Критическая уязвимость в Firefox 3.5

Подписка на тему | Версия для печати

GeoHat	Дата 20.07.2009 - 19:15
Unregistered	Критическая уязвимость в Firefox 3.5 17.07.2009 [17:13], Денис Борн В браузере Firefox 3.5 обнаружена критическая проблема безопасности. Так называемая уязвимость "нулевого дня" найдена в работе jаvаsсriрt-компилятора Just-in-time (JIT). Эксплуатирующий "дыру" код опубликовала одна из групп исследователей безопасности, о чем сообщила организация Mozilla в своем блоге. Экспертами уязвимость классифицируется как "очень критическая". Используя обнаруженную брешь, взломщик может осуществить атаку типа "drive-by", что означает запуск вредоносного программного кода на компьютере пользователя, посетившего интернет-сайт с внедренным эксплоитом. На данный момент решение проблемы не найдено, но разработчики из Mozilla работают над исправлением к браузеру. В качестве временной меры рекомендуется отключить в Firefox 3.5 JIT-компилятор, хотя это приведет к замедлению работы обрабатываемых программой java-скриптов. Одна из американских экспертных групп рекомендует совсем отключить функционирование jаvаsсriрt. Также можно использовать плагин NoScript, разрешающий выполнение java-скриптов только для доверенных сайтов. JIT является частью расширения TraceMonkey, добавленного в вышедшую в конце июня версию браузера 3.5 и служащего увеличению скорости работы программы.

archy	Дата 20.07.2009 - 19:56
Unregistered	Воот, поэтому я использую оперу))) А про нее есть чо нить?

Alexander.M	Дата 20.07.2009 - 20:50
Unregistered	archy Не меньше

Beirut	Дата 20.07.2009 - 20:55
Yarportal.Ru Профиль Группа: Администратор Сообщений: 206980 Пользователь №: 2 Регистрация: 18.03.2003 - 03:51	ну уж за три дня то сделали небось? )

GeoHat	Дата 20.07.2009 - 21:07
Unregistered	может и сделали, во всяком случае версия 3.5.1 уже поставилась

smallder

Дата 20.07.2009 - 21:18

Unregistered

Цитата

Сайт National Vulnerability Database опубликовал информацию об очередной критической уязвимости в Firefox с рейтингом «10 (HIGH)», которая применима и к версии 3.5.1 этого браузера. На трекере IBM эта уязвимость также отмечена как HIGH Risk. Сайт security focus опубликовал proof of concept этой уязвимости.

Суть уязвимости в обработке очень длинных unicode-строк, которая может привести к переполнению буфера и выполнению вредоносного кода.

Mozilla отреагировала на обнаружение, заявив, что уязвимость есть, но она не может использоваться для нанесения вреда, однако позднее в своем же посте появилось обновление следующего содержания

" thanks to Larry Seltzer for bringing to our attention that Firefox 3.5.x will indeed still crash using the provided PoC on Windows, at least for some users"

которое означает, что по крайней мере некоторые windows-пользователи подвержены опасности.

habrahabr.ru

GeoHat	Дата 21.07.2009 - 09:04
Unregistered	у меня 3.5-3.5.1 валится с завидной регулярностью...

archy	Дата 21.07.2009 - 09:14
Unregistered	Alexander.M Так где факты то? У меня вот в 10й опере глючит Опера Турбо, на нашем быстром соединении начинает включаться и не прогружает странички, но это не уязвимость а косяк по моему)) Порноинформер подруга цепляла...тоже кстати тревожный факт, но единичный, на который существовало готовое решение и соответственно помогло. Больше никаких проблем.

gramazeca	Дата 21.07.2009 - 23:39
Unregistered	NoScript рулит так то..и запрос на перенаправление

maisa

Дата 22.07.2009 - 23:01

Unregistered

Цитата (archy @ 21.07.2009 - 10:14)

Alexander.M
Так где факты то?

У меня вот в 10й опере глючит Опера Турбо, на нашем быстром соединении начинает включаться и не прогружает странички, но это не уязвимость а косяк по моему)) Порноинформер подруга цепляла...тоже кстати тревожный факт, но единичный, на который существовало готовое решение и соответственно помогло. Больше никаких проблем.

И у меня глючит, а у вас когда включаете турбо после залогинивания, например, потом автоматически разлогиниваетесь?

archy	Дата 23.07.2009 - 09:12
Unregistered	maisa Да вроде нет подобных проблем. В итоге от этой фичи отказался. Может на диалапе оно и поможет, но момент инерции на быстром соединении слишком большой. А так как скорость часто скачет, то приходится больше сидеть с тормозами, поэтому и отключил...быстрее получается

« | Компьютеры и мобильные телефоны | »

[ Время генерации скрипта: 0.0068 ] [ Использовано запросов: 12 ] [ GZIP включён ]

Правила Ярпортала (включая политику обработки персональных данных)

Все вопросы: yaroslavl@bk.ru