--> Archiwum Forum
bers [ Chor��y ]
Bardzo groźne dziury w Firefoksie!
Bardzo groźne dziury w Firefoksie!
Najnowsza wersja przeglądarki Firefox oraz prawdopodobnie także wcześniejsze wersje zawierają dwie krytyczne - zdaniem Secunia.com oraz FrSIRT.com - dziury, które mogą zostać wykorzystane do przejęcia kontroli nad systemem użytkownika.
Wykryte kilka dni temu błędy umożliwiają przeprowadzenie ataku typu XCC (cross-site scripting), na odpowiednio przygotowanej stronie internetowej.
Wystarczy umieścić w kodzie strony odpowiedni skrypt wykorzystujący zarówno nieodpowiednią weryfikację parametru "IconURL" jak i niewłaściwe zabezpieczenia adresów URL.
Pierwszy z błędów umożliwia "oszukanie" przeglądarki, że dany kod został wywołany przez jedną ze stron znajdujących się na "białej liście" witryn, z których Firefox dopuszcza bezpośrednią instalację oprogramowania.
Drugi błąd umożliwia obejście zabezpieczeń sprawdzenia adresów URL zawierających kod JavaScript.
Do uruchomienia wykonywalnego pliku, który może zagrozić bezpieczeństwu naszego systemu trzeba tylko kliknąć w dowolnym miejscu na odpowiednio spreparowanej stronie lub wiadomości email. Exploity na wykryte dziury są już dostępne w sieci.
Mozilla Foundation na razie częściowo zapobiegła wykorzystaniu publicznie dostępnych exploitów, poprzez wprowadzenie kilku zmian w kodzie stron, które domyślnie znajdują się na wspomnianej "białej liście" i przenosząc te strony pod inne domeny.
Jeśli ktoś dodawał jeszcze inne strony do "białej listy", powinien wyłączyć obsługę JavaScript w Firefox do czasu opublikowania stosownych zabezpieczeń.
Jak sprawdzić, które witryny które znajdują się na liście uprawnionych witryn:
1. Kilkamy Narzędzia > Opcje
2. Otworzy nam się okienko Opcje, w którym po lewej stronie klikamy na ikonkę z opisem Przeglądanie
3. Z prawej strony funkcji Zezwól witrynom na instalację oprogramowania znajduje się przycisk Uprawnione witryny. Po kliknięciu w niego powinniśmy ujrzeć listę stron, z których nasza przeglądarka może instalować programy. Domyślnie znajdują się tam adresy:
update.mozilla.org oraz addons.mozilla.org
Jeśli znajduje się tam więcej witryn, które sami dodaliśmy najlepiej będzie wyłączyć funkcję Zezwól witrynom na instalację oprogramowania oraz wyłaczyć obsługę języka JavaScript. Odznaczamy po prostu "ptaszki" przy tych funkcjach, jak na załączonym obrazku...
co wy na to?
dla mnie i tak ff jest najlepszy!
wysiu [ ]
Dla mnie tysz.
N2 [ negroz ]
no dla mnie też, od czasu jak uzywam FireFox'a nie mam świństwa :)
FireFox zajął pierwsze miejsce w KŚ na najlepszą przeglądarke internetową, odziwno IE takż estanęłą na podium, na trzecim stopniu - niezłą kase musiał M$ zapłacić ;)
Kronk [ Pretorianin ]
ff wyławia większość chyba świństw, jak urzywałem IE miałem sporo problemów, ad-aware mi się nie wyłączał :P, a teraz praktycznie nic.
Regis [ ]
Co z tego ze w FF znajduja dziury, skoro sposoby tymczasoego zalatania ich pojawiaja sie najpozniej na drugi dzien, a po kilku dniach jest nowa wersja calej przegladarki? W IE dziur znajduja nie mniej, tyle ze czesc z nich nie jest latana wogole przed dluuugi czas...
P.S. Ciekaw jestem bardzo, czy istnieje JAKAKOLWIEK przegladarka ktora nie ma ZADNYCH dziur :)
pecet11 [ Konsul ]
Ja korzystam z IE od kilku lat i nie mialem zadnych problemow. Dysk formatuje tylko wtedy gdy widzę, że już mam dużo niepotrzebnych plików, a nie z powodu np.. wirusów z IE. Ja tam nie zamierzam zmieniać przeglądarki z IE na inną
pecet007 [ INSERT COIN ]
oecet11 -- ... :/
Regis [ ]
pecet11 --> Zainstalowalbys Firefoxa i pokorzystal z niego 2-3 dni i juz bys do IE na bank nie wrocil. Pomijajac nawet kwestie bezpieczenstwa, to FF jest po prostu duzo wygodniejszy...
wysiu [ ]
Regis --> Zainstalowalbys porzadna nakladke na ie, i nigdy bys do ff nie wrocil. Przynajmniej ma polatane wszystkie te dziury, ktore teraz gdzie indziej odkrywaja.
PS. MS wypuszcza latki na dziury w swoich produktach najszybciej na swiecie. Wszelkie linuksy sie chowaja.
Regis [ ]
wysiu --> Masz na mysli cos w stylu Maxthona? Zainstalowalem, pouzywalem, wyszedl Firefox i o IE zapomnialem - z nakladkami czy bez, przegrywa na calej dlugosci.
P.S. To masz bardzo ciekawe informacje :) Niech zgadne - pochodza z biuletynow M$, czy z "niezaleznych" badan sponsorowanych przez pewna anonimowa firme z Redmond? ;)
Skrz@t [ Młody Gniewny ]
Co ja na to --> jest już następne uaktualnienie , ktore załatało niektóre dziury ;)
oksza [ Senator ]
Ta dziura jest już zalatana.
oksza [ Senator ]
Ciekaw jestem bardzo, czy istnieje JAKAKOLWIEK przegladarka ktora nie ma ZADNYCH dziur :)
Istnieje:
wysiu [ ]
Regis --> Masz na mysli funkcjonalnosc ff BEZ dziesieciu pluginow?
A te informacje to oczywiscie pisal niezalezny badacz, ukrywajacy sie pod pseudonimem "William Doors III". Jak wszystkie teksty, gdzie nie wystepuje tekst 'Microsoft sux'. Pracowity gosciu.
Regis [ ]
oksza --> Zapomnialem dodac warunek: i jest dostepna dluzej niz 3 tygodnie :P Przez te kilkanascie/dziesiat dni to co najwyzej w IE mogliby dziury znalezc :P Poczekamy do konca wakacji - jak wtedy dalej Opera bedzie miec czyste konto dziur, to wywalam Firefoxa ;)
oksza [ Senator ]
-->> Regis
Track record nie uwzględnia poprzednich wersji.
edit ^ : Sorry, odszczekuję, ^ ale 7.0 też jest czysta
https://secunia.com/product/761/
Wypowiedź została zmodyfikowana przez jej autora [2005-05-13 18:18:00]
Regis [ ]
wysiu --> Ja mam zainstalowany AZ JEDEN plugin - AdBlock, zeby mi reklam nie wyswietlalo. Cala reszta tego co mi potrzeba jest w samym Firefoxie.
wysiu [ ]
Regis --> Przeciez funkcjonalnosc golego ff ma sie nijak do maxthona.. Z pluginami to moze moze powalczyc...
bad__dream [ Centurion ]
lol wysiu dalej walczy, trzeba bedzie napisac do ms o jakis specjalny dla niego medal ...
Pvt. Creak [ Criav ]
a ja tam wolę Operę
wysiu [ ]
Licze bardziej na jakas gratyfikacje pieniezna, ale na poczatek moze byc medal:)
A serio - po prostu bawi mnie niezmiernie podwojna moralnosc niektorych uzytkownikow:)
"Uzywam przegladarki xxx i jestem chakierem, a lamy uzywaja ie! IE ma dziury i w ogole jest niebezpieczny, az strach wchodzic na strony porno. W dodatku strasznie wolno ms lata te dziury. A jak ktos mowi, ze szybko, to na pewno agent KGB, znaczy BG."
"Och nie, xxx ma te same dziury, z ktorych kiedys smialem sie w ie! Ale moja chakierska przegladarka i tak jest debesciak, bo przynajmniej dziury lataja szybko (niewazne, ze w ie te same dziury zalatalli juz 4-5 lat temu)"
bad__dream [ Centurion ]
wysiu no to chyba inne portale czytamy, bo ja gdzies tam czytalem ze explorer ma najwieksza ilosc nienaprawionych dziur, i ms jest najwolniejszy jesli chodzi o ich poprawianie...
ach ten punkt widzenia...
wysiu [ ]
Jaki punkt widzenia?
bad__dream [ Centurion ]
punkt widzenia zalezy od miejsca siedzenia :) przeciez jest oczywiste ze kazdy znajdzie i widzi te dane ktore chce widziec nie?:)
jeden widzi ze najlepsza jest opera i podaje swoje raporty, inny podaje o explorerze to co chce itd...
i tak w kolko macieju mozna sie posmiac co kilka tygodni ...:)
Kyahn [ Kibic ]
Ja używam Maxthona i dobrze mi z nim, nie widzę potrzeby zmiany.
W dupie mam Firefoxy, Opery (tej używałem kiedy większość dzisiejszych użytkowników opery jeszcze tego słowa nie znała),
Netscapem też się bawiłem i nic mnie do nich nie przekona..
Cainoor [ Mów mi wuju ]
Ja posiadam trzy przeglądarki: Maxthona, Opere i FireFoxa. O dziwo, najbardziej funkcjonalna jest... nakładka na IE. Może jedyną jej wadą w porównaniu do innych jest jej szybkość. Jakby ciut wolniejsza.
Wypowiedź została zmodyfikowana przez jej autora [2005-05-13 19:23:01]
wysiu [ ]
Juz sie tak chlopcy nie starajcie, i tak ja dostane nagrode od MS;)
Luzer [ Music Addict ]
Opera i tak the best, chociaz firefoxa tez się fajnie używało (testowałem jakiś miesiąc)
Cainoor [ Mów mi wuju ]
wysiu - Jakbym wygrał to i tak bym Ci oddał. Tobie bardziej się nalezy ;)
bad__dream [ Centurion ]
lamerzy , nikt nie uzywa netscape 8.0 , a to taka fajna przegladarka....
Kompo [ bujaka jamajka ]
Ja też jadę na Maxthonie i nie narzekam. :)
Arcy Hp [ Pan i Władca ]
Sam jesteś dziura.
mrEdDi [ ShoguN ]
jakies farmazony w ff nie ma dziur :D Firefoks rzondzi :]
tomirek [ ]
a ja wogole nie uzywam przegladarki a strony www przegladam w DOSie ;)
legrooch [ Legend ]
tomirek ==> A ja startuję przeglądarkę z kickstarta :P
craym [ im your PIMP ]
i dlatego uzywam crayz browsera :>
garfield_junior [ Generaďż˝ ]
No, ja muszę się przyznać że ten bug troszke mi namieszał... jakaś ruska stronka została dodana do 'białej listy', i dopiero po tym poście ją usunąłem i ściagnąłem poprawkę... jak narazie jednak oznak wira or smth brak :]
bers [ Chor��y ]
dobra...
temat nie aktualny gdyż mamy już nową wersję pozbawiona wyżej opisanych błędów :P
tu----> https://di.com.pl/n/?lp=9826
..i jeszcze jeden przydatny link
---->https://di.com.pl/n/?lp=9843&r=1
pozdro!
bers [ Chor��y ]
dobra...
temat nie aktualny gdyż mamy już nową wersję pozbawiona wyżej opisanych błędów :P
tu----> https://di.com.pl/n/?lp=9826
..i jeszcze jeden przydatny link
---->https://di.com.pl/n/?lp=9843&r=1
pozdro!