Πέμπτη, 30 Ιουλίου 2009

Τυπογραφικό λάθος προκαλεί κενά ασφαλείας στον IE

Στις 28 Ιουλίου η Microsoft είχε κυκλοφορήσει δύο έκτακτα Security Bulletins για να κλείσει κενά ασφαλείας στον Internet Explorer όπως και στο Visual Studio. Όπως, όμως, επιβεβαίωσε η Microsoft αιτία αυτών των προβλημάτων ήταν ένα απλό τυπογραφικό λάθος. Αυτό το λάθος υπήρχε σε ένα template για το προγραμματισμό του ActiveX control το οποίο η Microsoft διένειμε εσωτερικά.

Ένα απλό "&" σε λάθος θέση ήταν αρκετό για να κάνει ένα μεγάλο αριθμό ΑctiveX controls ευπαθή σε επιθέσεις. Ανάμεσα στα ActiveX controls που είχαν επηρεαστεί από αυτό το λάθος ήταν και το video component "MSVidCtl", το πρόβλημα του οποίου είχε αντιμετωπίσει η Microsoft στο patch day της 14 Ιουλίου.

Το κενό ασφαλείας που προκαλούσε το τυπογραφικό λάθος επέτρεπε την «εμφύτευση» και εκτέλεση κακόβουλου κώδικα μέσω του Internet Explorer. Η αντιμετώπιση των δύο κενών ασφαλείας με την κυκλοφορία των πρόσφατων patches δεν σημαίνει ότι δεν υπάρχει πρόβλημα. Ένας άγνωστος αριθμός ActiveX controls, τόσο της Microsoft όσο και τρίτων κατασκευαστών, που έχουν κατασκευαστεί με βάση αυτό το τυπογραφικό λάθος πρέπει να ξαναγραφτούν και να διανεμηθούν ξανά στους χρήστες.

Δεν υπάρχουν σχόλια:

 
SYNC ME @ SYNC