Firefox wymaga łatania

Tom Ferris, niezależny specjalista ds. zabezpieczeń poinformował o wykryciu groźnej luki w zabezpieczeniach Firefoksa, umożliwiającej wywołanie błędu przepełnienia bufora i zdalne przejęcie kontroli nad zaatakowanym systemem. Błąd występuje w większości popularnych wersji Firefoksa - w tym również w udostępnionej w piątek pierwszej becie Firefoksa 1.5.

Problem polega na tym, że Firefox nieprawidłowo obsługuje długie odnośniki URL, zawierające w sobie myślniki. Dzięki temu możliwe jest stworzenie adresu URL, który spowoduje błąd przepełnienia bufora. Ferris stworzył nawet specjalną stronę demonstracyjną - aczkolwiek ograniczył jej destrukcyjny potencjał do zawieszania przeglądarki. Szczegółowe informacje na ten temat można znaleźć na stronie Security-protocols.com.

Na taki atak podatna jest przeglądarka Firefox dla systemu Windows (1.0.x) oraz Linux (1.0.x). Co więcej, błąd występuje również w udostępnionej wczoraj pierwszej wersji beta Firefoksa 1.5 (beta 1 Deer Park).

O problemie zostali już poinformowani przedstawiciele Mozilla Foundation.

Aktualizacja: 12 września 2005 06:54
Programiści z Mozilla Foundation przygotowali uaktualnienie oraz instrukcję, które ułatwiają użytkownikom wyłączenie niepoprawnie działającej funkcji Firefoksa (chodzi o IDN - czyli funkcję umożliwiającą otwieranie w przeglądarce stron, w których adresach użyte są diakrytyczne znaki narodowe) - można je znaleźć na stronie http://www.mozilla.org/security/idn.html . Przedstawiciele MF potwierdzili również, że na opisany przez Toma Ferrisa atak podatne są wszystkie wersje przeglądarki Mozilla Firefox.

Fundacja pracuje już nad uaktualnieniem, które usunie problem - nie wiadomo jednak na razie, kiedy zostanie ono udostępnione.
Dołącz do dyskusji
Bądź pierwszy i zostaw komentarz.