrovni, na jaké programuji, vím, že odhalení chyby a vyřešení chyby jsou dva rozdílné procesy a bohužel i rozdílné náročné na čas. Ovšem IMHO to nemusí platit obecně.
SLEDOVAT ZMĚNY | VYTISKNOUT | Podělte se o odkaz na linkuj.cz nebo del.icio.us
Stálý odkaz (permalink): Stálá adresa tohoto zápisku je http://blog.macich.net/1100100218-microsoft-zkoumal-ale-zatim-nevyzkoumal.html (pro IE: vložit do schránky | přidat k oblíbeným). Chcete-li na zápisek odkázat, použijte ji.
Další zápisky: Následujícím zápiskem je spot Počítač pro každého 22/2004 s plnou hrou Fire Department v češtině Předešlým zápiskem je spot Potřebuji prozváněcí hodinky Další pak naleznete při navigaci z hlavní stránky. Můžete se také podívat na seznam všech zápisků.
Aktuální místo vašeho pobytu: Macich.NET » Blog počítačového nadšence » Počítače, internet, IT » Microsoft zkoumal, ale zatím nevyzkoumal
