Aggiornamento Firefox è veramente diventando un trend. Solo un mese dopo la recente aggiornamento vi è nuova emissione degli strumenti finanziari con Mozilla Firefox. Spremitura bug del browser è un noioso faccende per gli sviluppatori di Mozilla. Quindi gloria per la loro rapida risposta.
Ultimo aggiornamento consente di risolvere vari titoli buchi e patchato il famoso bug di corruzione della memoria. Anche con questa nuova release di Mozilla Firefox è buttare via tutto il supporto per Mozilla Firefox versione 1.5.0.x. Quindi, qualsiasi utente con versione precedente è incoraggiare ad aggiornare il loro browser.Vulnerabilità conosciute dalla lista MFSA
- MFSA 2007-36 con URI non valido% codifica mishandled da Windows
- MFSA 2007-35 XPCNativeWrapper inquinamento utilizzando script oggetto
- MFSA 2007-34 Possibile rubare file tramite il protocollo sftp
- MFSA 2007-33 XUL pagine può nascondere la finestra del titolo
- MFSA 2007-32 file di input concentrarsi rubare vulnerabilità
- MFSA 2007-31 Browser richiesta l'autenticazione digest scissione
- MFSA 2007-30 onUnload Tailgating
- MFSA 2007-29 va in crash con la prova della corruzione della memoria (rv: 1.8.1.8)
Uri protocollo abuso
Il mese scorso Billy Rios, Nate McFeter e Raghav "il Papa" Dube scoperto l'exploit sulla esecuzione dei comandi da remoto in Firefox con gli indirizzi in notazione URI handler di protocollo
Estratto da Billy Ross's
Ancora una volta, questi carichi utili URI può essere superato dalla mailto, NNTP, notizie, e sNews URI, che ci permette di passare il carico utile senza alcuna interazione da parte dell'utente. Quindi, sembra che, sebbene le condizioni che hanno permesso di esecuzione dei comandi da remoto in Firefox 2.0.0.5 sono state affrontate con una patch di protezione, il tipo di file sottostanti manipolazione questioni che sono veramente il cuore della questione non sono stati affrontati.
Si può leggere di più su questo tema a Billy Ross's blog - Firefox gestione dei file mali.
Che diavolo è XPCNativeWraper inquinamento?
Bugzilla titolo può essere dannata confusione. MFSA 2007-35 - "XPCNativeWrapper inquinamento utilizzando script oggetto" - la sua stessa vulnerabilità dal precedente aggiornamento su Firefox 2.0.0.5. ATM Mozilla ha chiuso (ho rimosso il link 404) tutte le informazioni in merito a questo problema (si scopre tutti i riferimenti al passato ritorno 404: (). Così ho dovuto digg ridurre ulteriormente sulla ISS X-Force e CVE per maggiori informazioni in merito a questa sfruttare.
Mozilla Firefox potrebbe consentire ad un attaccante remoto di eseguire codice arbitrario sul sistema, causato da un errore non specificato connessi al trattamento di XPCNativeWrapper. Un utente malintenzionato potrebbe sfruttare questa vulnerabilità per eseguire codice arbitrario sul sistema colpito o causare un Denial of Service, se l'utente malintenzionato potrebbe convincere una vittima a visitare una pagina Web dannoso o aprire un e-mail HTML dannoso.
Penso che questa sia la questione più importante per il nuovo rilascio. Perché ogni ricerca su Mozilla rivelarsi 404 e privati. Spero che qualcuno può spiegare in modo più approfondito.
Pref impostazione per evitare dannosi sfruttare URI
Ho trovato questo frammento di codice da uno dei regolari commenter a Billy Ross's blog. Potrebbe essere necessario testa su Mozilla prefs guida prima di applicare l'hack di seguito.
Preferenze impostazioni di Firefox (pref.js)
Questa impostazione sarà gettare uno di Firefox conferma prima di aprire la scatola esterna applicazioni di terze parti (ad esempio Thunderbird, Outlook). In questo modo si può evitare di tutti i programmi in fase di lancio senza permesso. Esempio: mailto link (vale a dire: billgates@microsoft.com).
user_pref ( "network.protocol-handler.warn-external.mailto", true); user_pref ( "network.protocol-handler.warn-external.news", true); user_pref ( "network.protocol-handler.warn-external.nntp", true); user_pref ( "network.protocol-handler.warn-external.snews", true);
Simon dice, sia una colpa
E 'sembrare di Mozilla Firefox è proprio come piace colpevole di Microsoft per trasferire dati a pericolose applicazioni di terze parti. Firefox dovrebbe avere registrato il proprio gestore di URL e DDE, invece di basarsi su Microsoft.
Stesso con Apple (QuickTime proprio Firefox).
Link correlati
Divieto Kaizeku
Tanti piani di male, così poco tempo ...
Mozilla Firefox 2.0.0.8 aggiornamento critico - Windows proprie Firefox
A proposito di questo articoli
"scrivere come se si trattasse di parlare di un buon amico (di fronte a tua madre)."
. Dite la vostra
Disclaimer: Per qualsiasi contenuto che si posta, si dichiara di concedere Kaizeku Ban il titolo gratuito, irrevocabile, perpetuo, esclusivo e pienamente sublicensable licenza di utilizzare, riprodurre, modificare, adattare, pubblicare, tradurre, creare opere derivate, distribuire, eseguire e visualizzare tali contenuti in tutto o in parte, in tutto il mondo e di incorporare in altri lavori, in qualsiasi forma, media o tecnologia attualmente conosciuta o sviluppata successivamente. Alcuni diritti riservati.
Una risposta a "Mozilla Firefox 2.0.0.8 Aggiornamento critico - Windows proprie Firefox"
Commento pagina 1 di 1
Rispondere
Se si desidera commentare, si prega di leggere le seguenti linee guida. Queste sono progettate per proteggere voi e gli altri utenti del sito.
Al fine di mantenere queste esperienze divertente e interessante per tutti i nostri utenti, ti chiediamo di seguire le guidlines sopra. Sentiti libero di impegnarsi, porre domande, e dirci cosa stai pensando! penetranti commenti sono la maggior parte ha accolto con favore.
RSS feed per i commenti a questo post