Wykryto pierwszą dziurę w Firefox 1.5

W Sieci pojawiły się pierwsze doniesienia o luce w niedawno opublikowanym Firefoksie 1.5. Jak informuje SANS Institute, wykorzystując niedociągnięcia przeglądarki, można doprowadzić do przepełnienia bufora i przeprowadzić atak typu DoS.

Plik History.dat przechowuje różne informacje na temat odwiedzanych stron. Wystarczy stworzyć witrynę WWW z odpowiednio długim opisem zawartości strony, by doprowadzić do awarii Firefoksa. Po wejściu na taką stronę przeglądarka odmówi współpracy i, co gorsza, nie będzie możliwe jej ponowne uruchomienie, dopóki nie usuniemy pliku History.dat.

Mozilla Foundation nie opublikowała jeszcze odpowiedniej łaty. Możliwe jest jednak tymczasowe zabezpieczenie się przed atakiem. W tym celu należy w menu Narzędzia->Opcje->Prywatność->Historia ustawić wartość 0 dla liczby dni, przez jakie Firefox ma przechowywać historię odwiedzanych stron. Innym sposobem jest wyedytowanie pliku Prefs.js i dopisanie linii user_pref("capability.policy.default.HTMLDocument.title.set","noAccess"). Można również pobrać niewielki program NoScript, który zezwoli wykonywanie skryptów jedynie z zaufanych witryn.

John Bambenek, który informuje o dziurze, obawia się, że można ją wykorzystać do przeprowadzenia groźniejszego ataku niż DoS.

Wersja do druku

09.12.2005 r.

BSA podlicza piratów, 12:10

nVidia: już niedługo układ G71, 12:08

09.12.2005 r.

Toshiba wyprodukowała 32-nanometrowy tranzystor, 12:14

11.12.2005 r.

Microsoft obniża ceny na palmtopy, 9:33