Šta je novo?
Od:
Filteri

Mozilla upozorava: Opasna rupa u Firefoxu

dusans

dusans

Slavan
Učlanjen(a)
29.11.2004
Poruke
260
Poena
319
http://www.mozilla.org/security/announce/mfsa2005-42.html

Mozilla Foundation Security Advisory 2005-42
Title: Code execution via javascript: IconURL
Severity: Critical
Reporter: Paul (Greyhats)
Products: Firefox, Mozilla Suite
Description
Two vulnerabilities were found in Mozilla Firefox that combined allow an attacker to run arbitrary code. The Mozilla Suite is only partially vulnerable.

By causing a frame to navigate back to a previous javascript: url an attacker can inject script into any site. This could be used to steal cookies or sensitive data from that site, or to perform actions on behalf of that user. (Affects Firefox and the Suite).

A separate vulnerability in the Firefox install confirmation dialog allows an attacker to execute arbitrary code by using a javascript: URL as the package icon. By default only the Mozilla Foundation update site is allowed to bring up this dialog, but the script injection vulnerability described above enables this to be exploited from any malicious site.

The Mozilla Foundation has modified the update servers to prevent their use in this attack, but this is only partial protection.
Workaround
Disable Javascript. Software updates can be disabled, but that protects only against the second issue and not the first.
References
https://bugzilla.mozilla.org/show_bug.cgi?id=293302
(originally https://bugzilla.mozilla.org/show_bug.cgi?id=292691)
 
Bice, al ce da se ispravlja odma', a ne ko kod IE-a tek kada se milion ljudi pozali na supljikavost...
 
ZoNi je napisao(la):
ko da je bitno da li se ispravlja odmah! Greska u IE se automatski ispravlja (hint: win update), a za gresku u FFu treba objasniti neupucenom korisniku da mora na svakih 10 dana da skida novu verziju programa! Nije to dobro!
Kliknite za proširenje...
pa o tome i pricam ;)
 
Sreca pa je nova verzija velika koliko i zakrpa za ie, tako da cu nju da skinem ;)
 
Auu bruka za FF, a taman sam se razmisljao... :d
 
Ja nikad nisam instalirao nijedan patch za Firefox i nisam imao ikakvih problema....Ne vidim razloga za uzbunu i kad vidim owo tipa Mozilla upozorava... ne obracam paznju zato shto nikad nisam imao nikakvih problema(softverskih ili s hakerima :D)
 
:trust: Hmm pa ne znam do sada nisam imao problema ali kao sto covek rece nova verzija je velika koliko i zakrpa za IE...te za tili cas se skine i instalira i opet je sve kako valja.... :d BE COOL:::
 
Na istoku stare price, na zapadu nista novo.
Taman sam hteo mozda da predjem sa Opere na njega neko vreme, a onda sam skinuo 8.0, pojavilo se ovo, i ja se probudio :D
 
Hm, ne kapiram price o nemanju nikakvih problema sa FF, pa ni ja nikad nikakve probleme sa IE nisam imao, a smem da se kladim da ni 90% usera ovog foruma takodje nikad nije imalo nikakvih problema sa IE-om. Znaci to je takav argument... :d
 
Novi bezbednosni propusti u Firefoxu
----------------------------------------------------------------------
Organizacija Mozilla objavila je da su registrovana dva bezbednosna propusta
u njenom čitaču Weba Firefox, koji omogućavaju hakerima da preuzmu napadnuti
računar.

Iako se softverska zakrpa koja će otkloniti propuste tek očekuje,
predstavnici Mozille su preporučili korisnicima da zaštite svoje računare
tako što će isključiti mogućnost izvršavanja aplikacija u Javascriptu.
Istovremeno. Mozillini stručnjaci su promenili sistem preuzimanja datoteka
na Web adresama update.mozilla.org i addons.mozilla.org, tako da verovatno
neće doći da do veće zloupotrebe propusta.

Pomenute propuste registrovalo je više kompanija čija delatnost se odnosi na
bezbednost računara, a danska kompanija Secunia dodelila im je oznaku
"ekstremno kritično". Ta oznaka je najviša u sistemu ocenjvanja kompanije, a
Firefox ju je dobio po prvi put.

Firefox je u prethodnim mesecima osvojio (na račun Internet Explorera)
značajan udeo na tržištu čitača Weba, prvenstveno zbog toga što su korisnici
smatrali da je bezbedniji nego Microsoftov čitač. Nakon otkrića najnovijih
propusta izgleda da su bili u pravu oni analitičari koji su tvrdili da je
takva ocena nerealna i samo delimično tačna. Po njihovim rečima, broj
korisnika Firefoxa je mali; sa povećanjem broja korisnika čitača porašće i
broj bezbednosnih propusta.

Otkriveni propusti odnose se na način preuzimanja instalacionih verzija
softvera; u Firefoxu su podrazumevano navedene Web adrese update.mozilla.org
i addons.mozilla.org, ali korisnik može u listu uvrstiti i adrese po svom
izboru. Ta mogućnost se može zloupotrebiti, a korisnici Firefoxa navesti da
pomisle da preuzimaju softver sa bezbedne Web adrese.

Nakon izmena načina preuzimanja softvera sa Mozillinih Web adresa,
predstavnici organizacije tvrde da su korisnici koji u svojim listama imaju
samo te dve adrese bezbedni. Softverska zakrpa se očekuje uskoro.

P.S. Za one koji ne znaju engleski jezik. ;)
 
leksa je napisao(la):
Hm, ne kapiram price o nemanju nikakvih problema sa FF, pa ni ja nikad nikakve probleme sa IE nisam imao, a smem da se kladim da ni 90% usera ovog foruma takodje nikad nije imalo nikakvih problema sa IE-om. Znaci to je takav argument... :d
Kliknite za proširenje...
Ja sam s IE preshao na Firefox iskljucivo zbog brzine....
 
Ronnie Coleman je napisao(la):
Novi bezbednosni propusti u Firefoxu
----------------------------------------------------------------------
Organizacija Mozilla objavila je da su registrovana dva bezbednosna propusta
u njenom čitaču Weba Firefox, koji omogućavaju hakerima da preuzmu napadnuti
računar.

Iako se softverska zakrpa koja će otkloniti propuste tek očekuje,
predstavnici Mozille su preporučili korisnicima da zaštite svoje računare
tako što će isključiti mogućnost izvršavanja aplikacija u Javascriptu.
Istovremeno. Mozillini stručnjaci su promenili sistem preuzimanja datoteka
na Web adresama update.mozilla.org i addons.mozilla.org, tako da verovatno
neće doći da do veće zloupotrebe propusta.

Pomenute propuste registrovalo je više kompanija čija delatnost se odnosi na
bezbednost računara, a danska kompanija Secunia dodelila im je oznaku
"ekstremno kritično". Ta oznaka je najviša u sistemu ocenjvanja kompanije, a
Firefox ju je dobio po prvi put.

Firefox je u prethodnim mesecima osvojio (na račun Internet Explorera)
značajan udeo na tržištu čitača Weba, prvenstveno zbog toga što su korisnici
smatrali da je bezbedniji nego Microsoftov čitač. Nakon otkrića najnovijih
propusta izgleda da su bili u pravu oni analitičari koji su tvrdili da je
takva ocena nerealna i samo delimično tačna. Po njihovim rečima, broj
korisnika Firefoxa je mali; sa povećanjem broja korisnika čitača porašće i
broj bezbednosnih propusta.

Otkriveni propusti odnose se na način preuzimanja instalacionih verzija
softvera; u Firefoxu su podrazumevano navedene Web adrese update.mozilla.org
i addons.mozilla.org, ali korisnik može u listu uvrstiti i adrese po svom
izboru. Ta mogućnost se može zloupotrebiti, a korisnici Firefoxa navesti da
pomisle da preuzimaju softver sa bezbedne Web adrese.

Nakon izmena načina preuzimanja softvera sa Mozillinih Web adresa,
predstavnici organizacije tvrde da su korisnici koji u svojim listama imaju
samo te dve adrese bezbedni. Softverska zakrpa se očekuje uskoro.

P.S. Za one koji ne znaju engleski jezik. ;)
Kliknite za proširenje...

Pa to ce svako normalan da iskljuci, doduse posle da bi se updateovao treba ukljuciti tu opciju... ma dobar je, sigurno bolji od IE, bar meni :D
 
Ja sa FF-om nikada nisam imao problema dok sa IE-om koliko ti dusa voli.Radim u internet klubu, koje kakve glooposti skidaju i instaliraju tako da IE brljavi koliko hoces.Od kako sam ubacio FF nema vise popup-ova i slicnioh glooposti.Posle 4 meseca koriscenja FF-a i Opere samo na jednom racunaru se pojavio neki sugavi popup.Kod FF-a nema Praznjenja stalno Temporary Inter.... foldera itd.... Ali sto je najvaznije ne menja mi se start page.
Znam da ce neki ljudi da kritikuju ovaj post ali sve sto sam napisao je tacno.
 
leksa je napisao(la):
Hm, ne kapiram price o nemanju nikakvih problema sa FF, pa ni ja nikad nikakve probleme sa IE nisam imao, a smem da se kladim da ni 90% usera ovog foruma takodje nikad nije imalo nikakvih problema sa IE-om. Znaci to je takav argument... :d
Kliknite za proširenje...

Bolje nemoj da se kladis.
 
sto je velika greska, neko moze da ti mazne kukije... wauuuuuu, sta ste se primili ko da je ko zna sta
 
Troublemaker je napisao(la):
sto je velika greska, neko moze da ti mazne kukije... wauuuuuu, sta ste se primili ko da je ko zna sta
Kliknite za proširenje...

mozda moze, recimo, da ti mazne kuki benchmark foruma i ovde pocne da te bruka... :)
uglavnom, kao sto je javio kole89, izasao je update na 1.04

Fixed in Firefox 1.0.4
MFSA 2005-44 Privilege escalation via non-DOM property overrides
MFSA 2005-43 "Wrapped" javascript: urls bypass security checks
MFSA 2005-42 Code execution via javascript: IconURL
o ispravkama na:
http://www.mozilla.org/projects/security/known-vulnerabilities.html
 
Poslednja izmena:
Morate se prijaviti ili registrovati da odgovorite ovde.
Vrh Dno