Mozilla пообещала устранить JAR-уязвимости в Firefox

Вторник, 20 ноября 2007 г.

Следите за нами в ВКонтакте, Facebook'e и Twitter'e

Mozilla намерена устранить две уязвимости в Firefox, связанные с возможностью обращаться к файлам внутри архивов jar/zip по протоколу jar.

Г-жа Виндоу Снайдер (Window Snyder), заведующая стратегией безопасности Mozilla, сообщила об этом в ИБ-блоге компании. Обе уязвимости, по ее словам, будут устранены в Firefox 2.0.0.10. Новая версия браузера уже тестируется и готовится к выпуску.

Первая уязвимость, которая, по большому счету, является особенностью браузера, позволяет обращаться к файлам в архивах jar (имеющих формат zip). Таким образом, браузер позволяет "пронести" вредоносные html через систему проверки загруженных файлов в социальных сетях и других хранилищах, а затем выполнить эти файлы в контексте сайта, на который они загружены, обратившись к ним через URL с протоколом jar. Эта функция существует уже 9 месяцев, но Mozilla до сих пор ее не устранила. О ее существовании и опасности 7 ноября напомнил исследователь Петко Петков (Petko Petkov).

Вторая уязвимость, по словам г-жи Снайдер, гораздо опаснее. "Если zip (jar) архив загружен с сайта при помощи перенаправления, Firefox использует контекст сайта, инициирующего перенаправление. Это позволяет атакующему хранить вредоносный контент на своем сайте, а затем выполнить его в контексте сайта, откуда производится перенаправление", - говорится в блоге Mozilla. Как сообщает CSOOnline.com, эта уязвимость была обнаружена через день после заявления г-на Петкова.

Следите за нами в ВКонтакте, Facebook'e и Twitter'e


Просмотров: 945
Рубрика: Hi-Tech
(CY)

Архив новостей / Экспорт новостей

Ещё новости по теме:

RosInvest.Com не несет ответственности за опубликованные материалы и комментарии пользователей. Возрастной цензор 16+.

Ответственность за высказанные, размещённую информацию и оценки, в рамках проекта RosInvest.Com, лежит полностью на лицах опубликовавших эти материалы. Использование материалов, допускается со ссылкой на сайт RosInvest.Com.

Архивы новостей за: 2018, 2017, 2016, 2015, 2014, 2013, 2012, 2011, 2010, 2009, 2008, 2007, 2006, 2005, 2004, 2003