Обновлено: Firefox 2.0: новая уязвимость17.07.2007 20:12

Обновлено: Firefox 2.0: новая уязвимостьКомпания Secunia сообщает об обнаружении новой критической уязвимости  в браузере Mozilla Firefox версий 2.0.х. Проблема заключается в том, как Firefox обращается с регистрацией URI  "firefoxurl://", через которую атакующий может получить доступ к командной строке браузера. Тестирование проводилось на Firefox 2.0.0.4 в системе Windows XP SP2 с последними обновлениями. Отмечается, что в равной степени уязвимость касается и Internet Explorer.

Так как со стороны Mozilla еще не выпущен соответствующий патч, Secunia настоятельно рекомендует избегать подозрительные сайты. Уязвимость уже была публично раскрыта, поэтому пользователям Firefox остается только надеяться на оперативность Mozilla. Владельцы же Internet Explorer оказались в более затруднительном положении – "вторник патчей" уже вышел, следующее обновление безопасности появится лишь через месяц. А выпуск внеочередных "заплаток" Microsoft осуществляет крайне редко и только в чрезвычайных случаях. 

Обновление:

Небольшое уточнение – уязвимость не в равной степени касается браузеров, а работает только при их одновременном наличии. Атака первоначально производится на Internet Explorer и далее заставляет Firefox запускать на исполнение произвольный вредоносный код Java. Secunia и многие другие антивирусные компании уже обновили сигнатуры, но источники проникновения – Firefox и IE – рискуют остаться без соответствующих патчей.

Microsoft заявила, что вся ответственность лежит на Frefox и неумении этого браузера корректно работать с URI. Поэтому Microsoft не намерена выпускать никаких "заплаток" для IE. В свою очередь Mozilla не стала ни на кого перекладывать ответственность, а просто посоветовала пользователям быть более внимательными при посещении неизвестных участков Интернета. По сведениям компании, несмотря на публичное раскрытие метода осуществления атаки, он до сих пор нигде не был применен. Чуть позже выяснилось, что Mozilla решила не строить из себя разработчика "супербезопасного" браузера и исправит ошибку в Firefox 2.0.0.5.

©  TechLabs