Skoči na vsebino

SI-CERT 2005-03 / JavaScript window() ranljivost

CVE oznaka: CVE-2005-1790

Ranljivost omogoča izvedbo poljubne kode v Microsoft Internet Explorer spletnem brskalniku. Mozilla Firefox kode ne izvede, vendar se preneha odzivati. Popravki trenutno še niso na voljo, zato je nujno, da uporabniki začasno onemogočijo izvajanje skriptnih jezikov v brskalnikih.

Ranljivi brskalniki:

  • Microsoft Internet Explorer 5.5 in 6.x – omogočena izvedba poljubne programske kode
  • Mozilla Firefox 1.0.x do 1.5 RC 3 – brskalnik se preneha odzivati

Opis

Do napake pride zaradi napačne inicializacije JavaScript window() metode, kadar je uporabljena v kontekstu HTML oznake <BODY onload>. Napaka je bila odkrita že maja 2005, vendar je bilo prvotno mnenje, da lahko povzroči le prenehanje delovanja brskalnika, saj se na specifični naslov pomnilnika ne more vstaviti poljubna koda. Pred kratkim pa je bila odkrita metoda, preko katere lahko napadalec podtakne poljubno kodo brskalniku, ki jo ta izvede.

Ranljivosti te vrste se izrabljajo običajno z napeljevanjem uporabnika, naj obišče spletno stran, ki vsebuje podtaknjeno kodo. V nekaterih primerih je možna tudi izraba preko poštnih programov. Rezultat je običajno podtikanje programov, ki napadalcu omogočijo nadzor nad uporabnikovim računalnikom. Takšni programi lahko omogočijo, da se zlorabljeni računalnik uporabi za napade s poplavo podatkov, razpošiljanje neželene oglasne pošte (spam), ipd.

Rešitev

Spodnje rešitve onemogočijo izvajanje JavaScript kode spletnih mest. To lahko povzroči, da nekatera spletna mesta ne bodo več delovala pravilno. V primeru, da želite pri posameznih spletnih mestih omogočiti izvedbo JavaScript kode, lahko ta mesta dodate med “Varna mesta” v Internet Explorerju (angl. “Trusted sites”) – glej spodnja navodila (alternativno lahko ročno s postopkom, obratnim od spodaj opisanega, JavaScript omogočite tik pred obiskom spletnega mesta, ki mu zaupate, po opravljenem delu pa izvedbo JavaScript kode zopet onemogočite).

Microsoft Internet Explorer

Dokler Microsoft ne izda uradnega popravka za Internet Explorer, onemogočite t.im. “Active Scripting” v Internet Explorerju: meni Orodja -> Internetne možnosti, zavihek Varnost, izberite področje “Internet”, nato pa kliknite na “Raven po meri”, nato pa pod “Aktivno skriptno izvajanje” izberite “Onemogoči” (angl. Tools -> Internet Options, zavihek Security, področje “Internet”, izberite “Custom level”, nato pa pod “Active Scripting” izberite “Disable”). Za posamezna spletna mesta, ki jim zaupate, lahko njihove naslove vnesete v področje “Zaupanja vredna mesta” (angl. “Trusted Sites”). Okna zaprite s potrditvenimi gumbi OK.

Mozilla Firefox

Do izdaje popravka oz. naslednje verzije brskalnika onemogočite izvajanje JavaScript kode v FireFox: preko menija Tools -> Options, izberite skupino “Web Features” in odstranite kljukico pri “Enable JavaScript”.

Drugi brskalniki

V času pisanja še ni znano, ali tudi drugi brskalniki vsebujejo isto ranljivost. Dokler to ni znano, lahko na podoben način kot pri Internet Explorerju in Firefoxu, onemogočite izvajanje JavaScript kode.

Povezave

Preberite tudi

SI-CERT 2020-07 / Zlonamerna koda v potvorjenih sporočilih v imenu NLB

Večje število slovenskih uporabnikov je danes prejelo potvorjeno elektronsko sporočilo, v imenu NLB banke. V priponki se nahaja zlonamerna koda LokiBot
Več

SI-CERT 2020-06 / Kritična ranljivost Windows DNS strežnika

Kritična ranljivost Windows DNS strežnika omogoča zagon poljubne kode na daljavo s pravicami uporabnika Local System Account.
Več

SI-CERT 2020-05 / Lažno sporočilo NIJZ

Na večje število slovenskih elektronskih naslovov je poslano sporočilo z zadevo "Distribucija zaščitne opreme Covid-19 (Ministrstvo za zdravje Slovenija) Junij 2020". Sporočilo vsebuje zip arhiv.
Več