Финальный релиз Firefox 2

Новости сети Интернет.
Ответить
White rabbit

Непрочитанное сообщение White rabbit » Чт ноя 02, 2006 1:21 am

SOLDIER
Это просто отказ в обслуживании, или переполнение, через которое можно какую-нибудь гадость сделать? а то нигде что-то описание не могу найти.
Nick писал(а):NoScript в руки от всякого поганого javascript
во-во. Включенный в браузере яваскрипт - сам по себе большая черная ДЫРА в неприличном месте у системы, через которую эту самую систему могут грубо поиметь;)
Вернуться к началу
Nick
Местный
Местный
Сообщения: 1165
Зарегистрирован: Пт июл 15, 2005 11:45 am
Откуда: Монино

Непрочитанное сообщение Nick » Чт ноя 02, 2006 9:45 am

White rabbit писал(а): Это просто отказ в обслуживании, или переполнение, через которое можно какую-нибудь гадость сделать?
Проблемы с некорректной работой с объектом Range были еще в Netscape, оттуда она перекачивала в FF.
А IE просто не поддерживает метод Range, как и многое другое из W3C DOM.
Вернуться к началу
White rabbit

Непрочитанное сообщение White rabbit » Чт ноя 02, 2006 1:20 pm

Ага. Зато ИЕ прекрасно поддерживает фоновую заливку троянов;)
Вернуться к началу
Nick
Местный
Местный
Сообщения: 1165
Зарегистрирован: Пт июл 15, 2005 11:45 am
Откуда: Монино

Непрочитанное сообщение Nick » Пт ноя 24, 2006 8:55 am

Брешь, обнаруженная в браузере Firefox, позволяет похищать пользовательскую информацию на сайтах, подобных MySpace.com, которые предоставляют пользователям возможность создания собственных страниц.
Соответствующая ошибка присутствует в модуле Password Manager браузера. Чтобы нападение сработало, у атакующего должна быть возможность создания HTML-форм на сайте, что допускается сайтами Web-дневников и социальных сетей.
В конце октября злоумышленниками, воспользовавшимися уязвимостью, была создана учетная запись на MySpace под названием login_home_index_html, соответствующая которой страница была замаскирована под страницу захода на сайт, куда пользователи MySpace заманивались путем фишинга. После ввода имени и пароля они передавались атакующим.
Разработчики Firefox оценивают ошибку как весьма критическую: Password Manager не следит за тем, чтобы пароль отправлялся на запрашивающий его сервер.
Как отмечают специалисты, аналогичной уязвимости подвержен Internet Explorer, который тоже не проверяет сервер, на который отправляются введенные регистрационные данные.
http://www.nixp.ru/news/7968
Вернуться к началу
White rabbit

Непрочитанное сообщение White rabbit » Пт ноя 24, 2006 1:28 pm

Ну это фигня на самом деле.

У осла уязвимости поинтереснее:
http://www.securitylab.ru/vulnerability/276437.php
06 ноября, 2006
Microsoft Core XML Services (MSXML) 4.0
Опасность: Критическая
Наличие эксплоита: Да
Описание:
Уязвимость позволяет удаленному пользователю скомпрометировать целевую систему.

Уязвимость существует из-за некорректной обработки HTTP запроса в функции setRequestHeader() в XMLHTTP 4.0 ActiveX компоненте. Удаленный пользователь может с помощью специально сформированной Web страницы выполнить произвольный код на целевой системе.

Примечание: уязвимость активно эксплуатируется в настоящее время.

Решение: Способов устранения уязвимости не существует в настоящее время. В качестве временного решения производитель рекомендует установить kill-bit на уязвимый ActiveX компонент.
Поясняю.

XMLHTTP - это компонент, который обеспечивает работу Ajax на web-страницах;)
Аякс - это та фигня, на которой работает, например, интерфейс gmail.
То есть - полная жопа короче.

Гы. Так и не закрыли до сих пор.
Вернуться к началу
Ответить

Вернуться в «Новое в сети Интернет.»