Microsoft Office Web Components a Chyba JIT ve FireFoxu 3.5

[fredik]

Program/y postižené chybou:
Microsoft Office XP, Office 2003 a Microsoft Internet Security and Acceleration Server (ISA) (2004 a 2006)

Stav zranitelnosti:
Opraveno

Informace k problému:
Dne 13. července byla publikována další zranitelnost typu 0-day v ovládacím prvku ActiveX. V tomto případě jsou ohroženi uživatele zmíněných verzi MS Office. Chyba se nachází v Office Web Komponentě a jejím ActiveX prvku, který se používá pro práci s dokumenty MS Office ve webovém prostředí. Pokud uživatel otevře speciálně upravený soubor v Internet Exploreru, může útočník získat stejná práva, jako má lokální uživatel, tj. aktuálně přihlášený a není potřeba další "spolupráce" uživatele. Na tuto zranitelnost zatím neexistuje oprava a v současné době už je zneužívána.

Dočasnou opravu by mělo zajistit nastavení tzv. Kill-bitu pro postižené ovládací prveky ActiveX, pro tyto CLSID:
{0002E541-0000-0000-C000-000000000046} pro Office Xp a možnost pro 2003
{0002E559-0000-0000-C000-000000000046} pro Office 2003 a ISA

I když v současné době neexistuje oficiální záplata, existuje způsob, jak této zranitelnosti zamezit do jejího vydání. Postup jak na to najdete zde:
Microsoft Office Web Components control

* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *

Chyba JIT ve FireFoxu 3.5
Program/y postižené chybou:
FireFox 3.5

Stav zranitelnosti:
Opraveno

Informace k problému:
Také 13. července byla zveřejněna chyba v JIT (Just In Time) překladači JavaSriptového enginu TraceMonkey ve FireFoxu. K zneužití stačí, aby uživatel navštívil speciálně upravenou webovou stránku, která bude obsahovat škodlivý kód. Využití této zranitelnost, může vést až ke spuštění škodlivého programu.

Dočasné řešení:
Chyba už byla opravena a nová verze Fx 3.5.1 by se měla objevit pravděpodobně do konce tohoto týdne.
Prozatímním řešením je buď vypnout JIT:
Do adresního řádku v prohlížeči napište.

Kód: Vybrat vše

about:config

tím se dostanete na konfigurační stránku, zde do řádku Filtr: napište

Kód: Vybrat vše

javascript.options.jit.content

a dvojklikem myši změňte jeho hodnotu z true na false
toto řešení ale může vést ke zpomalení vykonávání JavaScriptu
Postup je také zmíněn zde:

nebo částečným řešením je také použití doplňku:
NoScript

//Ltb: původně článek v sekci "Bezpečnostní hrozby"

[fredik]

Oprava chyby ve Firefoxu verze 3.5 již byla uvolněna koncem minulého pracovního týdne a uživatelům zmíněné verze již byla nabídnuta přes automatické aktualizace. Pokud někdo použil zmíněný postup přes konfigurační stránku (about: config) může si opačným postupem nastavit zpět javascript.options.jit.content na hodnotu true.

[fredik]

V rámci pravidelných měsíčních aktualizací (minulý týden v úterý), už byla i uvolněna záplata pro Microsoft Office Web Components, která zranitelnost opravuje.