[ksoft] Критические дыры в браузере MOZILLA FIREFOX
Привет, All!
В браузере Mozilla Firefox найдены две дыры, которые теоретически
могут использоваться злоумышленниками с целью получения
несанкционированного доступа к удаленному компьютеру и выполнения на
нем произвольных операций.
Первая проблема связана с некорректной обработкой объектов IFRAME и
обеспечивает возможность проведения XSS-атак (Cross-Site Scripting)
через сформированную особым образом HTML-страницу. Другая ошибка
проявляется при проверке параметра IconURL в функции
InstallTrigger.install(). Эта уязвимость позволяет выполнить
вредоносный код на машине-жертве.
Дыры присутствуют в браузерах Firefox версий 1.х. Датская компания
Secunia http://secunia.com/advisories/15292/
охарактеризовала ошибки как крайне критичные, тогда как на веб-сайте
сообщества Mozilla.org они
http://www.mozilla.org/security/announce/mfsa2005-42.html
названы просто критичными.
Способов устранения уязвимостей в настоящее время не существует.
Впрочем, защититься от возможных атак можно путем отключения
JavaScript и функции "Разрешить сайтам устанавливать программное
обеспечение" (Allow web sites to install software) в настройках
браузера.
Браузер Firefox версии 1.0 был выпущен в конце прошлого года, и на
текущий момент количество загрузок данного программного продукта
превысило 50 миллионов. Сейчас Firefox отдают предпочтение примерно
8,7 процента пользователей интернета, а самому распространенному
браузеру Microsoft Internet Explorer - 86,6 процента пользователей
Сети.
