Hlavní navigace

Názor ke zprávičce Zranitelnost Internet Exploreru, nemusí se používat, stačí ho mít nainstalovaný od Vít Šesták - > u této zranitelnosti jej nemusíte používat, stačí...

  • 16. 4. 2019 15:54

    Vít Šesták

    > u této zranitelnosti jej nemusíte používat, stačí mít IE nainstalováno

    No… Pokud otevřu přílohu v IE, pak používám IE, ať se mi to líbí, nebo ne. Souhlasím, že pokud někdo nemá IE jako výchozí, nemusí s tím tolik počítat. Pokud by ale skutečně stačilo jej mít nainstalovaný, čekal bych, že IE například poslouchá na nějakém portu (i když „neběží“), a tudy lze vést útok…

    Formuloval bych to tedy jinak, například: Zranitelnost Internet Exploreru ohrožuje i uživatele jiných prohlížečů.

    Mimochodem, totéž platí i o mnohých jiných zranitelnostech IE. Když uživatel otevře MHT v IE, může se ten soubor MHT snažit zneužít libovolnou zranitelnost IE. Pokud ta zranitelnost zasahuje mimo prohlížeč (spuštění kódu, prozrazení souborů uživatele, …), nejspíš půjde tento trik použít. Prakticky to nebude fungovat u zranitelností zasahujících pouze prohlížeč (který jinak uživatel nepoužívá) – i pokud jsme schopni například útočit na TLS, číst jiným stránkám cookies nebo dělat universal XSS, pak to sice mohu nejspíš udělat i touto technikou, ale nejspíš nezískám nic cenného.