Segunda hazaña del tratante del URL de la vida
Martes 18 de septiembre de 2007 en 11:08 PDT cerca: phoenixlinden
Debido a una vulnerabilidad del tratante del URL, aconsejamos Web site desconocidos el no hojear con Internet Explorer. No chascar encendido el' secondlife: /los' urls en Web pages con Internet Explorer o el Internet Explorer basaron los browsers. Si la segunda vida comienza sin tu intervención, cambiar por favor tu contraseña en el sitio de secondlife.com inmediatamente.
Para prevenir esta hazaña antes de un arreglo oficial, un-comprobar el `recuerdan contraseña' en la pantalla de la conexión del segundo cliente de la vida y nunca se abren una sesión a menos que comenzaras manualmente segunda vida tú mismo.
La segunda vida se configura para manejar el' secondlife: /' urls del protocolo. El Internet Explorer, y los browsers basados en Internet Explorer, copian toda la información de una cualidad del src o del href para lanzar el uso de SecondLife. Usando esto, un Web site malévolo puede especificar una etiqueta del iframe o del ancla que vuelva a dirigir la conexión a través de un servidor no bajo control del laboratorio de Linden.
Tenemos un arreglo del lado del cliente para esta garantía de calidad que experimenta. Esperamos desplegar al nuevo cliente de 1.18.2.1 esta semana y hacerte una mejora requerida. Antes de que el cliente oficial esté disponible, el remiendo será sometido a la lista que envía del sldev con la esperanza de que los reveladores abiertos de la fuente puedan asistir a cerciorarse de esta vuelta inusualmente corta del desarrollo al lanzamiento están de alta calidad.
Firefox no exhibe este comportamiento, y no es una configuración vulnerable en Windows.
Configuración afectada sabida: Segunda vida 1.18.2.0 y anterior en Windows.
Mac: no vulnerable
Linux: no vulnerable
Otro Workaround:
Puedes quitar la asociación para el secondlife: /protocolo hasta que lanzamos a cliente fijo suprimiendo la entrada del registro. Esto requiere corregir manual de tu registro de las ventanas, y no está para el débil del corazón, y no hay garantía implicada o expresada en el siguiente de estas instrucciones. Sin embargo, trabajó para mí. Hacer el siguiente en tu propio riesgo:
Funcionar el regedit' programa del `chascando en el menú del comienzo, chascando en el `funcionado…', incorporando el regedit en el `abierto: ' combo-caja, y AUTORIZACIÓN del `finalmente que chasca'. El hallazgo HKEY_CLASSES_ROOT \ secondlife \ cáscara \ se abre \ comando en el redactor del registro. Derecho chascar encendido valor del defecto del `' en el cristal de derecha y seleccionar la cancelación. En la confirmación alertar la caja, chascar el `sí' y cerrar el regedit.
La próxima vez que instalas la segunda vida, la entrada del registro será restaurada, así que esto es solamente un workaround temporal.
Categorías: Seguridad