Mozilla устраняет критические баги в Firefox

Перейти вниз

Mozilla устраняет критические баги в Firefox

Сообщение автор yragen в Ср Авг 05, 2009 4:22 am

Mozilla устраняет критические баги в Firefox


В понедельник Mozilla выпустила обновление, закрывающее критические уязвимости в своем популярном открытом браузере Firefox, включая обнаруженный на прошлой неделе баг, позволяющий подделывать SSL-сертификаты, используемые для обеспечения безопасности веб-сайтов.

Наличие этой уязвимости означало, что Firefox можно было ввести в заблуждение поддельным сертификатом, что могло позволить злоумышленникам создавать убедительно выглядящие копии банковских сайтов, сайтов электронных почтовых служб и других важных сервисов. Во время доклада на конференции Black Hat исследователи Мокси Марлинспайк и Дэн Камински продемонстрировали, что для успешной эксплуатации уязвимости нужно было добавить лишь несколько нулевых строковых параметров в ряд строк сертификата.

В заявлении на сайте Mozilla содержится строгая рекомендация пользователям обновить браузер до последней версии.

Уязвимость в SSL позволила Марлинспайку создать универсальный групповой сертификат, с помощью которого Firefox аутентифицировал любое доменное имя в Интернете. Он добился этого, изменив сертификат для своего сайта thoughtcrime.org, вписав в поле commonName значение *\0.thoughtcrime.org, что заставило браузер считать сертификат универсально действительным. В понедельник данная уязвимость была закрыта в версиях Firefox 3.5.2 и 3.0.13. для платформ Windows, Mac и Linux.

Помимо Firefox, к аналогичному багу чувствительны и три других продукта Mozilla – это Thunderbird, SeaMonkey и NSS, каждый из которых должен быть вскоре пропатчен.

Кроме этого, выпущенный патч закрыл и другие критические дыры, включая вылеты из-за проблем в памяти, переполнение кучи из-за ошибки в синтаксисе и повышение привилегий Chrome из-за некорректного кэширования упаковщика. Уязвимости, отмеченные как критические, обычно позволяют хакеру удаленно выполнить вредоносный код при минимальном участии конечного пользователя.

Добавим лишь, что Mozilla закрывает критические уязвимости в Firefox уже второй раз за 18 дней. Две недели назад компания выпустила патч, устраняющий связанное с JavaScript нарушение работы памяти, которым хакеры на тот момент уже пользовались в реальной жизни.



avatar
yragen
Admin

Сообщения : 233
Дата регистрации : 2009-07-30

http://utest.forum2x2.ru

Вернуться к началу Перейти вниз

Вернуться к началу


 
Права доступа к этому форуму:
Вы не можете отвечать на сообщения