CVE oznaka: CVE-2005-1790
Ranljivost omogoča izvedbo poljubne kode v Microsoft Internet Explorer spletnem brskalniku. Mozilla Firefox kode ne izvede, vendar se preneha odzivati. Popravki trenutno še niso na voljo, zato je nujno, da uporabniki začasno onemogočijo izvajanje skriptnih jezikov v brskalnikih.
Ranljivi brskalniki:
- Microsoft Internet Explorer 5.5 in 6.x – omogočena izvedba poljubne programske kode
- Mozilla Firefox 1.0.x do 1.5 RC 3 – brskalnik se preneha odzivati
Opis
Do napake pride zaradi napačne inicializacije JavaScript window() metode, kadar je uporabljena v kontekstu HTML oznake <BODY onload>. Napaka je bila odkrita že maja 2005, vendar je bilo prvotno mnenje, da lahko povzroči le prenehanje delovanja brskalnika, saj se na specifični naslov pomnilnika ne more vstaviti poljubna koda. Pred kratkim pa je bila odkrita metoda, preko katere lahko napadalec podtakne poljubno kodo brskalniku, ki jo ta izvede.
Ranljivosti te vrste se izrabljajo običajno z napeljevanjem uporabnika, naj obišče spletno stran, ki vsebuje podtaknjeno kodo. V nekaterih primerih je možna tudi izraba preko poštnih programov. Rezultat je običajno podtikanje programov, ki napadalcu omogočijo nadzor nad uporabnikovim računalnikom. Takšni programi lahko omogočijo, da se zlorabljeni računalnik uporabi za napade s poplavo podatkov, razpošiljanje neželene oglasne pošte (spam), ipd.
Rešitev
Spodnje rešitve onemogočijo izvajanje JavaScript kode spletnih mest. To lahko povzroči, da nekatera spletna mesta ne bodo več delovala pravilno. V primeru, da želite pri posameznih spletnih mestih omogočiti izvedbo JavaScript kode, lahko ta mesta dodate med “Varna mesta” v Internet Explorerju (angl. “Trusted sites”) – glej spodnja navodila (alternativno lahko ročno s postopkom, obratnim od spodaj opisanega, JavaScript omogočite tik pred obiskom spletnega mesta, ki mu zaupate, po opravljenem delu pa izvedbo JavaScript kode zopet onemogočite).
Microsoft Internet Explorer
Dokler Microsoft ne izda uradnega popravka za Internet Explorer, onemogočite t.im. “Active Scripting” v Internet Explorerju: meni Orodja -> Internetne možnosti, zavihek Varnost, izberite področje “Internet”, nato pa kliknite na “Raven po meri”, nato pa pod “Aktivno skriptno izvajanje” izberite “Onemogoči” (angl. Tools -> Internet Options, zavihek Security, področje “Internet”, izberite “Custom level”, nato pa pod “Active Scripting” izberite “Disable”). Za posamezna spletna mesta, ki jim zaupate, lahko njihove naslove vnesete v področje “Zaupanja vredna mesta” (angl. “Trusted Sites”). Okna zaprite s potrditvenimi gumbi OK.
Mozilla Firefox
Do izdaje popravka oz. naslednje verzije brskalnika onemogočite izvajanje JavaScript kode v FireFox: preko menija Tools -> Options, izberite skupino “Web Features” in odstranite kljukico pri “Enable JavaScript”.
Drugi brskalniki
V času pisanja še ni znano, ali tudi drugi brskalniki vsebujejo isto ranljivost. Dokler to ni znano, lahko na podoben način kot pri Internet Explorerju in Firefoxu, onemogočite izvajanje JavaScript kode.