Chủ Nhật, 29 tháng 11, 2009

Chỗ bị tổn thương mới mang tính sống còn trong Internet Explorer

New critical vulnerability in Internet Explorer

23 November 2009, 12:01

Theo: http://www.h-online.com/security/news/item/New-critical-vulnerability-in-Internet-Explorer-866155.html

Bài được đưa lên Internet ngày: 23/11/2009

Lời người dịch: Lỗi trong IE, có liên quan tới mshtml.dll của Microsoft, nên những trình duyệt khác có thể cũng sẽ bị ảnh hưởng.

Thứ sáu tuần trước, một bài viết với đầu đề “IE7” và chỉ chứa một ít dòng mã HTML không có bình luận đã xuất hiện trên danh sách thư về an ninh của BugTraq. Một vài hãng an ninh từ đó đã khẳng định rằng mã nguồn này thể hiện một lỗ hổng an ninh còn chưa được biết tới trước đó trong Internet Explorer.

Last Friday, a posting entitled "IE7" and containing only a few uncommented lines of HTML code appeared on the BugTraq security mailing list. Several security firms have since confirmed that the code demonstrates a previously unknown security hole in Internet Explorer.


Trong các thí nghiệm đầu tiên của heise Security, Internet Explorer đã hỏng khi cố truy cập trang HTML này. Hãng an ninh Symantec khẳng định rằng, trong khi khai thác hiện hành với lỗi ngày số 0 (zero day) còn chưa được tin cậy, thì mã nguồn khai thác ổn định hơn mà sẽ thể hiện một mối đe dọa thực sự được chờ đón sẽ xuất hiện trong tương lai gần. Hãng an ninh của Pháp là VUPEN đã định thể hiện lại vấn đề an ninh này trong Internet Explorer 6 và 7 trên Windows XP SP3, cảnh báo rằng thứ này cho phép các tin tặc thâm nhập tùy ý vào mã nguồn và gây lây nhiễm cho một máy tính với mã độc hại. Microsoft còn chưa bình luận già về vấn đề này.

Sự nhận diện thực sự của người gửi “securitylab.ir” vẫn còn chưa được biết, nhưng tên húy này đã xuất hiện trong các lời tư vấn và các khai thác khắp lĩnh vực này từ tháng 4/2009. Sự giả mạo này dường như được khuấy lên khi gọi phương thức getElementsByTagName JavaScript. Điều này có nghĩa là những người sử dụng IE có thể bảo vệ các hệ thống của họ bằng việc vô hiệu hóa những thiết lập Active Scripting cho vùng Internet, dù như là kết quả, nhiều trang web sẽ không còn hoạt động được nữa. Vì sự giả mạo có thể được dẫn vết tới thư viện mshtml.dll của Microsoft, nên nó hình như là những trình duyệt khác cũng sẽ bị ảnh hưởng.

In first tests by heise Security, Internet Explorer crashed when trying to access the HTML page. Security firm Symantec confirms that, while the current zero day exploit is unreliable, more stable exploit code which will present a real threat is expected to appear in the near future. French security firm VUPEN managed to reproduce the security problem in Internet Explorer 6 and 7 on Windows XP SP3, warning that this allows attackers to inject arbitrary code and infect a system with malicious code. Microsoft has not yet commented on the problem.

The real identity of sender "securitylab.ir" remains unknown, but the pseudonym has appeared in advisories and exploits across various areas since April 2009. The flaw appears to be triggered when calling the getElementsByTagName JavaScript method. This means that IE users can protect their systems by disabling the Active Scripting settings for the internet zone, although as a result, many web pages will no longer function. As the flaw can be traced to Microsoft's mshtml.dll library, it is unlikely that other browsers are affected

(djwm)

Dịch tài liệu: Lê Trung Nghĩa

letrungnghia.foss@gmail.com

Không có nhận xét nào:

Đăng nhận xét

Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.