UTestForumMozilla устраняет критические баги в Firefox
:: Новости
Страница 1 из 1
Mozilla устраняет критические баги в Firefox
автор yragen Ср Авг 05, 2009 4:22 am
Mozilla устраняет критические баги в Firefox
В понедельник Mozilla выпустила обновление, закрывающее критические уязвимости в своем популярном открытом браузере Firefox, включая обнаруженный на прошлой неделе баг, позволяющий подделывать SSL-сертификаты, используемые для обеспечения безопасности веб-сайтов.
Наличие этой уязвимости означало, что Firefox можно было ввести в заблуждение поддельным сертификатом, что могло позволить злоумышленникам создавать убедительно выглядящие копии банковских сайтов, сайтов электронных почтовых служб и других важных сервисов. Во время доклада на конференции Black Hat исследователи Мокси Марлинспайк и Дэн Камински продемонстрировали, что для успешной эксплуатации уязвимости нужно было добавить лишь несколько нулевых строковых параметров в ряд строк сертификата.
В заявлении на сайте Mozilla содержится строгая рекомендация пользователям обновить браузер до последней версии.
Уязвимость в SSL позволила Марлинспайку создать универсальный групповой сертификат, с помощью которого Firefox аутентифицировал любое доменное имя в Интернете. Он добился этого, изменив сертификат для своего сайта thoughtcrime.org, вписав в поле commonName значение *\0.thoughtcrime.org, что заставило браузер считать сертификат универсально действительным. В понедельник данная уязвимость была закрыта в версиях Firefox 3.5.2 и 3.0.13. для платформ Windows, Mac и Linux.
Помимо Firefox, к аналогичному багу чувствительны и три других продукта Mozilla – это Thunderbird, SeaMonkey и NSS, каждый из которых должен быть вскоре пропатчен.
Кроме этого, выпущенный патч закрыл и другие критические дыры, включая вылеты из-за проблем в памяти, переполнение кучи из-за ошибки в синтаксисе и повышение привилегий Chrome из-за некорректного кэширования упаковщика. Уязвимости, отмеченные как критические, обычно позволяют хакеру удаленно выполнить вредоносный код при минимальном участии конечного пользователя.
Добавим лишь, что Mozilla закрывает критические уязвимости в Firefox уже второй раз за 18 дней. Две недели назад компания выпустила патч, устраняющий связанное с JavaScript нарушение работы памяти, которым хакеры на тот момент уже пользовались в реальной жизни.
Наличие этой уязвимости означало, что Firefox можно было ввести в заблуждение поддельным сертификатом, что могло позволить злоумышленникам создавать убедительно выглядящие копии банковских сайтов, сайтов электронных почтовых служб и других важных сервисов. Во время доклада на конференции Black Hat исследователи Мокси Марлинспайк и Дэн Камински продемонстрировали, что для успешной эксплуатации уязвимости нужно было добавить лишь несколько нулевых строковых параметров в ряд строк сертификата.
В заявлении на сайте Mozilla содержится строгая рекомендация пользователям обновить браузер до последней версии.
Уязвимость в SSL позволила Марлинспайку создать универсальный групповой сертификат, с помощью которого Firefox аутентифицировал любое доменное имя в Интернете. Он добился этого, изменив сертификат для своего сайта thoughtcrime.org, вписав в поле commonName значение *\0.thoughtcrime.org, что заставило браузер считать сертификат универсально действительным. В понедельник данная уязвимость была закрыта в версиях Firefox 3.5.2 и 3.0.13. для платформ Windows, Mac и Linux.
Помимо Firefox, к аналогичному багу чувствительны и три других продукта Mozilla – это Thunderbird, SeaMonkey и NSS, каждый из которых должен быть вскоре пропатчен.
Кроме этого, выпущенный патч закрыл и другие критические дыры, включая вылеты из-за проблем в памяти, переполнение кучи из-за ошибки в синтаксисе и повышение привилегий Chrome из-за некорректного кэширования упаковщика. Уязвимости, отмеченные как критические, обычно позволяют хакеру удаленно выполнить вредоносный код при минимальном участии конечного пользователя.
Добавим лишь, что Mozilla закрывает критические уязвимости в Firefox уже второй раз за 18 дней. Две недели назад компания выпустила патч, устраняющий связанное с JavaScript нарушение работы памяти, которым хакеры на тот момент уже пользовались в реальной жизни.
http://www.xakep.ru/
yragen- Admin
- Сообщения : 233
Дата регистрации : 2009-07-30 -
Похожие темы» Adobe пропатчила критические уязвимости в ColdFusion и JRun
» Вышла предварительная версия браузера Firefox 3.6
» Администраторы вредоносных сайтов предпочитают Firefox
» Вышла предварительная версия браузера Firefox 3.6
» Администраторы вредоносных сайтов предпочитают Firefox
:: Новости
Страница 1 из 1
Права доступа к этому форуму:
Вы не можете отвечать на сообщения|
|
|
