mboost-dp1

unknown

Nyt sikkerhedshul i IE og Outlook

- Via Computerworld DK -

Denne gang drejer det sig om IE’s objekt håndtering, som bl.a. Outlook bruger når den viser html. Det er i visse tilfælde muligt at få objekter til ikke at blive udsat for IE’s sikkerhedselementer.

Microsoft har kritiseret sikkerhedsfirmaet Pivx Solutions for at offentliggøre dette hul.





Gå til bund
Gravatar #1 - MightyPalm
15. jul. 2002 11:51
kan godt forstå m$

Det er en invitation til at udnytte hullet at man offentliggør det...
Gravatar #2 - Mysterio
15. jul. 2002 11:51
helt enig
Gravatar #3 - slickhead
15. jul. 2002 11:55
Så kan M$ få fingeren ud kan de. Der er måske andre der allerede udnytter sikkerhedshullet til noget ondt, hvor PivX rent faktisk kommer med en måde at lukke hullet på.
Gravatar #4 - Hektor
15. jul. 2002 11:57
#1 MightyPalm:
Og det er en advarsel til brugerne, der så kan arbejde sig uden om hullet; det er sandsynligvis ikke firmaet Pivx, der var de første til at finde det.

Som sKIDROw ynder at sige i den slags diskussioner:
"Skulle man bare have holdt kæft om AIDS, indtil man havde opfundet en kur?"
Gravatar #5 - BurningShadow
15. jul. 2002 11:58

Nu har jeg ikke læst nyheden endnu, men…
Hvis Microsoft ER blevet informeret om hullet, og har valgt at ignorere det, SÅ er det ok at offentliggøre det. Hvis de IKKE har givet MS en chance for at rette hullet, så er jeg enig i at det er lidt en opfordring til at udnytte det. Alle skal have en fair chance til at rette deres fejl, også Microsoft, selvom jeg ikke kan lide dem, så er de dog mennesker?
Gravatar #6 - Hektor
15. jul. 2002 12:07
#5 BurningShadow:
Så vidt jeg har forstået, så har Pivx givet MS et 14 dages forspring. Om det er nok, til at rette problemet? Tjaa, hvor længe plejer der at gå, fra der er offentliggjort sikkerhedshuller i f.eks. Apache eller OpenSSH til der foreligger en fejlrettelse?
Gravatar #7 - FreakCERS
15. jul. 2002 12:25
1) det er efter min mening fuldstændig ligegyldigt hvor closed-source et firma arbejder ud fra, sikkerhedshuller er noget enhver bruger har KRAV på at kende, i samme øjeblik de er fundet.. ikke når firmaer som M$ engang får fingeren ud...
Sådan er det også med alt vedrørende *NIX *BSD og alt andet... - det giver brugeren en mulighed for at deaktivere de elementer der udgør et sikkerhedshul, eller vælge ikke at bruge produktet...

2) når et firma er kendt for ikke at offentliggøre de huller der findes i deres software, mener jeg ikke der er en grund til at give dem en advarsel i forvejen... de laver formentligt ikke en patch før engang om et par måneder alligevel... - eller.. det gør de måske nu, da offentligheden er blevet underrettet.... - de kan læse om hullerne på nettet lissom alle os andre...

3) jeg har siddet og testet de eksempler pivx har lagt ud, og ingen af dem synes at være i stand til at læse filer på andet end min windows-partition (hvor ingen fornuftige mennesker ligger noget som helst vigtigt). Jeg kører fuldt opdateret Win2k, dog ingen software firewall/trojanscan eller lign.
Gravatar #8 - Simm
15. jul. 2002 12:30
http://www.pivx.com/larholm/adv/TL003/execute.html
dette demotool skulle bruge exploit'en til at starte windows calculator op. Det kan den ikke hos mig (IE6, WinXP, Pre-SP1 patchet) - kan I få den til at virke?
Gravatar #9 - OsteManden
15. jul. 2002 12:34
Virker på min maskine på arbejde, w2k SP2 IE6.0
Gravatar #10 - FreakCERS
15. jul. 2002 12:41
simm: ja.. den virker på min comp - men igen.. kan kun køre programmer der ligger på min windows-partition
Gravatar #11 - Simm
15. jul. 2002 12:46
Hmm, det var da weird, jeg har ikke nogen form for beskyttelse mod det, og ActiveX er sat til enabled.

Men hva'.. skal vel bare være glad så :D
Gravatar #12 - Hekto
15. jul. 2002 13:48
virker osse på min - Win XP
Gravatar #13 - Emil
15. jul. 2002 14:09
#4 > Diskussion med to s'er ;-)
Gravatar #14 - BurningShadow
15. jul. 2002 14:12

sorry min fejl...
Jeg skulle lige til at rette Milo_ men han har ret.
Gravatar #15 - MightyPalm
15. jul. 2002 14:25
#6

Spørgsmålet er bare hvor længe de så har kendt til fejlen før de offentliggør den, udsender patchen dagen efter og bliver hyldet som helte hos apache...

Men den diskussion har vist været oppe et par (læs MANGE) gange...

Hvorvidt exploiten bliver udnyttet mere efter offentligørelsen kunne jo være interresant at se nogle tal på...
Det ville jo kunne give os et hint om om m$ har hold i deres utilfredshed over offentliggørelsen...
Gravatar #16 - Hektor
15. jul. 2002 14:33
#15 MightyPalm:
Det kan ikke besvares:
1) For at lave sådan en statistisk, med realistiske tal, skal alle vide, hvad de skal holde øje med.
2) For at vide, hvad de skal holde øje med, skal fejlen offentliggøres.
3) Du kan derfor ikke få realistisk tal fra inden fejlen blev offentliggjort.
Gravatar #17 - Deternal
15. jul. 2002 14:45
Tjeah, hvis man ikke kender en fejl kan man ikke hacke den (dvs. omgåes den, således at ens system ikke udgør en fare for netværket).

At MS er sure over at vi er nogle som gerne vil sikre vores systemer, og vi kun kan gøre det med relevant information om sikkerhedsfejl er deres problem.

Jeg kan ikke forestille mig andet end at MS laver FUD mod dette af image grunde, og egentlig ikke fordi de vil beskytte brugerne.
Gravatar #18 - Mysterio
15. jul. 2002 15:24
den virker delvist hos mig, dvs. min vira scanner pop'r op og gør klar til at henrette den, så det sikkerhedshul er vist ikke meget værd.

hektor, nu er det sådan at adis er en sygdom som spreder sig som den kan, ikke som den VED den kan, det er en stor forskel, og i det hele taget en underlig sammenligning.
Gravatar #19 - bnm
15. jul. 2002 16:08
jamen... er det ikke et halvt år gammelt? Og det "exploit" virker heller ikke på min (win2k, ie5, sp2) og det "åbner" kun for muligheden at ekserkvere programmer der allerede befinder sig på computeren og hvis placering man kender til.
og jeg vil mene at det i høj grad har noget at sige om måske en håndfuld "ondsindede" personer kender en exploit på verdensplan, nogle uger før en patch er ude, eller om 1.000.000'er der kan finde ud af at skrive www.newz.dk i en browser kender til den hvor af hver femte kunne finde på at lægge netbus ind på deres lærers maskine.
Gravatar #20 - Hektor
15. jul. 2002 16:15
#18 Mysterio:
Hvis du ikke ved, der er en smitsom sygdom kaldex "OndSygdom", som spreder sig ved hudkontakt under sexakten, hvordan vil du så beskytte dig imod den?

Ja, sygdommen spreder sig, som den kan, uanset om ofret ved, sygdommen eksisterer; men hvis ofret ikke kender til sygdommen, er chancen for dens infektion større, da der ikke er nogen, der ved, hvordan de skal beskytte sig imod den.

I 1300- og 1400-tallet blev Europa ramt af "den sorte død", og den nakkede 25% af befolkningen, fordi de ikke vidste, hvordan man beskyttede sig mod den (hygiejne). Det ved vi i dag, og derfor er pest-epedimier stort set uddøde.
Gravatar #21 - DarkBorg
15. jul. 2002 16:57
den virker ikk en ski hos mig ingen reaktion nada zip zero.
winxp home
Gravatar #22 - sKIDROw
15. jul. 2002 18:22
#1 & #2

Okay?
I har ikke noget problem, me at være blottet indtil MS bliver færdige med en patch?
I har jo ikke haft den mindste chance for at beskytte jer, uden dennne bekvemme viden.
Men jer om det...
Gravatar #23 - Mysterio
15. jul. 2002 18:54
fuck, dette news script slettet min kommentar (dvs. den blev aldrig posted)

nå men hektor og skidrow, i blev jordet i min kommentar,

sådan noget lort
Gravatar #24 - Hektor
15. jul. 2002 19:00
#23 Mysterio:
Jeg så godt dit indlæg, men mit svar på dit indlæg blev også slettet, men der blev dit svar, der jordede sKIDROw og mig, jordet.
Gravatar #25 - Mysterio
15. jul. 2002 22:05
hehe, har jeg så vundet eller tabt, nå pyt

bare surt for det var faktisk et godt indlæg jeg havde lavet, nå men jeg var faktisk lidt enig med dig hektor, men ikke med skidrow (selvom jeg plejer at være det)
Gå til top

Opret dig som bruger i dag

Det er gratis, og du binder dig ikke til noget.

Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.

Opret Bruger Login