Vyjádření k aktuálně probírané chybě v IE

Vyjádření k aktuálně probírané chybě v IE

  • Comments 18
  • Likes

Update [21.1.2010, 19:26]: Fix je venku! Více informací naleznete v Microsoft Security Bulletin MS10-002 - Critical.

Update [21.1.2010]: Podle všeho, by měla být záplata připravena k distribuci dnes kolem 19h. Nepočítal bych přímo se sedmou, přece jen chvíli trvá, než se vše prodistribuuje. Pokud by mělo dojít k nějakým změnám, dáme vědět. 

Update [21.1.2010]: Doporučuji se u nás zaregistrovat do "Security databáze" kontaktů na IT lidi ve firmách, kteří se IT bezpečností zabývají. V případě v��žných ohrožení právě těmto lidem proaktivně zasíláme emailem všechny dostupné informace. 

Update [19.1.2010, 23:40]: Bylo rozhodnuto, že bezpečnostní aktualizace půjde mimo běžný cyklus (tzv. "out-of-band"). Oficiální vyjádření naleznete zde a také doporučuji sledovat Security Bulletiny a Security Advisories (979352). 

Update [19.1.2010]: zatím nic nenasvědčuje, že by se celá věc nějak vyvíjela, stále se pracuje na aktualizaci a zároveň nejsou známy žádné další zneužití... Přibyl pouze tento post na našem celosvětovém ofic. bezp. blogu (The Microsoft Security Response Center).

14. ledna jsme obdrželi upozornění na možnost zneužití Internet Exploreru, které v některých specifických případech umožňuje na dálku spustit na počítači uživatele škodlivý kód. Do současné doby bylo zaznamenáno jen několik útoků proti verzi Internet Explorer 6, které byly vedeny po navštívení infikovaných webových stránek.

Hned následující den po prvních testech jsme vydali doporučení, jak riziko minimalizovat. Těmito kroky jsou přechod na poslední verzi Internet Explorer 8 (IE8), nastavit zabezpečení Internet Exploreru na vysoký stupeň („High“), povolit tzv. DEP (Data Execution Prevention – v IE8 je toto nastavení automatické), a dále klasická doporučení, kterými jsou zapnutý firewall, aktuální antivirový program a mít nainstalované všechny bezpečnostní aktualizace. V současné chvíli se na opravě chyby pracuje.

V loňském roce proběhlo několik studií bezpečnosti webových prohlížečů (celou zprávu naleznete na adrese http://nsslabs.com/browser-security), ze kterých vyplynulo, že IE na tom zas tak špatně není :)

Další zdroje informací:

Microsoft Security Advisory (979352)
- http://www.microsoft.com/technet/security/advisory/979352.mspx

The Microsoft Security Response Center (MSRC)
http://blogs.technet.com/msrc/archive/2010/01/14/security-advisory-979352.aspx
http://blogs.technet.com/msrc/archive/2010/01/15/advisory-979352-updated.aspx

NSS labs
http://nsslabs.com/browser-security

TechNet Blog
http://blogs.technet.com/technetczsk/archive/2009/08/24/IE8-Internet-Explorer-testy.aspx

Internet Explorer blog
http://blogs.technet.com/iecz/archive/2009/12/17/co-jsou-utoky-typu-phishing-a-jak-v-s-proti-nim-chrani-ie-8.aspx
http://blogs.technet.com/iecz/archive/2010/01/10/jak-vas-internet-explorer-chrani-pred-utoky-skriptovani-mezi-weby-xss.aspx
http://blogs.technet.com/iecz/archive/2009/11/30/8-tipu-pro-bezpecnejsi-nakupovani-online.aspx

Radim

Your comment has been posted.   Close
Thank you, your comment requires moderation so it may take a while to appear.   Close
Leave a Comment
  • Uprimne, sice IE 8.0 pouzivam (a som spokojny), ale celkom ma stve aku kampan k nemu Microsoft zvolil.

    Ci uz sa jedna o zmieneny link na NSS (ktory sa zaobera len social security a nie skutocnym zabezpecenim - i ked verim tomu, ze u IE by nedopadol zle ani skutocny test) a hlavne "Get the facts" (http://www.microsoft.com/windows/internet-explorer/get-the-facts/browser-comparison.aspx), co je fakt nechutne prekrucanie skutocnosti :(

    Martin

  • Mám poslední dobou spíš jiný problém - pád při(po) ukončení IE (pokud zrovna jede Flash aplikace, video či něco jiného). Zkoušel jsem pozakazovat všechny rozšíření a vychází mi jako zdroj potíží Flash Player. Mám verzi 10 ofic., ale zkoušel jsem i betu 10.1 a padalo to stejně. Máte někdo podobný problém? Díky za radu.

  • @Jan: presne take spravanie ma Skype plugin v IE 8.0... Odporucam skusit spustit bez pluginov, ci to sposobuje nejaky z nich alebo nie

  • @Martin: Děkuji moc za radu! Ano, byl to Skype webplugin. Byť jsem měl doplněk Skype zakázán, bylo třeba jej odinstalovat a po první zkoušce příznaky zmizely.

  • @Martin: Mrkni na jakýkoliv web, kde se dá stáhnout Firefox a uvidíš tam naprosto ty samé lži a překrucování. Myslím, že MS si s Mozillou může podat ruce.

  • @Jan: Rado sa stalo :)

    @Tomas: zrovna v tomto su fanusikovia FF experti, ale Microsoft by sa k tomu znizovat nemal :(

    Kazdopadne, nech pridam aj nieco uzitocne - http://www.out-web.net/?p=753 (pokial si chce niekto rozne browsers porovnat sam a nechce ich instalovat)

  • Radime,

    díky za užitečný článek: jen měl přijít dřív, nemusel jsi přece s doporučeným nastavením WIE 8 čekat, až vyjde anglická verze ;-)

    IMHO by mělo být toto nastavení by default.

    Přes veškerá doporučení při betatestování to vývojáři MS vytrvale ignorují a dávají přednost bezvadné funkčnosti před bezpečností.

    Milan

  • @Milan Rybak: z interního pohledu mám spíš opačný feedback co se týká "přednost bezvadné funkčnosti" - tedy mluvím o našich produktech obecně (např. šedá obrazovka s hláškou zda chceme tento program opravdu spustit a mnohé další, které bezpečnosti pomáhají).

  • Tedy obecně k těm diskusím: používám nejraději Opera 9.52 a věřte mi, že na laptopu Dell Latitude D630 s rozlišením 1440 x 900 NEJSOU PRISPEVKY NAPROSTO K PRECTENI!!

    Na vině není Opera, ale to "naprosto nechutné" - mnou a ostatními nikdy nepochopitelné CPANI a CPANI a CPANI Microsoftu fontů, které podporují Clear Type.. Clear Type se velmi mnoha lidem zcela hnusí - a pokud mají možnost, tak jej hned vypnou..

    prý "ostřejší hrany".. cha cha--aa! a to v jakém programu? Se podívejte na ty paskvily, co vyrábí v mailu Outlook 2007. Dejte nezávislému pozorovateli porovnat obyčejný Arial z Outlook 2003 a toto a ptejte se ho "co ti připadá ostřejší?" - pochopitelně Arial.

    ale škoda mluvit. Snad jen nebuďte tak tupí a zvětšete defaultní velikost fontu v příspěvku aspon na 10pt. Máte-li problém s "místem", zkuste se zamyslet nad tím, zdali fakt musíte mít tak velké mezery mezi jednotlivými příspěvky - myslím, že minimálně DVA CELE RADKY byste mezi nimi mohli vymazat. A nevím, jestli to je chyba coderu v Opeře, ale mít řádkování někde u úrovně 130 % mi přijde také plýtvání..

  • CraXLP> Díky za názor. Nejsem si osobně jist, co má velikost fontu společného s naší tupostí :). Také si nejsem jist těmi mezerami - které myslíte? Všechny browsery (FF, IE, OP) mi web zobrazují stejně -  http://www.itevangelist.cz/blog/technet/img/brs.jpg - tedy vyjma miniaturních rozdílů u Opery.

  • Pokud nevidím v IE, tak použiju Ctrl a "+" nebo "-"(numerické klávesnice).

    A není co řešit.

  • Ano, zaznamenal jsem po instalalaci IE8 hodně horšenou, ba dokonce nemožnnou funkci SKYPE. Ale bohužel ani Windows media player neprcuje zcela korektně. Zkoušel jsem ho přeinstalovat a narazil jsem na velké problémy s kolizí verzí. A 11 hlásí jinou verzi knihovny dll, než bylo očekáváno. Odintalace WMP taky nefunguje. Co s tím ?

    Navíc AVAST mi hlásí při restartu jakosusi podivnou vverzi "TROJANA", který sice nadetekuje, ale neumí jej odstranit, pouze na chvíli zablokovat jeho působení. Někdy také dochází k samovolnému vypnutní mašiny uprostřed instalace. Zde je podle mne něaká skrytá vada v instalátoru XP. Někdy dojde pouze k zablkoování mechaniky CD a nelze řešit janak, než vypnutím a opětným zapnutím stroje, pouhý reset nepomáhá.

  • Jirka a Martin> Tyhle pripominky s velikosti fontu a sedym pozadim byste meli vzit na zretel, protoze notebookove displeje si s tolika stupni sedi neporadi a pak to splyva v jeden, takze se snizuje kontrast pisma vuci pozadi a Cleartype to dotahne k necitelnosti. A to nepocitam prispevek nativniho vysokeho rozliseni na malych displejich notebooku. Urcite u MS musi byt lide co se zabyvaji jenom ergonomii, a tenhle pristup je proti ni, tak je pozadejte o odborne vyjadreni a radu jak to zlepsit. Libiva grafika nerovna se automaticky ergonomie.

    Jinak k rychlosti IE a Firefoxu uz vubec se nema cenu vyjadrovat, protoze jsou to na trochu narocnejsi praci, na reserse, nepouzitelny programy a jakmile je na strance Flash a Java, tak to jde do kytek jeste rychlejc.

    Me teda hodne vadi kdyz si v prubehu dne nebo vice dnu otevru 4 az 5 oken IE8, v kazdym tak po 20 tabech (nebo kolem 80-90 samostatnych oken) - fakt se nedivte ze je to hodne a nepiste mi ze se v tom uz nemuzu orientovat, ja to proste zvladam a prubezne jednotlivy stranky pouzivam ikdyz ne vsechny soucasne. Ani nemusi byt maximalizovany na rozliseni monitoru 1920x1200, a je jen nahoda, ze IE (nebo i ostatni) mi dnes jeste nevycerpal vsech necelych 10000 GDI objects (proc je ten limit tak nizkej, kdyz dnes kazda automaticky generovana stranka jich sezere klidne stovku, tahle asi 70), a Windows (jedno jestli XP, Vista nebo 7 a i 64-bit) zacnou mit prekreslovaci odezvu v sekundach !!! ikdyz mam jeste vic nez GB ze 4GB RAM volne, CPU Core2Duo na 2.4GHz a grafika NVIDIA Quadro, pro uplnost Windows 7 Ent 64b, samozrejme vsechny updaty a zadne pluginy a adony v IE, jen Flash, silverlight, shockwave a Javu, bez kterych se na dnesni web bohuzel neda.

    Prekreslovani a vubec vsechna prace se tak silene zpomali, ze si pripadam jak na 100 MHz Pentiu s 24MB RAM, kdyz zaclo swapovat na pomalej disk. Jenze ono to pri tomhle "zatizeni" neni lepsi ani na Linuxu (Kubuntu) ani na MacOS.

    Pak ani odzoomovani na 100% nepomuze, pak se totiz celej system zacne pekne skladat jak zachod z karet a nevykresli ani seznam procesu v Task managerovi nebo dialog pro shutdown  (to by si totiz u MS museli uvedomit, ze tohoto limitu lze snadno dosahnout a ze by meli pohlidat dostatek prostredku aspon vlastni programy a beh windows), antiviry od kohokoliv (NOD, Avast, AVG, Norton,...) zacnou kolabovat, nedejboze aby nastala chvile kdy se rozhodnou se zupdatovat.

    A vsechno je to jen kvuli mizerny sprave pameti, pripominam, ze mam jeste minimalne 1 GB volnej :) ale je mi houby platnej protoze windowsum dosly GDI resources.

    Ja proste nechapu proc se pri zobrazeni webovy stranky nevygeneruje 1 bitmapa - pozadi spojene s obrazky, a to na co se da kliknout se oznaci jako klikaci mapy, a pres to se vykresli text a teprve potom se na to hodej nejaky activex nebo Flash, Js, ... vsechny objekty budou v cachi, ale z ni budou pristupny az pres dalsi seznam. Podle me by to obrovsky zmensilo pametove naroky vcetne GDI a hlavne rychlost zobrazeni a prekreslovani pri prepinani mezi oknama, no a i bezpecnost by se zvysila.

    Tohle by melo byt priorita cislo 3, hned za bezpecnosti a kompatibilitou v IE9, jenze to nikoho u MS nezajima, protoze prumernej american si otevre 3 stranky s youtube, 2 na ebay, 2 nejaky noviny a pocasi a 1 email a to mu staci. Me bohuzel ne, a nebudu urcite sam.

    A jako bonus klavesove zkratky v IE, ikdyz se v napovede pise ze Save the current page se vyvola  Ctrl+S, tak to nefunguje a stranka jde ulozit jen pres Save As.. bez klavesove zkratky, navic si pak nepamatuje ze chci stranky ukladat v mht, ale na nekterych strankach mi vnucuje ulozit jako Webpage, complete jenze to vetsinou skonci chybou, ikdyz ulozit tu samou stranku jako mht jde.

    No psat tu pres tech vic nez 100 pripominek co k IE 8 mam nebudu, beztak se to k cloveku, co by s tim mohl neco udelat nedostane.

  • Hezky, tuhle stranku taky nedokaze ulozit ani jako mht :) FF a Opere to problem kupodivu nedela, a to ani nemuseji pri ukladani celej obsah stahovat z internetu znova. Doufam ze s tim nekdo neco udela.

  • MartiN> Díky za připomínky. Kolegové z vývojářského oddělení nedávno sbírali zpětnou vazbu na IE - http://blogs.msdn.com/vyvojari/archive/2009/07/16/navrhn-te-vylep-en-internet-exploreru.aspx a těch názorů je tam ažaž. Pokud vím, celý tenhle balík se předal kamsi do Redmondu. Těžko soudit, zda z toho něco bude, ale snaha byla.