Компания Mozilla Project опубликовала информацию об исправлении безопасности в браузере Firefox. Согласно официальному уведомлению, в Firefox ветки 6.x было устранено 8 уязвимостей, 6 из которых имеют статус «критических».
К критическим уязвимостям, удаленным последним обновлением безопасности, относятся:
• Сбой в библиотеке регулярных выражений YARR
• Брешь в JSSubScriptLoader, используемая плагинами с вредоносным кодом
• Ошибка в WebGL, позволяющая злоумышленникам скомпрометировать целевую систему
• Ошибка, с помощью которой на браузер может загрузить расширение с троянским кодом, если пользователь нажмет клавишу «Enter».
• Несколько ошибок в памяти, связанных с переполнением буфера
В обновлении для ветки Firefox 3.6 была устранена ошибка целочисленного переполнения, а также ряд уязвимостей, относящихся также и к ветке 6.x.
Для устранения обнаруженных уязвимостей компания Mozilla рекомендует установить последние версии обозревателей.
Подробное описание уязвимостей:
Программа: Mozilla Firefox 6.x
Опасность: Высокая
Наличие эксплоита: Нет
Обнаруженные уязвимости позволяют удаленному пользователю обойти некоторые ограничения безопасности и скомпрометировать целевую систему.
1. Уязвимость существует из-за неизвестной ошибки, которая позволяет удаленному пользователю вызвать повреждение памяти. Подробности уязвимости не разглашаются.
2. Уязвимость существует из-за ошибки в реализации в объекте window.location javascript во время создания именных фреймов. Удаленный пользователь может обойти политику единства происхождения и произвести XSS нападение.
3. Уязвимость существует из-за некорректной проверки данных при загрузке расширений для обозревателя. Для установки вредоносного приложения удаленный пользователь должен убедить жертву нажать клавишу "Enter", например, в ходе игры.
4. Уязвимость существует в WebGL ANGLE библиотеке из-за неправильной проверки возвращаемых значений функции "GrowAtomTable()". Удаленный пользователь может путем отправки последовательности специально сформированных запросов вызвать переполнение буфера.
5. Уязвимость существует из-за неопределенной ошибки в WebGL. Удаленный пользователь может вызвать повреждение памяти.
6. Уязвимость существует из-за неопределенной ошибки в библиотеке регулярных выражений YARR. Удаленный пользователь может вызвать повреждение памяти.
7. Уязвимость существует из-за неправильного развертывания "XPCNativeWrappers" в JSSubScriptLoader. Удаленный пользователь может с помощью специально сформированного плагина выполнить произвольный код на целевой системе.
8. Уязвимость существует из-за ошибки использования после освобождения при обработке OGG заголовков.
9. Уязвимость существует из-за ошибки при работе с множеством вкладок. Удаленный пользовать может с помощью специально сформированной web-страницы определить, какие данные были отправлены в соседнюю вкладку.
URL производителя:
Внимание! У Вас нет прав для просмотра скрытого текста.
Решение: Обновите продукт до версии 7.0
++++++++++++++++++++++++++++++++++++
Разработчики Firefox хотят найти способ защитить пользователей от новых кибератак, с помощью которых злоумышленники расшифровывают SSL-трафик. Представители Firefox хотят выпустить обновление, которое заблокирует работу браузера с платформой Java.
Разработчики Firefox хотят обезопасить пользователей от атак, в результате которых расшифровывается SSL-трафик. Этот протокол используется web-сайтами для защиты от атак "человек посередине". Напомним, что на прошлой неделе двое исследователей представили эксплоит, который позволил за две минуты восстановить зашифрованный cookie-файл, содержащий учетные данные пользователей в системе PayPal. Эксплоит BEAST вводит иньекцию javascript в SSL-сессию, позволяющую ускорить расшифровку конфиденциальной информации, которая передается в потоке данных.
Разработчики Firefox предлагают заблокировать все версии Java-плагинов. Однако они признают, что перед тем, как осуществить блокировку, нужно провести детальное исследование. Они отмечают, что запрет на Java лишит пользователей возможности учавствовать в чате Facebook, а также использовать различные корпоративные приложения, основанные на Java.
Разработчики заявляют, что у них уже есть механизм для «мягкой блокировки» Java, который позволяет пользователям повторно включить плагины с помощью дополнительных расширений браузера, а также подтверждать включение во всплывающем диалоговом окне.
«Введение функции «нажмите, чтобы просмотреть» или так называемого белого списка, проверенных web-сайтов, будет уместным. Однако в белый список будет добавляться большое количество сайтов , к примеру, Facebook, который из-за своих механизмов (еще даже не существующих) будет подвергать пользователей опасности».
Намерения Firefox отказаться от Java могут создать проблемы для корпоративных пользователей, которые используют платформу для работы в браузерах через виртуальные частные сети. Также могут возникнуть проблемы с использованием инструментов интрасети и приложений для работы в режиме web-конференций, к примеру, WebEx от Cisco Systems.
Напомним, что разработчики браузера Google Chrome также выпустили обновления для более надежной защиты информации пользователей от эксплоита BEAST. В основе обновлений версий Google Chrome лежит идея разделения определенных сообщений на фрагменты, чтобы уменьшить воздействие мошенника на текст, который должен быть зашифрован. Такие нововведения в метод шифрования сбивает BEAST с пути дешифрования, добавляя новую информацию. Это обновление стало причиной несовместимости браузера с некоторыми web-сайтами.
Внимание! Данная статья была написана более полугода назад, актуальность материала и состояние жизни ссылок не гарантируется! Воспользуйтесь дополнительными параметрами для поиска необходимого вам контента! Приносим свои извинения...
Внимание! У статьи пока нет комментариев, оставьте первым свой комментарий?