Все новости от 19 апреля 2005 г. Ошибки в продуктах Mozilla делают компьютеры уязвимыми
В Mozilla Suite и браузере с открытым исходным кодом Firefox обнаружено несколько уязвимостей, которые позволяют злоумышленникам устанавливать в компьютер собственные программы или красть персональную информацию.
На веб-сайте безопасности Mozilla опубликованы детали девяти пробелов в защите.
Иэн Леттер, старший консультант по безопасности секьюрити-фирмы Pure Hacking, сообщил, что большинство из них связано с поддержкой JavaScript.
«Существуют некоторые проблемы разрешения при исполнении JavaScript с повышенным уровнем привилегий. Они приводят к исключению некоторых мер безопасности, используемых для того, чтобы удерживать JavaScript в песочнице, и в результате позволяют злоумышленникам хозяйничать в компьютере», — говорит Леттер.
Еще одна проблема позволяет сценариям злоумышленников получать доступ к случайным участкам памяти ПК.
«Эта случайная память может содержать фрагменты информации о местах, где вы побывали. В наихудшем случае там могут находиться какие-нибудь персональные данные или информация о логинах».
В понедельник фирма Secunia присвоила ошибкам, обнаруженным в версиях Mozilla Firefox 0.x и 1.x, рейтинг «высокая опасность».
Французская группа быстрого реагирования на секьюрити-инциденты утверждает, что атакующие могут исполнять вредоносный код на системе пользователя из-за ошибки в блокировщике всплывающих окон браузера Mozilla.
В рекомендации группы говорится: «При блокировке всплывающих окон пользователю предоставляется возможность открывать эти окна… Если в качестве URL окна указан JavaScript:, то выбор «Show JavaScript:...» на информационной панели или значка блокировщика всплывающих окон на панели состояния приведет к запуску программы JavaScript с повышенными привилегиями, что может использоваться для установки вредоносного ПО».
Другие ошибки Firefox могут эксплуатироваться при посещении пользователем веб-страниц, для которых требуются не установленные на компьютер плагины. В той же рекомендации говорится, что если для автоматического поиска соответствующего плагина применяется служба браузера Plug-in Finder Service, то функция ручной установки может использоваться для «запуска произвольного кода, способного красть локальные данные или устанавливать вредоносный код».
Эти уязвимости проявляются во всех версиях Mozilla Suite до версии 1.7.7 и всех версиях Firefox до версии 1.0.3.
Леттер из Pure Hacking рекомендует пользователям либо запретить JavaScript, либо загрузить исправленную версию с веб-сайта Mozilla.
Предыдущие публикации:
|
|
| #$% 19 Apr 2005 12:57 PM |
Когда эти валенки сделают, чтобы скачивались только исправления. Меня напрягает качать весь дистрибутив заново. |
|
| dr-Wicked 19 Apr 2005 3:35 PM |
Цельіх 4,5 метра Полньій дистрибутив доса |
|
| Makc 19 Apr 2005 3:38 PM |
это продукт для рафинированных американских пользователей с круглосуточным коннектом xDSL или Тх класса. для диалупа есть Lynx. не нравицца? юзай preinstalled MSIE. |
|
| Максим 19 Apr 2005 6:54 PM |
Странное вы что-то говорите... Я загрузил версию 1.0.0, а потом по мере выхода 1.0.1 и 1.0.2 у меня появлялась рядом с колёсиком в правом верхнем углу зелёная стрелка вверх "Обновить Firefox", так что сейчас у меня 1.0.2 (для 1.0.3 ещё русской версии нет, так что обновляться не хочет). И скачивало оно значительно меньше полного дистрибутива. |
|
| Максим 19 Apr 2005 6:59 PM |
Тёзке: Для предустановленного IE не меньше заплаток через Windows Update предлагают, и все сплошь не меньше критической важности. Недавно метра три пришлось качать. Да и что Вы так диалапом пугаете? Пол-часа -- это не так уж и много для собственной безопасности, тем более что не так уж часто и обновляться надо. |
|
| #$% 19 Apr 2005 8:56 PM |
> И скачивало оно значительно меньше полного дистрибутива. Неправда. При обновлении он скачивает FireFox Setup 1.0.x.exe и его запускает. Дистрибуция исправлений, а не нового полного дистрибутива, говорит о развитой культуре разработчиков. Разработчики должны ценить время и деньги пользователей. |
|
| (80) 19 Apr 2005 9:30 PM |
2 #$% "Разработчики должны ценить время и деньги пользователей." Видите ли, мне кажется, сейчас все меньше и меньше народа задумывается о диалапе и, соответственно о времени и о деньгах пользователей именно с этой точки зрения. Мы тоже весьма близко придвинулись к тому времени, когда забудем о телефонных модемах вообше. У меня, например, 1 мегабит без ограничения трафика за 30 баксов в месяц (Москва, Центральный округ, сеть Rinet - не на правах рекламы). Я даже на думаю о таких пустяках, как лишние несколько мегабайт, не сочтите за снобизм, пожалуйста. |
|
| Airton 19 Apr 2005 10:55 PM |
2 #$% В Firefox 1.1 будут загружаться только маленькие патчики, а не весь дистр. |
|
| Bosch 19 Apr 2005 11:15 PM |
Для (80): Типичная московская ошибка... Это я про "всё меньше и меньше народа". Кроме Москвы, надо полагать, нет больше ничего. Помнится, Шура Балаганов был убеждён, что волны Атлантического океана разбиваются о побережье города Жмеринки. :) "Москва, Центральный округ...". Написал бы короче - "Кремль" :) |
|
| #$% 19 Apr 2005 11:16 PM |
А у меня дома диалап и я - про культуру :) Нет, ну могли бы высоко поднять планку, мол, вот мы какие высокопрофессиональные. Всё же для этого (обновления) есть: багзилла у них есть, в windows тоже всё есть.
|
|
| Bosch 19 Apr 2005 11:16 PM |
А про всего 30 баксов надо сказать какому-нибудь сыну сельской учительницы... :))) |
|
| #$% 19 Apr 2005 11:27 PM |
2 Airton: Хорошо. Они, наверно, там прикинули, сколько будет находится ошибок с ростом популярности и решили что надо :) Мда, msi обещают, с поддержкой групповой политики, чего-то в багзилле обсуждают, может когда-нибудь и поменяю на работе IE у пользователей на него... |
|
| Лео 20 Apr 2005 8:13 AM |
лиса бесплатный продукт. И приходится мирится и скачивать полный дистрибутив. Лучше затратить время на и-нет... Я думаю если покупать лицензию на ИЕ или оперу денег больше уйдет. К тому же их всеравно скачивать по тому же модему. А размер у них ой как больше.... |
|
| Airton 20 Apr 2005 9:09 AM |
2 #$% Ага, уже trunk в msi компилится тоже :) Вообще в Firefox 1.1 много всяких вкусностей обещают. И быструю прокрутку "назад-вперед", и MSI, и поддержку SVG (Не Tiny), и апгрейженный движок, и бла бла бла, и еще раз бла бла бла, и что-то там еще бла бла бла. В общем ждемс... |
|
| Wintermute - devnul.ru 20 Apr 2005 9:52 AM |
2 Лео: "покупать лицензию на ИЕ" Ж8-[ ] |
|
| Максим 20 Apr 2005 11:05 PM |
Да, только что мой Файрфокс попросил скачать русский 1.0.3, действительно, качает весь пакет. Извините, ошибся. |
|
| Den 21 Apr 2005 7:25 AM |
Кстати статья некорректно переведена на русский. В ней написано, что подвержена также версия 1.0.3 и mozilla 1.7.7, а в оригинале все версии до 1.0.3 и 1.7.7, соответственно. |
|
| Бендер 21 Apr 2005 12:18 PM |
2 Wintermute: > "покупать лицензию на ИЕ" Ж8-[ ] Ну ставят ребята Windows только чтобы в интернет ходить. Че привязались? :) |
|
| Dimon 21 Apr 2005 12:57 PM |
когда dsl стоит, то ничего не напрягает;) просто dsl это норма для развитых стран |
|
| Den 21 Apr 2005 3:52 PM |
Во, перевод подправили :-) |
|
| Ragnaar - ragnaarnm.ru 27 Apr 2005 9:33 AM |
Обновление качается в виде полного дистриба по простой причине. FF распространяется в виде исходного кода, вы можете скачать исходники и скомпилить его как хотите внеся изменения такие, что Лиса и мама родная не узнает... Плюс существующие т.н. "оптимизированные сборки" в которые те кто их собирает суют руки. И как же в таком разнообразии вариантов вы предлагаете пропатчить FF? Учесть все возможные изменения внесенные в код программы - просто невозможно. С закрытыми программаи проще гораздо, там хоть контрольную сумму можно вычислить, тут же это сделать нельзя. Поэтому установка полного официального дистрибутива единственная доступная на сегодня возможность обновить FF исправив ошибки... Ну а 4,5 метра... это даже на моем GPRS не так много и дорого... |
|
|