Štyri nové chyby vo Firefoxe 2 a IE 6/7

DSL.sk, 5.6.2007

Štyri nové bezpečnostné chyby v prehliadačoch Firefox 2.0 a Internet Explorer 6 a 7 zverejnil v pondelok rešpektovaný odborník na počítačovú bezpečnosť Mark Zalewski.

Najzávažnejšou je chyba v plne aktualizovaných verziách prehliadačov Internet Explorer 7 aj 6, ktorá umožňuje útočníkovi pri navigovaní na novú stránku pomocou javascriptu spustiť škodlivý javascript s právami starej stránky ale v kontexte a s obsahom novej stránky. To umožňuje rozličné druhy útokov, Zalewski označil závažnosť chyby za kritickú.

Druhou najzávažnejšou chybou je cross-site Iframe hijacking chyba vo Firefoxe 2.0, ktorá umožňuje útočníkovi umiestniť škodlivý javascript kód do Iframe objektov a inštalovať tak keylogger prípadne ďalšie typy útokov.

Stredne závažná chyba vo Firefoxe umožňuje obísť ochranný mechanizmus v podobe oneskorenia aktivovania tlačidiel vyvolávajúcich akciu pri niektorých dialógoch a napríklad stiahnuť alebo spustiť súbor bez súhlasu užívateľa. Obísť oneskorenie je možné pomocou zobratiu a opätovnému prideleniu focusu niektorým takýmto dialógom.

Poslednou zverejnenou chybou je stredne závažná chyba v Internet Exploreri 6, ktorá umožňuje útočníkovi podvrhnúť vlastnú lištu s políčkom s URL a tak napríklad predstierať zabezpečenú stránku.

Zalewski informoval o nájdených chybách vo Full Disclosure mailing liste.




Najnovšie články:



Diskusia:

ggg Od: ggg | Pridané: 5.6.2007 8:52 opera rulez! Odpovedať Hodnotiť:

aaa Od: aaa | Pridané: 5.6.2007 9:01 Opera Software 9.21 Odpovedať Hodnotiť:

mlm Od: mlm | Pridané: 5.6.2007 9:05 debil rulezz... a zase mozeme cakat burlivu debatu :)) Odpovedať Hodnotiť:

... Od: ... | Pridané: 5.6.2007 14:04 Neboj OPERA nebude nikdy tak popularna aby mala vlastny clanok na dsl.sk otom ako sa vyvija :)) Mozno sem tam len otom ze vysla nova verzia aby sa chlapci ktory pouzivaju OPERU mali kde vyblaznit a prediskutovat komu sa zobrazuje v tom prehliadaci google.com korektne :) Odpovedať Hodnotiť:

Phoenix155 Od: Phoenix155 | Pridané: 5.6.2007 16:24 hehehe pekny inteligentny odjeb ;) Odpovedať Hodnotiť:

RemuS Od: RemuS | Pridané: 5.6.2007 19:13 skor pekne odjebany inteligent Odpovedať Hodnotiť:

Majo Od: Majo | Pridané: 5.6.2007 9:15 OMG uplna demencia s tymi poznamkami o Opere... Odpovedať Hodnotiť:

Xapoh Od: Xapoh | Pridané: 5.6.2007 10:30 Nic proti Opere, ale mysilm si ze sa nema velmi cim chvalit... ale teraz k Firefoxu vs. IE.. co myslite kedy to bude opravene?? :) Odpovedať Hodnotiť:

TheTOM.SK Od: TheTOM.SK | Pridané: 5.6.2007 10:36 Firefox asi zajtra, IE v utorok bud buduci tyzden, mesiac alebo rok. :) Rozdiel je ale v tom, ze vo FF to bude len zaplatane, v IE to bude opravene. Odpovedať Hodnotiť:

Peto_MiG Od: Peto_MiG | Pridané: 5.6.2007 12:34 To si myslel asi naopak. Nikto nebude OPRAVOVAT chyby v IE, pretoze v takej spleti chyb, na ktorych zavisi fungovanie dalsich casti systemu, sa nic opravit neda. Keby to klbko zacali rozmotavat, tak mozu rovno zacat programovat Windows od piki. Odpovedať Hodnotiť:

quix Od: quix | Pridané: 5.6.2007 17:23 o také niečo sa už pokúsili :D ale myslím, že to dopadne podobne ako XP, už teraz to má rovnaký smer ;) Odpovedať Hodnotiť:

TheTOM.SK Od: TheTOM.SK | Pridané: 5.6.2007 10:32 Je smutne, ze FF uz ma tolko bezpecnostnych chyb. :P http://www.securitytracker.com/ archives/target/49.html http://www.securitytracker.com/ archives/advisory/7182.html Odpovedať Hodnotiť:

ugo Od: ugo | Pridané: 5.6.2007 12:15 ale stale lepsie ako IE Odpovedať Hodnotiť:

M FF Od: M FF | Pridané: 5.6.2007 13:09 Inak v nedelu uvolnila mozilla FF 2.0.0.4. Budto je to reakcia na chyby, alebo len maju smolu a hned zacinaju pracovat na novych chybach. Pravdepodobnejsie je, ak bola chyba ohlasena v cca piatok, tak ju mozilla uz odstranila a nieje sa coho bat, len dad update. To je rychlost, ryhlejsie ako nas Tcom :). PS o MS nehovorim, mamlen jedny nervy. Odpovedať Hodnotiť:

Bozz Od: Bozz | Pridané: 5.6.2007 16:00 FF rulezz....opera nezobrazuje korektne sajty, hnusny scrolling ako v IE, interface onicom atd. atd., ale len moj osobny nazor. Vzdy radsej FF s chybami ako operu sice pekne zabezpecenu ale co z toho.......aj daky Kiwi browser je zabezpeceny urcite;D Odpovedať Hodnotiť:

RemuS Od: RemuS | Pridané: 5.6.2007 18:06 Tak to si teda trafil! A je to naozaj zaujimave pretoze prisaham ze scrolling je jedna z veci z ktorej mi je na grc v FF, pricom ten v Opere si nemozem vynachvalit. Toto je fakt velmi zaujimave. Odpovedať Hodnotiť:

localhost Od: localhost | Pridané: 5.6.2007 17:24 ta prva a druha najsamzavaznejsia chyba plati aj v pripade pouzitia prehliadacov na systeme Linux ? Odpovedať Hodnotiť:

ano Od: ano | Pridané: 6.6.2007 9:20 samozrejme Odpovedať Hodnotiť:

localhost Od: localhost | Pridané: 6.6.2007 11:54 mal som na mysli ze ci v pripade FF na linuxoch plati to s tou instalaciou napr. keyloggeru....!? Rozumiem tomu spravne, ze sa bez mojho vedomia lokalne na mojom PC (linux alebo windows) spusti (najprv sa stiahne) spustitelny subor (program) ? Odpovedať Hodnotiť:

RemuS Od: RemuS | Pridané: 5.6.2007 18:04 IE << FF << Opera "<<" je znak oveľa menšie/vačšie Odpovedať Hodnotiť:

rch Od: rch | Pridané: 6.6.2007 11:09 Podľa mňa to je naopak, keďže IE7(14,8MB) >> FF(5,7MB+Ext) >> Opera(4,5MB) Odpovedať Hodnotiť:

jjjj Od: jjjj | Pridané: 5.6.2007 18:48 takze ovela vacsie hej??ok..moze byt :) Odpovedať Hodnotiť:

RemuS Od: RemuS | Pridané: 5.6.2007 19:14 j podla toho z ktorej stranky, ale dufal som ze to nebudem musiet vysvetlovat... :D Odpovedať Hodnotiť:

Pridať komentár