#1 18.07.09 08:28
[Интернет] Критическая уязвимость в Firefox 3.5
Критическая уязвимость в Firefox 3.5
18.07.2009
В браузере Firefox 3.5 обнаружена критическая проблема безопасности. Так называемая уязвимость "нулевого дня" найдена в работе JavaScript-компилятора Just-in-time (JIT). Эксплуатирующий "дыру" код опубликовала одна из групп исследователей безопасности, о чем сообщила организация Mozilla в своем блоге. Экспертами уязвимость классифицируется как "очень критическая".
Используя обнаруженную брешь, взломщик может осуществить атаку типа "drive-by", что означает запуск вредоносного программного кода на компьютере пользователя, посетившего интернет-сайт с внедренным эксплоитом. На данный момент решение проблемы не найдено, но разработчики из Mozilla работают над исправлением к браузеру. В качестве временной меры рекомендуется отключить в Firefox 3.5 JIT-компилятор, хотя это приведет к замедлению работы обрабатываемых программой java-скриптов. Одна из американских экспертных групп рекомендует совсем отключить функционирование JavaScript. Также можно использовать плагин NoScript, разрешающий выполнение java-скриптов только для доверенных сайтов.
JIT является частью расширения TraceMonkey, добавленного в вышедшую в конце июня версию браузера 3.5 и служащего увеличению скорости работы программы.
Offline
#4 18.07.09 20:37
Re: [Интернет] Критическая уязвимость в Firefox 3.5
Первый патч для Firefox 3.5
18.07.2009
Компания Mozilla обновила интернет-браузер Firefox до версии 3.5.1, устранив одну критическую уязвимость безопасности, обнаруженную на этой неделе. Ошибка присутствовала в JIT-компиляторе JavaScript и представляла собой, по описанию бюллетеня безопасности Mozilla, "доступную для использования проблему с нарушением целостности содержимого памяти".
Во вторник специалист по компьютерной безопасности Саймон Берри-Бирн (Simon Berry-Byrne) опубликовал рабочую версию эксплоита для этой уязвимости, который позволял потенциальному злоумышленнику запускать на машине жертвы произвольный код. В тот же день инженеры Mozilla приступили к тестированию патча для найденной ошибки, который вошел в состав первого обновления безопасности для Firefox 3.5, выпущенного в конце июня.
Помимо устранения проблем безопасности, в новой версии браузера для Windows исправлена ошибка, замедлявшая запуск приложения из-за попыток получить доступ к каталогам временных файлов Internet Temporary Files и Temp. Всего в Firefox 3.5.1 исправлено 22 ошибки, из которых 7 признаны критическими. Некоторые из них не относятся к сфере безопасности системы, однако приводят к аварийному завершению работы приложения, например при обработке некоторых поисковых запросов, выполняемых с помощью панелей инструментов браузера.
Релиз Firefox 3.5.1 не устраняет всех недостатков, перечисленных при выпуске новой версии Firefox. Так, ошибка в алгоритме обработке информации о DNS, скрываемой при использовании прокси, по мнению сотрудников Mozilla, не представляет собой угрозы безопасности.
Исправлено iPhoeniX (18.07.09 20:37)
Offline
