Krytyczna luka w Firefoksie 3.5

15-07-2009, 16:04

Specjaliści od bezpieczeństwa z firmy Secunia poinformowali o odkryciu groźnej luki w najnowszej przeglądarce Mozilli - Firefox 3.5. Niewykluczone, że podatność - oznaczona jako "wysoce krytyczna" - występuje też w starszych wersjach. Mozilla nie opublikowała jeszcze poprawki usuwającej tę lukę.

Błąd, którego szczegółowy opis został opublikowany na stronach Secunii, dotyczy silnika JavaScript. Jego wykorzystanie sprowadza się do zwabienia użytkownika na stronę WWW zawierającą złośliwy kod (podczas przetwarzania odpowiednio spreparowanych znaczników font może wystąpić przepełnienie bufora).

W serwisie Milw0rm pojawił się już demonstracyjny exploit wykorzystujący tę usterkę. Opublikowany skrypt powoduje jedynie uruchomienie Kalkulatora bez żadnych działań ze strony użytkownika. Jego zmodyfikowanie - jak twierdzą eksperci - może pozwolić na wykonanie dowolnego kodu.

Możliwość wykorzystania exploita została potwierdzona przez Internet Storm Center oraz producentów oprogramowania zabezpieczającego, m.in. przez F-Secure.

Do czasu ukazania się poprawki eksperci zalecają zachowanie szczególnej ostrożności podczas odwiedzania stron wykorzystujących JavaScript. Na blogu Mozilli można też znaleźć instrukcję tymczasowego obejścia problemu, które polega na wyłączeniu kompilacji Just-in-time (JIT). W tym celu należy:

  • w pasku adresowym wpisać about:config (po wyświetleniu się komunikatu ostrzegającego, że modyfikacja ustawień może spowodować problemy, trzeba kliknąć przycisk "Zachowam ostrożność, obiecuję!"),
  • w polu "Filtr" wpisać jit,
  • wyszukać javascript.options.jit.content i ustawić wartość na false.

Warto pamiętać, że działanie silnika JavaScript zostanie wówczas znacznie spowolnione, dlatego po zainstalowaniu poprawki warto przywrócić oryginalne ustawienie.


Źródło: Secunia, SANS, Milw0rm, F-Secure, Mozilla
Tematy pokrewne:  

tag luki krytycznetag Firefoxtag exploit
  
znajdź w serwisie

Brak danych. Sprawdź później :)
RSS  

RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy  
« Lipiec 2020»
PoWtŚrCzwPtSbNd
 12345
6789101112
13141516171819
20212223242526
2728293031