Microsoft Office Web Components a Chyba JIT ve FireFoxu 3.5 Vyřešeno

Vše ostatní o bezpečnosti…

Moderátoři: memphisto, Mods_senior, Security team

Uživatelský avatar
fredik
člen Security týmu
Master Level 7
Master Level 7
Příspěvky: 4680
Registrován: červenec 06
Pohlaví: Muž
Stav:
Offline

Microsoft Office Web Components a Chyba JIT ve FireFoxu 3.5

Příspěvekod fredik » 16 črc 2009 11:43

Program/y postižené chybou:
Microsoft Office XP, Office 2003 a Microsoft Internet Security and Acceleration Server (ISA) (2004 a 2006)

Stav zranitelnosti:
Opraveno

Informace k problému:
Dne 13. července byla publikována další zranitelnost typu 0-day v ovládacím prvku ActiveX. V tomto případě jsou ohroženi uživatele zmíněných verzi MS Office. Chyba se nachází v Office Web Komponentě a jejím ActiveX prvku, který se používá pro práci s dokumenty MS Office ve webovém prostředí. Pokud uživatel otevře speciálně upravený soubor v Internet Exploreru, může útočník získat stejná práva, jako má lokální uživatel, tj. aktuálně přihlášený a není potřeba další "spolupráce" uživatele. Na tuto zranitelnost zatím neexistuje oprava a v současné době už je zneužívána.

Dočasnou opravu by mělo zajistit nastavení tzv. Kill-bitu pro postižené ovládací prveky ActiveX, pro tyto CLSID:
{0002E541-0000-0000-C000-000000000046} pro Office Xp a možnost pro 2003
{0002E559-0000-0000-C000-000000000046} pro Office 2003 a ISA

I když v současné době neexistuje oficiální záplata, existuje způsob, jak této zranitelnosti zamezit do jejího vydání. Postup jak na to najdete zde:
Microsoft Office Web Components control

* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *

Chyba JIT ve FireFoxu 3.5
Program/y postižené chybou:
FireFox 3.5

Stav zranitelnosti:
Opraveno

Informace k problému:
Také 13. července byla zveřejněna chyba v JIT (Just In Time) překladači JavaSriptového enginu TraceMonkey ve FireFoxu. K zneužití stačí, aby uživatel navštívil speciálně upravenou webovou stránku, která bude obsahovat škodlivý kód. Využití této zranitelnost, může vést až ke spuštění škodlivého programu.

Dočasné řešení:
Chyba už byla opravena a nová verze Fx 3.5.1 by se měla objevit pravděpodobně do konce tohoto týdne.
Prozatímním řešením je buď vypnout JIT:
Do adresního řádku v prohlížeči napište.

Kód: Vybrat vše

about:config
tím se dostanete na konfigurační stránku, zde do řádku Filtr: napište

Kód: Vybrat vše

javascript.options.jit.content
a dvojklikem myši změňte jeho hodnotu z true na false
toto řešení ale může vést ke zpomalení vykonávání JavaScriptu
Postup je také zmíněn zde:

nebo částečným řešením je také použití doplňku:
NoScript

//Ltb: původně článek v sekci "Bezpečnostní hrozby"
It may take a while to get a response, because the "HJT Team" are very busy. Please, be patient, these people are volunteers. They will help you out, as soon as possible.
Pokud máte nějaký problém, tak mi neposílejte SZ/PM zprávy s logy a dejte je do fóra. Na tyto SZ není možno odpovědět

Reklama
Uživatelský avatar
fredik
člen Security týmu
Master Level 7
Master Level 7
Příspěvky: 4680
Registrován: červenec 06
Pohlaví: Muž
Stav:
Offline

Re: Microsoft Office Web Components a Chyba JIT ve FireFoxu 3.5

Příspěvekod fredik » 20 črc 2009 08:11

Oprava chyby ve Firefoxu verze 3.5 již byla uvolněna koncem minulého pracovního týdne a uživatelům zmíněné verze již byla nabídnuta přes automatické aktualizace. Pokud někdo použil zmíněný postup přes konfigurační stránku (about: config) může si opačným postupem nastavit zpět javascript.options.jit.content na hodnotu true.
It may take a while to get a response, because the "HJT Team" are very busy. Please, be patient, these people are volunteers. They will help you out, as soon as possible.
Pokud máte nějaký problém, tak mi neposílejte SZ/PM zprávy s logy a dejte je do fóra. Na tyto SZ není možno odpovědět

Uživatelský avatar
fredik
člen Security týmu
Master Level 7
Master Level 7
Příspěvky: 4680
Registrován: červenec 06
Pohlaví: Muž
Stav:
Offline

Re: Microsoft Office Web Components a Chyba JIT ve FireFoxu 3.5  Vyřešeno

Příspěvekod fredik » 18 srp 2009 16:49

V rámci pravidelných měsíčních aktualizací (minulý týden v úterý), už byla i uvolněna záplata pro Microsoft Office Web Components, která zranitelnost opravuje.
It may take a while to get a response, because the "HJT Team" are very busy. Please, be patient, these people are volunteers. They will help you out, as soon as possible.
Pokud máte nějaký problém, tak mi neposílejte SZ/PM zprávy s logy a dejte je do fóra. Na tyto SZ není možno odpovědět


  • Mohlo by vás zajímat
    Odpovědi
    Zobrazení
    Poslední příspěvek
  • Překladač MS Office
    od Lazar » 18 říj 2023 14:12 » v Kancelářské balíky
    0
    1379
    od Lazar Zobrazit poslední příspěvek
    18 říj 2023 14:12
  • Office app nejde vykopnout
    od jaojao » 24 bře 2024 09:38 » v Mobily, tablety a jiná přenosná zařízení
    0
    236
    od jaojao Zobrazit poslední příspěvek
    24 bře 2024 09:38
  • jak odinstalovat licenci MS Office na nefunkčním PC
    od symetrala » 19 říj 2023 13:56 » v Vše ostatní (sw)
    5
    1403
    od symetrala Zobrazit poslední příspěvek
    19 říj 2023 15:23
  • Notebook do 15.000 Kč (office, edit videa)
    od barinator » 19 črc 2023 16:18 » v Rady s výběrem hw a sestavením PC
    1
    551
    od petr22 Zobrazit poslední příspěvek
    19 črc 2023 20:58
  • chyba na webu
    od teichmann.ondrej » 04 zář 2023 15:45 » v Programování a tvorba webu
    1
    1768
    od petr22 Zobrazit poslední příspěvek
    04 zář 2023 16:09

Zpět na “Vše ostatní (bezp)”

Kdo je online

Uživatelé prohlížející si toto fórum: Žádní registrovaní uživatelé a 3 hosti