Vo Firefoxe extrémne kritická chyba, s verejne dostupným exploitom

DSL.sk, 26.3.2009

V prehliadači Firefox sa nachádza extrémne kritická chyba, ktorá umožňuje útočníkovi spustiť zvolený kód s právami užívateľa prehliadača len po návšteve útočníkom podvrhnutej stránky.

Informácie o chybe boli zverejnené včera zároveň so zverejnením funkčného proof-of-concept kódu, ktorého autorom je zrejme Guido Landi.

Chyba sa nachádza v poslednej finálnej verzii Firefoxu 3.0.7 aj v testovacích verziách Firefoxu 3.5. Prítomná je vo verziách pre Windows, Mac OS X aj Linux.

Chyba sa nachádza v spracovaní XML súboru transformovaného pomocou XSLT.

Do nainštalovania opravenej verzie prehliadača nie je odporúčané navštevovať webové stránky s potenciálne nedôveryhodným obsahom.

Mozilla ešte včera zmrazila kód pre novú verziu Firefoxu 3.0.8, ktorý by sa mal začať dnes testovať a vydaný by mal byť na začiatku budúceho týždňa. V súčasnosti je už k dispozícii RC verzia 3.0.8 zatiaľ pre Mac OS X a Linux, sťahovať je ju možné tu.




Najnovšie články:



Diskusia:

jake zle Od: brano0 | Pridané: 26.3.2009 9:35 no,neprijemne :) Odpovedať Známka: 10.0 Hodnotiť:

Re: jake zle Od: aaa! | Pridané: 26.3.2009 9:38 skoda ze to neni chyba v IE, bola by veselsia diskusia Odpovedať Známka: 7.1 Hodnotiť:

Re: jake zle Od: skz | Pridané: 26.3.2009 10:05 ty si nenormalne hlupy! proste kckct na druhu. preco by to bola vesela diskusia? ja pouzivam IE a som spokojny s IE. firefox uz v zivote nechcem vidiet. Odpovedať Známka: -5.6 Hodnotiť:

Re: jake zle Od: el nino | Pridané: 26.3.2009 10:10 daj sa na Operu a je to Odpovedať Známka: 2.0 Hodnotiť:

Re: jake zle Od reg.: ujo Ivo | Pridané: 26.3.2009 10:17 Nebud zlostny! Chalan to napisal v dobrom. Odpovedať Známka: 7.1 Hodnotiť:

Re: jake zle Od: el nino | Pridané: 26.3.2009 10:23 nie som zlostný ale spokojný user Opery od neviemakej verzie Odpovedať Známka: -4.0 Hodnotiť:

Re: jake zle Od: Rofler | Pridané: 26.3.2009 10:21 Presne tak daj si opierku a pohodicka pohodaa :-) Odpovedať Známka: 7.3 Hodnotiť:

Re: jake zle Od reg.: DeeerDance | Pridané: 26.3.2009 11:45 mensiny su vzdy nasrate http://tinyurl.com/d25ee6 Odpovedať Známka: 2.6 Hodnotiť:

Re: jake zle Od: rms | Pridané: 26.3.2009 13:04 mensiny? http://tinyurl.com/cqzn8v Odpovedať Známka: 6.9 Hodnotiť:

Re: jake zle Od reg.: ujo Ivo | Pridané: 26.3.2009 15:18 Pffffffff!!! http://tinyurl.com/dgufft Odpovedať Známka: 6.2 Hodnotiť:

Re: jake zle Od: mariooo | Pridané: 26.3.2009 15:38 LOL Odpovedať Známka: 5.6 Hodnotiť:

Re: jake zle Od: vlastozasto | Pridané: 26.3.2009 19:11 :D ale to s tymi rusakmi ma prijemne prekvapilo, aspon niekde sa opere dari Odpovedať Známka: 10.0 Hodnotiť:

Re: jake zle Od: rms | Pridané: 26.3.2009 23:12 nj len sa obavam ze je to kvoli tej cervej farbe :D Odpovedať Známka: 2.0 Hodnotiť:

Re: jake zle Od: hufnagel | Pridané: 26.3.2009 12:22 Morho detvo mojho rodu, kto siahne na lisku !!!! Odpovedať Známka: 5.0 Hodnotiť:

Re: jake zle Od: 345345 | Pridané: 26.3.2009 15:21 Vsetci webdizajneri ti dakuju! Odpovedať Známka: 2.5 Hodnotiť:

Re: jake zle Od: maaaslo | Pridané: 26.3.2009 20:49 presne pre toto. tvoja reakcia presne vystihuje jeho narazku... je skutocne zabavne sledovat, ako si kazdy obhajuje ten svoj oblubeny soft. a nieje to jedno? kazdy ma to svoje naj. ja sa tiez nikomu nesnazim nanutit ten moj oblubeny. Odpovedať Známka: 6.0 Hodnotiť:

Re: jake zle Od: rastos | Pridané: 27.3.2009 20:35 > a nieje to jedno? V momente keď si web-dizajnér a musíš špeciálne obsluhovať IE, tak to nie je jedno. V momente keď sa ti cez browser dostane do počítača vírus a začne rozosielať spam alebo sa zúčastní na DDoS útoku, tak to nie je jedno. Odpovedať Hodnotiť:

Re: jake zle Od reg.: južan | Pridané: 27.3.2009 16:58 hlavne ze tvoj slovnik a v podstate cela tvoja reakcia teba prezentuju ako nenormalne mudreho... Odpovedať Hodnotiť:

Vo vsetkych OS? Od reg.: Klix. | Pridané: 26.3.2009 9:37 Nevravim ze som si myslel, ze FF je dokonaly, ale teraz u mna dostal velky cierny bod. :-( Odpovedať Známka: 2.4 Hodnotiť:

Re: Vo vsetkych OS? Od: .em | Pridané: 26.3.2009 12:50 Preco?? Len preto, ze niekto postol POC skor ako bola chyba opravena? Mozilla to ale do tyzdna spravi... zatial co ostatni.. no neviem, jedine ak google. Odpovedať Známka: 6.0 Hodnotiť:

mozilla Od: pipo tácik | Pridané: 26.3.2009 9:40 Hovorí sa "kód ktorý ma viac ako 2 riadky je potenciálne deravý". Nedá sa napísať kód ktorý je 100% bezpečný, ale ide o to ako rýchlo autori reagujú a ako rýchlo chybu opravia. A o tom to je... Odpovedať Známka: 6.4 Hodnotiť:

Re: mozilla Od: compal | Pridané: 26.3.2009 9:43 samozrejme ze ked sa nieco vyvija tak nieje to hned 100% ale ak prisli na chybu vcas a odstrania ju tak je to potom ok.. Odpovedať Známka: 5.7 Hodnotiť:

Re: mozilla Od reg.: ujo Ivo | Pridané: 26.3.2009 9:44 Je to cena za podiel na trhu. Cim viac ho bude FF mat, tym viac ludi bude hladat chyby :-) Odpovedať Známka: 7.9 Hodnotiť:

Re: mozilla Od: xxxxxxxxxxl530000 | Pridané: 26.3.2009 11:56 #include <stdio.h> #include <windows.h> Odpovedať Známka: 4.7 Hodnotiť:

Re: mozilla Od: oipolloi | Pridané: 26.3.2009 12:53 ak neposudzujem co je obsahom tych dvoch headerov, tak tam chyba asi nebude... ale aj tak to nema viac ako 2 riadky, keby si dal 3, isto by si to posral.... Odpovedať Známka: 5.0 Hodnotiť:

Re: mozilla Od: dnes má meniny Emanuel, | Pridané: 26.3.2009 19:01 #include<stdio.h> #include<conio.h> int main() { getch(); return 0; } Odpovedať Hodnotiť:

Re: mozilla Od: xxxxxxxxxxl530000 | Pridané: 26.3.2009 19:27 #include "headers.h" int main() { int os = GetOsManufacturerAndVersion(); if (os == OS_MICROSOFT_ANY_VERSION) { CallSupportCentre(); return -1; } } Odpovedať Známka: 6.0 Hodnotiť:

Re: mozilla Od: rastos | Pridané: 26.3.2009 20:17 Nekontroluješ návratovú hodnotu getch(), pokiaľ to malo byť pre windows, tak správne meno funkcie je _getch(), ak nie, tak správne meno headra je curses.h a nie conio.h. main() má mať parametre main(int argc,char *argv[]). Includovanie stdio.h je zbytočné a za include sa zvykne písať medzera. Čo nie je chaba syntaktická, ale znižuje to čitateľnosť. QED Odpovedať Známka: 10.0 Hodnotiť:

Re: mozilla Od: xxxxxxxxxl530000 | Pridané: 26.3.2009 21:37 nj, ale main môže aj nemusí mať parametre, záleží na tebe čo chceš robiť. Podtržítko _getch značí že nejde o štandardnú ANSI C fciu a mohol teda autor otestovať hodnotu - možno tým myslel chybu v programe.. Odpovedať Hodnotiť:

ako dobre ze... Od: Rofler | Pridané: 26.3.2009 9:47 Vidite???! Ako fasa ze pouzivam IE !! nedam nan dopustit! Odpovedať Známka: -6.8 Hodnotiť:

Re: ako dobre ze... Od: emre | Pridané: 26.3.2009 9:51 tak ho radsej ani nikam nepustaj, este by nakazil aj ostatne prehliadace ;) Odpovedať Známka: 6.9 Hodnotiť:

Re: ako dobre ze... Od: Mirecc21 | Pridané: 26.3.2009 9:52 Tak to iba blázon používa IE od Mikrošrotu. Ja som prešiel na Chrome od Google a pozdáva sa mi to. POdla testu Peacekeeper sa mi javi ako najrychlejsi prehliadač pre moj systém. Safari som neskusal. Moj Xp ma s nim nejaky problem pri inštalácii. Odpovedať Známka: -1.7 Hodnotiť:

Re: ako dobre ze... Od: Rofler | Pridané: 26.3.2009 9:54 Zabudol som tam nakoniec dopisat ze cmon guys FLAME :D:D Odpovedať Známka: 4.4 Hodnotiť:

Re: ako dobre ze... Od: Tupcek | Pridané: 26.3.2009 22:14 nejakych 70% internetovej populacie su blazni...podla vyssie uvedeneho prispevku Odpovedať Hodnotiť:

Re: ako dobre ze... Od: anonym | Pridané: 27.3.2009 18:30 ved to je pravda Odpovedať Hodnotiť:

Re: ako dobre ze... Od: anonym | Pridané: 27.3.2009 18:31 vlastne ani nie blazni.. skor idioti Odpovedať Hodnotiť:

Re: ako dobre ze... Od: 123111 | Pridané: 26.3.2009 9:55 ale, no. Teraz ide o to ako rýchlo tu chybu opravia, ale myslím že to stihnú skôr ako bývajú "neuveriteľne rýchlo" spravené záplaty od MS. ;) Odpovedať Známka: 3.3 Hodnotiť:

Re: ako dobre ze... Od: ... | Pridané: 27.3.2009 13:15 Presne tak, som zvedavý či to do utorka stihnú ;-) Odpovedať Hodnotiť:

Safari Od: Mirecc21 | Pridané: 26.3.2009 10:03 Neviete mi niekto poradit ohladom Safari? Ku koncu instalacie mi vyhodi chybu s Vendor Istalatorom a backrool akcia a skoncil som:( Odpovedať Známka: -7.8 Hodnotiť:

Re: Safari Od reg.: ujo Ivo | Pridané: 26.3.2009 10:16 Nevies si poradit s instalaciou Safari a o par prispevkov vyssie rozbiehas flame "Tak to iba blázon používa IE od Mikrošrotu."?????? Kokos spamataj sa! Odpovedať Známka: 4.3 Hodnotiť:

Re: Safari Od: mirecc21 | Pridané: 26.3.2009 16:45 O čom ty tu točíš ty lama? Ja chcem Safari len vyskusať nie pouzivat dement! Ty sa spamataj!!! Odpovedať Známka: -6.0 Hodnotiť:

Re: Safari Od reg.: ujo Ivo | Pridané: 27.3.2009 9:40 Sedliak :] Este raz si precitaj na co som reagoval a potom tvoj posledny prispevok v tomto vlakne. Mas jedine stastie, ze na teba nedociahnem. Taku by som ti spakruky, ze by si sa do svojich 25 rokov pomocoval .. zmatok! Odpovedať Známka: 0.0 Hodnotiť:

Re: Safari Od: el nino | Pridané: 26.3.2009 10:27 na Win7 nebol s ním nijaký problém Odpovedať Známka: -1.1 Hodnotiť:

Re: Safari Od: dlb | Pridané: 26.3.2009 10:29 Dobre ti tak ty kar Odpovedať Známka: 1.6 Hodnotiť:

admin Od: letajuci_cestmir | Pridané: 26.3.2009 10:54 "V prehliadači Firefox sa nachádza extrémne kritická chyba, ktorá umožňuje útočníkovi spustiť zvolený kód s právami užívateľa prehliadača" -maju sa naco tesit ti co surfuju stale pod admin uctom(90% userov win xp):) Odpovedať Známka: 6.8 Hodnotiť:

sandbox Od reg.: hogo1 | Pridané: 26.3.2009 12:29 pornaaaci, zatial pouzivajte na FF Sandbox, kym na to nebude bugfix ;) Odpovedať Známka: 6.7 Hodnotiť:

Vista zdrojak Od: .lubos679679 | Pridané: 26.3.2009 12:45 http://i29.tinypic.com/10gidzr.jpg Odpovedať Známka: 10.0 Hodnotiť:

Re: Vista zdrojak Od: .lubos679679 | Pridané: 26.3.2009 12:52 Microsoft vie ze Firefox je zly... :-D Odpovedať Známka: 7.5 Hodnotiť:

Re: Vista zdrojak Od: vlastozasto | Pridané: 26.3.2009 19:17 loool, hlavne ta funkcia BSOD ;) Odpovedať Známka: 3.3 Hodnotiť:

pouzivanie firefoxu Od: medvedik | Pridané: 26.3.2009 16:56 pouzivam firefox uz od verzi 1.5, a nikdy som nemal dovod prestupit na nieco ine ako firefox. Extremna kriticka chyba, no huste uz sa klepem, sorry este ani raz sa mi nestalo ze by sa mi niekto dostal do kompu, inac, moje odporucanie pre tzv. "expertov" ked chcete browsovat netom, treba nielen dobry browser, ale aj dobry firewall, spyware, antivirus. Jediny pripad kedy musim pouzivat IE je vtedy, ked si checkujem firemne maily na exchange serv. Pre notebook je IE7, IE8 "nenormalne brutalne optimalizavana" aplikacia, inac paradne vec v IE8 - Emulate IE7 hovori za vsetko Odpovedať Známka: 4.3 Hodnotiť:

priklad exploitu Od: ch. | Pridané: 26.3.2009 17:39 zisiel by sa nejaky realne vyskusatelny priklad exploitu aj pre "obycajnych" uzivatelov Odpovedať Známka: 3.3 Hodnotiť:

myslim to vaze! Od: neklikajte! | Pridané: 26.3.2009 18:28 o jednom viem, ale neodporucam sa pozriet na tuto URL!!!! www.makemoniesonline.com :) Odpovedať Hodnotiť:

Re: myslim to vaze! Od reg.: 3hlav | Pridané: 27.3.2009 11:28 ty chuju sprosti skoro som od smiechu spadol zo stolicky, ale som sa fakt obaval ze mi niekto prave vtedy vojde do kancelarie, nastastie nestalo sa a stihol som killnut browser, 3 minuty na to mi do kancelarie vstupila upratovacka vysypat kos, ty chuju mal som fakt velke stastie :), vsetkym ktori sa nachytaju odporucam zapisat nasledovny riadok do suboru "hosts" v C:WINDOWSsystem32driversetc 127.0.0.1 www.makemoniesonline.com teda ak si chcete zachovat vsetky taby otvorene po naslednom opatovnom spusteni browsera Odpovedať Hodnotiť:

Re: myslim to vaze! Od: neotvorte tu URL | Pridané: 27.3.2009 19:01 hovoril som ze neotvarat :) Odpovedať Hodnotiť:

Re: myslim to vaze! Od: joseee | Pridané: 27.3.2009 20:54 links to isti.. aj wget co-to napovie :-) Odpovedať Hodnotiť:

ble ble Od: jajajaa | Pridané: 27.3.2009 8:12 deravy firefox preto furt pouzivam operu Odpovedať Hodnotiť:

moja skusenost s ff Od: jajajajajaa | Pridané: 27.3.2009 8:42 len raz som si ff nainstaloval a hned na druhy den som mal system nestabilny s postupnym miznutim dat az uplneho krachu a bsod musel som format novy instal a po nie dlhej dobe som sa docital o strasnej diere vo ff pochopil som ze nieco ine a lepsie ako opera ktoru mimochodom pouzivam uz vyse 8 rokov nie je. ako citam tento clanok vidim ze ff sa nepouci nikdy. to ze nie je ziadny software 100% napisany je len tupa vyhovorka. Ide o vsetky verzie takze je jasne ze ff stale bol deravy a inak tomu nebude. skutocne ziadne chyby v IE nie su tak vyrazne ako tie co sa obcas objavia na ff a verte ze su jedinci ktori za to platia. to ze mate stastie je obdivuhodne ale zastavat sa ff je zufalstvo. Odpovedať Známka: -7.8 Hodnotiť:

Re: moja skusenost s ff Od: w412342e | Pridané: 27.3.2009 10:17 > hned na druhy den som mal system nestabilny s postupnym miznutim dat az uplneho krachu a bsod musel som format novy instal To musíte zmeniť operačný systém :) Odpovedať Známka: 3.3 Hodnotiť:

Re: moja skusenost s ff Od: !@#$$%^& | Pridané: 27.3.2009 23:55 asi najskor lamu sediacu pred pocitacom :-) Odpovedať Známka: 10.0 Hodnotiť:

prehliadac Od: Fajnsmeker | Pridané: 27.3.2009 14:20 podaktori z vas podla toho co citam ste tu uz isto aj 35 rocni skuseni programatori... ale hadate sa tu ako 11 rocni chlapci :D :D :D nechapem zmyslu tychto diskusii :D Odpovedať Známka: 3.3 Hodnotiť:

Pridať komentár