Apple Facebook Google Microsoft badania bezpieczeństwo patronat DI prawa autorskie serwisy społecznościowe smartfony

Specjaliści od bezpieczeństwa z firmy Secunia poinformowali o odkryciu groźnej luki w najnowszej przeglądarce Mozilli - Firefox 3.5. Niewykluczone, że podatność - oznaczona jako "wysoce krytyczna" - występuje też w starszych wersjach. Mozilla nie opublikowała jeszcze poprawki usuwającej tę lukę.

Błąd, którego szczegółowy opis został opublikowany na stronach Secunii, dotyczy silnika JavaScript. Jego wykorzystanie sprowadza się do zwabienia użytkownika na stronę WWW zawierającą złośliwy kod (podczas przetwarzania odpowiednio spreparowanych znaczników font może wystąpić przepełnienie bufora).

W serwisie Milw0rm pojawił się już demonstracyjny exploit wykorzystujący tę usterkę. Opublikowany skrypt powoduje jedynie uruchomienie Kalkulatora bez żadnych działań ze strony użytkownika. Jego zmodyfikowanie - jak twierdzą eksperci - może pozwolić na wykonanie dowolnego kodu.

Możliwość wykorzystania exploita została potwierdzona przez Internet Storm Center oraz producentów oprogramowania zabezpieczającego, m.in. przez F-Secure.

Do czasu ukazania się poprawki eksperci zalecają zachowanie szczególnej ostrożności podczas odwiedzania stron wykorzystujących JavaScript. Na blogu Mozilli można też znaleźć instrukcję tymczasowego obejścia problemu, które polega na wyłączeniu kompilacji Just-in-time (JIT). W tym celu należy:

  • w pasku adresowym wpisać about:config (po wyświetleniu się komunikatu ostrzegającego, że modyfikacja ustawień może spowodować problemy, trzeba kliknąć przycisk "Zachowam ostrożność, obiecuję!"),
  • w polu "Filtr" wpisać jit,
  • wyszukać javascript.options.jit.content i ustawić wartość na false.

Warto pamiętać, że działanie silnika JavaScript zostanie wówczas znacznie spowolnione, dlatego po zainstalowaniu poprawki warto przywrócić oryginalne ustawienie.


Aktualności | Porady | Gościnnie | Katalog
Bukmacherzy | Sprawdź auto | Praca
biurowirtualnewarszawa.pl wirtualne biura w Śródmieściu Warszawy


Artykuł może w treści zawierać linki partnerów biznesowych
i afiliacyjne, dzięki którym serwis dostarcza darmowe treści.

              *