Новооткрити уязвимости в продуктите на Mozilla

2
22

Уязвимостите засягат стари версии на Mozilla, Firefox и Thunderbird.

Потребители на браузърите Mozilla и FireFox, както и на e-mail клиента Thunderbird могат да бъдат уязвими на атаки, които биха могли да позволят на атакуващия да извършва шпионска дейност или да „превземе“ дадена система, съобщават експерти по сигурността. Уязвимостите засягат обаче само стари версии на програми.

Най-сериозният бъг от всички, е препълване на буфера, което засяга всички версии на Mozilla, по-ранни от 1.7.5. Той може да доведе до блокиране на системата или до изпълнението на злонамерен код, се съобщава от the Mozilla Project. Грешка в начина на обработка на адреси от типа „news://“ може да предизвика препълване на буфер в хийпа, което прекъсва работата на програмата и може да доведе до изпълнението на злонамерен код, според доклад на Maurycy Prodeus от iSEC Security Research , който откри грешката и представи примерен код на експлойт.

Атакуващият може да използва грешката, създавайки много дълъг линк от типа „news://“, който може да се разпространи чрез мейл или да бъде поставен в уеб сайт. Подобни методи вече са били използвани успешно при заразяването на много компютри с червей. В Mozilla 1.7.5. проблемът е поправен. За да може да „експлойтне“ грешката, атакуващият трябва да посочи в линка истински работещ в момента „news“ сървър.

FireFox и Thunderbird са засегнати от по-малко критични бъгове. Първият е начинът, по който те съхраняват временните файлове; файловете се съхраняват понякога с предвидими имена и във формат, който може да бъде разчетен от всяка програма. Това означава, че локален атакуващ би могъл да прочете нечии писма или да види нечии атачмънти, казват експерти.

И накрая, изследовател от Secunia откри начин да се подправят имената на файловете при даунлоад с Firefox. Злонамерен сайт би могъл да заблуди потребителите относно сайта от който се свалят файловете, или да получи информация за присъствието на вече съществуващи файлове на клиентския компютър.

Бъговете не сe проявяват във Firefox 1.0 и по-нов и Thunderbird 0.9 и по-нов, въпреки че са открити едва тази седмица.

0 0 глас
Оценете статията
Абонирай се
Извести ме за
guest
2 Коментара
стари
нови оценка
Отзиви
Всички коментари