Nesigurna pomoć u Windowsima

Nesigurna pomoć u Windowsima



Microsoft je upozorio na opasan sigurnosni propust vezan uz sustav pomoći u operativnim sustavima Windows 2000, XP i Server 2003




Microsoft je upozorio na postojanje novog opasnog sigurnosnog propusta u starijim verzijama Windowsa na kojima se izvrsava Internet Explorer.

Kod:

http://www.microsoft.com/technet/security/advisory/981169.mspx

Propust pogađa sustave temeljene na Windows 2000, XP i Server 2003, a vezan je uz Visual Basic skripte i sustav pomoći u Windowsima. U opisu mogućnosti iskoristavanja propusta navodi se kako korisnik treba posjetiti internetske stranice na kojima se pojavljuje dijaloski okvir u kojem ga se poziva da pritisne tipku F1, nakon čega se na korisnikov sustav instalira zloćudni kod. Tipka F1 normalno se koristi za pozivanje sustava pomoći u Windowsima.
Windows Vista, Windows 7, i Windows Server 2008 nisu pogođeni ovim propustom, a problem je donekle ublazen na Windows Server 2003, gdje je IE Enhanced Security Configuration uključen u početno zadanim postavkama.

Microsoft navodi nekoliko mogućnosti za sprečavanje zloupotrebe propusta, uključujući savjet korisnicima da ne pritisću tipku F1 kad ih na to pozivaju internetske stranice, ograničavanja pristupa sustavu pomoći Windowsa, postavljanje sigurnosnih postavki za Internet i Local intranet na "visoko" kako bi se blokirale ActiveX kontrole i Active Scripting, te konfiguriranje Internet Explorera da upozori korisnika prije pokretanja Active Scriptinga ili onemogućavanje Active Scriptinga u sigurnosnim postavkama.

U Microsoftu također navode kako sigurnosni propust, koji je u petak objavljen od strane  iSEC Security Researcha, nije odgovorno objavljen. Također se poziva sve koji misle da su pogođeni propustom da posjete Microsoftove stranice Consumer Security Support Center.

Kod:

http://isec.pl/vulnerabilities/isec-0027-msgbox-helpfile-ie.txt

Kod:

https://consumersecuritysupport.microsoft.com/default.aspx?mkt=en-us&scrx=1