Самое горячее: Европа признала соцсети опасными (50); "Фобос-Грунт" уже не спасти (11); Мобильники убивают детей (26); ЕЩЕ >>
РАЗДЕЛЫ
Архив
« июнь 2020  
пн вт ср чт пт сб вс
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30          

В Firefox исправят ошибку восьмимесячной давности

Безопасность | Новости | 20.11.2007 17:51

Готовящееся обновление браузера Firefox до версии 2.0.0.10 позволит избавиться сразу от двух ошибок в обработке протокола jar. Как сообщает The Register, на одну из ошибок обратили внимание только тогда, когда блоггеры привели примеры такого ее использования, при котором можно украсть чужие данные – к примеру, контакты Gmail.

Уязвимость возникает из-за того, что при обработке данных по протоколу jar (Java Archive) не выполняется проверка на MIME-тип данных. Соответственно, браузеру можно подсунуть ZIP-архив с любыми исполняемыми файлами внутри. Причем, Firefox будет считать их полученными из надежного источника.

Ошибка в обработке jar присутствует в Firefox для операционных систем Windows, Linux, и Mac OS X. С ней связана другая уязвимость, которой долгое время не придавали значения. Еще в феврале один из разработчиков Firefox Джесс Рудерман (Jesse Ruderman) заметил, что из-за некорректной работы jar и обработки URI можно загрузить на сайт вместо аватара или чего-то подобного исполняемый скрипт и получить ссылку на него, которая сработает в Firefox.

Ошибку так и не удалось тогда исправить и в ноябре хакер Петко Петков (в последнее время все чаще находящий разные уязвимости) опубликовал еще одно исследование проблемы. "Целью атак могут стать почтовые клиенты, системы совместной обработки документов и совместной работы в целом, а также почти все, что связано с Web 2.0", - писал Петков.

Почти сразу после этого хакер, известный как Beford, опубликовал в своем блоге пример того, как с помощью второй уязвимости украсть все те же контакты Gmail. Впрочем, он сам отмечает, что установка плагина NoScript способна обезопасить браузер пользователя. Этот же плагин советуют установить и разработчики Firefox, до тех пор, пока не выйдет версия 2.0.0.10.

Другие новости

Последние комментарии
об издании | тур по сайту | подписки и RSS | вопросы и ответы | размещение рекламы | наши контакты | алфавитный указатель

Copyright © 2001-2020 «Вебпланета». При перепечатке ссылка на «Вебпланету» обязательна.

хостинг от .masterhost