ZaRohem.cz Pražské metro Test osobnosti CowParade 2004 Praha MHD v ČR
Blog ZaRohem 1.PCRevue.cz Vinárna Na roli (Petřvald) Restaurace Třebovická role kapela Terra Ignota

Reklama
Hlavní stránka
Aktuality
Software
Internet
Hardware
Seriály
Viry
Tipy a triky
Download
Konference
Napište nám
Reklama
Doporučujeme užitečný crm systém od CÍGLER SOFTWARE!
Reklama
Tip na výkonný Macbook Pro 2017. Pořiďte si rychlý notebook s dlouhou výdrží.
23. říjen 2000 - Software

Další díra v Internet Exploreru 5.5

Známý hledač chyb a bezpečnostních děr George Guninski získal další trofej do své sbírky. Jedná se o chybu, která postihuje MS Internet Explorer 5.5, MS Outlook a MS Outlook Express. Pokud si otevřete webovou stránku nebo e-mail obsahující škodlivý kód, bude útočník moci číst lokální soubory na vašem pevném disku, libovolné URL adresy a adresářovou strukturu disku.

Problém je v elementu <OBJECT>, který umožňuje načítání apletů a plug-inů, přičemž parametrem <PARAM NAME="CODEBASE" VALUE="???"> lze nastavit výchozí lokaci, s níž bude aplet pracovat (doplníme-li místo otazníků file:///c:/, bude výchozí lokací kořenový adresář disku C). Pomocí dalších příkazů lze pak manipulovat s jednotlivými soubory. Podle všeho se nejedná o chybu v Javě jako takové, ale o způsob, jakým Internet Explorer pracuje s parametrem CODEBASE.

Ačkoli odborníci označují tuto chybu jako velmi nebezpečnou, ve skutečnosti díra umožňuje pouze čtení souborů, u kterých je zcela přesně známo, kde jsou na disku uloženy. Hacker tedy nemůže probírat vaše dokumenty, neboť zpravidla neví, jak se jmenují. Nebezpečím ale může být například přečtení registrů, jež se nalézají ve složce Windows vždy pod stejným názvem system.dat a user.dat. V registrech je uložena celá řada důležitých informací jako je jméno a firma, která vlastní licenci k operačnímu systému, informace o konfiguraci počítače a také o nainstalovaných programech, hesla (někdy i v nešifrované podobě!) a seznam všech dokumentů, se kterými jste pracovali naposledy (ty pak lze samozřejmě pomocí této bezpečnostní díry získat, neboť v seznamu jsou uloženy i informace o cestě k těmto souborům).

Microsoft byl o chybě informován v sobotu 14. října ráno a údajně již pracuje na záplatě. Jediným způsobem obrany je ale v tuto chvíli vypnutí Javy v prohlížeči.

Reklama
 
 
Aktuální články:
Reklama
Program eWay-CRM je praktické CRM řešení integrované přímo do Microsoft Outlooku. Vyzkoušejte Outlook CRM i vy!
 
 
Reklama
 
© 1.PC Revue.cz - všechna práva vyhrazena
ISSN: 1213-080X
© Karel Kilián ml.
Zásady ochrany osobních údajů
Reklama