14 июля, 2009

Программа: Mozilla Firefox 3.5, возможно другие версии.

Опасность: Высокая

Наличие эксплоита: Да

Описание:
Уязвимость позволяет удаленному пользователю скомпрометировать целевую систему.
Уязвимость существует из-за ошибки при обработке JavaScript кодом HTML тегов, например при обработке тега font. Удаленный пользователь может с помощью специально сформированного Web сайта вызвать повреждение памяти и выполнить произвольный код на целевой системе.

URL производителя: www.mozilla.com/firefox

Решение: Способов устранения уязвимости не существует в настоящее время

securitylab.ru (http://www.securitylab.ru/vulnerability/382475.php)

А что делать? Удалять, не включать?

Отключить Javascript, пользоваться плагином NoScript.. Или подождать исправление от производителя.

установить оперу :)

установить оперу :)
Хм.. Тоже вариант 8)

установить оперу :)

Тоже за этот вариант. Интересно то, что уже 4 месяца не выходило обновлений безопасности Оперы.

Интересно
а какова статистика по браузерам среди пользователей virusinfo.info?

XiTri, http://virusinfo.info/showthread.php?t=15085

интересно, SeaMonkey это касается?

Тоже за этот вариант. Интересно то, что уже 4 месяца не выходило обновлений безопасности Оперы.

десятку бету допиливают видимо. Чтобы в финальном релизе уже все известное закрыто было. Да и лишний повод пересадить пользователей на новую версию:)

XiTri, http://virusinfo.info/showthread.php?t=15085
Да не
Это все видели. Я имел ввиду настоящую статистику вэб сервера, если не секрет

http://www.liveinternet.ru/stat/virusinfo.info/browsers.html почему - то уже закрыт. полгода назад был открыт

интересно, SeaMonkey это касается?
Касается, движок браузеров один - Gecko ;)

Дополню информацию:
В уведомлении, выпущенном фирмой Secunia, данный баг имеет статус критического. По сведениям этой компании, он вызван наличием ошибок при обработке кода JavaScript. Наличие данной уязвимости подтверждено для браузера Firefox 3.5, выпущенного в конце июня. Кроме того, ей могут быть подвержены и более старые версии браузера.

Код эксплоита был загружен на оживший недавно сайт milw0rm, что может ускорить процесс разработки других методов атаки. В Secunia советуют пользователям Firefox ждать патча от Mozilla (хотя о его подготовке пока ничего не известно), а также избегать посещения сомнительных сайтов и перехода по непроверенным ссылкам.

Более неподходящего времени для появления уязвимости в Firefox трудно найти, учитывая то обстоятельство, что в понедельник компания Microsoft подтвердила наличие второй непропатченной бреши в ActiveX, затрагивающей пользователей Internet Explorer.

Во время вчерашнего "обновления по вторникам" была закрыта только одна из них, что заставляет некоторых экспертов, включая сотрудников SANS Institute ISC, советовать пользователям искать более безопасные альтернативы. Выбирать в качестве одной из них Firefox, в котором также присутствуют неустраненные уязвимости, не имеет особого смысла, поэтому весь выбор сводится к Opera, Safari и Google Chrome.
http://secunia.com/advisories/35798/3

Как правильно заметил ALEX(XX), надо пользоваться NoScript и 99%, что Firefox будет прикрыт от уязвимости. Кстати, то же самое касается и "Креветки" :)

Да не
Это все видели. Я имел ввиду настоящую статистику вэб сервера, если не секрет
http://virusinfo.info/showthread.php?t=38549
Правда за прошлый год :)

Касается, движок браузеров один - Gecko ;)

движок один, но но что-то в них разное, некоторые уязвимости файерфокса на симанки не работают :)

погляжу не пишет ли чего сама Mozilla