Skoči na vsebino

SI-CERT 2010-08 / Kritična Internet Explorer ranljivost (CSS 0-day)

Opis

Microsoft Internet Explorer vsebuje ranljivost, ki napadalcu omogoči podtikanje poljubne kode na tuj računalnik. Zaščitni mehanizmi operacijskega sistema DEP (Data Execution Prevention) in ASLR (Address Space Layout Randomization) ne preprečijo napada. Microsoftova komponenta za obravnavo HTML elementov (mshtml) vsebuje programsko napako, ki pri rekurzivnem uvozu CSS komponent izbriše programski objekt, a ga nato zopet uporabi. To omogoča podtikanje poljubne kode. Ranljivost se aktivno izrablja na internetu.

Ranljive verzije:

  • Internet Explorer 6, 7 in 8 na Windows XP, Vista in 7 operacijskih sistemih

Metoda napada

Uporabnike se usmeri na spletno mesto, ki podtakne CSS elemente, preko katerih se izkoristi ranljivost.  Napadalec lahko z vdorom na popularno tuje spletno mesto podtakne povezavo na zlonamerno kodo. Ranljivost se lahko izkoristi z uporabo sporočil na družabnih omrežjih, ki vabijo k ogledu zanimive spletne strani ali posnetka.

Rešitev

Uradnega popravka Microsoft še ni izdal. Izrabi ranljivosti se lahko izognemo z uporabo Microsoftovega orodja EMET, ali uporabo drugega brskalnika (Chrome, Firefox, Safari, Opera) za čas, dokler Microsoft ne izda popravka.

Povezave

Preberite tudi

SI-CERT 2025-06 / Kritična ranljivost Microsoft SharePoint

Microsoft je izdal navodila za ukrepanje zaradi SharePoint ranljivosti CVE-2025-53770. Gre za kritično ranljivost, ki omogoča izvedbo poljubne programske kode na daljavo (RCE, Remote Code Execution). Ranljive so samostojne (on-prem) namestitve, ranljivost pa se že izkorišča na omrežju.
Več

SI-CERT 2025-05 / Kritična ranljivost Roundcube Webmail

Roundcube Webmail vsebuje kritično ranljivost, ki omogoča izvajanje poljuben kode. Ranljivost se že lahko izkorišča v napadih, zato svetujemo takojšnje ukrepanje.
Več

SI-CERT 2025-04 / Težave spletnih strežnikov zaradi obsežnega strganja vsebin za potrebe treniranje LLM modelov

AI boti, ki strgajo vsebine iz spletnih mest za potrebe treniranja LLM modelov, lahko povzročijo podobne težave kot DDoS napad.
Več