Wykryto nową lukę w oprogramowaniu Firefox umożliwiającą zdalne wykonanie kodu lub wykonanie ataku DoS.
Błąd umożliwiający przepełnienie bufora występuje podczas przetwarzania URLi złożonych z samych znaków 0xAD w nazwie domeny. Odwołania do takich URLi mogą być umieszczone na odpowiednio przygotowanej stronie. Według firmy Secunia podatna na atak jest Mozilla Firefox 1.0.6 i starsze wersje oraz Mozilla Firefox 1.5 Beta 1. Podatne na atak są również Mozilla Suite oraz Netscape. Do czasu wypuszczenia przez Mozilla Foundation poprawionych wersji przeglądarek, zalecane jest unikanie odwiedzin niezaufanych stron WWW.
Więcej: http://secunia.com/advisories/16764/.
Źródło: CERT Polska
[UPDATE]
Już dziś pojawiła się łatka do tej dziury. Jak można dowiedzieć się ze strony What Firefox and Mozilla users should know about the IDN buffer overflow security issue.
Łatkę można “włączyć” w dwojaki sposób:
Instalując patch:
- Użytkownicy Firefoksa i Mozilli Suite klikają na poniższy link:
http://ftp.mozilla.org/pub/mozilla.org/firefox/releases/1.0.6/patches/307259.xpi - W okienku instalacji oprogramowania, kliknijcie przycisk “Instaluj teraz” (”Install Now”)
- Zrestartuj Liska lub Mozillę Suite
Ręcznie konfigurując przeglądarkę:
- Wpiszcie na pasku adresu about:config i wciśnijcie enter
- W pole Filter:, wpiszcie network.enableIDN
- Prawy przycisk na network.enableIDN i klikamy toggle, żeby zmienić wpis na false
Bardziej szczegółowy opis, w języku angielskim, znajduje się na wcześniej podanym linku.
0 odpowiedź do “Luka w Firefoksie”