Главная страница - Исследования в области безопасности

Безопасность Mozilla Firefox: 30 0day уязвимостей и отсутствие патчей



Удаленный пользователь может с помощью специально сформированной страницы, содержащей злонамеренный JavaScript код, скомпрометировать целевую систему, сообщили в субботу Миша Шпигельмок (Mish Spiegelmock) и Эндрю Убилсои (Andrew Wbeelsoi) на хакерской конференции ToorCon. Уязвимость затрагивает продукт на платформах Windows, Mac OS X и Linux.

Шпигельмок сообщил, что уязвимость является результатом некорректной реализации обработки JavaScript кода в браузере и может позволить злоумышленнику вызвать переполнение стека.

Window Snyder, глава отдела безопасности компании Mozilla, после просмотра демонстрации взлома, предположила, что уязвимость может действительно существовать: «То что они описывают, может быть вариантом старой атаки». Шпигельмок и Убилсои в своей демонстрации предоставили достаточно данных, чтобы воспроизвести атаку, считает Snyder, и тем самым подвергли всех пользователей браузера опасности, хотя эти данные смогут помочь разработчику устранить ошибки в коде. Поскольку ошибки содержатся в коде, обрабатывающем JavaScrip, их будет весьма сложно устранить: «Если уязвимость действительно в виртуальной машине JavaScrip, то быстрого исправления не будет».

Исследователи заявили, что им известно о 30 уязвимостях в Mozilla Firefox, но они не намерены сообщать данные об ошибках.

«Я очень надеюсь, что эти ребята изменят свое решение и все же решат сообщить нам подробности и получить по $500 за каждую уязвимость, вместо того, чтобы использовать эти данные для создания бот сетей» сказал сотрудник компании Mozilla Jesse Ruderman.

http://www.securitylab.ru




Похожие по содержанию материалы раздела: Адаптер для купольных камер AXIS 214 В Китае будут использовать систему распознавания лиц, чтобы не пускать футбольных хулиганов на стадион Количество новых троянов с 2004 года удвоилось Nortel представила продукт с защитой Symantec Москва: об итогах 2-го IT-Security Форума Веб-камера определяет чужаков по глазам Интернет становится рассадником терроризма Жители Латвии не думают о противопожарной безопасности жилья Aladdin проводит конференцию по информационной безопасности PandaLabs обнаружила новую шпионскую программу DigiKeyGen Лондонский медицинский центр оснащается средствами биометрической идентификации Проект тестирования биометрических технологий распознавания диктора AeA SpRT Pelco выпустила новые цветные камеры наблюдения с высоким разрешением Система защиты конфиденциальной информации InfoWatch Компьютеры смогут узнавать людей по стуку их сердец Россия: разработана концепция развития правового регулирования в сфере ИТ Антивирусный Центр предупреждает о новой  атаке  Вируса-вымогателя GPCode Бангкок нашпиговали камерами видеонаблюдения Итоги Нижегородского семинара по информационной безопасности

(c) 2008
Видеонаблюдение,
охранная и
пожарная сигнализация