Προβλήματα ασφαλείας στον Firefox
Δε χρειάζεται πανικός: μέχρι να κυκλοφορήσει διόρθωση για τα
δύο προβλήματα ασφαλείας που εντοπίστηκαν το περασμένο Σαββατοκύριακο
στον Firefox, απενεργοποιήστε τη Javascript και αφαιρέστε τα τυχόν έμπιστα update
sites.
Από τη σχετική
ασφαλείας:
By causing a frame to navigate back to a previous javascript: url an attacker
can inject script into any site. This could be used to steal cookies or
sensitive data from that site, or to perform actions on behalf of that user.
(Affects Firefox and the Suite).A separate vulnerability in the Firefox install confirmation dialog allows
an attacker to execute arbitrary code by using a javascript: URL as the
package icon. By default only the Mozilla Foundation update site is allowed
to bring up this dialog, but the script injection vulnerability described
above enables this to be exploited from any malicious site.
Σύμφωνα με το Mozilla Foundation, δεν υπάρχουν ενεργά exploits για τις δύο
αυτές "τρύπες" (που επηρεάζουν και την τελευταία έκδοση 1.0.3 του Firefox), παρά μόνο θεωρητική επίδειξη του
προβλήματος. Η εταιρεία Secunia όμως
χαρακτηρίσε τις τρύπες "εξαιρετικά κρίσιμες". Οι update servers του Mozilla, πάντως, έχουν υποστεί διορθώσεις ώστε να μην μπορούν να χρησιμοποιηθούν σε τυχόν επιθέσεις.
