Molim vas da se prijavite ili se registrujete.
Prijavite se korisničkim imenom, lozinkom i dužinom sesije

VLADIX SAT forum

29.03.2024. 06:30:12
Vijesti: Sve što Vam treba, tu smo mi !

Autor Tema: Zatvoreno 12 Firefox slabih ta?aka  (Pročitano 1601 puta)

0 članova i 1 gost pregledaju ovu temu.

Van mreže panter666

  • Globalni moderator
  • Super clan
  • *****
  • Poruke: 2025
  • Like: +36/-0
  • Pol: Muškarac

Zatvoreno 12 Firefox slabih ta?aka
« poslato: 24.10.2010. 22:04:01 »


Mozilla je u utorak zatvorila 12 slabih tačaka u Firefox-u, uključujući drugu slabu tačku za „binary planting“ problem u Windowsu koji su istraživači otkrili ranije ove godine.
Dve trećine slabih tačaka koje su zakrpljene u utorak su označene kao kritične što je najviši stepen pretnje koji Mozilla primenjuje. Od preostalih slabih tačaka dve su ocenjene kao visoko kritične i po jedna umerena i nisko kritična. Među slabim tačkama se nalazi i druga Firefox-ova „binary planting“ slaba tačka. Neki sigurnosni istraživači su nazvali ovaj problem „DLL load hijacking“.

Bez obzira na naziv, ova slaba tačka postoji u Windows aplikacijama koje ne pozivaju DLL-ove (dinamičke povezane biblioteke) ili izvršne fajlove korišćenjem punog naziva putanje. Umesto toga one se oslanjaju samo na naziv fajla. U tom slučaju ova slaba tačka može da bude iskorišćena od napada koji mogu prevariti program učitavanjem zlonamenrog fajla sa istim nazivom kao i potrebni DLL ili izvršna.

Ukoliko napadači mogu da prevare korisnike da posete zlonamerne sajtove ili udaljene deljene direktorijume ili da ih prenesu preko USB drive-a, oni mogu da ugroze računar time što će ga inficirati sa malware-om. Binary Planting ili DLL hijacking napadi nisu novi: prvi dokazi o njihovom postojanju su stari više od deset godina a Microsoft je informisan o ovom problemu u avgustu prošle godine od strane istraživača Univerziteta Kalifornija.

Ova vrsta slabe tačke se koristi i u drugim granama: Stuxnet crv koji cilja industrijske kontrolne sisteme i inficirao je hiljade računara u Iranu koristi između ostalog i ovu tehniku. Mozilla je zakrpila DLL deo ove slabe tačke kada je ažurirala Firefox na verziju 3.6.9 Popravka od pre nekoliko dana osigurava sa Firefox neće moći da se koristi za pokretanje lažnih izvršnih fajlova.

Rivali Firefox pretraživača kao što su Safari i Opera su već dobili slične zakrpe sa ciljem zatvaranja svojih slabih tačaka vezanih za ovu problematiku ali Google Chrome još nije. Jedna od kompanija koje su još letos upozorile na ovaj problem je slovenačka sigurnosna kompanija Acros Security koja je objavila da korisnici koji koriste Internet Explorer na Windows XP su najguroženiji po pitanju ovakvih napada.

Ostale zakrpe koje su uključene u update od utorka zatvaraju tri memorijska bug-a u engine-u pretraživača, cross-site scrpting slabu tačku i problem sa SSL sertifikatima. Među drugih 40 ne-sigurnosnih bug-ova koji su popravljeni u okviru Mozilla Firefoxa je i ona vezana za karakteristiku „plug-in-ova van procesa“ koja je dizajnirana da očuva rad pretraživača neometenim ukoliko Adobe Flash Player, Apple Quick Time ili Microsoft Silverlight plug-in krahira.

OOPP je debitovala u Firefox-u 3.6.4. Prema Bugzilla-i, Mozilla-inoj bazi podataka za praćenje bug-ova i promena, OOPP je prijavljivala da dolazi do kraha Flasha kada pretraživač pokušava da reprodukuje sadržaj na Turner Broadcasting Systems Web sajtu.

Međutim, kada OOPP bude isključen Firefox prikazuje Flash sadraje bez problema. Mozilla je izdala i zakrpu za stariju Firefox 3.5 verziju koja je već trebalo da prestane da dobija sigurnosne update-ove. Naime, Mozilla praktikuje da izdaje zakrpe za starije verzije šest meseci nakon što se pojavi novija verzija, a Firefox 3.6 je izdat u januaru 2010.