Mozilla Firefox 3: обманутость ожиданий.

В Mozilla Firefox 3.0.1 обнаружены множественные уязвимости различного характера.

1. Ошибка в функционале JavaScript по перемещению и изменению размеров объектов может быть использована для того, чтобы вынудить пользователя нажать на кнопку, которую он не предполагал нажимать. Таким образом, атакующий может загрузить произвольную веб-страницу либо вредоносный файл.
2. Множественные ошибки могут быть использованы для "загрязнения" "XPCNativeWrappers" и запуска произвольного сценария с привилегиями Chrome.
3. Множественные ошибки в "XSLT" и "document.loadBindingDocument()" при создании документов могут быть использованы для запуска произвольных сценариев с привилегиями Chrome.
4. Множественные ошибки в раскладке и движках JavaScript могут быть использованы для повреждения памяти. Возможно выполнение произвольного машинного кода.
5. Две ошибки в реализации системы обработки (рендеринга) изображений могут быть использованы для вызова аварийного завершения приложения и выполнения произвольного машинного кода.
6. Ошибка в движке рендеринга изображений может быть использована для вызова аварийного завершения приложения и выполнения произвольного машинного кода.
7. Ошибка при обработке символов BOM, включенных в JavaScript-код, может быть использована для обхода фильтрации сценариев и CSS/XSS.
8. Множественные ошибки в реализации протокола "resource:" могут быть использованы для атак типа обратного пути в директориях и раскрытия информации.

Весьма неприятная сиутация подогревается сообщениями о гредущих совершенно новых методах взлома и бессильности большинства антивирусных продуктов, да и на фоне провалившейся авсолютно защищенной Windows Vista - это сообщение не радует... Все перечисленные уязъвимости исправлены в Mozilla Firefox 3.0.2


---28.09.2008 by E^D_713---

При написании данной статьи была использована информация с сайта www.safe.cnews.ru