Microsoft łata kilka bugów swojego oprogramowania w tym tygodniu. Wśród łatek, nie znajdziemy jednak tej, która naprawi błąd odkryty w przeglądarce Internet Explorer przeszło pół roku temu.
Matthew Murphy, student informatyki na Uniwersytecie Missouri odkrył dziurę w przeglądarce Internet Explorer ponad 6 miesięcy temu, o czym oczywiście natychmiast poinformował Microsoft. W wiadomości wysłanej do firmy z Redmond zaznaczył jednak, że jeśli w przeciągu pół roku nie pojawi się oficjalna łatka, upubliczni informację o bugu. I tak też się stało...
Wykorzystanie błędu, nazwanego drag'n'drop, polega na przeciąganiu obiektów do okna przeglądarki internetowej (iexplore.exe). Atak może skutkować wykonaniem kodu, pod warunkiem, że atakującemu uda się przekonać użytkownika do... wykonania serii żmudnych "przeciągnieć" pomiędzy oknami, nie wzbudzając przy tym jego podejrzliwości.
Tymczasowe rozwiązanie, mające uniemożliwić wykorzystanie błędu drag'n'drop polega na ustawieniu flagi kill bit dla kontrolek ActiveX. Aby to uczynić należy zmodyfikować rejestr systemu w następujący sposób:
Wartość Compatibility Flags w kluczu HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerActiveX Compatibility{8856F961-340A-11D0-A96B-00C04FD705A2} należy zmienić z 33 (21 hex) na 1024 (400 hex).
Z nieoficjalnych źródeł wiadomo, że Microsoft przymierza się do naprawienia błędu dopiero w... systemie Windows Vista.
Matthew Murphy, student informatyki na Uniwersytecie Missouri odkrył dziurę w przeglądarce Internet Explorer ponad 6 miesięcy temu, o czym oczywiście natychmiast poinformował Microsoft. W wiadomości wysłanej do firmy z Redmond zaznaczył jednak, że jeśli w przeciągu pół roku nie pojawi się oficjalna łatka, upubliczni informację o bugu. I tak też się stało...
Wykorzystanie błędu, nazwanego drag'n'drop, polega na przeciąganiu obiektów do okna przeglądarki internetowej (iexplore.exe). Atak może skutkować wykonaniem kodu, pod warunkiem, że atakującemu uda się przekonać użytkownika do... wykonania serii żmudnych "przeciągnieć" pomiędzy oknami, nie wzbudzając przy tym jego podejrzliwości.
Tymczasowe rozwiązanie, mające uniemożliwić wykorzystanie błędu drag'n'drop polega na ustawieniu flagi kill bit dla kontrolek ActiveX. Aby to uczynić należy zmodyfikować rejestr systemu w następujący sposób:
Wartość Compatibility Flags w kluczu HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerActiveX Compatibility{8856F961-340A-11D0-A96B-00C04FD705A2} należy zmienić z 33 (21 hex) na 1024 (400 hex).
Z nieoficjalnych źródeł wiadomo, że Microsoft przymierza się do naprawienia błędu dopiero w... systemie Windows Vista.