Виконання довільних команд в Mozilla Firefox
22:28 30.08.2007Виявлена можливість виконання довільних команд в Mozilla Firefox. Уразливість дозволяє віддаленому користувачу виконати довільні команди на цільовому комп’ютері.
Уразливі версії: Mozilla Firefox 2.0.0.5, можливо більш ранні версії.
Уразливість існує через недостатню перевірку вхідних даних у різних URI оброблювачах. Віддалений користувач може за допомогою спеціально сформованої веб сторінки виконати довільні команди на цільовій системі.
В якості виправлення для даної уразливості рекомендується вимкнути непотрібні оброблювачі URI (або оновити браузер до версії 2.0.0.6). В налаштуваннях FF, в about:config, потрібно встановити значення false для наступних параметрів: network.protocol-handler.external.news, network.protocol-handler.external.snews, network.protocol-handler.external.mailto, network.protocol-handler.external.nntp.
До речі, як я писав, в новій версії Firefox 2.0.0.6 вже також були знайдені уразливості.
- Выполнение произвольных команд в Mozilla Firefox (деталі)