Московское время -
Предыдущая тема :: Следующая тема |
Автор |
Сообщение |
mrRisk Форумщик
Зарегистрирован: 13.06.2009 Сообщения: 25 Откуда: Ногинск
|
Добавлено: Вт Июн 16, 2009 6:43 pm Заголовок сообщения: Уязвимости в браузере Mozilla Firefox/ |
|
|
Программа: Mozilla Firefox версии до 3.0.11
Опасность: Высокая
Наличие эксплоита: Нет
Описание:
Обнаруженные уязвимости позволяют удаленному пользователю получить доступ к важным данным, обойти некоторые ограничения безопасности, произвести спуфинг атаку и скомпрометировать целевую систему.
1. Уязвимость существует из-за ошибок в browser engine. Удаленный пользователь может вызвать повреждение памяти и выполнить произвольный код на целевой системе.
2. Уязвимость существует из-за неизвестной ошибки, которая позволяет создание двойного фрейма. Удаленный пользователь может вызвать повреждение памяти и выполнить произвольный код на целевой системе.
3. Уязвимость существует из-за множественных ошибок в механизме JavaScript. Удаленный пользователь может вызвать повреждение памяти и выполнить произвольный код на целевой системе.
4. Уязвимость существует из-за ошибки при обработке некорректных Unicode символов, используемых в качестве IDN. Эти символы отображаются как пробелы в адресной строке. Удаленный пользователь может произвести спуфинг атаку и скрыть нежелаемого адреса.
5. Уязвимость существует из-за ошибки при обработке "file:" URI. Удаленный пользователь может получить доступ ко всем файлам куки, сохраненным на локальной системе. Для успешной эксплуатации уязвимости злоумышленник должен скачать и открыть специально сформированный HTML файл.
6. Уязвимость существует из-за ошибки при обработке HTTP запросов с кодом, отличным от 200, которые были получены браузером посредством CONNECT запроса к прокси серверу. Удаленный пользователь может произвести атаку «человек посередине», подменить HTTP HOST заголовок клиентского запроса и отобразить произвольное содержимое данных в окне браузера или выполнить произвольный код сценария в браузере жертвы в контексте безопасности SSL домена.
7. Уязвимость существует из-за ошибки состояния операции при доступе к частным данным объекта класса NPObject JS обработчика, когда осуществляется переход на другой сайт во время загрузки Java апплета. Удаленный пользователь может с помощью специально сформированного сайта заставить приложение использовать уже освобожденную память и выполнить произвольный код на целевой системе.
8. Уязвимость существует из-за того, что приложение устанавливает владельца элемента для документа в нулевое значение после осуществления процесса сбора мусора (garbage collection), что позволяет выполнить event listener в некорректном JavaScript контексте. Удаленный пользователь может с помощью злонамеренного обработчика событий выполнить произвольный JavaScript код с привилегиями chrome.
9. Уязвимость существует из-за ошибки при загрузке "file:" ресурсов через адресную строку. Удаленный пользователь может обманом заставить пользователя скачать специально сформированный документ и открыть локальный файл до открытия вредоносного документа в том же окне. Успешная эксплуатация уязвимости позволит злоумышленнику получить доступ к потенциально запрещенным данным.
10. Уязвимость существует из-за некорректной проверки политик загрузки данных перед загрузкой внешних сценариев в XUL файл. Удаленный пользователь может обойти установленные политики, и например, обойти блокирование рекламы с помощью AdBlock или предотвратить запуск сценариев в NoScript.
11. Уязвимость существует из-за ошибки, когда привилегированные объект chrome взаимодействует с содержимым Web страницы. Удаленный пользователь может выполнить произвольный сценарий с привилегиями объекта chrome.
Источник securitylab
http://www.securitylab.ru/vulnerability/381348.php
РЕШЕНИЕ Установите последнюю версию 3.0.11 с сайта производителя.
Все будем молится что дыры залатаны хорошо.Всем у кого версия ниже 3.0.11 установить обновление \\Справка\Проверить наличие обновлений.. |
|
Вернуться к началу |
|
|
Сомалийские пираты
Зарегистрирован: 02.10.2006 Сообщения: 13984 Откуда: Универсальная Река Абсолютной Любви
|
Добавлено: Вт Июн 16, 2009 7:15 pm Заголовок сообщения: |
|
|
у меня сегодня слазила обновилась до 3.0.11.
Дык она довольно часто обновляться просит. По-моему не реже раза в месяц, а то и чаще, хотя я не следила особо. _________________ Sapienti sat |
|
Вернуться к началу |
|
|
Satinka
Зарегистрирован: 04.09.2005 Сообщения: 10722
|
Добавлено: Пн Июн 29, 2009 1:45 pm Заголовок сообщения: |
|
|
эта... у меня с Мозилы не выводит на печать. че нажать штоп заработало? _________________ Как вы знаете, несколько недель назад при нашей первой встрече мы, видимо, оба встали
не с той ноги, когда я назвал вас идиотом. Я просто хочу сказать, что был неправ, озвучив это. (с) |
|
Вернуться к началу |
|
|
Jumbo Друг ПОСТа
Зарегистрирован: 19.07.2007 Сообщения: 158
|
Добавлено: Вт Июн 30, 2009 12:49 pm Заголовок сообщения: |
|
|
ctrl+p |
|
Вернуться к началу |
|
|
Satinka
Зарегистрирован: 04.09.2005 Сообщения: 10722
|
Добавлено: Вт Июн 30, 2009 3:06 pm Заголовок сообщения: |
|
|
пфффф, ну не работает же. я про приемы в настройках браузера спрашивала, может кто знает лазейки... _________________ Как вы знаете, несколько недель назад при нашей первой встрече мы, видимо, оба встали
не с той ноги, когда я назвал вас идиотом. Я просто хочу сказать, что был неправ, озвучив это. (с) |
|
Вернуться к началу |
|
|
Гость
|
Добавлено: Вт Июн 30, 2009 4:42 pm Заголовок сообщения: |
|
|
я, если честно, из двух постов так и не понял твоей проблемы |
|
Вернуться к началу |
|
|
|
|
Вы не можете начинать темы Вы не можете отвечать на сообщения Вы не можете редактировать свои сообщения Вы не можете удалять свои сообщения Вы не можете голосовать в опросах
|
|
|