>Форум Mozilla Россия http://forum.mozilla-russia.org/index.php >Firefox http://forum.mozilla-russia.org/viewforum.php?id=4 >Несколько дыр Mozilla http://forum.mozilla-russia.org/viewtopic.php?id=8172 |
FIDO > 07-02-2006 14:28:26 |
07.02.2006 http://www.osp.ru/news/safe/2006/02/07_03.htm Обнаружено несколько ошибок в браузерах Mozilla и Firefox, допускающих удаленное исполнение кода. В частности, есть две ошибки в JavaScript, которые позволяют исполнить внешние сценарии на компьютерах жертв. Еще одна дыра располагается в методе QueryInterface в объектах Location и Navigator. Эта ошибка также допускает исполнение стороннего исполнимого кода. У злоумышленника также была возможность внедрить свой код в файл localstore.rdf, который будет исполнен при следующем запуске браузера. Кроме того, обнаружено несколько целочисленных переполнений буфера в модулях E4X, SVG и Canvas, которые также позволяют исполнить вредоносный код. А в модуле E4X плохо реализована защита объекта AnyName, что позволяет сайтам, отображаемым в разных окнах браузера, взаимодействовать друг с другом. Эту особенность браузера нападающий может использовать для получения важных сведений. Перечисленные ошибки были исправлены - нужно выполнить обновление браузера до текущего актуального состояния. Аналогичные ошибки есть и в пакете программ Mozilla Suite, но на текущий момент они не исправлены. |
Lustermaf > 07-02-2006 20:51:30 |
Уже исправлено в Firefox 1.5.0.1. |