Microsoft Office Web Components a Chyba JIT ve FireFoxu 3.5
Napsal: 16 črc 2009 11:43
Program/y postižené chybou:
Microsoft Office XP, Office 2003 a Microsoft Internet Security and Acceleration Server (ISA) (2004 a 2006)
Stav zranitelnosti:
Opraveno
Informace k problému:
Dne 13. července byla publikována další zranitelnost typu 0-day v ovládacím prvku ActiveX. V tomto případě jsou ohroženi uživatele zmíněných verzi MS Office. Chyba se nachází v Office Web Komponentě a jejím ActiveX prvku, který se používá pro práci s dokumenty MS Office ve webovém prostředí. Pokud uživatel otevře speciálně upravený soubor v Internet Exploreru, může útočník získat stejná práva, jako má lokální uživatel, tj. aktuálně přihlášený a není potřeba další "spolupráce" uživatele. Na tuto zranitelnost zatím neexistuje oprava a v současné době už je zneužívána.
Dočasnou opravu by mělo zajistit nastavení tzv. Kill-bitu pro postižené ovládací prveky ActiveX, pro tyto CLSID:
{0002E541-0000-0000-C000-000000000046} pro Office Xp a možnost pro 2003
{0002E559-0000-0000-C000-000000000046} pro Office 2003 a ISA
I když v současné době neexistuje oficiální záplata, existuje způsob, jak této zranitelnosti zamezit do jejího vydání. Postup jak na to najdete zde:
Microsoft Office Web Components control
* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *
Chyba JIT ve FireFoxu 3.5
Program/y postižené chybou:
FireFox 3.5
Stav zranitelnosti:
Opraveno
Informace k problému:
Také 13. července byla zveřejněna chyba v JIT (Just In Time) překladači JavaSriptového enginu TraceMonkey ve FireFoxu. K zneužití stačí, aby uživatel navštívil speciálně upravenou webovou stránku, která bude obsahovat škodlivý kód. Využití této zranitelnost, může vést až ke spuštění škodlivého programu.
Dočasné řešení:
Chyba už byla opravena a nová verze Fx 3.5.1 by se měla objevit pravděpodobně do konce tohoto týdne.
Prozatímním řešením je buď vypnout JIT:
Do adresního řádku v prohlížeči napište.
tím se dostanete na konfigurační stránku, zde do řádku Filtr: napište
a dvojklikem myši změňte jeho hodnotu z true na false
toto řešení ale může vést ke zpomalení vykonávání JavaScriptu
Postup je také zmíněn zde:
nebo částečným řešením je také použití doplňku:
NoScript
//Ltb: původně článek v sekci "Bezpečnostní hrozby"
Microsoft Office XP, Office 2003 a Microsoft Internet Security and Acceleration Server (ISA) (2004 a 2006)
Stav zranitelnosti:
Opraveno
Informace k problému:
Dne 13. července byla publikována další zranitelnost typu 0-day v ovládacím prvku ActiveX. V tomto případě jsou ohroženi uživatele zmíněných verzi MS Office. Chyba se nachází v Office Web Komponentě a jejím ActiveX prvku, který se používá pro práci s dokumenty MS Office ve webovém prostředí. Pokud uživatel otevře speciálně upravený soubor v Internet Exploreru, může útočník získat stejná práva, jako má lokální uživatel, tj. aktuálně přihlášený a není potřeba další "spolupráce" uživatele. Na tuto zranitelnost zatím neexistuje oprava a v současné době už je zneužívána.
Dočasnou opravu by mělo zajistit nastavení tzv. Kill-bitu pro postižené ovládací prveky ActiveX, pro tyto CLSID:
{0002E541-0000-0000-C000-000000000046} pro Office Xp a možnost pro 2003
{0002E559-0000-0000-C000-000000000046} pro Office 2003 a ISA
I když v současné době neexistuje oficiální záplata, existuje způsob, jak této zranitelnosti zamezit do jejího vydání. Postup jak na to najdete zde:
Microsoft Office Web Components control
* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *
Chyba JIT ve FireFoxu 3.5
Program/y postižené chybou:
FireFox 3.5
Stav zranitelnosti:
Opraveno
Informace k problému:
Také 13. července byla zveřejněna chyba v JIT (Just In Time) překladači JavaSriptového enginu TraceMonkey ve FireFoxu. K zneužití stačí, aby uživatel navštívil speciálně upravenou webovou stránku, která bude obsahovat škodlivý kód. Využití této zranitelnost, může vést až ke spuštění škodlivého programu.
Dočasné řešení:
Chyba už byla opravena a nová verze Fx 3.5.1 by se měla objevit pravděpodobně do konce tohoto týdne.
Prozatímním řešením je buď vypnout JIT:
Do adresního řádku v prohlížeči napište.
Kód: Vybrat vše
about:config
Kód: Vybrat vše
javascript.options.jit.content
toto řešení ale může vést ke zpomalení vykonávání JavaScriptu
Postup je také zmíněn zde:
nebo částečným řešením je také použití doplňku:
NoScript
//Ltb: původně článek v sekci "Bezpečnostní hrozby"