Szerző: Bizó Dániel

2009. július 14. 18:35:00

Kritikusan sebezhető a Firefox 3.5

Alig egy hete írtunk arról, hogy az előző generációs Windows kerneleken futó Internet Explorer 6 és 7 ellen támadás folyik, mégpedig egy foltozatlan sebezhetőséget kihasználva. Most a friss Firefox 3.5 került terítékre, a böngészőn keresztül túlcsordulásos technikával támadható a rendszer. A milw0rmön meg is jelent a támadási lehetőség egy implementációja.

A végleges Firefox 3.5 megjelenését követően mindössze két héttel publikálta a támadó példakódokat gyűjtő milw0rm biztonságtechnikai oldal azt az exploitot, mely egy Windows rendszeren elindítja a számológépet -- klasszikus demonstrációja a távoli kód privilegizált végrehajtásának. A kód arra ad lehetőséget, hogy egy HTML weblapba JavaScriptet ágyazva lehessen támadni a látogatókat, mégpedig akkor, mkor a böngésző feldolgozza a szkript HTML font tagekre vonatkozó részeit. Ekkor túlcsordulásos technikával lehet manipulálni a memóriát. A Secunia biztonsági cég kritikusnak sorolta be a sebezhetőséget.

A Mozilla értesült már a problémáról, egyelőre azonban nem áll rendelkezésre megfelelő biztonsági frissítés. Igaz, arról sem tudni, hogy léteznének olyan fertőzött weboldalak, melyek kiaknáznák ezt a rést. Addig biztonsági intézkedésként a JavaScript feldolgozásának kikapcsolása javasolható azok számára, akik maximális biztonságot akarnak -- igaz, ez gyakorlatilag folyamatosan igaz. A heise Security szerint a Windows 7 RC figyelmeztetéssel megfogta a szkriptet, figyelmeztetve a felhasználót, és felajánlva a lehetőséget a végrehajtás megszakítására.

a címlapról