Pierwsza dziura w Firefoksie 1.5


(Taki1gosc) #1

W Sieci pojawiły się pierwsze doniesienia o luce w niedawno opublikowanym Firefoksie 1.5.

Jak informuje SANS Institute, wykorzystując niedociągnięcia przeglądarki można doprowadzić do przepełnienia bufora i przeprowadzić atak typu DoS. Plik history.dat przechowuje różne informacje na temat odwiedzanych stron. Wystarczy stworzyć witrynę WWW z odpowiednio długim tematem, by doprowadzić do awarii Firefoksa.

Po wejściu na taką stronę przeglądarka odmówi współpracy i, co gorsza, nie będzie możliwe jej ponowne uruchomienie, dopóki nie usuniemy pliku history.dat. Mozilla Foundation nie opublikowała jeszcze odpowiedniej łaty. Możliwe jest jednak tymczasowe zabezpieczenie się przed atakiem. W tym celu należy w menu Narzędzia->Opcje->Prywatność->Zabezpieczenia ustawić wartość 0 dla ilości dni, przez jakie Firefox ma przechowywać historię odwiedzanych stron. Innym sposobem jest wyedytowanie pliku prefs.js i dopisanie linii user_pref("capability.policy.default.HTMLDocument.title.set","noAccess"). Można również pobrać niewielki program NoScript, który zezwoli wykonywanie skryptów jedynie z zaufanych witryn. John Bambenek, który informuje o dziurze, obawia się, że można ją wykorzystać do przeprowadzenia groźniejszego ataku, niż DoS.


(Monczkin) #2

taki1gosc podaj źródło tej informacji

widzisz, a ja mam trochę inną

http://www.alternatywa.info/

http://www.pcworld.pl/


(Bjkaras) #3

http://wiadomosci.onet.pl/1209516,18,item.html


(Taki1gosc) #4

zgadza sie: http://wiadomosci.onet.pl/1209516,18,item.html


(Mztswk) #5

A mi się udało zawiesić liska.

Zrobiłem plik html o baaardzo długim tytule 47MB.

Otworzyłem w Operze i IE i nic działały dobrze i nadal działają, otworzyłem w Firefoxie to padł i musiałem odinstalować bo przy próbie włączenia zawieszał się.


(Taki1gosc) #6

Skoro udalo ci sie liska zawiesic to z tego wynika ze to jednak powazniejsza luka w porównaniu z tym co pisza w PC World Komputer :frowning:


(Bażant) #7

Ogólnie mówiąc wersja 1.5 jest niedopracowana i to w znacznym stopniu, za bardzo się pospieszyli. Jezeli któś ma linka to strony ze starszą wersją ff (1.4??) to mogłby tu podać :mrgreen:


(Monczkin) #8

Bażant niby co jest niedopracowane ??


(Bażant) #9

Np. to, że nie można niektórych wtyczek używać, źle wyświetla okienka ze zdjęciami, częściej się blokuje od poprzedniczek (może tylko u mnie). Czeak z niecierpliwością na jakąs poprawke vs łatke :slight_smile:

Tu nie chodzi o to, że nie umiem szukać w google tylko o to, że mi się nie chciało :smiley: :mrgreen: :wink:


(Monczkin) #10

to nie jest wina FF tylko pluginów - a co za tym idzie ich autorów. O ile na początku nie działało mi około 17 pluginów to w tej chwili są dwie, trzy wtyczki,, które mają problemy

jakie okienka ??

jeśli są to okienta typu pop'up - to tez zależy od webmastera - jaki zastosował skrypt (najczęściej java). Niestety takie problemy występują wszędzie. Cały widz polega na nie trzymaniu standartów przez webmasterów lub ich błędne wykorzystywanie - edyną przeglądarką, która radzi sobie z takimi błędami jest IE - no ale nie wiem, czy można uznać to za plus

co znaczy blokuje - zawiesza ci się, nie działają panele czy co - używam nowej wersji od momentu wyjścią wersji finalnej i jak do tej pory działa prawidłowo, a wręcz większośc błędów z poprzedniej wersji zostało wyeliminowanych - tamtą wersję można było bardzo łatwo zawiesić :slight_smile:

a co to tego.... no cóż

co do łatek - znając szybkość działania zespołu mozilli i automatycznej aktualizacji bezpieczeństwa przez samą przegladarkę - w przypadku krytycznych dziur - nie ma co się martwić


(Bażant) #11

Faktycznie rozszerzenia które nie chodziły już chodzą, ale np. dalej nie mogę zamówić katalogu na wisan.pl, bo nie otwiera się cała wielkość okienka i jest ścięte, tego problemu nie ma za to na IE :?


(Monczkin) #12

Bażant spróbuj takie okna otwierać z przycisku myszy w nowym panelu :slight_smile:


(Bażant) #13

On się cały czas otwiera w nowym panelu, ale ścięty i nie ma rady na to :shock:


(Monczkin) #14

podrzuć dokładnego linka - zaraz obadamy co jest grane :slight_smile:


(Bażant) #15

http://www.wisan.pl Tam w w lewym dolnym rogu jest napisane "zamów bezpłatny katalog" wchodzę, ale okno które wyskakuje jest ścięte i nie ma możliwości nacisnięca klawisza "zamów", a w popszedniej wersji było ok i w ie tez działa :roll:


(Monczkin) #16

hm....

a może to wina flashplayera...

trza pokombinować

można ewentualnie z prawokliku powiększyć obraz flasha i łapka przeciągnąć sobie link do góry :wink:

albo skorzystac z linku zamów katalog z pozycji menu konkretnej oferty - zresztą ze strony głównej można zamówić katalog bez problemu - wszystko ładnie się mieści i można przewinąć ekran :slight_smile:

problem jest na podstronach z ofertą - nie nawidzę ramek - zrobili podział funkcją frame i osadzili flasha w ramce bez możliwości przesywania zawartosci :?


(Bażant) #17

Własnie jak się tak zrobi to jest ok, a z głównego nie idzie :roll: