Kandu.dk - IE: Nyt JavaScript sikkerhedshul


/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg

Glemt dit kodeord?

Brugernavn*

Kodeord *

Husk mig

Brugerservice

Kom godt i gang

Bliv medlem

Seneste indlæg

Find en bruger

Stil et spørgsmål

Skriv et tip

Fortæl en ven

Pointsystemet

Kontakt Kandu.dk

Emnevisning

Kategorier

Alfabetisk

Karriere

Interesser

Teknologi

Reklame

Top 10 brugere

Sikkerhed

#	Navn	Point
1	stl_s	37026
2	arlet	26827
3	miritdk	20260
4	o.v.n.	12167
5	als	8951
6	refi	8694
7	tedd	8272
8	BjarneD	7338
9	Klaudi	7257
10	molokyle	6481

IE: Nyt JavaScript sikkerhedshul
Fra : Niels Callesøe

Dato : 22-04-02 13:02

Fundet i NANAE:

---- start ----

Another Big MS Browser Hole Found
By Michelle Delio
11:41 a.m. April 17, 2002 PDT

Internet Explorer users who click their browser's back button open
the Windows operating system to a malicious hack attack.

When users hit the back button on Explorer's toolbar, the browser's
security settings for the "Internet" zone can be bypassed, and the
browser
will automatically execute malicious code embedded into a site's URL.

The problem is caused by what can politely be described as a design
flaw
in Explorer. When a Web page fails to load, Explorer displays a
standard
error message. This message is set to operate in the "Local Computer
Zone"
security setting, which by default allows scripting to run
automatically.

Full story
http://wired.com/news/technology/0,1282,51899,00.html

---- slut ----

Umiddelbart ser det ud til at den er god nok, exploiten virker i hvert
fald på denne her maskine (selvom VShield godt nok finder "malicious
code" i temporary internet files).

--
Niels Callesøe - nørd light @work
http://www.pcpower.dk/disclaimer.php
pfy[at]nntp.dk
Jeg repræsenterer med denne udtalelse mig selv og ikke TDC Internet.

Peder Vendelbo Mikke~ (22-04-2002)

Kommentar
Fra : Peder Vendelbo Mikke~

Dato : 22-04-02 15:39

Niels Callesøe skrev:

> Umiddelbart ser det ud til at den er god nok, exploiten virker i
> hvert fald på denne her maskine (selvom VShield godt nok finder
> "malicious code" i temporary internet files).

<URL: http://www.eg.bucknell.edu/~ekrout/IE_Hack.html >

Mærkeligt at Sandblad nævner at der ikke er noget fix, MS02-015 (den
cumulative fra 28. marts 2002) nævner i øvrigt specifikt Sandblad:

<URL:
http://microsoft.com/technet/treeview/default.asp?url=/technet/security/
bulletin/MS02-015.asp >
--
Fix Outlook Express:
<URL: http://home.in.tum.de/~jain/software/quotefix.php >

Thor Larholm (23-04-2002)

Kommentar
Fra : Thor Larholm

Dato : 23-04-02 03:22

"Peder Vendelbo Mikkelsen" <pedervm@myrealbox.com> wrote in message
news:aa1ecn.hg.1@mjoelner.aaks.aarhus.dk...
> Niels Callesøe skrev:
> > Umiddelbart ser det ud til at den er god nok, exploiten virker i
> > hvert fald på denne her maskine (selvom VShield godt nok finder
> > "malicious code" i temporary internet files).

Rent udnyttelsesmæssigt står "Back Button" svagt - den er sværere at udnytte
end de andre huller som IE har. Derimod lyder det sjovt at sige "pas på
Tilbage-knappen, den er usikker!!" hvilket forklarer den store opmærksomhed
den har fået Blink

> Mærkeligt at Sandblad nævner at der ikke er noget fix, MS02-015 (den
> cumulative fra 28. marts 2002) nævner i øvrigt specifikt Sandblad:

MS02-015 retter delvist "Codebase" hullet ved at forhindre det i ikke-lokale
zoner.
Derudover er "Codebase" blot et eksempel på "Back Button" hullet, så selve
hullet er der stadig - det ene eksempel virker blot ikke. Derfor har jeg den
også stadig stående på http://jscript.dk/unpatched/ - den er nemlig ikke
patchet.

--
Thor Larholm
<URL: http://www.jibbering.com/faq/> FAQ for comp.lang.javascript
<URL: http://jscript.dk/unpatched/> Unpatched IE vulnerabilities

Søg

Reklame

Statistik

Spørgsmål :	177549
Tips :	31968
Nyheder :	719565
Indlæg :	6408822
Brugere :	218887

Månedens bedste

Årets bedste

Sidste års bedste