LINUX.ORG.RU

Очередной гвоздь в крышку гроба IE


0

0

На сайте Secunia.com опубликована демонстрация *крайне критической* уязвимости для IE. Рекомендуется в качестве наглядной агитации для тех, кто еще не перешел с самого популярного браузера на самый правильный. :-)

Демонстрация: http://secunia.com/internet_explorer_...

зы: Под Windows XP SP2 на IE 6 работает, на Firefox 1.0 нет.

>>> Подробности



Проверено: Demetrio ()
Ответ на: комментарий от majordomo

Ну как сказать? Пользуются, и еще как. Пробовал тут пересадить друзей и знакомых на Огнелиса - половина еще мается, отмазывается, дескать "непривычный он и вообще". Есть очень большой процент людей, чаще всего никак не связанных с ИТ (читай "домохозяек"), которым на эти дырки плевать. Юзали и будут юзать, ибо что-то новое надо скачивать и ставить, а потом еще (о ужас!) привыкать к этому новому.

random_code ★★
()
Ответ на: комментарий от darth

2darth: все вешайся...:) у меня тоже не работает... Вот какой он кривой IE - даже эксплойты для него не работают...:(

Irsi
()

Чем больше гвоздей , тем крепче гроб ;)

ash
()
Ответ на: комментарий от Irsi

> Вот какой он кривой IE - даже эксплойты для него не работают...:(

Ну ладно, не будем издеваться на людьми. Признавайся, настроил, небось, политику безопасности прямыми руками, а? ;)

darth
()
Ответ на: комментарий от darth

>Ну ладно, не будем издеваться на людьми. Признавайся, настроил, небось, политику безопасности прямыми руками, а?

Истину глаголю. ничего не настраивал! Все равно не работает. Лучше спросить у тех у кого сработало, что ни там понастраивали...

anonymous
()

Я думаю, гвоздем будет то, что заставит IE перестать работать вообще. А так - им по барабану.

zelo ★★
()
Ответ на: комментарий от zelo

Юзерам, я имел в виду, по барабану. Хоть с сегфолтом пускай вылетает - лишь бы работал.

zelo ★★
()
Ответ на: комментарий от anonymous

> Ничего не трогал.

А я трогал. Открою страшную тайну:

Сервис -> Свойства обозревателя -> Безопасность.

Для зоны "Интернет" ставим уровень безопасности "Высокий" и эксплойт не работает, представляете!

darth
()

Any web site will be able to take total control of your computer without any interaction from you.

IE6 XP SP2 - действительно, бедные юзеры, хорошо что я даже под виндой оперой пользуюсь и firefox'ом

anonymous
()
Ответ на: комментарий от darth

> Для зоны "Интернет" ставим уровень безопасности "Высокий" и эксплойт
> не работает, представляете!

Только после этого пользоваться Интернетом, совсем неудобно.
На том же newsru.com, картинки не открываются в новом окне.

anonymous
()
Ответ на: комментарий от anonymous

> Только после этого пользоваться Интернетом, совсем неудобно.

Никаких проблем. Создаете список trusted sites и все. Для сайта интернет-банкинга моего банка у меня стоит полный доступ, например. Ну да, придется некоторое время понабивать списки. А в мозилле не такая же работа нужна по составлению списков тех, кому запрещено показывать картинки?

> На том же newsru.com, картинки не открываются в новом окне.

Возможно, поможет добавление этого сайта в список тех, кому разрешено открывать всплывающие окна. Вкладка "Конфиденциальность".

darth
()
Ответ на: комментарий от Irsi

Э.. ну тогда не знаю. А хот-фиксы стоят последние? Может, в них что закрыли недавно? Я когда последний раз ставил, что-то было про remote control...

darth
()

сейчас ради интереса попробовал на WinXP без сервис паков и IE 6 без единого сервис пака (т.е. гольная винда с лицензионного диска). Сначала эксплорер ругнулся на то, что текущие настройки запрещают использование ActiveX, потом при нажатии на коварную ссылку ничего не произошло, кроме сообщения об ошибке на странице.

jodaka
()
Ответ на: комментарий от darth

> Никаких проблем. Создаете список trusted sites и все.

Ну нах, проще пользоваться IE и молиться, что пронесет.

anonymous
()
Ответ на: комментарий от Irsi

> 2darth: нет, не в этом дело. у меня он некрученный, но все равно
> не работает.

Ну тогда поделись своим секретом.

anonymous
()

Очень интересны два вопроса (для вычисления скорости реакции):
1) Когда была обнаружена эта дыра ?
2) Когда дядя билл выпустит патч ?

Кто знает ответы ?

anonymous
()
Ответ на: комментарий от anonymous

> Очень интересны два вопроса (для вычисления скорости реакции): 1) Когда была обнаружена эта дыра ? 2) Когда дядя билл выпустит патч ?

Со своей стороны могу задать только один вопрос: 1) Не является ли этот "гвоздь" фичей, предназначенной для использования в "intranet" или "trusted environment" и которая отключается или должна отключаться пользователем при выходе за пределы этих областей?

Короче, нечего лезть в большой интернет с установками, которые предназначены для локалки.

darth
()
Ответ на: комментарий от zelo

>Я думаю, гвоздем будет то, что заставит IE перестать работать вообще.
Правильно - массовые клоны вирусов эксплуатирующие эту дыру.
Вообще масдайные вирусы в последнее время не агреcсивные какие-то :(
Надо распространяться и нафиг flash тереть и винт форматировать чтобы последствия этой вирусни (а на самом деле породители этой дыры) надолго запомнились и вызывали стойкое отвращение.

anonymous
()
Ответ на: комментарий от anonymous

> Очень интересны два вопроса (для вычисления скорости реакции):

> 1) Когда была обнаружена эта дыра ?

Судя по этой информации http://freehost07.websamba.com/greyhats/sp2rc-analysis.htm дыра известна аж с 21 декабря 2004 года

> 2) Когда дядя билл выпустит патч ?

Workaround уже есть...

macavity
() автор топика
Ответ на: комментарий от majordomo

>Кроме казуалов ие кто-то еще юзает?

Полно. Их аргументы:

1) функциональный
2) все дырки сразу же паччацца

Аргументы против firefox:

1) глючный
2) неправильно отображает страницы

Итого - firefox такой же, только хуже.

Те кого я уговорил установить, смотрят - ну такой же, ну и что? - и сносят.

K48 ★★★★
()
Ответ на: комментарий от majordomo

Господа, а никто не пробовал НЕ сидиеть под администратором??? ТОгда ничто не установит вам на машину левый софт. Вы ведь небось у себя под рутами не сидите... Политики безопасности тоже хорошая вещь.

anonymous
()
Ответ на: комментарий от K48

> Аргументы против firefox: > 1) глючный > 2) неправильно отображает страницы

Кстати, я тут недавно в другой ветке приводил пример того, что FireFox показывает html вроде бы не по стандарту. Никто мне там так и не ответил, хотя я допустил, что я неправильно интерпретировал стандарт.

darth
()
Ответ на: комментарий от K48

Очень сомневаюсь, что крестьяне, которым трудно привыкнуть к FireFox, будут патчить ИЕ

anonymous
()
Ответ на: комментарий от anonymous

Да кстати, я под линуксом уже привык сидеть не под рутом. Теперь хочу и под виндой попробовать =)

anonymous
()
Ответ на: комментарий от darth

Может перестать маяться хернёй и поставить что-нить более нормальное ? пс. на windows me ie 5.5 не работает =). Тока чего не подумайте, комп не мой =).

vtVitus ★★★★★
()

А я сижу в опере и мозилле начиная с 3.0 и M16 соответственно и не жалуюсь на дыры. На ИЕ сидел только в 2000-2001, потом начиная с оперы 4-5 и моськи 0.x уже только на них, изредка используя ie.

anonymous
()
Ответ на: комментарий от gggg

Модераторов на сайте как онанимусов, а всякую хрень пропускают.

geekkoo
()
Ответ на: комментарий от anonymous

> Господа, а никто не пробовал НЕ сидиеть под администратором???
Ну я попробовал, уже несколько лет как, а что? Так и сижу - обычным юзером, и дома у меня все так сидят, и на работе - тоже...

Irsi
()
Ответ на: комментарий от Irsi

Как так? ИЕ еще жив, а гроб уже заколачивают. Эхх линуксоиды... %)

anonymous
()
Ответ на: комментарий от jodaka

>сейчас ради интереса попробовал на WinXP без сервис паков и IE 6 без >единого сервис пака (т.е. гольная винда с лицензионного диска). >Сначала эксплорер ругнулся на то, что текущие настройки запрещают >использование ActiveX, потом при нажатии на коварную ссылку ничего >не произошло, кроме сообщения об ошибке на странице. >jodaka (*) (09.01.2005 15:41:48)

Под WinXP SP1 IE6 у меня точно такое же получилось. Видимо это проблемы второго SP.

anonymous
()

This test is designed to work on Internet Explorer 6 with Windows XP SP2 installed.

ХА! Это ж никто не юзает! Всем домохозяйкам ставят SP1 + small patches

и во-вторых, вся эта тема - офтопик!

theserg ★★★
()
Ответ на: комментарий от Irsi

ну и правильно, а иначе-то зачем... по поводу темы - ерунда какая-то... никакого эффекта.. "а может мальчика то и не было?" (c) уж не помню кто... ;-))

MiracleMan ★★★★★
()

Результаты тестов

Тестирую: IE версии 6.0.3790.0, sequrity level высталвлен на medium. Залезаю на указанный сайт, (появляется сообщение о том что ActiveX отрублен и что страница может из за этого отображаться некорректно), жму на "Test Now - Left Click On This Link", появляется сообщение об ошибке (line: 166, Error: Object doesn't support this property or method) и редложение сделать debug, от которого я отказываюсь. IE продолжает дальше вполне нормально работать.

И где "УжАсНыЕ ГлЮкИ", где сдохший IE? В Опере и Мозилле ничего не происходит, в IE тоже. Что я делаю не так?

Harliff ★★★★★
()
Ответ на: комментарий от darth

например какие? Если сама страница кривая, то неважно в каком браузере ее открывать.. Firefox вообще на движке мозилы, а она, на сколько мне известно, стандарты выполняет, т.ч. если какой-то сайт криво отображается, то это говорит о том, что дизайнер не потрудился посмотреть, как его страница будет выглядеть в отличном от IE браузере, что говорит о его не совсем прямых руках, т.ч. нечего браузер винить..

WhiteDemon
()
Ответ на: Результаты тестов от Harliff

> И где "УжАсНыЕ ГлЮкИ", где сдохший IE? В Опере и Мозилле ничего не происходит, в IE тоже. Что я делаю не так?

Ты читаешь видимо не так. В описание эксплоита ничего не написано про глюки. Там четко написано ЧТО именно должно произойти: откроется еще одно окно, в котором отобразится содержимое той же самой страницы. ВСЕ. Поскольку я это видел вживую, то добавлю: перед тем как открыть второе окно, появляется где-то на секунду консольное окошко. Кстати, все это работает ТОЛЬКО если винда стоит в c:\windows

macavity
() автор топика
Ответ на: комментарий от macavity

в магазе видел предустанавливают фокса, правда IE не стирают, зато советуют не открывать :)

vm ★★
()
Ответ на: комментарий от macavity

консоли не было, окошко было, но содержимого страницы не было, зато было сообщение об ошибке... и ничего... никакого эффекта..

MiracleMan ★★★★★
()
Ответ на: комментарий от majordomo

Многим знакомым (понятно виндусятникам) присоветовал огнелиса, мол есть такой очень модный, шустрый, надёжный, безглючный, удобный, да и ваще - все чиста реальные пацаны юзают только его, а IE это для лохов педальных. Скачали (счётчики накрутили), поставили, попрбовали - не понравился ни одному! Кто говорит "какой-то он слишком простой по сравнению с оперой, не хватает любимых фич", у кого-то странички криво отображаются (в том же лоре буковки на буковки налезают), а вот криво работающие на ИЕ им странички не попадались ни разу (по их словам), у кого-то при открытии ссылки если инет кончился как раз перед этим напрягают пустые адресных строки, ещё у одного - сохранил текст вместе с картинками на хард, а при попытке открыть его какая-то ругань, а с помощью IE этот же хтмпл открылся без вопросов. Всё это правится? Быть может, но никому не охота искать доки, изучать их, когда в опере и IE всё и так работает и бз настроек и изучения документации (при осмотре настроек нужные найти не удалось - надо что-то читать). Все не сговариваясь признали его сыроватым и не юзают... :(

anonymous
()
Ответ на: комментарий от WhiteDemon

> что говорит о его не совсем прямых руках, т.ч. нечего браузер винить..

Да не вопрос, покажите мне, где в данном примере кривые руки и я соглашусь с этим.


<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01//EN"
        "http://www.w3.org/TR/html4/strict.dtd">
<HTML>

<HEAD>
<TITLE>Тестовая страница</TITLE>
</HEAD>

<BODY>

<TABLE BORDER='1' WIDTH='75%'>
    <COLGROUP>
        <COL ALIGN='RIGHT'>
        <COL ALIGN='LEFT'>
        <COL ALIGN='CENTER'>
    <COLGROUP>

    <TR><TD>1</TD><TD>2</TD><TD>3</TD><
/TR>
    <TR><TD>1</TD><TD>2</TD><TD>3</TD><
/TR>
</TABLE>

</BODY>

</HTML>

darth
()
Ответ на: комментарий от theserg

>small patches

Если я не ошибаюсь, официально было объявлено, что все патчи под XP будут только для машин с sp2.

У файрфокса есть неприятный глюк - после обрыва соединения адрес не остается в адресной строке. Многие жалуются.

jackill ★★★★★
()
Ответ на: комментарий от jackill

я то же жалуюсь...
но ещё более меня раздражают всплывающие окна что страница не может быть найдена - тупее придумать с работой в нескольких табах что либо тяжело :)

ещё идиотизм с букмарками - если их много, скролить надо ждать - вообще ламерство полное... чё то мне кажется ребята просто IE передирают криво...

имхо альтернативы в линуксе нормальной увы нет... хоть сам садись и на питоне пиши браузер, уже есть примеры в сети, посмотрите - вроде ничё... где то я находил для GTK пример на питоне - несколько строк всего.

таким макаром скоро и фокса не потребуется

vm ★★
()
Ответ на: комментарий от anonymous

>у кого-то странички криво отображаются (в том же лоре буковки на >буковки налезают)
Смотрю LOR только из firefox в основном из под Linux но бывает что и из венды. Описанных тобой глюков не видел ни разу. Давай четко где и что !

anonymous
()
Ответ на: комментарий от darth

Приведенный тобой пример не только в Огнелисе, он и в Конквайере криво работает. :-(

А вот Опера не подвела.

Когда появился Огнелис 1.0 я подумал: ну, наконец-то, избавлюсь от единственной коммерческой проги у меня под Линуксом -- Оперы. Но Огнелис сильно разочаровал... Возможность загружать картинки по отдельности -- только те, что надо -- вроде и декларирована, но у меня соответсвующая примочка не заработала. В исходном виде без доп. примочек Огнелис выглядит примитивно. А после установки некоторых плагинов у меня Огнелис стал регулярно вылетать.

В общем, поюзал, поюзал, и вернулся на Оперу. Конквайер, конечно, неплох, но он не позволяет загрузить отдельно взятую картинку -- а это важно, когда сидишь на дайал-апе.

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.