Форум АНТИЧАТ - Через браузер IE можно выполнить произвольный код в Firefox

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)

- Мировые новости (https://forum.antichat.xyz/forumdisplay.php?f=23)

Через браузер IE можно выполнить произвольный код в Firefox

12 июля 2007 года, 15:18

Эксперты по вопросам компьютерной безопасности из датской компании Secunia предупреждают об обнаружении опасной уязвимости в браузере Firefox последних версий.

Проблема, как сообщается, связана с методом обработки универсальных идентификаторов ресурса (Uniform Resource Identifier, URI). Дело в том, что Firefox при инсталляции автоматически прописывает в реестре операционной системы Windows обработчик URI вида "firefoxurl://". Это позволяет злоумышленникам при помощи сформированной специальным образом веб-страницы выполнить произвольный вредоносный код без ведома пользователя.

Для организации нападения необходимо, чтобы на компьютере наряду с Firefox был инсталлирован браузер Internet Explorer. В этом случае при помощи вредоносного веб-сайта злоумышленник может задействовать обработчик URI и заставить Internet Explorer запустить Firefox с последующим выполнением произвольного JavaScript-кода.

По данным Secunia, проблема затрагивает версии Firefox 2.0 и выше при использовании браузера на полностью пропатченных компьютерах с Windows ХР со вторым сервис-паком. Ситуация ухудшается тем, что браузер Internet Explorer, необходимый для организации атаки, установлен на многих компьютерах с Firefox, поскольку входит в стандартную поставку Windows.

Сообщество Mozilla.org подтвердило факт наличия проблемы и пообещало устранить ее в готовящейся к выпуску модификации браузера Firefox с индексом 2.0.0.5. Между тем, в интернете уже появился пример вредоносного кода, позволяющего задействовать уязвимость. Впрочем, практических случаев эксплуатации дыры пока зафиксировано не было.

compulenta.ru

согласен +++

сижу на обеих Fox and IE

Вывод:

Цитата:

В этом случае при помощи вредоносного веб-сайта злоумышленник может задействовать обработчик URI и заставить Internet Explorer запустить Firefox с последующим выполнением произвольного JavaScript-кода.

В обеих отключить выполнение JavaScript-кода.

Отключать javascript это очень глупо.На серьезных сайтах контор вроде ебая и пэйпэла это критично для безопасности.Да и вообще

http://ha.ckers.org/blog/20070607/the-javascript-paradox/#comments

Выход прост. http://opera.com/

Цитата:

Выход прост. http://opera.com/

никада. фф все равно лучше.

Цитата:

Сообщение от sydex

никада. фф все равно лучше.

Читай первый пост ;)

Для последней оперы есть сплоит с выполнением команд

Гема - ужо исправили гоу ту офсай оперы!

Повторюсь - для последней.Информации особой нету , но не бага в css

Выход: отключить в Opera CSS :D

Я тут поясняю как дуракам , первому сказал что для последней , второму что не в css

Цитата:

Впрочем, практических случаев эксплуатации дыры пока зафиксировано не было.

Челы незная того подсказывают технологию взлома... Круто. Кто бы про Мандриву подобное сказал ;)

Эта тема напомнила мне анекдот с русскими врачами. Они там гланды через жопу удаляли...

Цитата:

Сообщение от Dronga

Выход прост. http://opera.com/

Самый лучший ответ + )

Цитата:

как избавиться от бага?

Не использовать ie. Не использовать windows.
Не понимаю, зачем ставить ff, чтобы потом юзать ослик. Только если там проверить как сайт отображаться в нём.

Тоже сижу на опере.
Выход - приверженцам огненного лиса надо переходить на линукс - там Ie нет ;)

Прочитай ещё раз внимательно

Цитата:

как избавиться от бага?=\без смены броузера

Где написано, что от бага оперы? Тема у нас про баг ie\ff Извините, но экстрасенсы все уехали. Мы не знаем на какое сообщение вы отвечаете.

Цитата:

не знаешь ответа - не отвечай

Пиши тогда так, чтобы твой вопрос поняли правильно. :)

к portable firefox это относится?