Vo Firefoxe 3.5 extrémne kritická chyba, potrebné vypnúť JIT

DSL.sk, 15.7.2009

Spoločnosť Mozilla upozornila v utorok na extrémne kritickú bezpečnostnú chybu vo Firefoxe 3.5, ktorá umožňuje získanie kontroly nad PC iba po návšteve webovej stránky podvrhnutej útočníkom.

Chyba sa nachádza v Just In Time kompilátore JavaScriptu, vďaka ktorému má nový JavaScript engine vo Firefoxe 3.5 výrazne vyšší výkon ako engine vo Firefoxe 3.0.

Chybu je možné zneužiť iba zobrazením stránky s útočníkom podvrhnutým škodlivým kódom, pričom umožňuje spustenie zvoleného natívneho kódu pod právami užívateľa spúšťajúceho Firefox.

V súčasnosti je už k dispozícii aj funkčný exploit kód, s vysokou pravdepodobnosťou sa tak chyba už reálne zneužíva na Internete.

Mozilla odporúča do vydania opravy vypnúť JIT kompiláciu, urobiť je tak možné v nastaveniach about:config zmenou hodnoty premennej javascript.options.jit.content z true na false. Premennú je možné vyhľadať napríklad použitím vyhľadávaného výrazu "jit".

Vypnutím JIT sa zníži výkon JavaScript enginu, po vydaní bezpečnostnej aktualizácie je preto potrebné JIT zapnúť zmenou premennej opäť na true.




Najnovšie články:



Diskusia:

retardos Od: wilko bránka | Pridané: 15.7.2009 10:40 alebo javu vobec nepouzivat,madafaka Odpovedať Známka: -8.2 Hodnotiť:

Re: retardos Od: Ja. | Pridané: 15.7.2009 10:42 :D že si robíš iba srandu? :D že javu :D komentuješ iný článok? Odpovedať Známka: 8.2 Hodnotiť:

Re: retardos Od: quaso | Pridané: 15.7.2009 10:43 Asi sa napil nejakej silnej kavy :D Odpovedať Známka: 8.8 Hodnotiť:

Re: retardos Od reg.: kingzozo | Pridané: 15.7.2009 10:47 vzhladom na to "madafaka" na konci si myslim ze prave dopocuval neaku slovensku hiphopovu sracku :) Odpovedať Známka: 8.0 Hodnotiť:

Re: retardos Od: blizz.boz | Pridané: 15.7.2009 14:11 dávaj bacha madafaka Odpovedať Známka: -6.0 Hodnotiť:

Re: retardos Od: asdfgghjkl | Pridané: 15.7.2009 14:21 ach ty buzik Odpovedať Známka: -3.1 Hodnotiť:

Re: retardos Od reg.: kingzozo | Pridané: 15.7.2009 15:37 sa ti to skoro rymuje Odpovedať Známka: 1.4 Hodnotiť:

Re: retardos Od reg.: klesk32 | Pridané: 15.7.2009 10:48 si sa teraz trosku strapnil, ze? Odpovedať Známka: 7.2 Hodnotiť:

Re: retardos Od reg.: Opera1 | Pridané: 15.7.2009 11:42 alebo nepouzivat ff Odpovedať Známka: -1.8 Hodnotiť:

Re: retardos Od: BigLama-nepr | Pridané: 15.7.2009 18:33 Tak pouzivaj IE, ktory je deravy viac ako rok :D A zato ze dalsie browsre nezverejnuju informacie o chybach, neznamena ze chyby nemaju :D Odpovedať Známka: 6.8 Hodnotiť:

Re: retardos Od: Peter5465 | Pridané: 15.7.2009 11:58 Jawa sa predsa pise s dvojitym W X-D Odpovedať Známka: 7.1 Hodnotiť:

Re: retardos Od: ondraaaaaaas | Pridané: 15.7.2009 12:23 alebo ked ste oldskul, tak chrchel je synonymum tychto legedarnych motoriek:) Odpovedať Známka: -2.5 Hodnotiť:

Re: retardos Od reg.: ujo Ivo | Pridané: 15.7.2009 17:52 Este terazmi v garazi jedna drieme :-D Perak som predal, ostala mi Jawa 250 362 ;-) Odpovedať Známka: 8.2 Hodnotiť:

Re: retardos Od: Moonchild | Pridané: 15.7.2009 13:03 :D A co presne ma Javascript spolocne s Javou? :D Asi tolko, co "Lockheed SR-71" s "NR SR" ... :D Odpovedať Známka: 6.8 Hodnotiť:

Re: retardos Od reg.: mswindows | Pridané: 16.7.2009 16:14 vsak vies, JAVAscript, skratene Java :D :D A keď si nascriptujes motocykel, mas JAWU :D :D :D Odpovedať Známka: 10.0 Hodnotiť:

Re: retardos Od: G-susLOL | Pridané: 15.7.2009 17:07 boze ako si na nom zgustli hyenky, how pathetic ... nevyznam sa do toho, pochopil som co chcel povedat a nemam potrebu ho ponizovat :-) Odpovedať Známka: -6.0 Hodnotiť:

Re: retardos Od: waveeeee | Pridané: 16.7.2009 0:02 na ale tu je ina inteligencia Odpovedať Známka: 8.0 Hodnotiť:

Re: retardos Od: eternal_noob | Pridané: 19.7.2009 16:31 no, niektori sa asi citia ako majstri sveta ked vedia ze java a javascript nie je to iste a musia to dat najavo. na druhej strane zapajat sa do temy o ktorej hovno viem, je tiez ubohe. ked si clovek vypne javascript, tak minimalne polka webov mu fungovat nebude, a pravdepodobne si nepozre ani e-mail... kdezto bez javy sa prezit da. Odpovedať Hodnotiť:

do upgradov SW sa Od reg.: mdl.. | Pridané: 15.7.2009 10:43 asi netreba az tak hrnut.. Odpovedať Známka: 5.0 Hodnotiť:

Re: do upgradov SW sa Od: Ja. | Pridané: 15.7.2009 10:44 Ja mám stále 3.0.11, k tomu vypnutý javascript Odpovedať Známka: -4.5 Hodnotiť:

Re: do upgradov SW sa Od: rms | Pridané: 15.7.2009 10:47 a funguje ti bez to rexik.sk ? Odpovedať Známka: 7.4 Hodnotiť:

Re: do upgradov SW sa Od: rms | Pridané: 15.7.2009 10:47 a funguje ti bez to rexik.sk ? Odpovedať Známka: 5.3 Hodnotiť:

Re: do upgradov SW sa Od reg.: klesk32 | Pridané: 15.7.2009 10:49 ach ty hrdina. A nechcel by si kvoli vacej bezpacnosti radsej pouzivat LINX ? ;) Odpovedať Známka: 2.2 Hodnotiť:

Re: do upgradov SW sa Od reg.: klesk32 | Pridané: 15.7.2009 10:50 LYNX som myslel ;) Odpovedať Známka: 8.9 Hodnotiť:

Re: do upgradov SW sa Od: dadadad | Pridané: 15.7.2009 10:55 pre decka pripominam ze LYNX neje linux taze sa zbytocne nestrapnite je to textovy browser Odpovedať Známka: 1.4 Hodnotiť:

Re: do upgradov SW sa Od reg.: cinko | Pridané: 15.7.2009 11:35 alebo mozno si myslel links ;) Odpovedať Známka: 1.2 Hodnotiť:

Re: do upgradov SW sa Od reg.: cca01 | Pridané: 15.7.2009 11:22 Ja si kvôli vačšej bezpečnosti kupujem iba papierové noviny. Ale iba na rovnakej strane cesty ako bývam, aby ma pri prechode cez cestu netrafil meteorit. Príspevky do diskusií zasielam Slovenskou poštou. ;) Odpovedať Známka: 8.7 Hodnotiť:

Re: do upgradov SW sa Od reg.: rishqo | Pridané: 15.7.2009 12:10 Thx...you made my day :-) Odpovedať Známka: 3.3 Hodnotiť:

Re: do upgradov SW sa Od: rms | Pridané: 15.7.2009 12:32 actually day is determined by ... nah, never mind Odpovedať Známka: 3.8 Hodnotiť:

..... Od: JonnnnY | Pridané: 15.7.2009 10:54 ale hlavne ze to je rychle... :D Odpovedať Známka: -1.1 Hodnotiť:

IE (Titulok príspevku musí mať dĺžku aspoň 5 znakov.) Od: Rado2 | Pridané: 15.7.2009 10:57 To je ale rečí keď je chyba v IE, že používajte FX :) Odpovedať Známka: -1.6 Hodnotiť:

5 znakov Od reg.: cca01 | Pridané: 15.7.2009 11:30 V skutočnosti treba IE, FF, Operu, Safari a Chrome striedať, jeden deň to, druhý deň ďalsí browser atď :) Odpovedať Známka: -1.6 Hodnotiť:

Re: 5 znakov Od: lobo | Pridané: 15.7.2009 11:42 aby si stihol vyzbierat vsetky virusy pre dany browser? :-) Odpovedať Známka: 9.4 Hodnotiť:

Re: IE (Titulok príspevku musí mať dĺžku aspoň 5 znakov.) Od reg.: pedro 115 | Pridané: 15.7.2009 17:30 ale vidis na oprave chyby sa robi hned.rovnako je to aj s GNU/Linux systemami ako npr. Ubuntu.zistia chybu a hned sa robi oprava.nie ako Mrkvosoft casto vo svojich produktoch ignoruje upozornenia na chyby a opravy vychadzaju az po mnohych mesiacoch. npr. ako v tomto clanku: http://www.dsl.sk/article.php?article=7750 Odpovedať Známka: 7.1 Hodnotiť:

Re: IE (Titulok príspevku musí mať dĺžku aspoň 5 znakov.) Od: lolcat | Pridané: 15.7.2009 23:55 slovo "mrkvosoft" moze napisat len 8 rocne decko alebo niekto starsi na mentalnej urovni 8 rocneho dietata. ak mas viac, snaz sa ho vyvarovat v diskusiach Odpovedať Známka: -4.7 Hodnotiť:

Re: IE (Titulok príspevku musí mať dĺžku aspoň 5 znakov.) Od: ground | Pridané: 15.7.2009 18:54 to je, ked je ta chyba znama rok a styri mesiace :D Odpovedať Známka: 10.0 Hodnotiť:

Crash Od: siirii | Pridané: 15.7.2009 11:00 Mne to akurát zhodí FF. Tiež zaujímavé :) Odpovedať Známka: -5.6 Hodnotiť:

Re: Crash Od: asdfdfasdfasd | Pridané: 15.7.2009 12:11 Ak exploit od vcera neupravovali, tak mi to ani prehliadac nezhodi, chvilku sa tvari zmrznuto a potom napise, ci ukoncit skript (mam Firefox 3.5). Odpovedať Známka: 3.3 Hodnotiť:

http://imgur.com/1rIbU.png Od: rms | Pridané: 15.7.2009 11:12 Zaujimave je, ze JS v Opera 10b a Firefox 3.5 su na tom podobne ale Opera este len caka na kompilovany JS "Carakan". http://imgur.com/1rIbU.png Odpovedať Známka: 3.3 Hodnotiť:

Vsetko najlepsie vsetkim Henom!!!! Od reg.: Hosak | Pridané: 15.7.2009 11:27 Po precitani nadpisu som rozmyslal co ma jednotka intenzivnej starostlivosti spolocne z fx :D Odpovedať Známka: -6.7 Hodnotiť:

Re: Vsetko najlepsie vsetkim Henom!!!! Od reg.: Opera1 | Pridané: 15.7.2009 11:44 to je JIS Odpovedať Známka: -2.0 Hodnotiť:

Re: Vsetko najlepsie vsetkim Henom!!!! Od: rms | Pridané: 15.7.2009 11:48 jednotka intenzivneho trapenia? Odpovedať Známka: -3.3 Hodnotiť:

Re: Vsetko najlepsie vsetkim Henom!!!! Od reg.: Gizmof | Pridané: 15.7.2009 12:01 Jednotka Intenzívneho Trtkania Odpovedať Známka: 3.1 Hodnotiť:

FF 3.5 je FIASKO! Od: byvali uzivatel FF | Pridané: 15.7.2009 12:35 toto je dalsi dovod, preco je novy firefox iba jedna velká blamáž a fiasko, tolko extremnych chyb nie je ani v IE6. mam pocit, ze kazdy den ked pridem na dsl.sk tak nevidim nic ine ako chyby vo FF, extremne pomaly start FF atd. to že FF startuje trápne pomaly, na to som si uz zvykol, ale tak vela extremnych chyb som naozaj necakal, ostavam verný google chrome 2.0, je super rýchly, neblbne, nemrzne a nemusím čakat 20minut kym nastartuje, alebo aspon nemusim kvoli tomu cistit historiu cez CCleanera! pouzivanie chrome je iba sila zvyku, a nikdy nebudem lutovat ten krok, ked som ho zacal pouzivat! Odpovedať Známka: -2.9 Hodnotiť:

Re: FF 3.5 je FIASKO! Od: ja. | Pridané: 15.7.2009 13:03 To bude asi tym, ze IE nema JS JIT, v ktorom je tato chyba, takze nema mat v com bug. Rovnako IE7+ nepodporuje Windows 2000, na rozdiel of FF 3.5, takze nemusi seedovat RNG (na margo pomaleho startu). Odpovedať Známka: 5.6 Hodnotiť:

Re: FF 3.5 je FIASKO! Od reg.: x x l l | Pridané: 15.7.2009 13:50 Co maju spolocne rozne implementacie JIT? Predpokladam, ze nic... Takze, az bude mat IE a final Opera JIT, tak je vysoko pravdepodobne, ze dana chyba tam nebude... Odpovedať Známka: 5.0 Hodnotiť:

Re: FF 3.5 je FIASKO! Od: blizz.boz | Pridané: 15.7.2009 14:14 Firefox má JIT a ajtak je JavaScript vo firefoxe omnoho pomalší ako v Chrome, Safari alebo Opere Firefox je jednoducho sračka. Odpovedať Známka: -6.0 Hodnotiť:

Re: FF 3.5 je FIASKO! Od reg.: MCGiany | Pridané: 15.7.2009 19:00 dokaz mi, ze je JS v Chrome rychlejsi ako vo Firefoxe. Naozaj...chcem nejaky dokaz, nie len vykrik pubertiaka do tmy. Odpovedať Známka: 4.3 Hodnotiť:

Re: FF 3.5 je FIASKO! Od: blizz.boz | Pridané: 15.7.2009 20:19 a prečo by som mal nejakému puberťákovi niečo dokazovať ? zisti si to sám použi google ja tu nebudem riešiť takéto kraviny. Odpovedať Známka: -5.0 Hodnotiť:

Re: FF 3.5 je FIASKO! Od reg.: MCGiany | Pridané: 15.7.2009 21:35 preco? tak potom naco tvrdis nieco, ked potom svoje tvrdenie nevies obhajit?...ako som cakal, staci priama konfrontacica a uz sa zmozes len na prchke utoky. :) jednoznacny dokaz, ze trepes do vetra. Odpovedať Známka: 3.3 Hodnotiť:

Re: FF 3.5 je FIASKO! Od: blizz.boz | Pridané: 16.7.2009 1:56 1. na nikoho som neútočil. 2. je rozdiel medzi nevedieť a nechcieť, ja svoje tvrdenia nechcem obhájiť, nemám k tomu dôvod. je mi jasné že ti ide len o to aby som ti našiel nejaký graf potvrdzujúci moje tvrdenia, to by ale bola pre mňa práca navyše, použi google a nájdi si grafy sám. 3. vôbec to neni dôkaz, tvoje implikácie sú nesprávne najprv si zisti čo znamená pojem dôkaz http://www.riz.cz/rqtep Odpovedať Známka: 0.0 Hodnotiť:

Re: FF 3.5 je FIASKO! Od: eternal_noob | Pridané: 19.7.2009 16:44 hlavne ze mas cas hladat co znamena pojem dokaz, pisat tu rozsiahle komentare ale aby si spomenul odkial si prisiel na to co tvrdis nie, zaujimave. Odpovedať Hodnotiť:

Re: FF 3.5 je FIASKO! Od: Ja. | Pridané: 15.7.2009 14:47 čo to máš za meno? Odpovedať Známka: -5.0 Hodnotiť:

Re: FF 3.5 je FIASKO! Od: Rado2 | Pridané: 15.7.2009 17:09 To je taký argument, ako že bugy v IE/ActiveX sa nerátaju, lebo FX ActiveX nemá a teda nemá kde mať bug Odpovedať Známka: 10.0 Hodnotiť:

Re: FF 3.5 je FIASKO! Od: ground | Pridané: 15.7.2009 19:00 US Government has you... Follow other white sheeps Knock, knock, "byvali uzivatel FF"... :DDD Odpovedať Známka: -5.0 Hodnotiť:

Re: FF 3.5 je FIASKO! Od: byvali uzivatel FF | Pridané: 16.7.2009 15:23 super post, len netusim, co tym chcel basnik povedat... Odpovedať Známka: 3.3 Hodnotiť:

No veru tak. Od: JuIo | Pridané: 15.7.2009 12:54 Budu bojovat za najlepsiu alternativu, pardon, sracku medzi browsermi. Volat to chcu FX a pritom sa to sprava horsie ako ff browser. mozilla fuckfuck 3.5 Odpovedať Známka: -6.2 Hodnotiť:

dobrý prehliadač Od: blizz.boz | Pridané: 15.7.2009 14:15 kto chce dobrý prehliadač používa Operu alebo Maxthon 3 Odpovedať Známka: -2.2 Hodnotiť:

Re: dobrý prehliadač Od: rms | Pridané: 15.7.2009 17:39 az na to alebo Odpovedať Známka: 4.5 Hodnotiť:

Re: dobrý prehliadač Od: blizz.boz | Pridané: 16.7.2009 19:06 argumenty ? Odpovedať Hodnotiť:

Pozor Od: asdfghjkl | Pridané: 15.7.2009 14:22 Kazdy kto napise prispevok pod moj je GAY. Odpovedať Známka: -7.5 Hodnotiť:

Re: Pozor Od: GAY, TYSON | Pridané: 15.7.2009 14:26 Ahoj Bubu! Odpovedať Známka: 6.8 Hodnotiť:

Re: Pozor Od: Brüno | Pridané: 15.7.2009 17:43 Wunderbar! Ich liebe dich! Brüno für immer Odpovedať Známka: 5.4 Hodnotiť:

chrome pozitive Od: ccccc | Pridané: 15.7.2009 14:34 chlapci sa vam ten vas dokonaly firefox extremne kriticky ruca kazdym dnom :) Odpovedať Známka: -4.7 Hodnotiť:

uzkhulhj Od: hjbghmgbjm | Pridané: 15.7.2009 15:12 pouzivajte operu 10 Odpovedať Známka: -0.7 Hodnotiť:

Re: uzkhulhj Od: blizz.boz | Pridané: 15.7.2009 16:03 Opera X je najlepšia Odpovedať Známka: -0.7 Hodnotiť:

ffffff Od: LOLOLOL | Pridané: 15.7.2009 18:00 mne sa tato verzia zda nejak cela posahana Odpovedať Známka: -2.0 Hodnotiť:

NOSCRIPT Od: Jerry19 | Pridané: 15.7.2009 19:50 To este niekto nepouziva addon noscript ? Odpovedať Známka: 6.4 Hodnotiť:

NoScript Od: lklklklklklklk | Pridané: 15.7.2009 21:35 jj noscript by mal podla mna na nedoveryhodnych strankach pomoct. Odpovedať Známka: 10.0 Hodnotiť:

Firefox. Od: Firefox. | Pridané: 15.7.2009 23:43 V tejto novej verzii sa aj mne nepaci niekolko veci.Napr.uz spominane dlhe nacitavanie po zapnuti pocitaca.Clanok radil defragmentovat databazu,ale po kontrole velkosti (1 subor cca 5mb) ma napadlo ze to asi nebude sposobene tymto.Tu sa pisalo o chybe,pri ktorej vam jeho db narastie na desiatky mb co nebol moj pripad,tak neviem ako u vas,v mojom pripade ostava tato otazka nedoriesena.Dalsou vecou z ktorej som zmäteny je nova funkcia "osamostatnovania",resp.presuvania jednej karty s otvorenou strankou do ineho okna.Ked som o tom cital prvy krat,povedal som si fajn,zrejme to nikdy nevyuzijem,ale preco nie."Nadsenie" opadlo ked sa mi pravidelne nejakym nedopatrenim presuvaju otvorene karty do noveho,samostatneho okna bez toho aby som mu k tomu dal povel.Vyuzitie pamäte.Dlho slubovane zlepsenie podla mna vobec nenastalo a ak ano tak urcite minimalne.Su aj dalsie veci ktore mi vadia,to by bolo na dlho.Po celkovom zhodnoteni by som povedal,ze tak dlhe "natahovanie" uzivatelov pred vydanim novej verzie nestalo zato. Odpovedať Známka: 7.1 Hodnotiť:

Re: Firefox. Od: meniny má Drahomír | Pridané: 16.7.2009 15:22 funkcia "osamostatnovania" je v google chrome uz davno, ale malo kto o tom vie, da sa povedat, ze FF svojim novym prehlaidacom neponukol nic nove..porno mod ma chrome uz roky, FF ho priniesol ako závratnú novinku, ktorá aj tak funguje dost na h***o kedze sa otvara v rovnakom okne.... vravim to stale novy Firefox je fiasko...a nie je dovod ho pouzivat uz len kvoli tym kritickym chybam a pomalosti.. Odpovedať Známka: 1.4 Hodnotiť:

Re: Firefox. Od: trantor | Pridané: 16.7.2009 22:11 ...ma chrome uz roky... Kedy to prisiel chrome na pole prehliadacov? v roku 1990? :D Odpovedať Známka: 3.3 Hodnotiť:

Re: Firefox. Od: odbornik | Pridané: 16.7.2009 23:59 v roku 2007 bol prvy navrh na apliakciu zvanu google chromium... Odpovedať Známka: 3.3 Hodnotiť:

eXplOiD! Od: PATWIST | Pridané: 16.7.2009 16:50 stiaho som si exploid kod dal do htm a spustil naskocil nejaky anglicky text Odpovedať Známka: 5.0 Hodnotiť:

Re: eXplOiD! Od: Re: eXplOiD! | Pridané: 16.7.2009 16:56 taky ze: "You have been hacked, ha ha ha!"? :D Odpovedať Známka: 10.0 Hodnotiť:

Re: eXplOiD! Od: PATWIST | Pridané: 16.7.2009 17:13 Firefox 3.5 Heap Spray Vulnerabilty Author: SBerry aka Simon Berry-Byrne Thanks to HD Moore for the insight and Metasploit for the payload Odpovedať Hodnotiť:

bla bla Od reg.: karol anton | Pridané: 17.7.2009 14:07 Aspon raz by si mohli Firefoxaci priznat, ze to s ich priehliadacom teraz nevyzera dobre, je nekvalitny a priznat si, ze su kvalitnejsie... ....aspon raz TERAZ po tejto EXTREMNE KRITICKEJ CHYBE... Odpovedať Známka: 0.0 Hodnotiť:

Pridať komentár