Mellékleteink: HUP | Gamekapocs
Keres
Július 19-én SYSADMINDAY: egy teljes security meetup, számos szórakoztató program, és Felméri Péter standupja várja az érdeklődőket!

Kritikusan sebezhető a Firefox 3.5

Bizó Dániel, 2009. július 14. 18:35
Ez a cikk több évvel ezelőtt születetett, ezért előfordulhat, hogy a tartalma már elavult.
Frissebb anyagokat találhatsz a keresőnk segítségével:

Alig egy hete írtunk arról, hogy az előző generációs Windows kerneleken futó Internet Explorer 6 és 7 ellen támadás folyik, mégpedig egy foltozatlan sebezhetőséget kihasználva. Most a friss Firefox 3.5 került terítékre, a böngészőn keresztül túlcsordulásos technikával támadható a rendszer. A milw0rmön meg is jelent a támadási lehetőség egy implementációja.

hirdetés

A végleges Firefox 3.5 megjelenését követően mindössze két héttel publikálta a támadó példakódokat gyűjtő milw0rm biztonságtechnikai oldal azt az exploitot, mely egy Windows rendszeren elindítja a számológépet -- klasszikus demonstrációja a távoli kód privilegizált végrehajtásának. A kód arra ad lehetőséget, hogy egy HTML weblapba JavaScriptet ágyazva lehessen támadni a látogatókat, mégpedig akkor, mkor a böngésző feldolgozza a szkript HTML font tagekre vonatkozó részeit. Ekkor túlcsordulásos technikával lehet manipulálni a memóriát. A Secunia biztonsági cég kritikusnak sorolta be a sebezhetőséget.

A Mozilla értesült már a problémáról, egyelőre azonban nem áll rendelkezésre megfelelő biztonsági frissítés. Igaz, arról sem tudni, hogy léteznének olyan fertőzött weboldalak, melyek kiaknáznák ezt a rést. Addig biztonsági intézkedésként a JavaScript feldolgozásának kikapcsolása javasolható azok számára, akik maximális biztonságot akarnak -- igaz, ez gyakorlatilag folyamatosan igaz. A heise Security szerint a Windows 7 RC figyelmeztetéssel megfogta a szkriptet, figyelmeztetve a felhasználót, és felajánlva a lehetőséget a végrehajtás megszakítására.

Facebook

Mit gondolsz? Mondd el!

Adatvédelmi okokból az adott hír megosztása előtt mindig aktiválnod kell a gombot! Ezzel a megoldással harmadik fél nem tudja nyomon követni a tevékenységedet a HWSW-n, ez pedig közös érdekünk.
A IT-üzemeltetők világnapján egy teljes security meetup, számos szórakoztató program, és Felméri Péter standupja várja az érdeklődőket az Ankertbe.