reklama
Aktuality  |  Články  |  Recenze
Doporučení  |  Diskuze
Grafické karty a hry  |  Procesory
Storage a RAM
Monitory  |  Ostatní
Akumulátory, EV
Robotika, AI
Průzkum vesmíru
Digimanie  |  TV Freak  |  Svět mobilně
Aktuality
>
Ostatní
>
Software
>
Webové prohlížeče
>
Microsoft

Internet Explorer trpí vážnou bezpečnostní chybou, Microsoft s opravou nespěchá

15.4.2019, Jáchym Šlik, aktualita
Internet Explorer trpí vážnou bezpečnostní chybou, Microsoft s opravou nespěchá
Výzkumník objevil vážný problém v prohlížeči Internet Explorer, který by útočníkovi umožnil přistupovat k souborům nebo informací o nainstalovaných programech. Microsoft o chybě ví, ale s vyřešením příliš nespěchá.
Internet Explorer už pro drtivou většinu uživatelů představuje jen závan minulosti, ale tento internetový prohlížeč zůstává součástí i nejnovějších Windows 10. Nedávno objevená chyba, na kterou poprvé upozornil bezpečnostní výzkumník John Page, navíc může ohrozit i uživatele, kteří tento prohlížeč na svém počítači nikdy předtím nespustili. Využívá typ útoku, který je označován jako XML External Entity (XEE). Případný útočník by mohl zneužít soubor MHT (MHTML Web Archive), který Internet Explorer defaultně používá pro uložení webových stránek. Moderní internetové prohlížeče přitom stránky ukládají v běžném formátu HTML a se starším MHT si obvykle nerozumí. Pokud tedy útočník zašle uživateli soubor MHT, třeba prostřednictvím phishingového e-mailu,  automaticky se otevře v Internetu Explorer, a to bez ohledu na to, že uživatel má jinak nastavený jiný výchozí prohlížeč.
 
 
Infikovaný soubor MHT umožňuje útočníkovi přistupovat k lokálně uloženým souborům v počítači nebo zjistit verze nainstalovaných programů. Hacker přitom také využívá způsob, jakým IE pracuje s některými příkazy, jako je tisk souborů. Normálně by byla nutná interakce ze strany uživatele, ale tento proces lze zautomatizovat pomocí javascriptové funkce window.print(). Podobným způsobem lze obejít také bezpečnostní varování v prohlížeči. Při používání objektů ActiveX jako Microsoft.XMLHTTP zobrazí prohlížeč lištu s varováním a uživatel musí potvrdit, zda chce aktivovat blokovaný obsah. Při používání vytvořené souboru MHT se závadnými tagy XML ovšem uživatelé žádné takové upozornění neobdrží.
 
 
John Page o chybě informoval Microsoft 27. března, ale místo bleskurychlé opravy se dočkal odpovědi až 10. dubna. V ní společnost uvádí, že zvažuje opravu chyby v některé z dalších verzí programu. O průběžném postupu nehodlá Microsoft informovat, a tím komunikaci považuje za uzavřenou. Až po tomto e-mailu se výzkumník rozhodl o případu informovat veřejnost. Chyba byla objevena v Internetu Explorer 11 a funguje v operačních systémech Windows 7, Windows 10 i Windows Server 2012 R2. Připomeňme, že dříve dominující prohlížeč má podle aktuálních dat společnosti podíl pouze 7,34 %, který navíc vytrvale klesá. Pokud někoho takového znáte ve svém okolí, doporučte mu přechod na modernější prohlížeč a nezapomeňte ho varovat, aby si dával pozor na soubory ve formátu MHT.
 
Zdroj: Zdnet.com


Diskuze (0)|Další z rubriky:
YouTube testuje Pause Ads, reklamy při pozastavení videa
YouTube testuje Pause Ads, reklamy při pozastavení videa
Včera, Milan Šurkala61
USA vydávají další ban na TikTok. Nenajde-li během roku schváleného kupce, končí
USA vydávají další ban na TikTok. Nenajde-li během roku schváleného kupce, končí
24.4.2024, Milan Šurkala1
Prohlížeč DuckDuckGo uvádí bezpečnostní balíček Privacy Pro včetně VPN
Prohlížeč DuckDuckGo uvádí bezpečnostní balíček Privacy Pro včetně VPN
11.4.2024, Milan Šurkala3
TSMC po silném zemětřesení na Tchaj-wanu dočasně přerušilo výrobu
TSMC po silném zemětřesení na Tchaj-wanu dočasně přerušilo výrobu
4.4.2024, Milan Šurkala
Doporučujeme z našich magazínů
Doporučené telefony na focení: březen 2024
Doporučené telefony na focení: březen 2024
28.3.2024, článek, Milan Šurkala
Doporučené fotoaparáty: březen 2024
Doporučené fotoaparáty: březen 2024
26.3.2024, článek, Milan Šurkala
reklama
Nejnovější články
Křemíkové Li-Ion StoreDot nabity z 10 na 80 % za 10 minut bez propadu ke konci
Křemíkové Li-Ion StoreDot nabity z 10 na 80 % za 10 minut bez propadu ke konci
Dnes, Milan Šurkala21
Objevují se první GeForce RTX 4070 na AD103, mají deaktivováno 42,5 % čipu
Objevují se první GeForce RTX 4070 na AD103, mají deaktivováno 42,5 % čipu
Včera, Milan Šurkala
Radeon RX 8900 XTX mohla být karta s o 50 % vyšším počtem Shader Engine
Radeon RX 8900 XTX mohla být karta s o 50 % vyšším počtem Shader Engine
Včera, Milan Šurkala4
ViewSonic představuje 100Hz monitory pro video konference
ViewSonic představuje 100Hz monitory pro video konference
Včera, Milan Šurkala