Полезная информация

Многие проблемы быстрее решаются поиском по форуму и чтением FAQ, чем созданием новой темы и томительным ожиданием ответа.
  • Форумы
  •  » Firefox
  •  » Удаленное выполнение произвольного кода на целевой системе

№127-07-2007 14:03:42

Квизац_Хадерач
Джедай
 
Группа: Members
Откуда: Россия|провинция
Зарегистрирован: 28-01-2007
Сообщений: 1228
UA: Firefox 2.0
Веб-сайт

Удаленное выполнение произвольного кода на целевой системе

Удаленный пользователь может выполнить произвольный код на целевой системе.

Уязвимость существует из-за ошибки при обработке входных данных в дефолтных системных URI с зарегистрированными URI обработчиками (например, "mailto", "news", "nntp", "snews", "telnet"). Удаленный пользователь может с помощью специально сформированного URL, содержащего специально сформированный "mailto" URI (или любой из выше перечисленных), который содержит символ "%" и заканчивается определенным расширением (например, ".bat", ".cmd") выполнить произвольные команды на целевой системе. Пример:

mailto:test%../../../../windows/system32/calc.exe".cmd
nntp:../../../../../Windows/system32/telnet.exe" "secunia.com 80%.bat

источник http://www.securitylab.ru/vulnerability/300175.php


Каждый ответственен за то добро, которое не совершил.

Отсутствует

 

№227-07-2007 14:21:47

mike
Участник
 
Группа: Members
Откуда: Волгоград
Зарегистрирован: 08-08-2006
Сообщений: 45
UA: Seamonkey 1.1

Re: Удаленное выполнение произвольного кода на целевой системе

а симанке по барабану :cool:

Отсутствует

 

№327-07-2007 14:32:11

memini
Gone
 
Группа: Members
Откуда: no tresspassing
Зарегистрирован: 19-03-2005
Сообщений: 2055
UA: Firefox 2.0
Веб-сайт

Re: Удаленное выполнение произвольного кода на целевой системе

на лисе кстати 2005 не работает, утром проверял уже. В коментах там тоже отписались, что не работает.


I'm on my way home | I left three days ago | But no one seems to know I'm gone
Home is where the hatred is | Home is filled with pain and it
Might not be such a bad idea if I never | Never went home again.

Отсутствует

 

№427-07-2007 15:15:41

Квизац_Хадерач
Джедай
 
Группа: Members
Откуда: Россия|провинция
Зарегистрирован: 28-01-2007
Сообщений: 1228
UA: Firefox 2.0
Веб-сайт

Re: Удаленное выполнение произвольного кода на целевой системе

memini
Может и не работает на некоторых системах, но сам факт того, что у некоторых все же этот баг срабатывал должен повлиять на время выпуска 2.0.0.6.


Каждый ответственен за то добро, которое не совершил.

Отсутствует

 

№527-07-2007 15:44:35

ego
Участник
 
Группа: Members
Откуда: Москва
Зарегистрирован: 23-06-2006
Сообщений: 1538
UA: Minefield 3.0

Re: Удаленное выполнение произвольного кода на целевой системе

Исправлено в 2.0.0.6:
http://forums.mozillazine.org/viewtopic.php?t=569539
https://bugzilla.mozilla.org/show_bug.cgi?id=389580

Отсутствует

 

№629-07-2007 20:14:37

Vednier
Участник
 
Группа: Members
Откуда: В ауте
Зарегистрирован: 23-11-2006
Сообщений: 1430
UA: Minefield 3.0

Re: Удаленное выполнение произвольного кода на целевой системе

А вот еще дырка...воровство логинов и пароллей в Фоксе 2.0.0.5...и в Майнфилде, гмм, тоже
http://www.heise-security.co.uk/services/browsercheck/demos/moz/pass1.shtml
Неприятнее всего, что 3.0 тоже уязвим.


Свобода только тут - mozilla@conference.jabber.ru

Отсутствует

 

№729-07-2007 21:13:58

ego
Участник
 
Группа: Members
Откуда: Москва
Зарегистрирован: 23-06-2006
Сообщений: 1538
UA: Firefox 2.0

Re: Удаленное выполнение произвольного кода на целевой системе

Vednier
Для этого надо внедрить код на стороне сервера

There has been some discussion, if this really is a vulnerability in Firefox. Because if an attacker can place script code on a server, he has other means to steal passwords.

Отсутствует

 

№830-07-2007 03:37:07

Vednier
Участник
 
Группа: Members
Откуда: В ауте
Зарегистрирован: 23-11-2006
Сообщений: 1430
UA: Minefield 3.0

Re: Удаленное выполнение произвольного кода на целевой системе

Ну, это все так, я согласен...но, к сожалению, есть такие вещи как XSS-атаки...
Так что было бы вдвойне приятно знать, что даже в случае такой атаки ты в безопастности.


Свобода только тут - mozilla@conference.jabber.ru

Отсутствует

 

№930-07-2007 15:00:46

Lain_13
Забанен
 
Группа: Members
Откуда: Волшебная Страна
Зарегистрирован: 26-04-2006
Сообщений: 10320
UA: Mozilla 1.9

Re: Удаленное выполнение произвольного кода на целевой системе

Говорят, что против XSS расширение NoScript помогает. :)

Отсутствует

 
  • Форумы
  •  » Firefox
  •  » Удаленное выполнение произвольного кода на целевой системе

Board footer

Powered by PunBB
Modified by Mozilla Russia
Copyright © 2004–2020 Mozilla Russia GitHub mark
Язык отображения форума: [Русский] [English]