Численні уразливості в Mozilla Firefox, Thunderbird, Seamonkey

22:41 29.08.2008

В минулому році були виявлені численні уразливості в Mozilla Firefox, Thunderbird, Seamonkey.

Уразливі продукти: Mozilla Firefox 2.0, Thunderbird 2.0, Seamonkey 1.1, xulrunner 1.8, iceweasel 2.0.

Виконання коду, ушкодження пам’яті, підміна вмісту, міжсайтовий скриптінг, DoS.

  • Mozilla Foundation Security Advisory 2007-25 (деталі)
  • Mozilla Foundation Security Advisory 2007-22 (деталі)
  • Mozilla Foundation Security Advisory 2007-21 (деталі)
  • Mozilla Foundation Security Advisory 2007-20 (деталі)
  • Mozilla Foundation Security Advisory 2007-19 (деталі)
  • Mozilla Foundation Security Advisory 2007-18 (деталі)
  • US-CERT Technical Cyber Security Alert TA07-199A — Mozilla Updates for Multiple Vulnerabilities (деталі)

4 відповідей на “Численні уразливості в Mozilla Firefox, Thunderbird, Seamonkey”

  1. trovich каже:

    Ну ти дав. Я ще розумію вразливості сайтів, але нафіга вразливості застарілого ПЗ річної давнини викладати?

  2. trovich каже:

    Тим більше, що це Мозілла з її великою спільнотою розробників-мавпочок, котрі старанно вилизують все :) )

  3. MustLive каже:

    нафіга вразливості застарілого ПЗ річної давнини викладати

    Сергію, для того, щоб нагадувати користувачам старих версій наведених додатків, що в їх версіях є уразливості, і варто їх оновити.

    Коли я публікую дані про дірки в ПЗ не самих останніх версій я керуюся наступним:

    1. Якщо це моя власна дірка (мій власний експлоіт) для даного додатка.
    2. Якщо додаток ще достатньо поширений. І не всі користувачі ПЗ регулярно його оновлюють. Це стосується як браузерів і плагінів до них (а я пишу тільки про десктопне ПЗ пов’язане з Інтернет), так і ПЗ на веб серверах.
    3. Якщо версія не дуже стара і дана інформація не дуже застаріла. Тобто враховую актуальність даних уразливостей.

    В даному випадку вразливі версії не дуже старі, додатки достатньо поширені та інформація все ще актульна.

  4. MustLive каже:

    Тим більше, що це Мозілла

    Як показали мої дослідження, не тільки Microsoft полюбляє ігнорувати і не виправляти дірки, але й Mozilla також. Причому по даному показнику вони активно наздоганяють MS :-) .

    Про що я у вересні й жовтні багато разів нагадував, зокрема в моєму проекті День багів в браузерах. Яскравим прикладом є DoS уразливість в Mozilla Firefox, яка була відома ще в 2006, й яку вони досі не виправили. Лише трошки в FF3 гайки затягнули, щоб менше реагував на атаку. Що я виправив своїм новим експлоітом для FF3.

    Так що і публікацією своїх експлоітів (для нових і старих дірок), а також публікацією дірок в старих версіях, я нагадую і користувачам і самій Мозілі, що потрібно слідкувати за безпекою ;-) . І що Мозілі варто не забувати виправляти уразливості.

Leave a Reply

You must be logged in to post a comment.