-
Выполнение произвольного кода в Mozilla Firefox
19 июня, 2008
Программа: Mozilla Firefox 2.0.x и 3.0
Опасность: Высокая
Наличие эксплоита: Нет
Описание:
Уязвимость позволяет удаленному пользователю скомпрометировать целевую систему.
Уязвимость существует из-за неизвестной ошибки, которая может позволить удаленному пользователю выполнить произвольный код на целевой системе.
URL производителя: www.mozilla.com/en-US/firefox/
Решение: Способов устранения уязвимости не существует в настоящее время.
securitylab.ru
Left home for a few days and look what happens...
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Я так понял, тем у кого ветка 1.5 это не грозит?
-
-
Сообщение от
Синауридзе Александр
Я так понял, тем у кого ветка 1.5 это не грозит?
Судя по источнику, на который ссылается Securitylab , на ветке 1.5 наличие/отсутствие уязвимости просто не проверяли.
-
-
Мда... Вчера я Максиму ещё говорил в личке...
Paul
-
Сообщение от
p2u
Мда... Вчера я Максиму ещё говорил в личке...
Paul
Эммм..?
Left home for a few days and look what happens...
-
-
Сообщение от
ALEX(XX)
Эммм..?
Что будет уязвимости очень скоро. Здесь, скорее всего, опять что-то с памятью.
P.S.: Я поставил 3 и чувствую как он реагирует. Во-первых эта ужасная новая адресная строка. Всё настроено на авто-дополнение, авто-поиск, и т.д, то что в IE уже годами рекомендуют отключить. Как поиск работает вообще... Что-то пишешь и он начинает обыскивать ВСЁ, даже избранные. Потом пытается организовать в порядке частоты вызова. Вверх стоят ссылки, которые я набрал 2 года назад... Отключил эту фигню. NoScript придётся в этом году ещё много раз спасать задницу этого несчастного браузера. Мозилла хочет повторять грустный 'успех' IE, всё во имя никому не нужного 'удобства'. Зря они так...
Paul
-
Сообщение от
p2u
Что будет уязвимости очень скоро.
А, теперь понятно. Когда вышел 3-й огнелис, я тоже думал, как скоро найдут дыру. Но не ожидал, что ТАК скоро Не знаю, как огнелиса можно называть "самым быстрым и безопасным браузером"??
Left home for a few days and look what happens...
-
-
Последний раз редактировалось XP user; 23.06.2008 в 14:26.
-
Сообщение от
p2u
Уже нет если NoScript не установлен. В чём проблема?
ИМХО, браузер должен быть изначально безопасным по своей сути, а не надеяться на костыли типа NoScript
Left home for a few days and look what happens...
-
-
Сообщение от
ALEX(XX)
ИМХО, браузер должен быть изначально безопасным по своей сути, а не надеяться на костыли типа NoScript
Единственная причина, по которой я польуюсь ФФ это как раз NoScript. Очень хотелось бы увидеть такое в других браузерах, как, например, Opera.
Paul
-
Есть ссылка где можно более развернуто ознакомиться с проблемой?
-
-
Сообщение от
Синауридзе Александр
Есть ссылка где можно более развернуто ознакомиться с проблемой?
Нет, скрывают; скорее всего из таких уязвимостей для которых гораздо проще и быстрее написать эксплойты, чем серьёзный патч. Я слышал из надёжных источников, что NoScript защищает. Рекомендуется НЕ щёлкать на подозрительные ссылки, полученные в почтовом клиенте и в мессенджерах.
Paul
-
Сообщение от
p2u
Единственная причина, по которой я польуюсь ФФ это как раз NoScript. Очень хотелось бы увидеть такое в других браузерах, как, например, Opera.
Paul
Отключение скриптов в Opera и подгружение их на доверенных узлах как-то не так работает, как задумано?
Вредоносный код все равно выполняется? Или все *.js все равно кешируются? Где опасность?
-
Сообщение от
severny
Отключение скриптов в Opera и подгружение их на доверенных узлах как-то не так работает, как задумано?
Вредоносный код все равно выполняется? Или все *.js все равно кешируются? Где опасность?
Как я понял, нельзя блокировать скрипты отдельно по поддоменам как в NoScript, т.е.: разрешите главному домену в Опере, то тогда и связанным с этим сайтом поддоменам разрешается выполнить скрипты. Проблема в том, что угроза почти никогда не исходят от главного домена, а как раз от третьих сторон.
см. мой любимый пример, чтобы было понятно:
Paul
Последний раз редактировалось XP user; 29.06.2008 в 21:37.
-
см. мой любимый пример, чтобы было понятно:
и так понятно.
Пошарил, как исправить, но пока никто, видно, не задавался этой проблемой.
-
Сообщение от
severny
Хоть любимого примера и не видно, но и так понятно.
Да, была маленькая техническая ошибка. Теперь виден?
Paul
-
Респект, конечно, создателю NoScripts, но будем надеяться, что наряду с настройками изображений для выбранных узлов, которые собираются ввести в 10-й версии Opera, норвежские умельцы озаботятся и данной проблемкой.
Иначе для большего обеспечения безопасности придется включать скрипты вручную на интересующих страницах, что не совсем удобно, дабы отнимает время, требуя F5 (которую ну совсем нет желания жать при уже введенных кучах форм, например).
Последний раз редактировалось severny; 29.06.2008 в 21:54.
-
Сообщение от
severny
Респект, конечно, создателю NoScripts, но будем надеяться, что наряду с настройками изображений для выбранных узлов, которые собираются ввести в 10-й версии Opera, норвежские умельцы озаботятся и данной проблемкой.
Иначе для большего обеспечения безопасности придется включать скрипты вручную на интересующих страницах, что не совсем удобно, дабы отнимает время и требует F5.
Как только решают эту проблему в Опере, я прощаюсь с Файрфоксом.
Paul