Internet Explorer

[Urban Anjar]

Om ni inte har märkt det är Internet Explorer ute i mer blåsväder än vanligt. En bugg i IE verkar ligga bakom att kinesiska myndigheter lyckades hacka ett antal dissidenters gmail-konton...

Se till exempel:
http://mikrofoncaught.blogspot.com/2010 ... rader.html
http://ubuntufranborjan.wordpress.com/2 ... att-dolja/
http://blogg.tianmi.info/2010/01/17/som ... tan-gummi/

Den sista kan du iofs hoppa om du är känslig för grovt språk - annars är den underhållande

[mcNisse]

Den har snurrat på svt24 och på text-tv också

[m!rage]

Lite tveksamma liknelser kanske men annars var sista inlägget kul läsning

[mcNisse]

Frankrike stödjer Tyskland, http://www.lemonde.fr/technologies/arti ... RSS-651865 (På franska)

[dmz]

Och för oss som inte är så bra på franska; http://translate.google.com/translate?j ... l=fr&tl=en

[SlamsornasKung]

Jösses vad skönt det vore (för alla oss som skapar hemsidor) om den erbarmliga IE nu äntligen kunde få självdö!

[Rune.K]

Det är väl ingen nyhet att säkerheten i IE är undermålig.

[CryingFreeman]

Det är väl ingen nyhet att säkerheten i IE är undermålig.

Nej, nyheten är att två länders IT-säkerhetskontor går ut och varnar för att använda eländet.. Får hoppas att det är fler som följer efter.

[mcNisse]

Nu har Sitic gått ut med en varning...

http://feeds.idg.se/~r/idg/JYvw/~3/JNVR ... t-explorer

[CryingFreeman]

Nu har Sitic gått ut med en varning...

http://feeds.idg.se/~r/idg/JYvw/~3/JNVR ... t-explorer

Tack för tipset.

Här är sitics varning i sin helhet: http://www.sitic.se/sarbarheter/sr/sr10 ... t-explorer

[Rune.K]

Det är väl ingen nyhet att säkerheten i IE är undermålig.

Nej, nyheten är att två länders IT-säkerhetskontor går ut och varnar för att använda eländet.. Får hoppas att det är fler som följer efter.

Ursäkta att jag kanske är lite grinig ibland...

Den stora nyheten som ni pratar om, är att det var flera massiva "zero day"-angrepp.

Jag läste redan om det i fredags 15 januari.
Se länkarna >
http://www.digitaltrends.com/computing/ ... /?news=123
http://www.wired.com/threatlevel/2010/0 ... ion-aurora

"Den elaka koden" har till och med ett eget namn, nämligen Aurora.

[mcNisse]

Det är inte hålen som är intresanta. Det är ju allmänt känt att IE är ett såll. Nyheten ligger i att myndigheter går ut med en rekomendation att inte använda eländet.

[Rune.K]

Det är inte hålen som är intresanta. Det är ju allmänt känt att IE är ett såll. Nyheten ligger i att myndigheter går ut med en rekomendation att inte använda eländet.

"Det är ju allmänt känt att IE är ett såll" skriver mcNisse, det är iallafall en som håller med mej

Naturligtvis är det en nyhet att flera myndigheter i flera länder vaknat upp och förstått samma sak som mcNisse skriver.
Men glöm inte bort att det finns myndigheter i många länder som redan använder sej av fri mjukvara och open source!!!
Om jag inte minns fel så är Finland duktiga på det, är inte riktigt säker...

För mej var den STORA NYHETEN, att de "elaka hackarna" som numera sysslar med organiserad brottligshet använde en zero day-bugg för att samla in massor av data, som sedan kan användas i diverse brottsliga syften.
En länk om zero-day > http://en.wikipedia.org/wiki/Zero_day_attack

Tiden är sedan väldigt länge förbi när de "elaka hackarna" nöjde sej med att skriva ett meddelande på din skärm...

[CryingFreeman]

"Det är ju allmänt känt att IE är ett såll" skriver mcNisse, det är iallafall en som håller med mej

Tror inte att det är någon här som inte håller med dig. Åtminstone när det kommer till IE6. Problemet ligger här, som jag ser det (saxat från en kommentar från ovan nämnde Blogge):

@Bengt#7: Och ev andra: All mjukvara (utom ev. OpenBSD ) har säkerhetshål. Men skillnaden med IE är att den är byggd på en i botten osäker plattform. IE’s problem är Microsoft’s 90-talsvision att väva samman webben med skrivbordet. Deras idé för att göra det är ActiveX. För den vardaglige, men belästa, datoranvändaren verkar ActiveX handla om installation av plugins. Så om man bara ger fan i att klicka ja när man blir tillfrågad om ActiveX-installationer så är IE en säker bläddrare. Eller hur?

Fel. ActiveX är i själva verket ett ramverk för komponenter, och vissa av de komponenter som följer med en Windows kan användas för att komma åt filer, ändra inställningar, köra kod osv. Detta är inte en bug utan en feature – de funktionerna ska finnas där så att programmerare kan använda dem, enligt MS’ vision.

De komponenter som ger åtkomst till systemfunktioner ska givetvis vara begränsade så att webbsidor inte ska kunna komma åt dem, och det är där nånstans det brister. Om en sida lyckas tillskansa sig ett objekt (I Javascript) som är en instans av ett av de farliga objekten så får sidan tillgång till det. En av de mer avancerade attackerna jag har sett dokumenterad går ut på att en sida riktar om (redirect) till en hjälpfil (Hjälpfiler av typen CHM i Windows är en samling HTML-sidor och har tillgång till systemet) som glatt skapade ett filsystemsobjekt som attackerarens kod sedan kunde utnyttja.

Innan Microsoft sumpar ActiveX helt och hållet (eventuellt med priset av bruten bakåtkompatibiltet med gammal kod) eller åtminstone separerar webbläsaren IE’s motor från systemkomponenten IE’s motor så kommer det aldrig finnas någon garanti för att IE blir helt säker.

Källa: http://blogg.tianmi.info/2010/01/17/som ... mment-2987

[Rune.K]

Själv har jag inte använt IE regelbundet på mer än 10 år...
Du tar upp ActiveX i IE och det är nog det som är det största problemet.
Men man får absolut inte glömma att det är många andra program som använder sej av IE, t.ex winamp som är min favoritspelare i windows.

Man kan förstå att det är många leverantörer av datorsystem som byggt in sej i beroendet av ActiveX i Windows, för att kunna erbjuda funktionaltiten som finns i ActiveX.
Det är bara det att man erbjuder samma funktionalitet för den organiserade brottsligheten på internet...

Tvivlar på den stora nyheten bara skulle gälla IE6, men är inte säker...

Naturligtvis förespråkar jag fri mjukvara!
Och GNU/Linux har verkligen kommit ifatt de senaste åren vad det gäller skrivbordsdatorer.
I mitt tycke så ligger Win7 i lä jämfört med KDE 4.3 vad det gäller bling och användarvänlighet.
Det är mest spelen som sackar efter i Linux.

[CryingFreeman]

Här finns förresten en fin liten 2-minutersfilm över hur exploiten fungerar när man kör den via Metasploit:

http://praetorianprefect.com/archives/2 ... in-action/

Väl värd både en titt och en läsning. Askul att laborera med!

[Rune.K]

Ett "response" från länken > http://praetorianprefect.com/archives/2 ... in-action/

Dont FXXXing understand why every time those US com have any hacking problem would point their fingers on others, bloody di-ck head.

You made the software, you sell it, you get the profit, and dont want to get blame, it’s your fault not to produce a better one, and then when sh-it happen, just try to blame others, first off Russian, then middle-east, then Gaza, then now the Chinese, why dont you point it to yourself ? simply ignore the fact and blame others.

Posted by Racist US | January 18, 2010, 12:44 AM

Jag tycker inlägget ovan är tänkvärt.
Vi har väl alla läst undersökingar om vilka toppdomäner som vidarebefordrar flest "virus" t.ex .ru och .ch med flera.

[CryingFreeman]

Vill ni prova Aurora-exploiten själva är det ganska enkelt: http://mikrofoncaught.blogspot.com/2010 ... et-pa.html

[Rune.K]

Prova bara på era egna maskiner!!!

btw här finns sanningen om IE > http://uncyclopedia.wikia.com/wiki/IE
Allt jag läser på internet är naturligtvis sant

[Urban Anjar]

Frågan är bara hur man får ut det här och utnyttjar det. Det är lätt att prata nördiska om det här men folk som kör IE6 är sällan nördar. Försökte närma mig det i min senaste bloggpost, men fler synpunkter och idéer är välkomna.

http://ubuntufranborjan.wordpress.com/2 ... du-acklig/