В Internet Explorer завелся призрак



Студент университета Антверпена Паскаль Винк (Pascal Vyncke) обнаружил новую особенность браузера Microsoft Internet Explorer 6 с установленным SP2 под Windows XP.
Особенность позволяет скрывать от глаз пользователя элементы веб-страницы, которые при этом вполне корректно выполняются. Уязвимость получила название "Призрак JavaScript" (JavaScript Ghost). Она позволяет размещать на странице вредоносный (или рекламный) код на языке сценариев JavaScript, который невозможно отследить даже при просмотре исходного текста документа в виде HTML, пишет Hackinthebox.org.

CNews

Адрес публикации в Интернет: http://anti-virus.by/press/viruses/1340.html

Та што же такое....

Вот тебе снова и приехали...
Благо я отключаю аву брадмаузером на недоверненых сайтах

Вот исходник статьи:
http://research.seniorennet.be/Techresearch/Javascript_security_flaw_bug_ie_6/security_flaw_bug_javascript_ie_6_internet_explore r.php
В статье предлагается эксплойт:

<h1>Something <i>before</i></h1>
<br> the <b>JavaScript</b>... Blablalbla

<script type="text/jscript">
function init() {
document.write("The time is now: " + Date() );

}
window.onload = init;
</script>

And <u>something</u> after the <b>JavaScript</b>... Blablablablabla
В котором просто скрипт пишет на страницу текст, заменяя ее содержимое, и таким образом затирает сам себя. Ничего особенного здесь не вижу, это и раньше работало и не только в IE... В общем утка для чайников ИМХО....

Ну Algol тебе видней! это уж точно....
С тобой я даже не буду и пытаться спорить-бесполезно.*факт*

Мне кажется уже 50% народу юзают Firefox

Я юзаю только Оперу. Изредка "лису".

Firefox - foreva_)))

это про динамическую генерацию кода что ли?

Мне кажется уже 50% народу юзают Firefox
Статистика по античату за последние сутки:
Microsoft Internet Explorer 80.2%
Netscape 6/Mozilla 14.2%
Opera 5.1%
Netscape 0.3%
Konqueror 0.2%

а я так и не понял суть...=))

Вот почитай, тут все РУССКИМ ЯЗЫКОМ написано! =)
If your browser is vulnerable for this IE bug, then you will only see “The time is now xxx”, where xxx is the date and time. You will not see the “Something before the JavaScript” and also not the “and something after the JavaScript”.
Look at the source code (View > Source). You also will only see “The time is now xxx”, and you don’t see any JavaScript code.
Just hit the Refresh button, press the F5-button on your keyboard or press Ctrl+F5. The time will stay exactly the same, and will not be reloaded. This is to see that even IE6 itself has “forgot” the JavaScript code and only see the generated HTML code of the JavaScript, but not the JavaScript itself.
Just close your Internet Explorer 6 and restart it and surf to the same URL. The exploit will give you again the time, now updated, but you will not see again anything more.
ps если так и не смог перевести, то суть в том, что он не отображает html, который следует перед и после javascript'a + к этому IE "забывает" про html и отображает только згенерированный код javascript'a.