главная    •     Новости      •     софт      •     RSS-ленты     •     реклама      •     PDA-Версия      •    Контакты
Windows XP    •      Windows 7     •    Windows 8    •    Windows 9-10-11     •    Windows Server     •    Железо
Советы      •     Администрирование      •     Сеть      •     Безопасность      •     Статьи      •     Материалы
Реклама на сайте
Книга жалоб и предложений
Правила на сайте
О Winblog.ru и о копирайте
Написать в редакцию
Конфиденциальность
                       
Mozilla выпустила Firefox 2.0.0.5 с заплатками для ряда уязвимых мест, включающих "в высшей степени критический" баг в системе безопасности, который замучил и Firefox, и Internet Explorer от Microsoft.

Исследователь в области безопасности Тор Лархольм (Thor Larholm) назвал этот случай брешью при вводе проверочных данных. В блоговом сообщении он пояснил, что когда Firefox устанавливается на систему, он регистрирует обработчик протокола URL. Когда IE сталкивается с указанием об использовании внутри FirefoxURL схемы URL, он вызывает ShellExecute через путь EXE и пропускает весь запрос URL без какого-либо ввода проверочных данных.

Это значит, что если кто-нибудь посредством IE посещает Web-страницу, которая пытается вызвать Firefox URL, браузер Microsoft’а запустит Firefox без каких-либо вопросов, проведя его к URL. Никакой браузер, согласно сведениям Mozilla, не изымает URL, который может позволить злоумышленнику создать условия для выполнения Firefox’ом вредоносного кода JavaScript. Пользователь может посетить созданную злоумышленниками вредоносную веб-страницу или открыть электронное письмо с вредоносным содержанием. Требуется пользовательское взаимодействие.

Несмотря на онлайн-обсуждения, крутящиеся вокруг того, находится ли эта дыра в IE от Microsoft’а или в браузере Mozilla, Виндоу Снайдер (Window Snyder), "шеф безопасности чего-то-там" Mozill’ы заявил в сообщении на блоге, что Mozilla займется этим вопросом. Выпущенный во сторник информационный бюллетень Mozill’ы подчеркнул, что патч не устранит уязвимости в Internet Explorer.

"Уязвимое место может раскрыться тогда, когда пользователь выходит на вредоносную веб-страничку в Internet Explorer и нажимает на специально сделанную ссылку", – отмечается в сообщении 2007-23. "Эта ссылка заставляет Internet Explorer активизировать другую программу Windows через командную строку, а затем передает этой программе URL с вредоносной веб-страницы без потери ссылок. Firefox и Thunderbird находятся средии тех программ, которые могут быть запущены, и обе они поддерживают опцию '-chrome', которая может быть использована для запуска вредоносного программного обеспечения.

Примечание: другие приложения Windows также могут быть указаны в подобном контексте и также могут быть подвержены манипуляциям, связанным с выполнением вредоносного кода. Данная заплатка всего лишь сдерживает Firefox и Thunderbird от принятия данных, оказывающих отрицательное воздействие.

Согласно сообщения, Firefox 2.0.0.5 также латает бреши, которые разрушают браузер, и признаком такого разрушения является повреждение памяти, и это наряду с другой брешью, которая активирует несанкционированный доступ к документам wyciwyg://. Также ликвидированным оказался баг, вызывающий распространение привилегий и другие негативные явления, которые вызывают путаницу с типами файлов.

Текст: Дмитрий Романенко
Источник: winline.ru


Оцените статью: Голосов

Материалы по теме:
  • Mozilla срочно выпускает второй патч для FireFox в этом месяце.
  • Еще 5 лет и Firefox вытеснит Internet Explorer
  • Загружаем Mozilla Firefox 3.0.5
  • Mozilla представит обновленные версии Firefox в марте
  • Встречаем Firefox 3.5 beta 4 и Firefox 3.0.10



  • Для отправки комментария, обязательно ответьте на вопрос

    Вопрос:
    Сколько будет один минус один?
    Ответ:*




    ВЕРСИЯ ДЛЯ PDA      СДЕЛАТЬ СТАРТОВОЙ    НАПИШИТЕ НАМ    МАТЕРИАЛЫ    ОТ ПАРТНЁРОВ

    Copyright © 2006-2022 Winblog.ru All rights reserved.
    Права на статьи принадлежат их авторам. Копирование и использование материалов разрешается только в случае указания явной гиперссылки на веб-сайт winblog.ru, как на источник получения информации.
    Сайт для посетителей возрастом 18+