Новая уязвимость в mozilla,FF,NS

TLev · №1

Кто еще не знает -смотреть здесь и далее по ссылкам на mo.

http://www.mozillazine.org/talkback.html?article=7307

Будет FF 1.07 b и т.д.?

gyn · №2

Решил у себя заткнуть эту уязвимость. Пошел на https://addons.mozilla.org/messages/307259.html , прочитал и решил выбрать первый метод, т.е. установить патч http://ftp.mozilla.org/pub/mozilla.org/firefox/releases/1.0.6/patches/307259.xpi . Установил, перезагрузил Firefox и в результате:
1. network.enableIDN дествительно изменилась на false;
2. патч в списке расширений не появился.
В связи с этим возникает два вопроса:
1. Что мне делать чтобы удалить это расширение?
2. Получается что через механизм расширений можно подхватить какую-то заразу которая даже не будет показана в списке расширений?

Отредактировано gyn (11-09-2005 10:06:36)

ragnaar · №3

1. Единственное что делает это расширение - изменяет значения параметров в pref.js (это можно сделать легко и через about:config) зачем его удалять? Изменил строки обратно вот и все.
2. А ты думал зачем тебя предупреждают при установке расширений?

gyn · №4

ragnaar пишет

1. Единственное что делает это расширение - изменяет значения параметров в pref.js (это можно сделать легко и через about:config) зачем его удалять? Изменил строки обратно вот и все.

Т.е. это расширение никак не будет влиять на последующие версии Firefox (эффект одноразовый)? Если так, то пусть остаётся.

juvio · №5

Там вообще меняется один то параметр - enableIDN.
Так что можно и ручками сделать.
Кстати, я так и не понял - что за ИДН?

Почесал · №6

Кстати, я так и не понял - что за ИДН?

http://en.wikipedia.org/wiki/Internationalized_domain_names

juvio · №7

Понял уже прочитав линк. Но ведь была уже подобная бага... А нет - там нельзя было использовать в имени домена смешанные буквы алфавита.

gyn · №8

juvio пишет

Там вообще меняется один то параметр - enableIDN.

Не только. Меняется ещё зачем-то и user agent.
:::: Mozilla/5.0 (X11; U; Linux i686; ru-RU; rv:1.7.10) Gecko/20050717 (No IDN) Firefox/1.0.6

juvio пишет

Так что можно и ручками сделать.

Хотелось как-то покошерней сделать

juvio · №9

gyn
Это чтобы удостовериться что патч встал. Там так и пишется - проверьте потом эбаут.

А может хотят посмотреть с какой скоростью их патчи потом расходятся

alex33 · №10

Выполнение кода через Firefox (code execution)
http://www.security.nnov.ru/Fnews240.html

TLev · №11

alex33 пишет

Выполнение кода через Firefox (code execution)
http://www.security.nnov.ru/Fnews240.html

Исправлено в FF 1.0.7 Release

Unghost · №12

Закрываю тему. Теперь тема об уязвимостях прибита наверху.

Полезная информация

№109-09-2005 22:42:09

Новая уязвимость в mozilla,FF,NS

№211-09-2005 10:04:13

Re: Новая уязвимость в mozilla,FF,NS

№311-09-2005 11:05:55

Re: Новая уязвимость в mozilla,FF,NS

№411-09-2005 11:35:46

Re: Новая уязвимость в mozilla,FF,NS

№511-09-2005 13:41:30

Re: Новая уязвимость в mozilla,FF,NS

№611-09-2005 13:45:23

Re: Новая уязвимость в mozilla,FF,NS

№711-09-2005 14:32:43

Re: Новая уязвимость в mozilla,FF,NS

№811-09-2005 15:08:25

Re: Новая уязвимость в mozilla,FF,NS

№911-09-2005 16:15:28

Re: Новая уязвимость в mozilla,FF,NS

№1021-09-2005 17:50:45

Re: Новая уязвимость в mozilla,FF,NS

№1121-09-2005 22:47:13

Re: Новая уязвимость в mozilla,FF,NS

№1222-09-2005 00:31:57

Re: Новая уязвимость в mozilla,FF,NS

Board footer