Krytyczne błędy w Firefoksie 1.0.3 - są już exploity!

Pojawiły się exploity wykorzystujące krytyczne błędy we flagowej przeglądarce Mozilla Foundation - Firefoksie. Błędy zostały ujawnione przez FrSIRT, w chwili obecnej nie istnieją dla nich łaty. Wystarczy jedno kliknięcie na specjalnie spreparowanej stronie, by na komputerze użytkownika wykorzystującego przeglądarkę Mozilli został uruchomiony dowolny kod.

Problem dotyczy nie tylko starszych wersji przeglądarki, ale również najnowszego Firefoksa 1.0.3. Aby jednak możliwe było jego wykorzystanie, strona ze złośliwym oprogramowaniem musi być wymieniona w spisie witryn, z których dozwolone jest instalowanie uaktualnień i pluginów. Domyślnie spis ten jest pusty albo znajdują się w nim adresy http://update.mozilla.org oraz http://addons.mozilla.org.

Przez pierwsze kilka godzin po informacji o błędzie niebezpieczne było samo posiadanie listy zaufanych witryn. Jednak dzięki błyskawicznej reakcji Mozilla Foundation i modyfikacji serwisu Mozilla Update, użytkownicy mający w "Allowed sites" wyłącznie dwie wymienione powyżej strony nie muszą się niczego obawiać.

Listę zaufanych witryn można obejrzeć klikając: Edit -> Preferences -> Web Features -> Allowed sites (systemy uniksowe) lub Tools -> Options -> Web Features -> Allowed Sites (Windows).

W mającej się wkrótce pojawić wersji 1.0.4 błędy prawdopodobnie zostaną naprawione.

Aktualizacja: 12 maja 2005 11:16

Mozilla Foundation zareagowała błyskawicznie - pojawiła się już uaktualniona, nowa wersja Firefoksa (1.0.4). Oczywiście można ją pobrać z naszego serwisu.

Aktualizacja: 10 maja 2005 00:25

Tekst uaktualniony - błędy są dwa. Secunia nadała im status "extremely critical". Występują one nie tylko w Firefoksie, ale także w Mozilli 1.7.7 i wcześniejszych.

Więcej informacji: FrSIRT


Zobacz również