На главную страницу AlgoNet В сотрудничестве с ZDNet
АРХИВ СТАТЕЙ 2005-9-15 на главную / новости от 2005-9-15
AlgoNet.ru
поиск

 

Место для Вашей рекламы!

 

Все новости от 15 сентября 2005 г.

Новые релизы Firefox и Mozilla устранят вскрывшиеся дефекты

Mozilla Foundation планирует выпустить новые версии своих веб-браузеров Firefox и Mozilla, чтобы устранить недавно обнаруженный серьезный баг и еще ряд ошибок.

Решение о выпуске новых, так называемых точечных релизов было принято после того, как на прошлой неделе обнаружилась проблема, связанная со способом управления международными именами доменов (IDN). Она приводит к тому, что злоумышленники могут тайно исполнять вредоносные программы на компьютерах пользователей. Известно, что хакеры уже работают над эксплойтами.

«Как только мы узнали об этом, мы сразу начали оценивать варианты, — рассказывает технический директор Mozilla Foundation Майк Шрепфер. — Скоро выйдут версии Firefox 1.0.7 и Mozilla 1.7.12 с исправленной ошибкой IDN. Мы постараемся выпустить их как можно быстрее». Кроме бага IDN, в новых версиях будет исправлена одна функциональная ошибка и ряд проблем безопасности, о которых еще не сообщалось.

Mozilla Foundation быстро отреагировала на поступившее на прошлой неделе сообщение о баге IDN и в 24 часа представила временную поправку. Однако эта поправка отключает поддержку IDN, а обновления, которые сейчас тестируются, действительно исправят ошибку и восстановят поддержку IDN, пообещал Шрепфер. Адреса IDN и раньше доставляли Mozilla неприятности. Вышедшая в феврале поправка для Firefox исправляла дефект, позволявший отправлять пользователя на подложные сайты с использованием специальных доменных имён.

Пока Mozilla Foundation и сообщество open source работают над исправлением бага IDN, обнаруживший его секьюрити-эксперт сообщил еще об одной проблеме Firefox. В среду Том Феррис рассказал, что в Firefox1.5 beta 1 существует проблема IDN, аналогичная той, которую он вскрыл на прошлой неделе.

Еще одна уязвимость Firefox?
Даже с поправкой, запрещающей IDN, в Firefox 1.5 beta 1 присутствует ошибка переполнения буфера, пишет Феррис на своем веб-сайте Security Protocols.

Версия Firefox 1.5 beta 1 вышла на прошлой неделе, а выпуск браузера Firefox 1.5 планируется на конец года. По словам Шрепфера, Mozilla Foundation изучает последнее сообщение Ферриса. «Пока мы не уверены, существует ли эта уязвимость на самом деле», — сказал он. Проблема проявляется только в бета-версии, которая, по данным Шрепфера, разошлась примерно в 500 тыс. копий.

В последние годы популярность браузера open source Firefox растет, и он становится весомой альтернативой Microsoft Internet Explorer. Хотя в последнее время его доля рынка слегка уменьшилась, аналитики оценивают количество пользователей Firefox в 8-9%.

Безопасность считалась главным преимуществом Firefox по сравнению с Internet Explorer. Однако у этого браузера обнаружились свои слабые стороны. С момента официального выпуска Firefox был вскрыт целый ряд серьезных пробелов в защите, и эксперты утверждают, что безопасных веб-браузеров не существует. 

 Предыдущие публикации:
2005-07-20   Mozilla: IE 7 даст толчок росту популярности Firefox
2005-07-28   Firefox загрузили 75 млн раз
 В продолжение темы:
2005-09-20   Symantec: браузеры Mozilla более уязвимы, чем IE
2005-11-10   Firefox отметил свою первую годовщину в Сети
Обсуждение и комментарии
Amazon - tuchafromru.com
15 Sep 2005 7:20 PM
Товарищь переводчик опять допустил странную ошибку, вроде той, что была в переводе статьи про выход новой Оперы - напомню, там слово Iceland (Исландия, в оригинале так же написанное с заглавной буквы) было переведено как остров (island).
На этот раз у автора вызвало затруднение слово spoofing. Напомню, в оригинале статьи фраза выглядела следующим образом:
A Firefox security update in February fixed a flaw that would allow domain spoofing using the special domain names.

Речь в данном случае шла о давно закрытой некритической уязвимости, позволяющей, используя имена IDN, направить пользователя на сайт мошенников с именем, неотличимым от оригинального доменного имени. Такого рода поведение (подмена адреса) называется спуфингом (spoofing) и не имеет ни малейшего отношения к шпионажу, но может с успехом применяться при фишинге (phishing) - заманивании пользователя на подножный вэб-сайт, неотличимый, скажем, от сайта известного интернет-магазина, с целью получения номеров кредитных карт и другой конфеденциальной информации. Цитирую оригинал февральской статьи:

The IDN vulnerability allowed an attacker to create a fake Web site on a non-Microsoft browser in order to pull off a phishing scam. A spoofed link would seem to be a legitimate URL in the address bar of affected browsers. But instead of taking the victim to the trusted site, the link would lead to a phony Web site with a domain rendered as the same address under the IDN process.

Так что предлагаю заменить фразу "позволявший шпионить за доменами с использованием специальных имен." на "позволявший отправлять пользователя на подложные сайты с использованием специальных доменных имён."
 

Редакция - orgzdnet.ru
16 Sep 2005 8:55 AM
Спасибо.
 

Amazon
16 Sep 2005 3:45 PM
Всегда пожалуйста.
 

Bill Gates - billmicrosoft.com
17 Sep 2005 4:38 AM
Редакция, публикуйте пожалуста больше статей про опенсорс, мне нужно следить за конкурентами....
 

 

← август 2005 9  12  13  14  15  16  19  20  21 октябрь 2005 →
Реклама!
 

 

Место для Вашей рекламы!