Перейти к содержанию

Mozilla опередила Apple и Microsoft по скорости закрытия уязвимостей, раскрытых на Pwn2Own

Евгений Малинин

От Евгений Малинин
в Новости и события со всего мира

 Share

Рекомендуемые сообщения

Евгений Малинин Ветеран

Евгений Малинин

Опубликовано
Опубликовано

Mozilla закрыла критическую уязвимость в Firefox, за обнаружение и эксплуатацию которой немецкий исследователь под ником Nils получил на хакерском конкурсе Pwn2Own приз в размере 10 тысяч долларов.

 

Как и год назад, Mozilla первой среди разработчиков браузеров устранила баг, продемонстрированный на Pwn2Own. И если в 2009 году компании потребовалось на это 10 дней, то на сей раз брешь была закрыта всего через 8 дней после демонстрации ее наличия.

 

В руководстве к релизу Firefox 3.6.3 разработчики сообщают, что критическая уязвимость в данном веб-обозревателе появляется вследствие преднамеренной порчи содержимого оперативной памяти. По четырехбалльной шкале угроз Mozilla этот баг заслужил высшей оценки.

 

Стоит отметить, что Nils скомпрометировал Firefox 3.6.2 – версию браузера, выпущенную всего за два дня до начала соревнований, причем сделал он это на 64-битном варианте ОС Windows 7, сумев обойти также технологии предотвращения выполнения данных (DEP) и рандомизации адресного пространства (ASLR).

 

За свои труды он получил от спонсора конкурса, компании 3Com TippingPoint, 10 000 долларов. Tipping Point взамен приобрела права на эксплоит, сведения о котором были переданы Mozilla. Такая практика позволяет разработчикам пропатчить баги еще до того, как информация о них будет опубликована в Сети. Исследователи, взломавшие Apple Safari и Microsoft Internet Explorer 8, также выиграли по 10 000 долларов.

 

По данным Mozilla, эксплоит, который показал Nils, работает только на Firefox ветки 3.6, однако в ближайшее время аналогичное обновление будет выпущено и для Firefox 3.5 – на тот случай, если кто-то найдет альтернативный способ эксплуатации обнаруженного бага. Отметим, что Firefox 3.5.9, считавшийся последним релизом данной ветки, был выпущен в прошлый понедельник.

 

Что касается Apple и Microsoft, то оба этих технологических гиганта еще не обнародовали планов по выпуску соответствующих патчей, несмотря на то, что старший менеджер Microsoft Security Response Center Джерри Брайант признал факт получения специалистами компании деталей об уязвимости в Internet Explorer 8.

 

Стоит отметить, что в прошлый вторник компания Microsoft пропатчила 10 других брешей в Internet Explorer, среди которых была и та, что в последние несколько недель широко использовалась злоумышленниками. Растущее число атак заставило компанию вне графика и намного раньше срока выпустить патч, изначально запланированный на 13 апреля.

 

© http://www.xakep.ru/post/51686/default.asp

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • KL FC Bot
      Уязвимости SLAP и FLOP в процессорах Apple | Блог Касперского
      От KL FC Bot
      Интересную атаку, точнее, сразу две атаки с использованием двух разных уязвимостей в процессорах Apple, недавно продемонстрировали исследователи из университетов Германии и США. Представьте себе, что кто-то присылает вам ссылку в чате. Вы открываете ее, и там на первый взгляд нет ничего подозрительного. Никто не просит ввести ваш пароль от рабочей почты, не предлагает скачать сомнительный файл. Возможно, на странице даже есть что-то полезное или интересное. Но пока вы это полезное просматриваете, скрытый код читает информацию из соседней вкладки браузера и таким образом узнает, где вы находитесь в данный момент, что вы в последний раз покупали в популярном интернет-магазине, или, например, похищает текст электронного письма.
      Описание атаки выглядит достаточно просто, но на самом деле речь идет о сложнейшей атаке, эксплуатирующей особенности так называемого спекулятивного выполнения инструкций процессором.
      Подождите, но мы это уже где-то слышали!
      Действительно, по своему принципу новые атаки напоминают различные варианты атак типа Spectre, эксплуатирующих другие, хотя отчасти похожие уязвимости в процессорах Intel и AMD. Мы писали об этих атаках раньше: в 2022 году, через 4 года после обнаружения самой первой уязвимости Spectre, мы пришли к выводу, что реального, простого и действенного метода эксплуатации этих уязвимостей нет. Использовать свежеобнаруженные проблемы в чипах Apple также непросто, но есть важное отличие: исследователи в новой работе сразу предлагают достаточно реалистичные варианты атак и доказывают их возможность. Чтобы разобраться, насколько опасны данные уязвимости, давайте коротко, и не вдаваясь в дебри сложного научного исследования, повторим основные принципы всех подобных атак.
       
      View the full article
    • Kaspersky User
      Mozilla Firefox
      От Kaspersky User
      Привет всем! Сегодня Download Master показал новость, что вышел Firefox 4 (релиз). Я скачал, установил и лиса заявляет, что работа Анти-Баннера и модуль проверки ссылок Касперского не совместимы с ней и заявила, что она не согласна с ними дружить. Это как понимать? Зачем разработчики мозиллы так сделали то а?

      Сообщение от модератора Mark D. Pearlstone Тема перемещена из раздела "Компьютерная помощь".
    • OlegGS
      Установка требуемых обновлений и закрытие уязвимостей
      От OlegGS
      Здравствуйте.
      Для обновления Windows в политике Агента администрирования настроено - "Запретить устанавливать обновления Центра обновления Windows"
      Здесь описано "Пользователи не могут устанавливать обновления Центра обновления Windows на своих устройства вручную. Все применимые обновления устанавливаются в соответствии с настройкой, заданной администратором."
       
      Задача "Установка требуемых обновлений и закрытие уязвимостей" в ключена с настройками в приложенном файле.
       
      Задача для всех устройств "висит" в статусе "Ожидает выполнения".
       
      Почему? Помогите разобраться, настроить.

    • Mason19
      Учетная запись microsoft и сведения о местоположении.
      От Mason19
      Приветствую. Понадобилось обновить сведения о железе ПК на сайте microsoft, так как изменилась конфигурация было 16 ГБ, стало 32, на сайте по прежнему отображалось как 16 ГБ.
      Решив что правильнее будет удалить ПК и добавить его заново, (на самом ПК был выполнен вход под локальной учетной записью), вот только после добавления ПК заново на сайт microsoft, он требует чтобы эта учетная запись (учетная запись microsoft) была включена постоянно, иначе ПК пропадает из списка устройств на сайте, как только входишь под локальной учеткой. Попробовав решить эту проблему через включения местоположения, результата естественно не дало, только теперь добавилась еще одна проблема не получается очистить сведения о последнем местоположении это функция поиск устройства на сайте.
    • qvotop
      Падает скорость интернета при открытии кс2
      От qvotop
      Здравствуйте. Есть такая проблема, что, когда открываю кс2, падает скорость интернета. Проблеме уже 4 месяца. В кс2 я нахожусь в лобби, то есть практически не нагружаю сеть. Я замерил скорость интернета в соседней комнате при закрытой кс2 - 42мбит/с. При открытой - 20мбит/с. Если я её сверну (а не закрою), измерю скорость интернета, то скорость будет 42мбит/с. А если разверну, то скорость придёт в норму (42мбит/с), но ненадолго, через какое время точно сказать не могу, но то что она через время опять падает факт (потому что при игре в кс2 у другого человека в соседней комнате плохо грузит интернет, хотя в той сессии игры, при которой у человека был плохой интернет, я точно сворачивал и разворачивал игру( я это пишу к тому, что сворачивание не лечит проблему)). Я проверял нагрузку на сеть через диспетчер задач и монитор ресурсов при такой аномалии, но нигде скачков интернета не было. Прогонял пк через антивирус, но он ничего не нашёл. Создавал такую же тему в другом разделе ( 
       ) ,сказали что здесь помогут
×
×
  • Создать...