Полезная информация
№106-04-2005 15:01:24
Уязвимость в Mozilla
Secunia сообщает, что согласно баг-репорту Mozilla (https://bugzilla.mozilla.org/show_bug.cgi?id=288688) , в Mozilla Firefox 0.x и 1.x, Netscape 6.x-7.x также в Mozilla 0.x - 1.7.x присутствует неприятный баг, позволяющий удаленно получить конфиденциальную информацию с машины пользователя. Уязвимость возникла из-за ошибки в JavaScript машине; java script функция replace выделяя память из кучи процесса, раскрывает содержимое ранее использованных и не очищенных блоков памяти. На этой тестовой странице можно проверить уязвим ли ваш броузер. Пока баг не исправлен, рекоменуется отключить JavaScript.
Источник: http://www.uinc.ru/news/show.php?id=3551
Потестить можно здесь: http://secunia.com/mozilla_products_arbitrary_memory_exposure_test/
Непослушные локоны горничной выбивались из-под её кружевного фартука...
Отсутствует
№306-04-2005 15:14:07
Re: Уязвимость в Mozilla
Да не даю я концертов! Просто только сегодня новость упала... и нигде до этого не видел. Вот и подумал, что или свежак или утка, но сходил на страницу, а код работет... И решил запостить, ведь в новостях-то никто не опубликовал! А где пофиксили-то? в 1.0.3 войдет? А с багзиллой к своему стыду пользоваться не умею! 
Отредактировано ViRUS (06-04-2005 15:16:29)
Непослушные локоны горничной выбивались из-под её кружевного фартука...
Отсутствует
№706-04-2005 19:50:26
Re: Уязвимость в Mozilla
А это не считается критическим багом, поэтому для него даже специального патча не было, просто фикс внесли в релиз 1.0.3.
Считается, у некоторых в соседних вкладках могут быть важные и денежные данные. Вообще все, что позволяет получить коденфициалную информацию, ИМХО, критически важно.
А трубим: "FireFox безопасней IE", а сами: "Баг, ваши пароли раздает? Не страшно, не важно."
К тому - же, после некритических багов мнгновенно новые релизы (еще не законченные, и в которых только этот баг исправлен) не появляются.
Этот мир, не совершенный, состоит из всех из нас. Он прямое отражение наших чувств и наших глаз.
Этот мир не станет лучше и не станет он добрее, если сами мы добрее не станем.
(@ Игорь Тальков, Этот мир).
Отсутствует
№806-04-2005 20:00:41
Re: Уязвимость в Mozilla
Степень критичности бага состоит не в самом его аспекте, а во многих еще факторах, таких как:
1) Распространенность браузера (и скорость написания эксплоитов)
2) Фактический шанс попадания действительно важных данных в выбранную область памяти (здесь она крайне мала, если не сказать ничтожна)
3) Баг не предусматривает внедрение и загрузку удаленных файлов с последующим запуском а также не влечет ПРЯМОЙ угрозы компьютеру пользователя.
4) Баг не вызывает отказа оборудования/зависания
Его можно обозвать как "умеренно критический" и внести в следующий апдейт, который состоится со дня на день.
Моментально во внеочередном порядке патч для него выпускать, имхо, нет смысла (тем более апдейт-механизм еще в очень кривом состоянии, и будет работать "as expected" (C) Asa Dotzler в версии 1.1
Отредактировано gass512 (06-04-2005 20:01:54)
Отсутствует
№906-04-2005 20:14:06
Re: Уязвимость в Mozilla
Степень критичности бага состоит не в самом его аспекте, а во многих еще факторах, таких как:
1) Распространенность браузера (и скорость написания эксплоитов)
Если это нигде не регламентировано, то позвольте оспорить. Распространенность браузера, имхо, не должна влиять на степень критичности. Даже если им пользуется только один человек, до для него не имеет значения стоит ли у других браузер при определении критичности.
2) Фактический шанс попадания действительно важных данных в выбранную область памяти (здесь она крайне мала, если не сказать ничтожна)
Она есть, этого достаточно. Причем если говорить в корпоративном плане, то шанс попадания действительно важных данных в выбранную область памяти намного выше, т.к. во многих организациях все чаще используют веб технологии. Да и дома тоже важно, вы же нехотите, что бы кто-нибудь узнал, скажем ваш пароль на mail.ru?
3) Баг не предусматривает внедрение и загрузку удаленных файлов с последующим запуском а также не влечет ПРЯМОЙ угрозы компьютеру пользователя.
Получение информации - это уже угроза.
4) Баг не вызывает отказа оборудования/зависания
Иногда это не так страшно.
Его можно обозвать как "умеренно критический" и внести в следующий апдейт, который состоится со дня на день.
Про степень критичности спорить не буду. Главно, по моему скромному мнению, что он критичен
Моментально во внеочередном порядке патч для него выпускать, имхо, нет смысла (тем более апдейт-механизм еще в очень кривом состоянии, и будет работать "as expected" (C) Asa Dotzler в версии 1.1
Главно, что Mozilla отреагировала. А пользователи IE пусть вздыхают :-).
Этот мир, не совершенный, состоит из всех из нас. Он прямое отражение наших чувств и наших глаз.
Этот мир не станет лучше и не станет он добрее, если сами мы добрее не станем.
(@ Игорь Тальков, Этот мир).
Отсутствует
№1006-04-2005 20:22:12
Re: Уязвимость в Mozilla
2) Фактический шанс попадания действительно важных данных в выбранную область памяти (здесь она крайне мала, если не сказать ничтожна)
Она есть, этого достаточно. Причем если говорить в корпоративном плане, то шанс попадания действительно важных данных в выбранную область памяти намного выше, т.к. во многих организациях все чаще используют веб технологии. Да и дома тоже важно, вы же нехотите, что бы кто-нибудь узнал, скажем ваш пароль на mail.ru?
Можно и PGP декриптовать прямым перебором, вероятность-то есть.
Мир, в котором человек больше не властен
Мир, принадлежащий машинам...
Отсутствует
№1106-04-2005 20:31:17
Re: Уязвимость в Mozilla
Можно и PGP декриптовать прямым перебором, вероятность-то есть.
Я всего лишь выразил мнение.
По поводу прямого перебора, то это зависит от того, сколько ты потратишь на взлом и сколько ты получишь в результате (от много убитых енотов и до семи лет общего режима).
Думаю стоимость государственной тайны нередко бывает настолько велика, что для ее взлома реально потратить несколько миллионов у.е. (на электричество, специалистов, мощные компьютеры, компьютерные часы).
ИМХО.
Этот мир, не совершенный, состоит из всех из нас. Он прямое отражение наших чувств и наших глаз.
Этот мир не станет лучше и не станет он добрее, если сами мы добрее не станем.
(@ Игорь Тальков, Этот мир).
Отсутствует
№1206-04-2005 20:54:35
Re: Уязвимость в Mozilla
Думаю стоимость государственной тайны нередко бывает настолько велика, что для ее взлома реально потратить несколько миллионов у.е. (на электричество, специалистов, мощные компьютеры, компьютерные часы).
ИМХО.
Согласен с этим, но тогда в любой программе найдут уязвимость.
Если ты вылез в сеть, ты знал, на что подписался.
Но на простого смертного юзера, вряд ли будут тратить такие ресурсы.
А вероятность извлечения данных с помощью этого бага очень мала, в силу многих причин.
Мир, в котором человек больше не властен
Мир, принадлежащий машинам...
Отсутствует
№1306-04-2005 21:06:11
Re: Уязвимость в Mozilla
Согласен с этим, но тогда в любой программе найдут уязвимость.
Если ты вылез в сеть, ты знал, на что подписался.
Но на простого смертного юзера, вряд ли будут тратить такие ресурсы.А вероятность извлечения данных с помощью этого бага очень мала, в силу многих причин.
Согласен, хотя и работаю в одной из структур администрации города. Впрочем чего кидаться помидорами из-за исправленного бага :-)
Удачи.
Отредактировано ladserg (06-04-2005 21:17:58)
Этот мир, не совершенный, состоит из всех из нас. Он прямое отражение наших чувств и наших глаз.
Этот мир не станет лучше и не станет он добрее, если сами мы добрее не станем.
(@ Игорь Тальков, Этот мир).
Отсутствует
№1611-05-2005 11:54:29
Re: Уязвимость в Mozilla
Вот и опять что-то нашли, http://www.nixp.ru/#5922... А на у нас это до сих пор не отражено! Вот! И не каких рекомендаций для рядовых пользователей... - не все ведь на найтли-сборках живут... 
((
Непослушные локоны горничной выбивались из-под её кружевного фартука...
Отсутствует
№1811-05-2005 16:53:36
Re: Уязвимость в Mozilla
Да... Ну Вы ребята веселые, с таким оживлением тут все обсуждали .
Помнить надо одно, что судить продукт надо не по багам, а по функциональности ...
Ну, а баги они везде есть и будут.
В поле лежал Буратино, а над ним кружили черные дятлы.
Отсутствует
Board footer
Powered by PunBB
Modified by Mozilla Russia
Copyright © 2004–2020 Mozilla Russia 
Язык отображения форума: [Русский] [English]