Kolejny DoS exploit dla Firefoksa 3.6 oraz Opery 10.10

Ukazały się informacje o nowej luce odkrytej w przeglądarkach Mozilla Firefox 3.6 oraz Opera 10.10. Odkrywca luki opublikował również odpowiedni exploit, pozwalający na zdalne zakłócenie pracy tych dwóch popularnych przeglądarek internetowych. Z punktu widzenia końcowego użytkownika, atak powoduje nieodwracalną utratę kontroli nad przeglądarką (ang. Denial of Service) oraz potencjalną utratę danych edytowanych w trybie online.

Asheesh kumar Mani Tripathi odkrył w Firefoksie 3.6 oraz Operze 10.10 błąd obecny w funkcji document.write(). Luka pozwala intruzowi na zdalne wymuszenie (poprzez zwabienie użytkownika na specjalnie spreparowaną stronę internetową) awaryjnego zakończenie pracy samej przeglądarki. Przygotowany przez HARD CORE SECURITY LAB, przykładowy exploit Proof of Concept można pobrać pod tym adresem. Uwaga! Ta specjalnie spreparowana strona internetowa, po jej otwarciu w przeglądarce Firefox 3.6 lub Opera, spowoduje po kilku sekundach awarię programu.

Warto przy okazji przypomnieć, że Asheesh opublikował niedawno kilka innych exploitów, wykorzystujących inne odkryte przez niego luki w Internet Explorerze 8 oraz Firefoksie 3.6.

Mamy więc kolejny dowód na to, że niezależnie od rodzaju używanej przeglądarki internetowej, nigdy nie możemy liczyć na w pełni stabilną oraz bezpieczną pracę. Warto również zauważyć, że przed powyższym zagrożeniem może nas ustrzec popularny dodatek NoScript.

Materiał pochodzi z serwisu HARD CORE SECURITY LAB.

żadnych reklam, sama wiedza.

Zarejestruj się na BEZPŁATNY NEWSLETTER i raz w tygodniu otrzymuj najważniejsze wiadmości
ze świata IT, nowych technologii i kryptowalut.

Bez reklam.

  1. Awatar Najek
    Najek

    Strasznie dziurowy ten lisek ostatnio, na dodatek wolny 🙁 W zasadzie nie ma tygodnia bez dziury w Fx.

    1. Awatar Ło$
      Ło$

      Noo… za niedługo trzeba będzie przesiąść się na IE albo jakąś inną przeglądarkę bez dziur 😉

    2. Awatar pjure efil
      pjure efil

      strasznie dziurawa ta opera, na dodatek wolna. W zasadzie nie ma tygodnia bez dziury w Operze. A teraz wstaw w miejsce opery dowolną przeglądarkę.

  2. Awatar lordmorgul
    lordmorgul

    Czekałem dobre pięć minut (Opera 10.10 b4742, openSUSE 11.2) i nic się nie stało. Jakiś dziwny ten exploit.

    1. Awatar mby7930
      mby7930

      Wygląda na to, że exploit działa tylko na Windowsach.

      1. Awatar hind
        hind

        Pod winXP na FF3.7 działa (testowane)

  3. Awatar morbit
    morbit

    Nie udało mi się zawiesić Opery 10.10 pod FreeBSD, Firefox 3.6 podwiesza się do około 90% WCPU, potem wraca do normalnej pracy.

    1. Awatar Ajnsztajn
      Ajnsztajn

      No właśnie słaby ten eksploit pod Firefoksa. Zacina go, owszem, ale tylko na kilkanaście sekund – po czym wszystko wraca do normy. Oczywiście cieszę się, jak i to załatają, ale nie widzę żeby był jakiś bardzo niebezpieczny.

  4. Awatar maciek
    maciek

    Te opowieści o DoS exploitach są już nudne.

    1. Awatar Najek
      Najek

      Ale te dotyczące o exploitów na Fx, Chorme, Opere czy na IE?

  5. Awatar marcinsud
    marcinsud

    no dobra tylko, że strona przygotowana przez hcsl.pl albo nie ma wymuszać awaryjnego zamknięcia przeglądarki, albo nie działa jak należy, bo u mnie firefox przestał odpowiadać na jakieś 3 sekundy po czym przeglądarka zaczęła pracować normalnie.

  6. Awatar Lashlo
    Lashlo

    Jakiś sztucznie napompowany ten błąd. Już chyba z wszystkich błędów przeglądarek ludzie robią tragedię.

    Pod Linux + Opera nic się nie dzieje, chyba jednak istnieją przeglądarki bezpieczniejsze od innych 😛

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *