Mozilla исправила критические уязвимости в Firefox

image

Теги: Mozilla, Firefox, уязвимость

Компания Mozilla досрочно выпустила обновления для исправления двух критических ошибок браузера Firefox, включая уязвимость, обнаруженную во время состязаний Pwn2Own.

Компания Mozilla досрочно выпустила обновления для исправления двух критических ошибок браузера Firefox, включая уязвимость, обнаруженную во время состязаний Pwn2Own.

26 марта, через день после того, как был опубликован эксплоит для еще одной уязвимости, был установлен срок для выпуска высокоприоритетного обновления безопасности – 1 апреля. Однако уже в пятницу на сайте компании появились ссылки на Firefox 3.0.8 для операционных систем Windows, Mac OS X и Linux. Пользователи Firefox предыдущих версий могут обновить браузер при помощи встроенного инструмента либо воспользоваться всплывающим окном оповещения.

Обе уязвимости имеют статус критических. Однако, более опасной является ошибка, которую обнаружил 25-летний студент из Германии Nils на конференции CanSecWest 2009 в Ванкувере, во время соревнований хакеров Pwn2Own. Nils успешно обошел механизмы защиты трех браузеров – Firefox и Safari для операционной системы Mac OS X и Internet Explorer 8 для Windows 7. За каждую взломанную систему молодой человек получил по $5000 от спонсора мероприятия, компании TippingPoint Technologies.

Как сообщают представители компании Mozilla, Нильс воспользовался ошибкой в реализации XUL, языка создания пользовательских интерфейсов. В некоторых случаях использование метода _moveToEdgeShift приводит к сбою браузера, которым может воспользоваться злоумышленник, чтобы запустить на компьютере жертвы произвольный код. Дополнительная информация об этой уязвимости была блокирована, и доступ к соответствующей записи базы Bugzilla могли получить лишь авторизованные пользователи.

Другая критическая уязвимость была обнаружена 25 марта, когда на сайте Milw0rm был опубликован эксплоит для нее. Используя эту ошибку, злоумышленник может вызвать сбой Firefox во время выполнения вредоносного кода XSL на веб-сайте, что также открывает возможность запуска произвольного кода.



или введите имя

CAPTCHA
41719
30-03-2009 10:53:51
досрочно выпустила обновления26 марта, через день после того, как был опубликован эксплоит для еще одной уязвимости, был установлен срок для выпуска высокоприоритетного обновления безопасности – 1 апреляИМХО - если выпущен эксплоит хакерами и разработчики еще не выпустили заплатку - то это отчетливо говори о криворукости последних. Другое дело, если об уязвимости стало известно одновременно с выходом эксплоита... На смену дырявого осла идет не менее дрявый фф! Закапывайте!
0 |
08671
30-03-2009 11:10:29
+1 фуфелфокс не нужен //////////////////////////
0 |
89456
30-03-2009 11:56:09
Согласен. фуфлокс дырявое поделие, ставшее популярное только за счет постоянного промывания мозга гуглом, какой он безопасный и прочей бред и идиотов гуглоноидов верующих во все сказаное гуглом. В итого имеем еще одно дырявое корыто firefox которое патчится еще хуже ie
0 |
30-03-2009 12:09:33
какие все умные! ну надо же! че же мы тогда живем в нашей россии, среди медведей и балалаек, а не летаем на летательны х аппаратах, бомбя билла гейтса и прочих пеносов из персональных лазерный нано-бластеров? какой же у тебя "не дырявый" и "обновляющийся за день до выпуска эксплойтов и проч штучек" браузер, скажите на милость? ой ой никак опера
0 |
06283
30-03-2009 12:18:24
Что-то гуглоноид переклинило тебя бедняжку не туда. При чем тут бомбим или бомбить пол мира только из-за того что они под нас не ложаться как пиндосы это есть вверх цивилизации для тебя? Подыши глубоко и не неси больше этот бред
0 |
Bad-XxX
30-03-2009 14:35:01
Модеры ахтунги продажные. 4 поста чистого срача оставили, а нормальное сообщение доказывающее реальные факты - удалили. Так вот, чтоб знали, дублирую: мозилла - это одна единственная компания-производитель браузера, которая настолько оперативно выпускает заплатки найденным уязвимостям (1 день). В четверг обнаружили - в пятницу уже ФФ официально обновляется до 3.0.8.
0 |
+1
30-03-2009 17:01:48
Но когда до них наконец дойдёт что нужно делать сэндбокс, как у хрома, науке не известно. А делать надо, этот код так пишется что уязвимости в нём постоянно будут находить. А значит нужно использовать другой подход.
0 |
Aleksey
31-03-2009 10:30:08
А чем сэндбокс поможет? У хрома то же самое, только вкладки не могут воздействовать друг на друга. Ну уязвимостям на другие вкладки положить.
0 |
31-03-2009 12:53:47
притом, что раз все такие умные в каментах срать с мегазаявлениями со своей точки зрения (не всегда верной, но зато своей), чеж в мире кризис и хаос, а не идилия и отсутствие эксплойтов и идеальных браузеров, возьмите да разработайте, напишите!
0 |
30-03-2009 23:13:18
Я вот смотрю на ту новость о Pwn2Own и вижу: Участники Pwn2Own взломали IE8, Firefox и Safari за считанные секундыНе подскажете, где можно скачать заплатки для IE8 и Safari?
0 |
LiNuX
30-03-2009 11:29:28
обошел механизмы защиты трех браузеров – Firefox и safari для операционной системы Mac OS X и Internet explorer 8 для Windows 7 Посмотрим когда на ваш IE выйдет заплатка!!!!!
0 |
41545
30-03-2009 11:53:16
Посмотрим когда на ваш IE выйдет заплатка!!!!!сравнивать нужно с нормальными продуктами, а не г...ом!
0 |
Bad-XxX
31-03-2009 11:35:24
Если ты про сафари - то на него заплатка ещё не вышла. Если ты про оперу - то организаторы Pwn2Own оперу вообще как за достойного конкурента не посчитали. С кем сравнивать?
0 |
90972
31-03-2009 11:30:58
Посмотрим когда на ваш IE выйдет заплатка!!!!! Ты что из леса выпал? Оторви свои красные глаза от ядра линуха. Они уже пропатчили
0 |
Bad-XxX
31-03-2009 11:40:31
Пропатчили они старые уязвимости, а бага, найденная на pwn2own до сих пор открыта.
0 |
Сын окна и пингвина
30-03-2009 11:32:50
Кто боится уязвимостей пользуйтесь блокнотом и калькулятором
0 |
Злой
30-03-2009 12:50:54
"Кто боится уязвимостей пользуйтесь блокнотом и калькулятором :)" Ну-ну, оденьте шкуру и в пещеру)))
0 |
San
30-03-2009 15:10:44
Еще раз порадовался за свою Оперу. С ужасом думаю - а вдруг на нее прийдут стада леммингов? Лемминги, НЕ КАЧАЙТЕ И НЕ СТАВЬТЕ ОПЕРУ. Пусть она будет инструментом IT-специалистов. Лучше скачайте свежую Горелую Лису
0 |
xxx
30-03-2009 16:01:08
Пусть она будет инструментом IT-специалистовПхахаха! Ну отжег
0 |
Qwerty
30-03-2009 21:23:33
Да я от этих слов тоже подстолом))
0 |
px
30-03-2009 23:18:06
Тока сеня 30.03.09 опобликован на оперу очередной сплоит. Opera 9.64 (7400 nested elements) XML Parsing Remote Crash Exploit
0 |
73553
31-03-2009 08:17:21
эксплоит с "вырубанием" приложения отнюдь не такой опасный, как выполнение произвольного кода в системе. так что низачот!
0 |
Aleksey
31-03-2009 10:31:34
Для тех кто не в курсе - падение сигнализирует о наличие переполнения буфера, а переполнение буфера - о возможности эксплуатации.
0 |
Bad-XxX
31-03-2009 11:36:46
да-да ) а как известно, в некоторых случаях даже одного байта достаточно для эксплуатации уязвимости
0 |
30-03-2009 20:26:29
В виндовом калькуляторе и блокноте тоже уязвимости находили
0 |
30-03-2009 23:14:26
Ну уязвимости не находили, а вот баги в Блокноте действительно были с NT4. Но к выходу Visla их уже оперативно пофиксили.
0 |
Bad-XxX
31-03-2009 00:08:13
Да, их оперативность конечно радует ^^ понадобилось 6 лет на то, чтоб закрыть эти баги )
0 |
Yankel
31-03-2009 06:26:20
Самый лучший браузер - консольный. Кобтча рулит 22559
0 |