További Biztonság cikkek
Amikor a felhasználó a 'vissza' gombra kattint az Internet Explorerben, egyúttal a rendszerét is megnyithatja egy támadás előtt. A hibát egy svéd diák fedezte fel, a Microsoft azonban nem tartja azt különösebben súlyosnak. Az antivírus programok általában képesek felismerni a támadást.
Az Internet Explorer 'vissza' gombjának megnyomása megnyithatja az operációs rendszert külső támadások előtt - adta hírül a Wired. A problémát az Explorer egy tervezési hibája okozza. Amikor egy honlap letöltése nem lehetséges, a böngésző egy standard hibaüzenetet küld.
Erre az üzenetre viszont nem az internetes, hanem a helyi biztonsági beállítások vonatkoznak, és amikor ezek vannak életben, a böngésző automatikusan futtathat parancsfájlokat. Amikor erről az oldalról visszalépünk, a böngésző már az eredeti lapot is úgy kezeli, mintha a helyi biztonsági zónából származna. Így már lehetőség nyílik kártékony JavaScript parancsok futtatására, amelyeket a böngésző egyébként blokkolna.
A Microsoft szerint nem rés
A hibát Andreas Sandblad, egy svéd diák fedezte fel. Azt állítja, hogy tavaly novemberben tájékoztatta a Microsoftot a problémáról, idén márciusban pedig további információkkal is szolgált. Eleinte csak a 'frissítés' gombbal, később már a 'vissza' gombbal is tudta produkálni a védelmi hibát. A Microsoft első válaszlevelében nem tartotta különösebben komolynak a problémát, másodszorra pedig azt írták Sandblad-nek, hogy egy későbbi javítócsomag orvosolni fogja azt. A Microsoft szóvivője azt mondta, hogy a MS Security Response Center körültekintően megvizsgálta a problémát, és úgy vélte, 'mivel a leírt esemény csak a felhasználó speciális interakciója nyomán valósul meg, ők nem definiálják azt biztonsági résként'.
Nem biztonságos visszafordulni
'A leírt szituáció azt igényli a támadó részéről, hogy rábírja a felhasználókat a 'vissza' gomb megnyomására a honlapján. Ez nem jelent fenyegetést azokra a felhasználókra nézve, akik a megfelelő, biztonságos eljárást követik' - tette hozzá. Bizonyára sokan meglepődnek azon, hogy a 'vissza' gombra kattintás a Microsoft szerint biztonsági szempontból nem megfelelő eljárás. Vannak, akik felhívják a figyelmet arra is, hogy a használati útmutatóban sehol nem említik, hogy a 'vissza' gomb használata károsíthatja a rendszert. A szóvivő azt mondta, hogy cégük számára továbbra is lényeges, hogy a felhasználók biztonságban tudhassák adataikat, és egy későbbi változatban kívánnak is foglalkozni a problémával.
Sandblad a 6.0-s Explorert tesztelte Windows 2000 és XP operációs rendszerek alatt, de a Wired cikke szerint a hiba létezik az 5.5-ös Explorernél, és Windows 98 és NT 5.0 alatt is. A probléma nem jelentkezett az Explorer Mac-es verziójánál, illetve a Mozilla és az Opera böngészőknél. A Netscape egyes verziói JavaScript hibát jeleztek, és leálltak. Az antivírus programok általában képesek felismerni a támadást. A Slashdot.com oldal egyik olvasója készített egy tesztet, mellyel leellenőrizhetjük a saját böngészőnket.
Megoldás a scriptek letiltása
Azoknak, akiknél jelentkezik a probléma, Sandblad a szokásos megoldást javasolja: kapcsoljuk ki böngészőnkben a scriptek engedélyezését. Persze úgy is dönthetünk, hogy soha többé nem használjuk a 'vissza' gombot. Mikal Zabor programozó azt javasolja, hogy azok 'akiknek muszáj Explorert használniuk' ne installálják a Windowst a C: meghajtóra, mivel a legtöbb támadóprogram feltételezi, hogy a felhasználó Microsoft-termékeket használ, és a rendszer a C: lemezre van telepítve.
Kövesse az Indexet Facebookon is!
Követem!
