Показано с 1 по 1 из 1.

Mozilla исправит уязвимость нулевого дня в Firefox

  1. #1
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,338
    Вес репутации
    1262

    Mozilla исправит уязвимость нулевого дня в Firefox

    Mozilla выпустит патч, исправляющий уязвимость нулевого дня, позволяющую злоумышленникам, обладающим достаточными ресурсами провести атаку посредника (man-in-the-middle). Это также влияет на анонимность сети Tor.

    Уязвимость была замечена исследователями, которые описывали атаки на Tor до выпуска патча в версии 6.0.5.

    «Эта уязвимость позволяет злоумышленникам, при условии наличия у них сертификата для addons.mozilla.org, выдать себя за сервера Mozilla и выдать пользователям вредоносные обновления расщирений» - говорит разработчик Tor Джордж Коппен (Georg Koppen).

    «Это может привести к выполнению произвольного кода на атакуемой системе. Конечно, получить такой сертификат довольно сложно, но вполне под силу серьезным структурам вроде какого-либо государства».

    Исследователь в области безопасности Movrcx детально описал эту уязвимость. По его оценкам, чтобы провести такого вида атаку, злоумышленники должны потратить в районе 100 000 $.

    «Кроме того, эта уязвимость позволяет злоумышленнику атаковать пользователей браузера Tor» - пишет эксперт.

    Высокие затраты на проведения такой атаки обусловлены необходимостью получения законного TLS-сертификата для addons.mozilla.org. По словам Movrcx, сделать это сложно, но не невозможно.

    Независимый исследователь в области безопасности Райан Дафф (Ryan Duff), интересующийся кроссплатформенными атаками, которые приводят к удаленному выполнению кода, говорит, что Firefox использует собственную версию ключа, что и создает вектор для атаки.

    «Firefox использует свой собственный статический метод генерации ключа для своих сертификатов вместо использования HPKP. Оказалось, что статический метод гораздо слабее метода HPKP и отсюда вытекают возможности для атак».

    Mozilla выпустит исправление в новом стабильном релизе 20 сентября.

  2. Это понравилось:


  3. Реклама
     

Похожие темы

  1. ФБР держит в секрете уязвимость нулевого дня в Firefox
    От CyberWriter в разделе Другие новости
    Ответов: 0
    Последнее сообщение: 19.04.2016, 10:30
  2. Уязвимость в Mozilla Firefox
    От ALEX(XX) в разделе Уязвимости
    Ответов: 1
    Последнее сообщение: 11.06.2009, 17:41
  3. Уязвимость в Mozilla Firefox 3.0.7
    От Shein в разделе Уязвимости
    Ответов: 0
    Последнее сообщение: 24.03.2009, 13:03
  4. Уязвимость при обработке кеша в Mozilla Firefox
    От ALEX(XX) в разделе Уязвимости
    Ответов: 4
    Последнее сообщение: 12.07.2007, 13:18
  5. 0-day уязвимость в Mozilla Firefox
    От Shu_b в разделе Уязвимости
    Ответов: 1
    Последнее сообщение: 05.10.2006, 08:47

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00985 seconds with 17 queries