Voll-ausgebesserte Windows XP SP2 und des Windows 2000 SP4 Systeme sind zum neuen Angriff, sagten David Cole, Direktor der Gruppe Sicherheit Symantecs Wartegeöffnet. „Dieses ist Beweis-vonkonzept Code, haben wir keine aktiven Großtaten gesehen," sagte Cole. „Ob er in grösseres etwas wächst, wird schwer verbunden, wenn es Remotecodedurchführung [Fähigkeiten] erhält," er hinzufügte.
Die Nachrichten kommen gerade drei Tage nach Microsoft freigaben seine neuesten Sicherheit Updates. Am Dienstag jedoch wurde die Datenbanksuchroutine der Firma nicht ausgebessert; eine August Verlegenheit, die herauf freigegeben werden drei unterschiedliche Mal beendete, vor kurzem diese Woche, war das letzte IE Update.
Es gibt keinen Flecken jetzt, der für die Wanze vorhanden ist, der Microsoft sie nachforscht bestätigte. In einer Sicherheit beratender herausgegebener Donnerstag, sagte das Redmond, Washington Entwickler, daß es entweder einen Flecken in seinem regelmäßig-zeitlich geplanten Monatsupdate freigeben würde, oder als Heraus-vonzyklus Verlegenheit. Windows Bediener 2003 ist nicht an der Gefahr.
Das neue IE Problem hängt mit einer ActiveX Steuerung zusammen (Microsoft DirectAnimation Weg) die ein Teil „daxctle.ocx" COM einwenden ist. Ein Angreifer, der erfolgreich die Verwundbarkeit ausnutzte, könnte überfallen den Computer, bestätigtes Microsoft, ohne irgendeine Interaktion, sobald ein Benutzer zu einer böswilligen Web site verleitet worden war.
Microsoft besserte ActiveX Kontrollen mehrmals letztes Jahr aus, während Angreifer entdeckten, daß Windows nicht richtig überprüfte, um zu sehen, ob die Daten, die zu den Kontrollen übermittelt wurden, innerhalb der erlaubten Parameter waren. Im Falle des vorhandenen Beweis-vonkonzept Codes jetzt, übermittelt Javascript nicht annehmbare Daten zur Steuerung, die dann einen Haufenüberlauf ergibt.
Cole sagte, daß es nicht ein Schlag war, daß ActiveX fortfährt, Ausgaben zu haben. „Mehr Funktionalität [im Code], es eine Störung in ihr das wahrscheinlicher gibt," sagte er. „Kompliziertheit ist der Feind der Sicherheit. Es ist ein schwieriges zu lösen Problem. Entwickler versuchen, reiche Funktionalität mit Sicherheit auszugleichen."
Obwohl eine tatsächliche in-d-wilde Großtat nicht beschmutzt worden ist, klangen einige Sicherheit Organisationen die Warnung. Dänischer Verwundbarkeitverfolger Secunia z.B. ordnete den IE Fehler, wie „extrem kritisch, es ernstere Warnung ist.
Mit einem nicht erreichbaren Flecken, empfahl Symantec, daß Benutzer heraus Rat Microsofts überprüfen, dem enthaltene Einstellung die „Tötung" biß, damit damit die ActiveX Steuerung sie sperrt. Das erfordert jedoch Benutzer, das Windows Register, etwas zu redigieren, das viele unvorbereitet sind zu tun. In der Vergangenheit waren die Vorschläge Microsofts, zum der spezifischen Tötungspitzen einzustellen von den aus dritter Quelleforschern aufgenommen worden, die heraus automatisierte Werkzeuge für das Drehen weg von der Steuerung angekurbelt haben.
Eine andere Taktik, sagte Microsoft, ist, alle ActiveX Kontrollen im Internet Explorer vom Dialog zu sperren, der erscheint, nachdem es Tools|Internet Wahlen vorgewählt hat.
Internet Explorer 7, denen Microsoft später dieses Jahr für Windows XP (und früh zunächst zusammengerollt mit Windows Vista) freigibt, kann stymie ähnliche Verwundbarkeit zukünftig, sagte Cole. „Es gibt einige vielversprechende Zeichen," sagte Cole, „, aber, zu denken, daß IE 7 diese ganze Verwundbarkeit beseitigt, ignoriert die Geschichte der Computersicherheit."
Tatsächlich wachsen Zeichen, daß Angreifer Netz bald zielen können 2.0 Anwendungen, die in Ajax geschrieben werden. Unter Ajax-gegründeten Aufstellungsorten und Dienstleistungen zählte Cole das populäre Sozialnetz MySpace, sowie neue Versionen der Netz-gegründeten E-mail von Microsoft und von Yahoo.
„Wir werden bereits ein wenig vom Interesse gesehen," sagte Cole. „Die MySpace Endlosschraube und die Yamanner Endlosschraube, die Yahoo Post in Angriff nahm [im Juni]. Sie werden nicht rampantly ausgenutzt, aber dann ist kein Ajax verwendend weitverbreitet.
„Wir finden viel mehr über heraus, wie Verwundbarkeit Ajax ist in der nicht zu weit entfernt Zukunft."
Quelle - Tech-Netz
