|
|
| Op∞t novΘ chybiΦky |
Ani jsem nestihl napsat o n∞jak²ch star²ch chybßch a u₧ se objevujφ novΘ. Zde se m∙₧ete doΦφst o chybiΦce v naΦφtßnφ strßnek v IE, kterß vede ke zatuhnutφ onoho prohlφ₧eΦe, op∞t o dalÜφm Buffer Overflow pro IIS, Φi zde m∙₧ete najφt tip, jak jednoduÜe shodit MS SQL.
Hm, tak zaprvΘ bych se mo₧nß podφval na ony metody shazovßnφ, nebo¥ krom∞ faktu, ₧e mohou obΦas n∞jakΘho sprßvce trochu vyd∞sit, nemohou napßchat p°φliÜ mnoho Ükody.
Internet explorer a CSS
Pokud pou₧φvßte Microsoft Internet Explorer 5.5, Φi 6, tak byste asi m∞li zbyst°it. Ten toti₧ spolehliv∞ havaruje, pokud najde nßsledujφcφ deficici v CSS:
<style>{cssText: font-weight: bold;}</style>
Pokud mi nev∞°ite, tak demonstrace je Tady Bu∩te ale p°ipraveni na fakt, ₧e Vßm IE nejspφÜ havaruje, a to vΦetn∞ vÜech p°enos∙ na pozadφ, tak₧e ₧ßdn² download nedob∞hne.
Docela rßd bych zde napsal o mo₧nosti sta₧enφ n∞jakΘho patche, ale zatφm ₧ßdn² nevyÜel.
Tato chyba se takΘ projevφ, pokud pou₧φvßte Outlook, nebo Outlook Express a n∞kdo Vßm zaÜle e-mailovou zprßvu, ve kterΘ bude p°φstluÜn² °ßdek uveden, viz v²Üe. Samoz°ejm∞, ₧e zprßva musφ b²t ve formßtu HTML a °ßdek musφ b²t na sprßvnΘm mφst∞.
No, a pokud jde o n∞jak² ten exploitφk, kter² nov∞ vyÜel na APACHE, tak o n∞m bych cht∞l takΘ °φct pßr slov. Jde o chybu, kterß Vßm umo₧nφ na napadnutelnΘm serveru Apache spustit libovoln² k≤d. A demonstrace? Mßte na v²b∞r hned dva exploity. Jednß se o exploity na verze Apache pro FreeBsd a OpenBsd, p°irozen∞ zkompilovanΘ pro Windows, ale u₧ivatelΘ ostatnφch Apache server∙ si takΘ p°φjdou na svΘ. M∞ se t°eba pomocφ jednΘ z t∞chto hraΦek poda°ilo m∙j domacφ testovacφ Apache (ladφm na n∞j strßnky) donutit brßt si stßle vφce pam∞ti, a to jak fyzickΘ, tak swap soubor, co₧ nßsledn∞ vedlo k zapln∞nφ disku C a havarovßnφ systΘmu. Proto si myslφm ₧e by bylo dobrΘ, pokud tedy server apache n∞kde provozujete, stßhnout si ze strßnky v²robce odpovφdajφcφ zßplatu pro VaÜi verzi. Jß jsem si u₧ stßhnul novou verzi 2.0.39 a ta je proti tΘto chyb∞ imunnφ. Jinak exploity je mo₧nΘ stßhnout tady.
|
|
P°φsp∞vky ke Φlßnku:
|
| Novinka |
| Startuje nßÜ vlastnφ projekt na vydßvßnφ elektronick²ch certifikßt∙. |
| Reklama |
| Reklama na Access Forbidden - Info |
|
