Kolejny DoS exploit dla Firefoksa 3.6 oraz Opery 10.10
- Dodano: 3 marca 2010
- Wprowadził: hcsl.pl
- Komentarze: 12
Spodobał Ci się ten nius? Zagłosuj, a być może znajdzie się na stronie głównej! Więcej w FAQ. Jeśli ten nius nie powinien znaleźć się na stronie głównej napisz raport dla administracji!
Ukazały się informacje o nowej luce odkrytej w przeglądarkach Mozilla Firefox 3.6 oraz Opera 10.10. Odkrywca luki opublikował również odpowiedni exploit, pozwalający na zdalne zakłócenie pracy tych dwóch popularnych przeglądarek internetowych. Z punktu widzenia końcowego użytkownika, atak powoduje nieodwracalną utratę kontroli nad przeglądarką (ang. Denial of Service) oraz potencjalną utratę danych edytowanych w trybie online.
Asheesh kumar Mani Tripathi odkrył w Firefoksie 3.6 oraz Operze 10.10 błąd obecny w funkcji document.write(). Luka pozwala intruzowi na zdalne wymuszenie (poprzez zwabienie użytkownika na specjalnie spreparowaną stronę internetową) awaryjnego zakończenie pracy samej przeglądarki. Przygotowany przez HARD CORE SECURITY LAB, przykładowy exploit Proof of Concept można pobrać pod tym adresem. Uwaga! Ta specjalnie spreparowana strona internetowa, po jej otwarciu w przeglądarce Firefox 3.6 lub Opera, spowoduje po kilku sekundach awarię programu.
Warto przy okazji przypomnieć, że Asheesh opublikował niedawno kilka innych exploitów, wykorzystujących inne odkryte przez niego luki w Internet Explorerze 8 oraz Firefoksie 3.6.
Mamy więc kolejny dowód na to, że niezależnie od rodzaju używanej przeglądarki internetowej, nigdy nie możemy liczyć na w pełni stabilną oraz bezpieczną pracę. Warto również zauważyć, że przed powyższym zagrożeniem może nas ustrzec popularny dodatek NoScript.
Materiał pochodzi z serwisu HARD CORE SECURITY LAB.
Więcej informacji: http://www.exploit-db.com/exploits/11617
Znalazłeś literówkę? Zgłoś ją używając formularza!
Jeśli uważasz, że ten nius jest nieobiektywny, przedstawia nieprawdziwe wydarzenie, jest spamem lub nie spełnia standardów serwisu, napisz raport.
Niusy na podobny temat:
Komentarze są prywatnymi opiniami dodających je osób. Prosimy o zachowanie kultury wypowiedzi. Komentarze obraźliwe oraz obniżające poziom serwisu będą usuwane. Więcej w regulaminie komentowania.
12 komentarzy
Wszystkie autorskie niusy w serwisie publikowane są na licencji Creative Commons Uznanie autorstwa 2.5 Polska.
Nie udało mi się zawiesić Opery 10.10 pod FreeBSD, Firefox 3.6 podwiesza się do około 90% WCPU, potem wraca do normalnej pracy.
No właśnie słaby ten eksploit pod Firefoksa. Zacina go, owszem, ale tylko na kilkanaście sekund – po czym wszystko wraca do normy. Oczywiście cieszę się, jak i to załatają, ale nie widzę żeby był jakiś bardzo niebezpieczny.
Strasznie dziurowy ten lisek ostatnio, na dodatek wolny
W zasadzie nie ma tygodnia bez dziury w Fx.
Noo… za niedługo trzeba będzie przesiąść się na IE albo jakąś inną przeglądarkę bez dziur
strasznie dziurawa ta opera, na dodatek wolna. W zasadzie nie ma tygodnia bez dziury w Operze. A teraz wstaw w miejsce opery dowolną przeglądarkę.
Czekałem dobre pięć minut (Opera 10.10 b4742, openSUSE 11.2) i nic się nie stało. Jakiś dziwny ten exploit.
Wygląda na to, że exploit działa tylko na Windowsach.
Pod winXP na FF3.7 działa (testowane)
Te opowieści o DoS exploitach są już nudne.
Ale te dotyczące o exploitów na Fx, Chorme, Opere czy na IE?
no dobra tylko, że strona przygotowana przez hcsl.pl albo nie ma wymuszać awaryjnego zamknięcia przeglądarki, albo nie działa jak należy, bo u mnie firefox przestał odpowiadać na jakieś 3 sekundy po czym przeglądarka zaczęła pracować normalnie.
Jakiś sztucznie napompowany ten błąd. Już chyba z wszystkich błędów przeglądarek ludzie robią tragedię.
Pod Linux + Opera nic się nie dzieje, chyba jednak istnieją przeglądarki bezpieczniejsze od innych