PDA

View Full Version : Microsoft: Don't press F1 key in Windows XP


حمیدرضاصادقیان
جمعه 14 اسفند 1388, 09:39 صبح
سلام.خبر جالب مایکروسافت :
http://www.computerworld.com/s/article/9164038/Microsoft_Don_t_press_F1_key_in_Windows_XP
HamedNet_ir
جمعه 14 اسفند 1388, 11:43 صبح
Computerworld - Microsoft told Windows XP users today not to press the F1 key when prompted by a Web site, as part of its reaction to an unpatched vulnerability that hackers could exploit to hijack PCs running Internet Explorer (IE).

In a security advisory issued late Monday, Microsoft confirmed the unpatched bug in VBScript that Polish researcher Maurycy Prodeus had revealed Friday, offered more information on the flaw and provided some advice on how to protect PCs until a patch shipped.

"The vulnerability exists in the way that VBScript interacts with Windows Help files when using Internet Explorer," read the advisory. "If a malicious Web site displayed a specially crafted dialog box and a user pressed the F1 key, arbitrary code could be executed in the security context of the currently logged-on user."

Last week, Prodeus called the bug a "logic flaw," and said attackers could exploit it by feeding users malicious code disguised as a Windows help file -- such files have a ".hlp" extension -- then convincing them to press the F1 key when a pop-up appeared. He rated the vulnerability as "medium" because of the required user interaction.

Windows 2000, Windows XP and Windows Server 2003 are impacted by the bug, said Microsoft, and any supported versions of Internet Explorer (IE) on those operating systems -- including IE6 on Windows XP -- could be leveraged by attackers. Previously, Prodeus had said that users running IE7 and IE8 were at risk, but had not called out IE6.

Until a patch is ready, users can protect themselves by not pressing the F1 key if a Web site tells them to, said Microsoft.

"As an interim workaround, users are advised to avoid pressing F1 on dialogs presented from Web pages or other Internet content," said David Ross with the Microsoft Security Response Center (MSRC) engineering staff in a blog entry on Monday.

"The prompt can appear repeatedly when dismissed, nagging the user to press the F1 key," Ross added.

The security advisory made the same recommendation: "Our analysis shows that if users do not press the F1 key on their keyboard, the vulnerability cannot be exploited."

Users can also stymie attacks by disabling Windows Help. The advisory explained how to entering a one-line command at a Windows command-line prompt to lock down the Help system.

The company took Prodeus to task for taking the bug public, something it regularly does when researchers disclose a vulnerability or post sample attack code before a patch is available.

"Microsoft is concerned that this vulnerability was not responsibly disclosed, potentially putting customers at risk," said Jerry Bryant, a senior manager with the MSRC, in an e-mail. By Prodeus' account, he notified Microsoft of the flaw Feb. 1, about four weeks before publishing his findings.

Microsoft has not set a timeline for a fix, saying only that, "Microsoft will take the appropriate action to help protect our customers." The next scheduled security patch date for the company is March 9.

Although it does not rate the severity of vulnerabilities in its advisories, Microsoft noted that hackers exploiting the VBScript flaw using Windows Help and Internet Explorer could grab complete control of a Windows system.

Customers running Windows Vista, Windows Server 2008, Windows 7 or Windows Server 2008 R2 are safe from such attacks, Microsoft said.
جالب بود ، متن خبر رو گذاشتم براي كساني كه سرعت اينترنتشون كمه راحت تر ببينن.
مهران رسا
جمعه 14 اسفند 1388, 12:12 عصر
ببینید چه گندی زده که اومده این شکلی خبر داده بیرون .
حمیدرضاصادقیان
جمعه 14 اسفند 1388, 12:24 عصر
به قول شاعر : هردم از این باغ شاهکاری!!! میرسد.
Behrouz_Rad
جمعه 14 اسفند 1388, 14:29 عصر
این هم یکی دیگه از دلایلی که نباید از Internet Explorer استفاده کرد ;)
havash.link
دوشنبه 17 اسفند 1388, 12:11 عصر
مايكروسافت: مرورگر ويندوز خود را به‌روز كنيد



مايكروسافت با صدور توصيه‌نامه امنيتي جديدي از كاربران مرورگر IE خواسته تا اين مرورگر را به روز كنند.
به گزارش بخش خبر شبكه فن آوري اطلاعات ايران از فارس، مشكل تازه مرورگر IE مربوط به كليدهاي كمكي و به خصوص كليد F1 است كه براي ويندوزهاي 2000، XP، و ويندوز سرور 2003 مشكل ايجاد مي كند.
بر اساس بررسي هاي مفصل مايكروسافت ويندوزهاي 7، سرور 2008 و ويستا مشكلي در اين زمينه ندارند و كاربران اين سيستم عامل ها نيازي به به روزرساني مرورگر IE خود ندارند. به گفته مسئولان مايكروسافت، اگر IE توسط كاربران ويندوزهاي فوق الذكر به روز نشود، در صورت فشردن F1 و باز شدن پنجره جديد به منظور دريافت اطلاعات كمكي كدهاي معيوب بر روي رايانه فرد قرباني اجرا مي شوند.
طي چند ماه اخير نسخه هاي مختلف مرورگر IE مايكروسافت و به خصوص نسخه ششم آن مشكلات بسياري را براي كاربران اينترنت به وجود آورده است و حتي از اين مشكلات براي حمله به وب سايت شركت هاي بزگي همچون گوگل، ياهو، ادوب سوءاستفاده شده است.
havash.link
دوشنبه 17 اسفند 1388, 12:12 عصر
تاييد حمله به گوگل با استفاده از نقص مرورگر مايكروسافت

سرانجام گوگل رسماً اعلام كرد حمله گسترده به سرويس هاي وابسته به اين سايت و بيش از 100 وب سايت ديگر توسط يك هكر باهوش و با سوءاستفاده از نقص مرورگر IE شركت مايكروسافت انجام شده است.
به گزارش بخش خبر شبكه فن آوري اطلاعات ايران از فارس، اگر چه قبلا نيز در اين زمينه اخبار متنوعي منتشر مي شد، اما اعلام رسمي آن توسط گوگل در اين زمينه مجدداً مايكروسافت را در موضع ضعف قرار مي دهد.
در حالي كه خبر اين حملات در ماه ژانويه منتشر شد، گوگل مي گويد حمله ياد شده را در اواسط ماه دسامبر كشف كرده است. گوگل همچنين تاييد كرده كه معتقد است حملات مذكور از كشور چين نشأت گرفته و هكرها تلاش كرده اند حساب هاي كاربري جيميل برخي كاربران را هك كرده و به داخل آنها نفوذ كرده و محتوايشان را مطالعه كنند.
هنوز مشخص نيست با اين اقدامات هكرها چه ميزان اطلاعات از حساب هاي شخصي كاربران جيميل به سرقت رفته و چه اطلاعاتي رد و بدل شده است.
نقص در نسخه 6 ، 7 و 8 مرورگر IE مايكروسافت به بسياري از هكرها در چند ماه اخير امكان داد تا تروجان هايي طراحي كرده و با گنجاندن آنها در مرورگر IE كنترل رايانه كاربران را از راه دور در اختيار گيرند.
تاكنون تمامي حملات از اين دست با سوءاستفاده از نسخه 6 مرورگر مايكروسافت صورت گرفته و به همين علت بسياري از سايت ها و شركت هاي تجاري قصد دارند استفاده و پشتيباني از اين مرورگر را متوقف كنند

منبع: ایران- ایران.