Firefox по-прежнему «открыт» для хакеров: выполнение команд через URL

Firefox остается уязвимым к атакам с использованием протоколов сторонних приложений, несмотря на то, что Mozilla дважды закрывала их – в версиях 2.0.0.5 и 2.0.0.6. Последняя вышла в июле.

Наличие уязвимости в 2.0.0.6 подтвердили в середине августа двое исследователей – Билли Райос (Billy Rios) и Нейт МакФетерс (Nate McFeters). По словам г-на Райоса, условия для удаленного выполнения команд в 2.0.0.5 были устранены, основа проблемы, находящаяся в процедуре обработки типов файлов, осталась. Для эксплуатации уязвимости необходимо применять другие методы, нежели для атак на 2.0.0.5, утверждают исследователи, однако подробностей не раскрывают.

Как сообщает Parktribune.com, уязвимость в Firefox 2.0.0.5 позволяла несанкционированно запускать приложения при переходе пользователя по ссылке с нестандартным префиксом (mailto, nntp, news, snews, telnet).

05.09.07
cnews.ru

 

Не знаю. NoScript рулит. Прекрасная штуковина.

 

ну!! ... нет js - нет никаких хекофф, активикс ваще в фф боян, про VB молчу, ну и куксы в /dev/null время от времени

 

VB ещё живо? Его, по моему, в firefox никогда и не было (могу ошибаться)
Хотя от перехода по злым url noscript врятли спасёт, если его оперативно только не обновлять. Очень часто кстати его разработчики обновляют.

 

mozilla полюбому выпустить 2.0.0.7 где это будет профикшено.и будет это оч. скоро.в конце концов есть grand paradiso

 

Уже есть Mozilla Firefox 2.0.0.7 RC 1

 

Простите, при чём здесь NoScript, отсутствие ActiveX и периодическая чистка cookies, когда речь идёт об уязвимости непосредственно в FireFox?

 

Lemtoks, при том, что эта уязвимость эксплуатируеца при помощи этих самых скриптов, которые отключают.

ЗЫ Ещё раз поднимешь старую новость - получишь жирный минус. Новости должны быть свежими, а обсудить что-то можно в болталке.