Спустя пять часов после появления Firefox 3 в интернете команда "Zero Day Initiative", основанная компанией Tipping Point, специализирующейся на компьютерной безопасности, обнаружила первую брешь в браузере, позволяющую удаленно выполнить произвольный код. Компания Tipping Point особо подчеркивает, что успешное нападение предполагает непосредственное участие пользователя, например переход по ссылке в e-mail.
Компания Mozilla уже занимается разработкой патча, и до тех пор, пока он не будет готов, Tipping Point будет держать все подробности в секрете, чтобы не дать возможности злоумышленникам воспользоваться уязвимостью броузера.
Webplaneta.de
darkmist, 20.06.2008 - 23:50
а система какая уязвима????? я как раз на 3 лису перешел(( правда линух, може пронесёт???
de1ay, 21.06.2008 - 8:39
Цитата | Quote(darkmist @ 20.06.2008 - 23:53)
а система какая уязвима?????
Я так понял, что не имеет значения.
zeroQ, 21.06.2008 - 14:01
win32 скорее ))... при переходе по ссылке на почту,тоесть [email protected] ))) в nix сложно реализуемо имхо ))
Imho, 24.06.2008 - 9:00
Вообще состояние двоякое. Лиса включила "замут" с яндексом, вледствии чего яндекс начал большую пиар компанию. До версии 3.0 не скажу, что лиса была очень популярным клиентом. Далеко не популярный, а теперь все как оголтелые кинулись качать. В итоге что? Правильно. Повышеный интерес кодеров и багоискателей к продукту. Зависимость прямая и старая. Чем более популярен продукт - тем больше находят в нем уйзвимостей. Взять тот же KDE-шный konqueror. Обычный браузер-эксполоурер, достаточно неудобный. Однако по очень многим тестам разных годов он держится стабильно. Уязвимостей в нем находят меньше, чем в той же опере или IE. Точнее не находят, а просто мало ищут, ввиду его непопулярности. Такая вот палка о двух концах.
zeroQ, 24.06.2008 - 14:44
согласен с ИМХО... пока браузер не популярный в нем и ошибок нету ))) как тока набирается популярность сразу баги недочеты ошибки... в ИЕ сложная ситуация он вшит в систему и прямо взаимодействует с ней и поэтому зайдя на сайт у тя сразу вир скачается )). с firefox хз че получиться,пока рабочие гавно_паги не видел )) я юзаю оперу )) как наиболее удобный быстрый и не популярный))) тока тссссс
Imho, 24.06.2008 - 15:15
Цитата | Quote(zeroQ @ 24.06.2008 - 14:47)
согласен с ИМХО... пока браузер не популярный в нем и ошибок нету ))) как тока набирается популярность сразу баги недочеты ошибки... в ИЕ сложная ситуация он вшит в систему и прямо взаимодействует с ней и поэтому зайдя на сайт у тя сразу вир скачается )). с firefox хз че получиться,пока рабочие гавно_паги не видел )) я юзаю оперу )) как наиболее удобный быстрый и не популярный))) тока тссссс
Это конечно же касается не только браузеров. Всего ПО, начиная от ОС заканчивая прикладными программами. Собственно такая же ситуация и с win vs nix. Если не брать в расчет окрытость кода никсов, что дает быстрое реагирование на ситуацию и предотвращение проблем, то в случае, если бы попуряность линукс была такая же, как у мелкомягких - проблемы с безопастностью стояли бы куда острее. Поэтому есть смысл( если конечно вам нужна хорошая уверенность в своей защите, ну или на крайний случай у вас мания преследования) делать анализ ПО и выбирать золотую середину между функциональностью/стабильностью и безопастностью.
Alexzander08, 6.07.2008 - 16:47
Да ваще не существует безопасных браузеров!
ЭЖД, 6.07.2008 - 17:14
Цитата | Quote(Alexzander08 @ 6.07.2008 - 16:50)
Да ваще не существует безопасных браузеров!
links, lynx
Imho, 7.07.2008 - 8:19
Цитата | Quote(Alexzander08 @ 6.07.2008 - 16:50)
Да ваще не существует безопасных браузеров!
Угу, а от жизни умирают. Любой алгоритм, созданный человеческим разумом, можно "сломать".
По-моему слишком большая шумиха по этому поводу,не исключаю,что устроенная конкурентами(что скорее всего так и есть) ИМХО Виря можно подхватишь и флэшки,которую взял у кого-нить. Надо чаще пользоваться антивирями и фаерволами,а абсолютно безопасного ПО нет и,к сожалению,скорее всего и не будет.
middleman, 8.07.2008 - 8:42
Цитата | Quote
брешь в браузере, позволяющую удаленно выполнить произвольный код
Ну и при чем здесь вири, антивири и фаерволы расскажите мне? Вы посчитайте количество заплаток на винду. А ведь дыры, которые они закрывают, в большинстве своем, именно "позволяют удаленно выполнить произвольный код".
А тут нашли одну дырку в браузере и обсуждаем непонятно что...
-=Sherhan=-, 8.07.2008 - 9:19
Цитата | Quote(middleman @ 8.07.2008 - 8:45)
Цитата | Quote
брешь в браузере, позволяющую удаленно выполнить произвольный код
Ну и при чем здесь вири, антивири и фаерволы расскажите мне? Вы посчитайте количество заплаток на винду. А ведь дыры, которые они закрывают, в большинстве своем, именно "позволяют удаленно выполнить произвольный код".
А тут нашли одну дырку в браузере и обсуждаем непонятно что...
Полностью согласен. Сделали муху из слона!!!
de1ay, 8.07.2008 - 11:33
Цитата | Quote(middleman @ 8.07.2008 - 8:45)
Ну и при чем здесь вири, антивири и фаерволы расскажите мне?
Как при чем? А что их запрещает запускать?
middleman, 8.07.2008 - 13:31
de1ay, ничто не запрещает. вопрос в том, что при грамтоной атаке ничем они не помогут. браузер у тебя выходит в инет. Значит есть разрешающее правило в фаерволе.
Ты с моей странички сам того не зная загрузишь код ("непосредственное участие пользователя"), который не присутствует ни в одной базе сигнатур, не выполняет никаких потенциально опасных действий (просто втихаря достанет какой-нибудь симпатичный пароль и передаст мне его в твоем следующем POST запросе) фаервол не словит отправку - обычная операция для браузера, сканирования портов не было, соединения на подозрительные адреса - тоже.
Антивирус будет молчать, потому как код вредным не обозначен.
В лучшем случае гавкнет эвристика. и то не факт.
никто не говорит, что программы сами по себе бесполезны. антивирусы и фаерволы нужны и важны, но в контексте темы обсуждение их мне кажется неуместным, т.к. здесь все-же тема конкретно о фаерфоксе и его уязвимости, от грамотного использования которой они скорее всего не спасут.
-=Sherhan=-, 8.07.2008 - 14:19
Цитата | Quote(middleman @ 8.07.2008 - 13:34)
de1ay, ничто не запрещает. вопрос в том, что при грамтоной атаке ничем они не помогут. браузер у тебя выходит в инет. Значит есть разрешающее правило в фаерволе.
Ты с моей странички сам того не зная загрузишь код ("непосредственное участие пользователя"), который не присутствует ни в одной базе сигнатур, не выполняет никаких потенциально опасных действий (просто втихаря достанет какой-нибудь симпатичный пароль и передаст мне его в твоем следующем POST запросе) фаервол не словит отправку - обычная операция для браузера, сканирования портов не было, соединения на подозрительные адреса - тоже.
Антивирус будет молчать, потому как код вредным не обозначен.
В лучшем случае гавкнет эвристика. и то не факт.
никто не говорит, что программы сами по себе бесполезны. антивирусы и фаерволы нужны и важны, но в контексте темы обсуждение их мне кажется неуместным, т.к. здесь все-же тема конкретно о фаерфоксе и его уязвимости, от грамотного использования которой они скорее всего не спасут.
Да дело на самом деле в том, что дыр и в IE и в Опере хватает. А тут так стали кричать на весь инет, что в Лисе дыра. Караул... По-моему очень уж громко всё это написано!!!
de1ay, 9.07.2008 - 15:06
Цитата | Quote(-=Sherhan=- @ 8.07.2008 - 14:22)
Да дело на самом деле в том, что дыр и в IE и в Опере хватает.
Что-то в Опере давненько их не наблюдалось.
Ra1N, 17.07.2008 - 9:44
Цитата | Quote
Ты с моей странички сам того не зная загрузишь код ("непосредственное участие пользователя"), который не присутствует ни в одной базе сигнатур, не выполняет никаких потенциально опасных действий (просто втихаря достанет какой-нибудь симпатичный пароль и передаст мне его в твоем следующем POST запросе) фаервол не словит отправку - обычная операция для браузера, сканирования портов не было, соединения на подозрительные адреса - тоже.
А ты шутник... попробуй ка, на html (java/perl/cgi/python/xml) написать такой код, мож нобелевку дадут...
mr.mall, 17.07.2008 - 10:29
Цитата | Quote
Ты с моей странички сам того не зная загрузишь код ("непосредственное участие пользователя"),
Цитата | Quote
А ты шутник... попробуй ка, на html (java/perl/cgi/python/xml) написать такой код, мож нобелевку дадут...
Имелось ввиду, что "загрузишь программу, которая содержит код"
Цитата | Quote
Надо чаще пользоваться антивирями и фаерволами,а абсолютно безопасного ПО нет и,к сожалению,скорее всего и не будет.
Хм... чаще чем 24 часа в сутки, 7 дней в неделю?
middleman, 17.07.2008 - 12:40
Цитата | Quote(Ra1N @ 17.07.2008 - 8:47)
А ты шутник...
Юмор по жизни помогает
Цитата | Quote(Ra1N @ 17.07.2008 - 8:47)
попробуй ка, на html (java/perl/cgi/python/xml) написать такой код, мож нобелевку дадут...
Я говорил не о себе конкретно, а о злоумышленнике впринципе. Я не напишу. я не хакер. А вот Крис Касперски такой способ знает.
Цитата | Quote
Российский хакер, известный как Крис Касперски, обнаружил уязвимость в процессорах Intel, которая позволяет совершить удаленный взлом системы при помощи скрипта на JavaScript
И что-то про нобелевку ни слова... так что давай не будем развивать спор на эту тему.
Цитата | Quote
Имелось ввиду, что "загрузишь программу, которая содержит код"
Это уже сложнее скрыть, хотя согласен. Такой вариант на даный момент гораздо более вероятен чем взлом скриптовыми средствами.
Ra1N, 17.07.2008 - 14:36
Цитата | Quote
Российский хакер, известный как Крис Касперски, обнаружил уязвимость в процессорах Intel, которая позволяет совершить удаленный взлом системы при помощи скрипта на JavaScript
ммм... Какой-то он не правильный "хакер"...
Цитата | Quote
И что-то про нобелевку ни слова... так что давай не будем развивать спор на эту тему.
Окай, договорились!
Ra1N, 17.07.2008 - 14:58
беру свои слова назад, Крис Касперски, правильный хакер!