LINUX.ORG.RU

Очередной гвоздь в крышку гроба IE


0

0

На сайте Secunia.com опубликована демонстрация *крайне критической* уязвимости для IE. Рекомендуется в качестве наглядной агитации для тех, кто еще не перешел с самого популярного браузера на самый правильный. :-)

Демонстрация: http://secunia.com/internet_explorer_...

зы: Под Windows XP SP2 на IE 6 работает, на Firefox 1.0 нет.

>>> Подробности

Re: Очередной гвоздь в крышку гроба IE

Кроме казуалов ие кто-то еще юзает?

majordomo ()

Re: Очередной гвоздь в крышку гроба IE

Черт возьми, не сработал эксплойт, что же делать?

darth ()
Ответ на: Re: Очередной гвоздь в крышку гроба IE от majordomo

Re: Очередной гвоздь в крышку гроба IE

Ну как сказать? Пользуются, и еще как. Пробовал тут пересадить друзей и знакомых на Огнелиса - половина еще мается, отмазывается, дескать "непривычный он и вообще". Есть очень большой процент людей, чаще всего никак не связанных с ИТ (читай "домохозяек"), которым на эти дырки плевать. Юзали и будут юзать, ибо что-то новое надо скачивать и ставить, а потом еще (о ужас!) привыкать к этому новому.

random_code ★★ ()
Ответ на: Re: Очередной гвоздь в крышку гроба IE от darth

Re: Очередной гвоздь в крышку гроба IE

2darth: все вешайся...:) у меня тоже не работает... Вот какой он кривой IE - даже эксплойты для него не работают...:(

Irsi ()

Re: Очередной гвоздь в крышку гроба IE

Чем больше гвоздей , тем крепче гроб ;)

ash ()
Ответ на: Re: Очередной гвоздь в крышку гроба IE от Irsi

Re: Очередной гвоздь в крышку гроба IE

> Вот какой он кривой IE - даже эксплойты для него не работают...:(

Ну ладно, не будем издеваться на людьми. Признавайся, настроил, небось, политику безопасности прямыми руками, а? ;)

darth ()
Ответ на: Re: Очередной гвоздь в крышку гроба IE от darth

Re: Очередной гвоздь в крышку гроба IE

>Ну ладно, не будем издеваться на людьми. Признавайся, настроил, небось, политику безопасности прямыми руками, а?

Истину глаголю. ничего не настраивал! Все равно не работает. Лучше спросить у тех у кого сработало, что ни там понастраивали...

anonymous ()

Re: Очередной гвоздь в крышку гроба IE

Я думаю, гвоздем будет то, что заставит IE перестать работать вообще. А так - им по барабану.

zelo ★★ ()
Ответ на: Re: Очередной гвоздь в крышку гроба IE от anonymous

Re: Очередной гвоздь в крышку гроба IE

> Ничего не трогал.

А я трогал. Открою страшную тайну:

Сервис -> Свойства обозревателя -> Безопасность.

Для зоны "Интернет" ставим уровень безопасности "Высокий" и эксплойт не работает, представляете!

darth ()

Re: Очередной гвоздь в крышку гроба IE

Any web site will be able to take total control of your computer without any interaction from you.

IE6 XP SP2 - действительно, бедные юзеры, хорошо что я даже под виндой оперой пользуюсь и firefox'ом

anonymous ()
Ответ на: Re: Очередной гвоздь в крышку гроба IE от darth

Re: Очередной гвоздь в крышку гроба IE

> Для зоны "Интернет" ставим уровень безопасности "Высокий" и эксплойт
> не работает, представляете!

Только после этого пользоваться Интернетом, совсем неудобно.
На том же newsru.com, картинки не открываются в новом окне.

anonymous ()
Ответ на: Re: Очередной гвоздь в крышку гроба IE от anonymous

Re: Очередной гвоздь в крышку гроба IE

> Только после этого пользоваться Интернетом, совсем неудобно.

Никаких проблем. Создаете список trusted sites и все. Для сайта интернет-банкинга моего банка у меня стоит полный доступ, например. Ну да, придется некоторое время понабивать списки. А в мозилле не такая же работа нужна по составлению списков тех, кому запрещено показывать картинки?

> На том же newsru.com, картинки не открываются в новом окне.

Возможно, поможет добавление этого сайта в список тех, кому разрешено открывать всплывающие окна. Вкладка "Конфиденциальность".

darth ()
Ответ на: Re: Очередной гвоздь в крышку гроба IE от Irsi

Re: Очередной гвоздь в крышку гроба IE

Э.. ну тогда не знаю. А хот-фиксы стоят последние? Может, в них что закрыли недавно? Я когда последний раз ставил, что-то было про remote control...

darth ()

Re: Очередной гвоздь в крышку гроба IE

сейчас ради интереса попробовал на WinXP без сервис паков и IE 6 без единого сервис пака (т.е. гольная винда с лицензионного диска). Сначала эксплорер ругнулся на то, что текущие настройки запрещают использование ActiveX, потом при нажатии на коварную ссылку ничего не произошло, кроме сообщения об ошибке на странице.

jodaka ()
Ответ на: Re: Очередной гвоздь в крышку гроба IE от darth

Re: Очередной гвоздь в крышку гроба IE

> Никаких проблем. Создаете список trusted sites и все.

Ну нах, проще пользоваться IE и молиться, что пронесет.

anonymous ()
Ответ на: Re: Очередной гвоздь в крышку гроба IE от Irsi

Re: Очередной гвоздь в крышку гроба IE

> 2darth: нет, не в этом дело. у меня он некрученный, но все равно
> не работает.

Ну тогда поделись своим секретом.

anonymous ()

Re: Очередной гвоздь в крышку гроба IE

Очень интересны два вопроса (для вычисления скорости реакции):
1) Когда была обнаружена эта дыра ?
2) Когда дядя билл выпустит патч ?

Кто знает ответы ?

anonymous ()
Ответ на: Re: Очередной гвоздь в крышку гроба IE от anonymous

Re: Очередной гвоздь в крышку гроба IE

> Очень интересны два вопроса (для вычисления скорости реакции): 1) Когда была обнаружена эта дыра ? 2) Когда дядя билл выпустит патч ?

Со своей стороны могу задать только один вопрос: 1) Не является ли этот "гвоздь" фичей, предназначенной для использования в "intranet" или "trusted environment" и которая отключается или должна отключаться пользователем при выходе за пределы этих областей?

Короче, нечего лезть в большой интернет с установками, которые предназначены для локалки.

darth ()
Ответ на: Re: Очередной гвоздь в крышку гроба IE от zelo

Re: Очередной гвоздь в крышку гроба IE

>Я думаю, гвоздем будет то, что заставит IE перестать работать вообще.
Правильно - массовые клоны вирусов эксплуатирующие эту дыру.
Вообще масдайные вирусы в последнее время не агреcсивные какие-то :(
Надо распространяться и нафиг flash тереть и винт форматировать чтобы последствия этой вирусни (а на самом деле породители этой дыры) надолго запомнились и вызывали стойкое отвращение.

anonymous ()
Ответ на: Re: Очередной гвоздь в крышку гроба IE от anonymous

Re: Очередной гвоздь в крышку гроба IE

> Очень интересны два вопроса (для вычисления скорости реакции):

> 1) Когда была обнаружена эта дыра ?

Судя по этой информации http://freehost07.websamba.com/greyhats/sp2rc-analysis.htm дыра известна аж с 21 декабря 2004 года

> 2) Когда дядя билл выпустит патч ?

Workaround уже есть...

macavity ()
Ответ на: Re: Очередной гвоздь в крышку гроба IE от majordomo

Re: Очередной гвоздь в крышку гроба IE

>Кроме казуалов ие кто-то еще юзает?

Полно. Их аргументы:

1) функциональный
2) все дырки сразу же паччацца

Аргументы против firefox:

1) глючный
2) неправильно отображает страницы

Итого - firefox такой же, только хуже.

Те кого я уговорил установить, смотрят - ну такой же, ну и что? - и сносят.

K48 ★★★★ ()
Ответ на: Re: Очередной гвоздь в крышку гроба IE от majordomo

Re: Очередной гвоздь в крышку гроба IE

Господа, а никто не пробовал НЕ сидиеть под администратором??? ТОгда ничто не установит вам на машину левый софт. Вы ведь небось у себя под рутами не сидите... Политики безопасности тоже хорошая вещь.

anonymous ()
Ответ на: Re: Очередной гвоздь в крышку гроба IE от K48

Re: Очередной гвоздь в крышку гроба IE

> Аргументы против firefox: > 1) глючный > 2) неправильно отображает страницы

Кстати, я тут недавно в другой ветке приводил пример того, что FireFox показывает html вроде бы не по стандарту. Никто мне там так и не ответил, хотя я допустил, что я неправильно интерпретировал стандарт.

darth ()
Ответ на: Re: Очередной гвоздь в крышку гроба IE от anonymous

Re: Очередной гвоздь в крышку гроба IE

Да кстати, я под линуксом уже привык сидеть не под рутом. Теперь хочу и под виндой попробовать =)

anonymous ()
Ответ на: Re: Очередной гвоздь в крышку гроба IE от darth

Re: Очередной гвоздь в крышку гроба IE

Может перестать маяться хернёй и поставить что-нить более нормальное ? пс. на windows me ie 5.5 не работает =). Тока чего не подумайте, комп не мой =).

vtVitus ★★★★★ ()

Re: Очередной гвоздь в крышку гроба IE

А я сижу в опере и мозилле начиная с 3.0 и M16 соответственно и не жалуюсь на дыры. На ИЕ сидел только в 2000-2001, потом начиная с оперы 4-5 и моськи 0.x уже только на них, изредка используя ie.

anonymous ()
Ответ на: Re: Очередной гвоздь в крышку гроба IE от anonymous

Re: Очередной гвоздь в крышку гроба IE

> Господа, а никто не пробовал НЕ сидиеть под администратором???
Ну я попробовал, уже несколько лет как, а что? Так и сижу - обычным юзером, и дома у меня все так сидят, и на работе - тоже...

Irsi ()
Ответ на: Re: Очередной гвоздь в крышку гроба IE от jodaka

Re: Очередной гвоздь в крышку гроба IE

>сейчас ради интереса попробовал на WinXP без сервис паков и IE 6 без >единого сервис пака (т.е. гольная винда с лицензионного диска). >Сначала эксплорер ругнулся на то, что текущие настройки запрещают >использование ActiveX, потом при нажатии на коварную ссылку ничего >не произошло, кроме сообщения об ошибке на странице. >jodaka (*) (09.01.2005 15:41:48)

Под WinXP SP1 IE6 у меня точно такое же получилось. Видимо это проблемы второго SP.

anonymous ()

Re: Очередной гвоздь в крышку гроба IE

This test is designed to work on Internet Explorer 6 with Windows XP SP2 installed.

ХА! Это ж никто не юзает! Всем домохозяйкам ставят SP1 + small patches

и во-вторых, вся эта тема - офтопик!

theserg ★★★ ()
Ответ на: Re: Очередной гвоздь в крышку гроба IE от Irsi

Re: Очередной гвоздь в крышку гроба IE

ну и правильно, а иначе-то зачем... по поводу темы - ерунда какая-то... никакого эффекта.. "а может мальчика то и не было?" (c) уж не помню кто... ;-))

MiracleMan ★★★★★ ()

Результаты тестов

Тестирую: IE версии 6.0.3790.0, sequrity level высталвлен на medium. Залезаю на указанный сайт, (появляется сообщение о том что ActiveX отрублен и что страница может из за этого отображаться некорректно), жму на "Test Now - Left Click On This Link", появляется сообщение об ошибке (line: 166, Error: Object doesn't support this property or method) и редложение сделать debug, от которого я отказываюсь. IE продолжает дальше вполне нормально работать.

И где "УжАсНыЕ ГлЮкИ", где сдохший IE? В Опере и Мозилле ничего не происходит, в IE тоже. Что я делаю не так?

Harliff ★★★★★ ()
Ответ на: Re: Очередной гвоздь в крышку гроба IE от darth

Re: Очередной гвоздь в крышку гроба IE

например какие? Если сама страница кривая, то неважно в каком браузере ее открывать.. Firefox вообще на движке мозилы, а она, на сколько мне известно, стандарты выполняет, т.ч. если какой-то сайт криво отображается, то это говорит о том, что дизайнер не потрудился посмотреть, как его страница будет выглядеть в отличном от IE браузере, что говорит о его не совсем прямых руках, т.ч. нечего браузер винить..

WhiteDemon ()
Ответ на: Результаты тестов от Harliff

Re: Результаты тестов

> И где "УжАсНыЕ ГлЮкИ", где сдохший IE? В Опере и Мозилле ничего не происходит, в IE тоже. Что я делаю не так?

Ты читаешь видимо не так. В описание эксплоита ничего не написано про глюки. Там четко написано ЧТО именно должно произойти: откроется еще одно окно, в котором отобразится содержимое той же самой страницы. ВСЕ. Поскольку я это видел вживую, то добавлю: перед тем как открыть второе окно, появляется где-то на секунду консольное окошко. Кстати, все это работает ТОЛЬКО если винда стоит в c:\windows

macavity ()
Ответ на: Re: Результаты тестов от macavity

Re: Результаты тестов

в магазе видел предустанавливают фокса, правда IE не стирают, зато советуют не открывать :)

vm ★★ ()
Ответ на: Re: Результаты тестов от macavity

Re: Результаты тестов

консоли не было, окошко было, но содержимого страницы не было, зато было сообщение об ошибке... и ничего... никакого эффекта..

MiracleMan ★★★★★ ()
Ответ на: Re: Очередной гвоздь в крышку гроба IE от majordomo

Re: Очередной гвоздь в крышку гроба IE

Многим знакомым (понятно виндусятникам) присоветовал огнелиса, мол есть такой очень модный, шустрый, надёжный, безглючный, удобный, да и ваще - все чиста реальные пацаны юзают только его, а IE это для лохов педальных. Скачали (счётчики накрутили), поставили, попрбовали - не понравился ни одному! Кто говорит "какой-то он слишком простой по сравнению с оперой, не хватает любимых фич", у кого-то странички криво отображаются (в том же лоре буковки на буковки налезают), а вот криво работающие на ИЕ им странички не попадались ни разу (по их словам), у кого-то при открытии ссылки если инет кончился как раз перед этим напрягают пустые адресных строки, ещё у одного - сохранил текст вместе с картинками на хард, а при попытке открыть его какая-то ругань, а с помощью IE этот же хтмпл открылся без вопросов. Всё это правится? Быть может, но никому не охота искать доки, изучать их, когда в опере и IE всё и так работает и бз настроек и изучения документации (при осмотре настроек нужные найти не удалось - надо что-то читать). Все не сговариваясь признали его сыроватым и не юзают... :(

anonymous ()
Ответ на: Re: Очередной гвоздь в крышку гроба IE от WhiteDemon

Re: Очередной гвоздь в крышку гроба IE

> что говорит о его не совсем прямых руках, т.ч. нечего браузер винить..

Да не вопрос, покажите мне, где в данном примере кривые руки и я соглашусь с этим.


<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01//EN"
        "http://www.w3.org/TR/html4/strict.dtd">
<HTML>

<HEAD>
<TITLE>Тестовая страница</TITLE>
</HEAD>

<BODY>

<TABLE BORDER='1' WIDTH='75%'>
    <COLGROUP>
        <COL ALIGN='RIGHT'>
        <COL ALIGN='LEFT'>
        <COL ALIGN='CENTER'>
    <COLGROUP>

    <TR><TD>1</TD><TD>2</TD><TD>3</TD><
/TR>
    <TR><TD>1</TD><TD>2</TD><TD>3</TD><
/TR>
</TABLE>

</BODY>

</HTML>

darth ()
Ответ на: Re: Очередной гвоздь в крышку гроба IE от theserg

Re: Очередной гвоздь в крышку гроба IE

>small patches

Если я не ошибаюсь, официально было объявлено, что все патчи под XP будут только для машин с sp2.

У файрфокса есть неприятный глюк - после обрыва соединения адрес не остается в адресной строке. Многие жалуются.

jackill ★★★★★ ()
Ответ на: Re: Очередной гвоздь в крышку гроба IE от jackill

Re: Очередной гвоздь в крышку гроба IE

я то же жалуюсь...
но ещё более меня раздражают всплывающие окна что страница не может быть найдена - тупее придумать с работой в нескольких табах что либо тяжело :)

ещё идиотизм с букмарками - если их много, скролить надо ждать - вообще ламерство полное... чё то мне кажется ребята просто IE передирают криво...

имхо альтернативы в линуксе нормальной увы нет... хоть сам садись и на питоне пиши браузер, уже есть примеры в сети, посмотрите - вроде ничё... где то я находил для GTK пример на питоне - несколько строк всего.

таким макаром скоро и фокса не потребуется

vm ★★ ()
Ответ на: Re: Очередной гвоздь в крышку гроба IE от anonymous

Re: Очередной гвоздь в крышку гроба IE

>у кого-то странички криво отображаются (в том же лоре буковки на >буковки налезают)
Смотрю LOR только из firefox в основном из под Linux но бывает что и из венды. Описанных тобой глюков не видел ни разу. Давай четко где и что !

anonymous ()
Ответ на: Re: Очередной гвоздь в крышку гроба IE от darth

Re: Очередной гвоздь в крышку гроба IE

Приведенный тобой пример не только в Огнелисе, он и в Конквайере криво работает. :-(

А вот Опера не подвела.

Когда появился Огнелис 1.0 я подумал: ну, наконец-то, избавлюсь от единственной коммерческой проги у меня под Линуксом -- Оперы. Но Огнелис сильно разочаровал... Возможность загружать картинки по отдельности -- только те, что надо -- вроде и декларирована, но у меня соответсвующая примочка не заработала. В исходном виде без доп. примочек Огнелис выглядит примитивно. А после установки некоторых плагинов у меня Огнелис стал регулярно вылетать.

В общем, поюзал, поюзал, и вернулся на Оперу. Конквайер, конечно, неплох, но он не позволяет загрузить отдельно взятую картинку -- а это важно, когда сидишь на дайал-апе.

anonymous ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.