LiveInternet <a class="gl_Topv2-logo-lnk" href="//www.liveinternet.ru/" title="LiveInternet.ru">LiveInternet

Комментарии (0)

Firefox 3.5 unicode stack overflow

Дневник

Четверг, 16 Июля 2009 г. 07:09 + в цитатник

Mozilla_FireFox) все записи автора Ещё один эксплойт к Firefox 3.5: Firefox 3.5 unicode stack overflow

Рубрики:

Комментарии (0)

Firefox 3.5 Heap Spray Vulnerabilty

Дневник

Вторник, 14 Июля 2009 г. 01:39 + в цитатник

Mozilla_FireFox) все записи автора В Firefox 3.5 обнаружена критическая уязвимость, позволяющая удаленно выполнить произвольный код.

Уведомление: Mozilla Firefox Elements Handling Memory Corruption Vulnerability
Пример: Firefox 3.5 Heap Spray Vulnerabilty

В качестве защитной меры рекомендуется отключить Javascript или использовать блокирующие расширения.
UPD: как вариант предлагается в about:config присвоить переменной javascript.options.jit.content значение false. В ближайщем обновлении Firefox уязвимость будет закрыта.

Рубрики:

Комментарии (0)

Firefox 3.0.8

Дневник

Суббота, 28 Марта 2009 г. 04:03 + в цитатник

Mozilla_FireFox) все записи автора

Новая версия Firefox, в которой устранены уязвимости, среди которых - критическая уязвимость Mozilla Firefox XSL Parsing 'root' XML Tag Remote Memory Corruption Vulnerability, недавно успешно продемонстрированная на конференции CanSecWest

Рубрики:

release
security

Комментарии (0)

Аддоны для сохранения приватности

Дневник

Понедельник, 16 Марта 2009 г. 10:45 + в цитатник

Mozilla_FireFox) все записи автора Обзор дополнений, помогающих сохранить приватность серфинга при наличии посторонних (босс-кей, скрытие/переименование вкладок, очистка истории и cookies и т.д.):
9 Firefox addons to cover your dirty browsing tracks

Рубрики:

Комментарии (0)

тест безопасности Firefox

Дневник

Вторник, 24 Февраля 2009 г. 10:23 + в цитатник

Mozilla_FireFox) все записи автора Анализ средств обеспечения от Infoworld Test Center Test Center: How secure is Firefox?

Также заметка о защите addons.mozilla.org от XSS-атак How addons.mozilla.org defends against XSS attacks

Рубрики:

Комментарии (1)

пара материалов

Дневник

Пятница, 06 Февраля 2009 г. 22:15 + в цитатник

Mozilla_FireFox) все записи автора Статья от разработчика Adblock Plus:
Displaying web content in an extension - without security issues
+
Презентация Performance Improvements in Browsers

Рубрики:

addons
security
media
browser wars

Метки: adblock stats

Комментарии (0)

Browser Security Handbook

Дневник

Вторник, 27 Января 2009 г. 02:50 + в цитатник

Mozilla_FireFox) все записи автора Browser Security Handbook - руководство по безопасности для разработчиков браузеров от известного исследователя Михаила Залевски (lcamtuf)

Рубрики:

Метки: google development book

Комментарии (0)

Уиндоу Снайдер увольняется

Дневник

Пятница, 12 Декабря 2008 г. 20:09 + в цитатник

Mozilla_FireFox) все записи автора

Специалистка, успешно руководившая безопасностью продуктов Mozilla, сообщила о своём уходе из компании в конце года. Предположительно, она планирует переключиться на исследовательскую работу - конечно, в области безопасности.

Leaving Mozilla

Рубрики:

security
community

Метки: personalia

Комментарии (1)

<a href="https://www.liveinternet.ru/community/mozilla_firefox/post91383404/">С‚СЂРѕСЏРЅ, Р·Р°РјР°СЃРєРёСЂРѕРІР°РЅРЅС‹Р№ РїРѕРґ СЂР°СЃС€РёСЂРµРЅРёРµ</a> BitDefender СЃРѕРѕР±С‰РёР»Р° РѕР± РѕР±РЅР°СЂСѓР¶РµРЅРёРё РЅРѕРІРѕРіРѕ РІРёРґР° Р·Р»РѕРЅР°РјРµСЂРµРЅРЅРѕРіРѕ РџРћ. РўСЂРѕСЏРЅСЃРєР°СЏ РїСЂРѕРіСЂР°РјРјР°, РёР·РІРµСЃС‚РЅР°СЏ РєР°Рє Trojan.PWS.ChromeInject, РґРѕР»Р¶РЅР° Р±С‹С‚СЊ РґРѕСЃС‚Р°РІР»РµРЅР° РЅР° СЃРёСЃС‚РµРјСѓ РґСЂСѓРіРёРј Р·Р»РѕРЅР°РјРµСЂРµРЅРЅС‹Рј РїСЂРёР»РѕР¶РµРЅРёРµРј Рё СЃРєРѕРїРёСЂРѕРІР°РЅР° РІ РєР°С‚Р°Р»РѕРі РїР»Р°РіРёРЅРѕРІ Р±СЂР°СѓР·РµСЂР°.

РўСЂРѕСЏРЅСЃРєР°СЏ РїСЂРѕРіСЂР°РјРјР° Р°РєС‚РёРІРёСЂСѓРµС‚СЃСЏ РїСЂРё РєР°Р¶РґРѕРј Р·Р°РїСѓСЃРєРµ Р±СЂР°СѓР·РµСЂР° Рё СЃРѕС…СЂР°РЅСЏРµС‚ РїР°СЂРѕР»Рё Рє СЃР°Р№С‚Р°Рј СЃРѕРіР»Р°СЃРЅРѕ Р·Р°РґР°РЅРЅРѕРјСѓ СЃРїРёСЃРєСѓ. Р’ СЃРїРёСЃРєРµ РЅР°С…РѕРґСЏС‚СЃСЏ PayPal, Р°РґСЂРµСЃР° РёР·РІРµСЃС‚РЅС‹С… Р±СЂРёС‚Р°РЅСЃРєРёС… online РјР°РіР°Р·РёРЅРѕРІ Рё С„РёРЅР°РЅСЃРѕРІС‹С… СѓС‡СЂРµР¶РґРµРЅРёР№. РџРµСЂРµС…РІР°С‡РµРЅРЅС‹Рµ СѓС‡РµС‚РЅС‹Рµ РґР°РЅРЅС‹Рµ РѕС‚РїСЂР°РІР»СЏСЋС‚СЃСЏ РЅР° РѕРїСЂРµРґРµР»РµРЅРЅС‹Р№ С…РѕСЃС‚, СЂР°СЃРїРѕР»РѕР¶РµРЅРЅС‹Р№ РІ Р РѕСЃСЃРёРё.

Р’ РґР°РЅРЅС‹Р№ РјРѕРјРµРЅС‚ РєРѕР»РёС‡РµСЃС‚РІРѕ РѕР±РЅР°СЂСѓР¶РµРЅРёР№ СЌС‚РѕРіРѕ Р·Р»РѕРЅР°РјРµСЂРµРЅРЅ... <a href="https://www.liveinternet.ru/community/mozilla_firefox/post91383404/">Р§РёС‚Р°С‚СЊ РґР°Р»РµРµ...</a>

троян, замаскированный под расширение

Дневник

Понедельник, 08 Декабря 2008 г. 08:25 + в цитатник

Mozilla_FireFox) все записи автора BitDefender сообщила об обнаружении нового вида злонамеренного ПО. Троянская программа, известная как Trojan.PWS.ChromeInject, должна быть доставлена на систему другим злонамеренным приложением и скопирована в каталог плагинов браузера.

Троянская программа активируется при каждом запуске браузера и сохраняет пароли к сайтам согласно заданному списку. В списке находятся PayPal, адреса известных британских online магазинов и финансовых учреждений. Перехваченные учетные данные отправляются на определенный хост, расположенный в России.

В данный момент количество обнаружений этого злонамеренного ПО слишком мало. Сам инцидент примечателен новым походом к реализации.

UPD: аналитическая заметка от Gartner

Рубрики:

Комментарии (0)

Pen Testing the Web with Firefox

Дневник

Среда, 13 Августа 2008 г. 13:28 + в цитатник

Mozilla_FireFox) все записи автора Pen Testing the Web with Firefox - видео презентации по использованию Firefox в испытаниях на проникновение, представленной на июльской конференции The Last HOPE бывшими военнослужащими. (52 минуты / 366 mb)

Рубрики:

security
media

Комментарии (4)

<a href="https://www.liveinternet.ru/community/mozilla_firefox/post82314980/"> РєСЂРѕСЃСЃРїР»Р°С‚С„РѕСЂРјРµРЅРЅС‹Р№ С‚СЂРѕСЏРЅ РґР»СЏ Firefox</a> РР·РІРµСЃС‚РЅР°СЏ РІРѕ РІСЃРµРј РјРёСЂРµ РєРѕРЅС„РµСЂРµРЅС†РёСЏ Black Hat, РїРѕСЃРІСЏС‰РµРЅРЅР°СЏ РІРѕРїСЂРѕСЃР°Рј РёРЅС„РѕСЂРјР°С†РёРѕРЅРЅРѕР№ Р±РµР·РѕРїР°СЃРЅРѕСЃС‚Рё РїСЂРѕС…РѕРґРёС‚ СЃРѕ 2 РїРѕ 7 Р°РІРіСѓСЃС‚Р°. РЎРїРµС†РёР°Р»СЊРЅРѕ Рє РєРѕРЅС„РµСЂРµРЅС†РёРё РС†РёРє РљРѕС‚Р»РµСЂ (Itzik Kotler) РјРµРЅРµРґР¶РµСЂ РїРѕ Р±РµР·РѕРїР°СЃРЅРѕСЃС‚Рё РѕРїРµСЂР°С†РёРѕРЅРЅРѕРіРѕ С†РµРЅС‚СЂР° Radware Рё РІРµРґСѓС‰РёР№ РЅР° Black Hat СЃРѕР·РґР°Р» С‚СЂРѕСЏРЅСЃРєСѓСЋ РїСЂРѕРіСЂР°РјРјСѓ Jinx, РЅР°С†РµР»РµРЅРЅСѓСЋ РЅР° РїРѕСЂР°Р¶РµРЅРёРµ РїРѕРїСѓР»СЏСЂРЅРѕРіРѕ РІРµР±-Р±СЂР°СѓР·РµСЂР° Firefox.

РЈСЏР·РІРёРјРѕСЃС‚Рё РїРѕРґРІРµСЂР¶РµРЅС‹ РІСЃРµ РІРµСЂСЃРёРё Firefox 3 РґРѕ СЂРµР»РёР·Р° 3.0.1. РўРµС…РЅРёС‡РµСЃРєРё Jinx РёРЅРґРµРєСЃРёСЂСѓРµС‚ Рё РѕС‚СЃС‹Р»Р°РµС‚ С„Р°Р№Р»С‹ СЃ Р¶РµСЃС‚РєРѕРіРѕ РґРёСЃРєР° Р¶РµСЂС‚РІС‹. РЎР°Рј С‚СЂРѕСЏРЅ РЅР°РїРёСЃР°РЅ РЅР° JavaScript Рё РЅРµ Р·Р°РІРёСЃРёС‚ РѕС‚ РїР»Р°С‚С„РѕСЂРјС‹, РЅР° РєРѕС‚РѕСЂРѕР№ Р·Р°РїСѓС‰РµРЅ, С‚.Рµ. РїСЂРѕРіСЂР°РјРјРµ РЅРµ РІР°Р¶РЅРѕ, Windows, Linux РёР»Рё M... <a href="https://www.liveinternet.ru/community/mozilla_firefox/post82314980/">Р§РёС‚Р°С‚СЊ РґР°Р»РµРµ...</a>

кроссплатформенный троян для Firefox

Дневник

Суббота, 09 Августа 2008 г. 14:28 + в цитатник

Mozilla_FireFox) все записи автора В колонках играет - d'n'b unreleased :X
Известная во всем мире конференция Black Hat, посвященная вопросам информационной безопасности проходит со 2 по 7 августа. Специально к конференции Ицик Котлер (Itzik Kotler) менеджер по безопасности операционного центра Radware и ведущий на Black Hat создал троянскую программу Jinx, нацеленную на поражение популярного веб-браузера Firefox.

Уязвимости подвержены все версии Firefox 3 до релиза 3.0.1. Технически Jinx индексирует и отсылает файлы с жесткого диска жертвы. Сам троян написан на JavaScript и не зависит от платформы, на которой запущен, т.е. программе не важно, Windows, Linux или Macintosh перед ней. В качестве дополнительного функционала Котлер наделил свою программу возможностью рассылки спама.

По словам Котлера, "Это первое доказательство-концепт такого вредоносного ПО, действующего без каких-либо инъекций в код, не вмешиваясь в ядро". Он обещал сделать доступным код Jinx для всех (т.е, опубликовать его). Кроме того, он намекнул, что Radware в настоящее время работает над аналогичными Jinx-подобными вредоносными программами, направленными на Microsoft Internet Explorer.

Рубрики:

Комментарии (0)

<a href="https://www.liveinternet.ru/community/mozilla_firefox/post77519234/">Site Security Policy</a> Р Р°Р·СЂР°Р±РѕС‚С‡РёРєРё Mozilla РїСЂРµРґСЃС‚Р°РІРёР»Рё РЅРѕРІСѓСЋ СЌРєСЃРїРµСЂРёРјРµРЅС‚Р°Р»СЊРЅСѓСЋ СЃРёСЃС‚РµРјСѓ Site Security Policy (SSP), РїСЂРµРґРЅР°Р·РЅР°С‡РµРЅРЅСѓСЋ РґР»СЏ Р·Р°С‰РёС‚С‹ РїРѕР»СЊР·РѕРІР°С‚РµР»РµР№ РѕС‚ С‚Р°РєРёС… РІРёРґРѕРІ СЃРµС‚РµРІС‹С… Р°С‚Р°Рє РєР°Рє РјРµР¶СЃР°Р№С‚РѕРІС‹Р№ СЃРєСЂРёРїС‚РёРЅРі (XSS), CSRF (Cross Site Request Forgery, РЅР°РїСЂРёРјРµСЂ, РєРѕРіРґР° РЅР° СЃС‚СЂР°РЅРёС†Сѓ РїРѕРјРµС‰Р°РµС‚СЃСЏ img src СЃСЃС‹Р»РєР° РґР»СЏ РІС‹РїРѕР»РЅРµРЅРёСЏ РѕРїРµСЂР°С†РёРё РЅР° РІРЅРµС€РЅРµРј СЃР°Р№С‚Рµ, РЅР° РєРѕС‚РѕСЂРѕРј РїРѕР»СЊР·РѕРІР°С‚РµР»СЊ Р°РІС‚РѕСЂРёР·РёСЂРѕРІР°РЅ. XSS - РїСЂРѕР±Р»РµРјС‹ РІС‹Р·РІР°РЅС‹ С‚РµРј, С‡С‚Рѕ РєР»РёРµРЅС‚ РґРѕРІРµСЂСЏРµС‚ СЃРµСЂРІРµСЂСѓ, Р° РґР»СЏ CSRF РЅР°РѕР±РѕСЂРѕС‚, С‚РµРј, С‡С‚Рѕ СЃРµСЂРІРµСЂ РґРѕРІРµСЂСЏРµС‚ РєР»РёРµРЅС‚Сѓ). РЎРёСЃС‚РµРјР° С‚Р°РєР¶Рµ РїРѕР·РІРѕР»РёС‚ Р·Р°С‰РёС‚РёС‚СЊ РїРѕР»СЊР·РѕРІР°С‚РµР»РµР№ РѕС‚ РІС‹РїРѕР»РЅРµРЅРёСЏ РїРѕСЂР°Р¶Р°СЋС‰РёС… Р±СЂР°СѓР·РµСЂ СЃРєСЂРёРїС‚РѕРІ, Р·Р°РіСЂСѓР¶Р°РµРјС‹С… С‡РµСЂРµР· РІСЃС‚Р°РІР»РµРЅРЅС‹Рµ Р·Р»РѕСѓ... <a href="https://www.liveinternet.ru/community/mozilla_firefox/post77519234/">Р§РёС‚Р°С‚СЊ РґР°Р»РµРµ...</a>

Site Security Policy

Дневник

Понедельник, 09 Июня 2008 г. 20:30 + в цитатник

Mozilla_FireFox) все записи автора Разработчики Mozilla представили новую экспериментальную систему Site Security Policy (SSP), предназначенную для защиты пользователей от таких видов сетевых атак как межсайтовый скриптинг (XSS), CSRF (Cross Site Request Forgery, например, когда на страницу помещается img src ссылка для выполнения операции на внешнем сайте, на котором пользователь авторизирован. XSS - проблемы вызваны тем, что клиент доверяет серверу, а для CSRF наоборот, тем, что сервер доверяет клиенту). Система также позволит защитить пользователей от выполнения поражающих браузер скриптов, загружаемых через вставленные злоумышленником блоки IFRAME или JavaScript, которыми, по опубликованной недавно статистике, заражено более полутора миллионов web-страниц, включая случаи инфицирования крупных и известных web-проектов, социальных и баннерных сетей.

Зафиксированы случаи размещения злоумышленником вредоносных HTML/JavaScript вставок в таких сервисах, как iGoogle, eBay, Roxer, Windows Live, MySpace / Facebook Widgets и т.д. Представленное SSP дополнение к браузеру Firefox, усиливает контроль над работой Web приложений, через кооперацию с владельцами сайтов. SSP позволяет явно определить список внешних ресурсов, используемых данным проектом. Таким образом, появляется возможность отличить злонамеренные вставки от полезных (баннерные сети, внешние блоки новостей), использующих загрузку кода через iframe, javascript src или img src.

Пример задания SSP политики (правила передаются браузеру через ряд дополнительных HTTP заголовков):

// правило для script src
X-SSP-Script-Source: allow *.example.com; deny public.example.com

// правило для проверки допустимости межсайтовых запросов.
// проверка запрашивается через отдельный HEAD запрос с HTTP заголовком "Policy-Query".
X-SSP-Request-Source: deny * post; allow * get; expires 60
X-SSP-Request-Source: allow *.example.com post,get; deny public.example.com *; expires 3600
X-SSP-Request-Target: allow *.example.com *, deny public.example.com post

// URI для отправки POST запроса для уведомления о нарушении заданных политик
X-SSP-Report-URI: http://www.example.com/policy.cgi

Ссылки:
OpenNet.ru
SlashDot
Расширение Site Security Policy

Рубрики:

Комментарии (2)

<a href="https://www.liveinternet.ru/community/mozilla_firefox/post74586117/">Р’РёСЂСѓСЃ РґР»СЏ Р’СЊРµС‚РЅР°РјР°</a> Р¤Р°Р№Р» РІСЊРµС‚РЅР°РјСЃРєРѕР№ Р»РѕРєР°Р»РёР·Р°С†РёРё РґР»СЏ Firefox 2.x СЃРѕРґРµСЂР¶Р°Р» РІРёСЂСѓСЃ HTML.Xorer РєР°Рє РјРёРЅРёРјСѓРј СЃ 18-РіРѕ С„РµРІСЂР°Р»СЏ РїРѕ РЅР°С‡Р°Р»Рѕ РјР°СЏ, СЃРѕРѕС‚РІРµС‚СЃС‚РІРµРЅРЅРѕ, РІСЃРµ РїРѕР»СЊР·РѕРІР°С‚РµР»Рё, СѓСЃС‚Р°РЅР°РІР»РёРІР°РІС€РёРµ СЌС‚Сѓ Р»РѕРєР°Р»РёР·Р°С†РёСЋ РІ СѓРєР°Р·Р°РЅРЅС‹Р№ РїРµСЂРёРѕРґ, РїРѕРґРІРµСЂРіР»РёСЃСЊ Р·Р°СЂР°Р¶РµРЅРёСЋ. Р’ Р°РЅС‚РёРІРёСЂСѓСЃРЅС‹Рµ Р±Р°Р·С‹ РґР°РЅРЅС‹Р№ РІРёСЂСѓСЃ РїРѕРїР°Р» С‚РѕР»СЊРєРѕ 28-РіРѕ С„РµРІСЂР°Р»СЏ, РїРѕСЌС‚РѕРјСѓ Р·Р°СЂР°Р¶РµРЅРЅС‹Р№ С„Р°Р№Р» РЅРµ Р±С‹Р» РѕР±РЅР°СЂСѓР¶РµРЅ Р°РЅС‚РёРІРёСЂСѓСЃРЅС‹РјРё СЃСЂРµРґСЃС‚РІР°РјРё, РёСЃРїРѕР»СЊР·СѓСЋС‰РёРјРёСЃСЏ РІ Mozilla РґР»СЏ РїСЂРѕРІРµСЂРєРё СЂР°СЃС€РёСЂРµРЅРёР№ РїРµСЂРµРґ Р·Р°РіСЂСѓР·РєРѕР№ РЅР° СЃРµСЂРІРµСЂ. Р’ РЅР°СЃС‚РѕСЏС‰РµРµ РІСЂРµРјСЏ СЂР°СЃРїСЂРѕСЃС‚СЂР°РЅРµРЅРёРµ РІСЊРµС‚РЅР°РјСЃРєРѕР№ Р»РѕРєР°Р»РёР·Р°С†РёРё РїСЂРёРѕСЃС‚Р°РЅРѕРІР»РµРЅРѕ.
Firefox Plugin Shipped With Malicious Code
Compromised file in Vietnamese Language Pack for Fire... <a href="https://www.liveinternet.ru/community/mozilla_firefox/post74586117/">Р§РёС‚Р°С‚СЊ РґР°Р»РµРµ...</a>

Вирус для Вьетнама

Дневник

Четверг, 08 Мая 2008 г. 09:46 + в цитатник

Mozilla_FireFox) все записи автора Файл вьетнамской локализации для Firefox 2.x содержал вирус HTML.Xorer как минимум с 18-го февраля по начало мая, соответственно, все пользователи, устанавливавшие эту локализацию в указанный период, подверглись заражению. В антивирусные базы данный вирус попал только 28-го февраля, поэтому зараженный файл не был обнаружен антивирусными средствами, использующимися в Mozilla для проверки расширений перед загрузкой на сервер. В настоящее время распространение вьетнамской локализации приостановлено.
Firefox Plugin Shipped With Malicious Code
Compromised file in Vietnamese Language Pack for Firefox 2

UPD: Vietnamese Language Pack FAQ

Рубрики:

Метки: locale

Комментарии (1)

Flash update

Дневник

Четверг, 10 Апреля 2008 г. 10:39 + в цитатник

Mozilla_FireFox) все записи автора

Новая версия плагина Flash 9.0.124, в которой исправлено 7 критических уязвимостей.

Рубрики:

Метки: flash

Комментарии (0)

Настройка файрволла

Дневник

Среда, 26 Марта 2008 г. 12:19 + в цитатник

Mozilla_FireFox) все записи автора Подборка советов по настройке распространенных файрволлов на совместимость с Firefox: Configuring firewalls for Firefox

Рубрики:

security
hints

Комментарии (0)

Уязвимость Thunderbird

Дневник

Четверг, 28 Февраля 2008 г. 17:12 + в цитатник

Mozilla_FireFox) все записи автора В колонках играет - Ikpeng - The Execution
Исследователи из Secunia обнаружили уязвимость в Thunderbird < 2.0.0.12

Уязвимость позволяет удаленному пользователю скомпрометировать целевую систему.

Уязвимость существует из-за ошибки при обработке external-body MIME типов данных. Удаленный пользователь может с помощью специально сформированного email сообщения вызвать переполнение динамической памяти и выполнить произвольный код на целевой системе.

Mozilla Thunderbird MIME Processing Buffer Overflow Vulnerability

Рубрики:

Метки: thunderbird

Комментарии (0)

Уязвимости SeaMonkey

Дневник

Понедельник, 11 Февраля 2008 г. 13:59 + в цитатник

Mozilla_FireFox) все записи автора В колонках играет - custom dark psy mix
Mozilla SeaMonkey Multiple Vulnerabilities

Рубрики:

Комментарии (7)

Уязвимость

Дневник

Суббота, 09 Февраля 2008 г. 01:12 + в цитатник

Mozilla_FireFox) все записи автора В свежей версии Firefox уже обнаружена уязвимость, в результате которой могут быть прочитаны пользовательские файлы:
Firefox 2.0.0.12 Information Leak Vulnerability

UPD: исходное сообщение Firefox Vulnerable By Default и реакция Mozilla:
view-source/resource “vulnerability” does not expose personal information (собственно , как я и полагал)

Рубрики:

Комментарии (0)

<a href="https://www.liveinternet.ru/community/mozilla_firefox/post66257987/">РњРЅРѕР¶РµСЃС‚РІРµРЅРЅС‹Рµ СѓСЏР·РІРёРјРѕСЃС‚Рё РІ Mozilla Firefox</a> РџСЂРѕРіСЂР°РјРјР°: Mozilla Firefox 2.0.x

РќР°Р№РґРµРЅРЅС‹Рµ СѓСЏР·РІРёРјРѕСЃС‚Рё РїРѕР·РІРѕР»СЏСЋС‚ СѓРґР°Р»РµРЅРЅРѕРјСѓ Р·Р»РѕСѓРјС‹С€Р»РµРЅРЅРёРєСѓ РѕР±РѕР№С‚Рё РѕРіСЂР°РЅРёС‡РµРЅРёСЏ Р±РµР·РѕРїР°СЃРЅРѕСЃС‚Рё, РІС‹РїРѕР»РЅРёС‚СЊ XSS РЅР°РїР°РґРµРЅРёРµ, РѕСЃСѓС‰РµСЃС‚РІРёС‚СЊ Р°С‚Р°РєСѓ СЃРїСѓС„РёРЅРіР° Рё DoS Р°С‚Р°РєСѓ, РїРѕР»СѓС‡РёС‚СЊ РґРѕСЃС‚СѓРї Рє РєРѕРЅС„РёРґРµРЅС†РёР°Р»СЊРЅРѕР№ РёРЅС„РѕСЂРјР°С†РёРё Рё РІС‹РїРѕР»РЅРёС‚СЊ РїСЂРѕРёР·РІРѕР»СЊРЅС‹Р№ РєРѕРґ РЅР° С†РµР»РµРІРѕР№ СЃРёСЃС‚РµРјРµ.

1) РЈСЏР·РІРёРјРѕСЃС‚СЊ РІРѕР·РЅРёРєР°РµС‚ РёР·-Р·Р° СЂР°Р·Р»РёС‡РЅС‹С… РѕС€РёР±РѕРє РІ РґРІРёР¶РєРµ Р±СЂР°СѓР·РµСЂР°. РРєСЃРїР»СѓР°С‚РёСЂРѕРІР°РЅРёРµ СѓСЏР·РІРёРјРѕСЃС‚Рё РїСЂРёРІРµРґРµС‚ Рє РїРѕСЂС‡Рµ РїР°РјСЏС‚Рё.

2) РЈСЏР·РІРёРјРѕСЃС‚СЊ РІРѕР·РЅРёРєР°РµС‚ РёР·-Р·Р° СЂР°Р·Р»РёС‡РЅС‹С… РѕС€РёР±РѕРє РІ РґРІРёР¶РєРµ Javascript. РРєСЃРїР»СѓР°С‚РёСЂРѕРІР°РЅРёРµ СѓСЏР·РІРёРјРѕСЃС‚Рё РїСЂРёРІРµРґРµС‚ Рє РїРѕСЂС‡Рµ РїР°РјСЏС‚Рё.

РЈСЃРїРµС€РЅРѕРµ СЌРєСЃРїР»СѓР°С‚РёСЂРѕРІР°РЅРёРµ СЌС‚РёС… СѓСЏР·РІРёРјРѕСЃС‚РµР№ РїСЂРёРІРµРґРµС‚ Рє РІС‹РїРѕР»РЅРµРЅРёСЋ ... <a href="https://www.liveinternet.ru/community/mozilla_firefox/post66257987/">Р§РёС‚Р°С‚СЊ РґР°Р»РµРµ...</a>

Множественные уязвимости в Mozilla Firefox

Дневник

Пятница, 08 Февраля 2008 г. 20:06 + в цитатник

Аноним (

Mozilla_FireFox) все записи автора Программа: Mozilla Firefox 2.0.x

Найденные уязвимости позволяют удаленному злоумышленнику обойти ограничения безопасности, выполнить XSS нападение, осуществить атаку спуфинга и DoS атаку, получить доступ к конфиденциальной информации и выполнить произвольный код на целевой системе.

1) Уязвимость возникает из-за различных ошибок в движке браузера. Эксплуатирование уязвимости приведет к порче памяти.

2) Уязвимость возникает из-за различных ошибок в движке Javascript. Эксплуатирование уязвимости приведет к порче памяти.

Успешное эксплуатирование этих уязвимостей приведет к выполнению произвольного кода.

3) Уязвимость возникает из-за слабости, вызванной ошибкой проектирования в обработке фокуса. Эксплуатирование уязвимости загрузить произвольные файлы на систему пользователя.

4) Уязвимость возникает из-за различных ошибок в движке Javascript. Атакующий может выполнить произвольный код Javascript с привилегиями "chrome".

5) Уязвимость возникает из-за различных ошибок в движке Javascript. Атакующий может использовать функцию "XMLDocument.load()", что позволит обойти политику безопасности.

6) Уязвимость возникает из-за ошибки в обработке изображений, когда пользователь покидает страницу, которая использует фреймы "designMode". Атакующий может получить содержимое истории навигации пользователя, информацию по перенаправлению и осуществить порчу памяти.

Успешное эксплуатирование этой уязвимости приведет к выполнению произвольного кода.

7) Уязвимость возникает из-за ошибки проектирования, касающейся диалогов с включением таймера. Эксплуатирование уязвимости может привести к том, что пользователь несознательно подтвердит диалог безопасности.

8) Уязвимость возникает из-за того, что Firefox следует перенаправлениям "302" для таблиц стилей и позволяет прочитать целевой URL через "element.sheet.href". Эксплуатирование уязвимости позволит раскрыть некоторые параметры URL.

Рубрики: