AlkatraZ (SV!) [Off] [#] (04.08.2009 / 19:57) Уездный предводитель Каманчей

В понедельник Mozilla выпустила обновление, закрывающее критические уязвимости в своем популярном открытом браузере Firefox, включая обнаруженный на прошлой неделе баг, позволяющий подделывать SSL-сертификаты, используемые для обеспечения безопасности веб-сайтов.

AlkatraZ (SV!) [Off] [#] (04.08.2009 / 19:57) Уездный предводитель Каманчей

Наличие этой уязвимости означало, что Firefox можно было ввести в заблуждение поддельным сертификатом, что могло позволить злоумышленникам создавать убедительно выглядящие копии банковских сайтов, сайтов электронных почтовых служб и других важных сервисов. Во время доклада на конференции Black Hat исследователи Мокси Марлинспайк и Дэн Камински продемонстрировали, что для успешной эксплуатации уязвимости нужно было добавить лишь несколько нулевых строковых параметров в ряд строк сертификата.

В заявлении на сайте Mozilla содержится строгая рекомендация пользователям обновить браузер до последней версии.

Уязвимость в SSL позволила Марлинспайку создать универсальный групповой сертификат, с помощью которого Firefox аутентифицировал любое доменное имя в Интернете. Он добился этого, изменив сертификат для своего сайта thoughtcrime.org, вписав в поле commonName значение *\0.thoughtcrime.org, что заставило браузер считать сертификат универсально действительным. В понедельник данная уязвимость была закрыта в версиях Firefox 3.5.2 и 3.0.13. для платформ Windows, Mac и Linux.

Помимо Firefox, к аналогичному багу чувствительны и три других продукта Mozilla – это Thunderbird, SeaMonkey и NSS, каждый из которых должен быть вскоре пропатчен.

Кроме этого, выпущенный патч закрыл и другие критические дыры, включая вылеты из-за проблем в памяти, переполнение кучи из-за ошибки в синтаксисе и повышение привилегий Chrome из-за некорректного кэширования упаковщика. Уязвимости, отмеченные как критические, обычно позволяют хакеру удаленно выполнить вредоносный код при минимальном участии конечного пользователя.

Добавим лишь, что Mozilla закрывает критические уязвимости в Firefox уже второй раз за 18 дней. Две недели назад компания выпустила патч, устраняющий связанное с JavaScript нарушение работы памяти, которым хакеры на тот момент уже пользовались в реальной жизни.

WildChild [Off] [#] (04.08.2009 / 20:15)

Ога, у меня он вчера автоматом обновился. А то что критические дыры это конечно плохо... Вот вам еще один пример ПОПУЛЯРНОГО опенсорс проекта, в котором находят дыры. Будет линукс популярным, будут находить дыры и в нем.

Герц [Off] [#] (04.08.2009 / 20:24) Прокуратор GW

WildChild (05.08.2009/00:15)
Ога, у меня он вчера автоматом обновился. А то что критические дыры это конечно плохо... Вот вам еще один пример ПОПУЛЯРНОГО опенсорс проекта, в котором находят дыры. Будет линукс популярным, будут наИ хорошо что находят.

WildChild [Off] [#] (04.08.2009 / 20:31)

Герц (05.08.2009/00:24)
И хорошо что находят.Да. А в линупсе не находят поэтому он со временем будет дырявы как сито