Датская фирма Secunia еще в прошлом месяце распространила инструкцию по безопасности, в которой черным по белому было написано о существовании критической уязвимости в браузере Firefox 3.6, однако компания Mozilla буквально до последнего момента отрицала даже возможность столь серьезного прокола в своем детище. Теперь же на официальном сайте компании можно ознакомиться с информацией, согласно которой уже в следующую версию браузера Firefox 3.6.2, выход которой запланирован на 30 марта, будет включен патч, устраняющий уязвимость.
В начале февраля этого года российский исследователь, основатель московской фирмы InteVyDis, Евгений Легеров выпустил рабочий эксплойт, который позволял удаленно запускать произвольный код на компьютере с браузером Firefox 3.6. на базе Windows XP SP3 и Windows Vista. Интересно, что код эксплойта включили в программу VulnDisco, являющуюся расширением платного инструментария Immunity Canvas, созданного для имитации кибератак. Кстати, Легеров придерживается политики, согласно которой его компания не обязана уведомлять разработчиков о найденных «дырах» в их программах до публикации кода эксплойта, так что для Mozilla эта новость стала столь же неожиданной, как и для остального мира. По словам главы компании InteVyDis, практика уведомления поставщиков об обнаруженных уязвимостях является эквивалентом бесплатной работы.
После публикации доклада Secunia, Mozilla прокомментировала эту информацию как беспочвенные слухи на том основании, что ими не было получено никаких сведений на этот счет, именно поэтому Secunia обвинили в распространении ложных данных. Однако уже 19 марта в Security blog Mozilla подтвердила, что проблема безопасности оказалась весьма реальной. «Уязвимость была признана критической и может привести к удаленному выполнению кода злоумышленников. Уязвимость была исправлена разработчиками, и мы в настоящее время проводим испытания патча, устраняющего ошибку», - заявляют в компании.
В Secunia также посчитали своим долгом отреагировать на ситуацию: «Мы считаем, что Евгений Легеров является надежным источником информации, он уже сотрудничал с нами в ряде случаев, когда возникала необходимость получения дополнительных сведений в ходе осуществляемой нами проверки. Кроме нас, Легеров сотрудничает и с другими игроками в отрасли безопасности и программного обеспечения. До этого момента он ни разу не дал нам повод усомниться в его квалификации, а потому мы и далее будем продолжать рассматривать его сообщения о найденных уязвимостях как заслуживающие доверия».
22.03.2010
15
Комментарии
(9)
Обсуждение
serial написал(а):
Поставить Линукс!!! Ха-ха-ха. Линукс это система для извращенцев! 5 лет назад все говорили будущие за линуксом виндовс макздай, висла самая глючная система! А тепер посудите с хп до виндовс 7 пройшло 7 лет за это время можно было сделать линукс с нормальным интерфейсом и с нормальной поддержкой оборудования но что сегодня, по статистике сейчас в мире на 2-3% компов линукс.
rachehan36 написал(а):
.... несогласен с тобой нужно поставить линукс и все будет ока и поставить норм защиту
Линукс тоже не панацея, хотя, согласен, защищён он гораздо лучше.
Кстати, в большинстве дистров Линукса дефолтным браузером является все тот же Огнелис. Правда, в Лине его дыры вряд ли вызовут такие серьёзные последствия, как в Винде.
А браузеры дырявые абсолютно все, и самый безопасный из них тот, в котором эти дыры быстрее обнаруживают и заделывают.
ferera написал(а):
Да конечно обидно за мозилу, я всегда считал что это самый сильный браузер, но теперь я и не знаю(
А ты думаешь, в других браузерах дыр нет ?
Их там ещё больше. Просто тот, кто их уже нашёл, тот эти дыры потихоньку юзает и молчит.
А в мозиле раз нашли, значит заделают.
сполне с тобой соглан в нашем мире нету стабильного ничего
несогласен с тобой нужно поставить линукс и все будет ока и поставить норм защиту
pile написал(а):
Да конечно обидно за мозилу, я всегда считал что это самый сильный браузер, но теперь я и не знаю(
А ты думаешь, в других браузерах дыр нет ?
Их там ещё больше. Просто тот, кто их уже нашёл, тот эти дыры потихоньку юзает и молчит.
А в мозиле раз нашли, значит заделают.
сполне с тобой соглан в нашем мире нету стабильного ничего
gerra написал(а):
залатали дырки уже и выпустили обновление класс
Bsaa написал(а):
как всегда дыры дыры и еще раз дыры
slonyara написал(а):
[quote
в других браузерах дыр нет ?
Их там ещё больше. Просто тот, кто их уже нашёл, тот эти дыры потихоньку юзает и молчит.
А в мозиле раз нашли, значит заделают.
[/quote]
Согласен, во всем что только выпускается есть свои недостачи, ведь для этого потом будут делать доработки и люди будут качать а то и покупать)
в других браузерах дыр нет ?
Их там ещё больше. Просто тот, кто их уже нашёл, тот эти дыры потихоньку юзает и молчит.
А в мозиле раз нашли, значит заделают.
[/quote]
Согласен, во всем что только выпускается есть свои недостачи, ведь для этого потом будут делать доработки и люди будут качать а то и покупать)
