Численні уразливості в Mozilla Firefox, Thunderbird, Seamonkey
20:29 14.01.2007Виявлені численні уразливості в додатках Mozilla Firefox, Thunderbird, Seamonkey. Частково я торкався даних уразливостей в записі Численні уразливості в Mozilla Firefox.
Міжсайтовий скріптінг через прототипи функцій. Витік інформації. Переповнення буфера динамічної пам’яті на довгих Content-Type повідомленнях. Ушкодження пам’яті через заголовок CVG. Міжсайтовий скріптінг через img.src. DoS. Підвищення привілеїв через watchpoint в JavaScript. Переповнення буфера через властивість image cursor у CSS. Численні ушкодження пам’яті.
Уразливі версії: Thunderbird 1.5, Firefox 1.5, Seamonkey 1.0, Firefox 2.0.
- Mozilla Foundation Security Advisory 2006-68 (деталі)
- Mozilla Foundation Security Advisory 2006-69 (деталі)
- Mozilla Foundation Security Advisory 2006-70 (деталі)
- Mozilla Foundation Security Advisory 2006-71 (деталі)
- Mozilla Foundation Security Advisory 2006-72 (деталі)
- Mozilla Firefox SVG Processing Remote Code Execution Vulnerability (деталі)
- Mozilla Foundation Security Advisory 2006-73 (деталі)
- Mozilla Foundation Security Advisory 2006-74 (деталі)
- Mozilla Foundation Security Advisory 2006-75 (деталі)
- Mozilla Foundation Security Advisory 2006-76 (деталі)
Понеділок, 18:57 15.01.2007
А почему с запазданием в 1 месяц?
Вівторок, 14:24 16.01.2007
Хряк, майже на місяць (трохи менше, інформація на security.nnov.ru була опублікована 20.12.2006, а я про неї написав 14.01.2007). Про численні уразливості в Mozilla Firefox я написав ще в минулому місяці (відносно оперативно), а от з цією новиною вийшла затримка.
Насправді подібні випадки мають місце в мене на сайті. І якщо з новинами я намагаюся впорятися більше менш оперативно і опублікувати з мінімальними затримками. То наприклад інформація про уразливості на сайтах (як ти можеш побачити), про які я згадую кожного дня, то зараз я публікую дані анонси десь через 2 (а то і через 2,5) місяці після знаходження самих дір. Тобто затримка чимала, і вона тільки зростає.
Загальний потік інформації на тему безпеки дуже великий, і він постійно тільки зростає, що я просто не встигаю все публікувати, тому й регулярно мають місце затримки з публікаціями, і часто інформація розміщується з запізненням на місяць (а нерідко і більше).