http://newsroom.chip.pl/news_109842.html

IE be, Mozilla i firefox tez...
Opera platna... ;)

Niebezpieczne skórki

Secunia informuje o luce w najnowszej wersji Mozilli. Problem związany jest
z mechanizmem zmiany "skórek". Użytkownik może dostosowywać wygląd
przeglądarki dzięki mechanizmowi XUL (XML User interface Language). Nie
został on jednak zabezpieczony przed możliwością ładowania plików XUL przez
odpowiednio spreparowaną stronę internetową. Ewentualny włamywacz może nie
tylko zmienić wygląd przeglądarki, ale również przekierować ją pod dowolny
URL. Ponadto "dziura" umożliwia zdobycie haseł, numerów kont, zapytań, które
były wysyłane do wyszukiwarek, i innych ważnych dla użytkownika informacji.
W ich ukryciu nie pomaga zastosowanie SSL.
Opisany problem dotyczy linuksowych i windowsowych wersji Mozilli 1.7.x oraz
Firefoksa. Mozilla.org nie opublikowała jeszcze łaty.

--
Michał 'Amra' Macierzyński || wortal public relations: http://www.PRnews.pl

do góry

Michał 'Amra' Macierzyński said the following on 2004-08-03 19:04:

> http://newsroom.chip.pl/news_109842.html
>
> IE be, Mozilla i firefox tez...
> Opera platna... ;)
[...]
Na homeCasha ? Wychodzi że PJO miał rację :-(

kj


--
JIDs: k...@j...wpl.pl k...@j...aster.pl

do góry

Kamil Jońca <k...@g...pl> wrote:
> Na homeCasha ? Wychodzi że PJO miał rację :-(

A homecash niby odporny przed roznego rodzaju trojanami, wirusami,
keyloggerami? ;)

--
Michał 'Amra' Macierzyński || wortal public relations:
http://www.PRnews.pl

do góry

Michał 'Amra' Macierzyński said the following on 2004-08-03 19:11:

> Kamil Jońca <k...@g...pl> wrote:
>
>>Na homeCasha ? Wychodzi że PJO miał rację :-(
>
>
> A homecash niby odporny przed roznego rodzaju trojanami, wirusami,
> keyloggerami? ;)
>
Ale sie łączysz tylko do tego jednego celu....
KJ


--
JIDs: k...@j...wpl.pl k...@j...aster.pl

do góry

Kamil Jońca <k...@g...pl> wrote:
> Ale sie łączysz tylko do tego jednego celu....

eeeee. To przeciez moge na jednym komputerze przygotowywac wysylke, a
przeslac go juz przez ten internetowy - to jak maja coszmienic - to z cala
paczka - a tutaj chyba bylob im trudno..

--
Michał 'Amra' Macierzyński || wortal public relations:
http://www.PRnews.pl

do góry

Michał 'Amra' Macierzyński napisał(a):
> http://newsroom.chip.pl/news_109842.html
>
> IE be, Mozilla i firefox tez...
> Opera platna... ;)
> Niebezpieczne skórki

Wniosek: nie instalować skórek niewiadomego pochodzenia i można
bezpiecznie korzystać z Mozi.

Marek

do góry

Marek <m...@w...interia.i-to.pl> wrote:
> Wniosek: nie instalować skórek niewiadomego pochodzenia i można
> bezpiecznie korzystać z Mozi.

Raczej bledny wniosek: "Nie został on jednak zabezpieczony przed możliwością
ładowania plików XUL przez odpowiednio spreparowaną stronę internetową.
Ewentualny włamywacz może nie tylko zmienić wygląd przeglądarki, ale również
przekierować ją pod dowolny
URL. "

--
Michał 'Amra' Macierzyński || wortal public relations:
http://www.PRnews.pl

do góry

Michał 'Amra' Macierzyński napisał(a):

>>Wniosek: nie instalować skórek niewiadomego pochodzenia i można
>>bezpiecznie korzystać z Mozi.
> Raczej bledny wniosek: "Nie został on jednak zabezpieczony przed możliwością
> ładowania plików XUL przez odpowiednio spreparowaną stronę internetową.
> Ewentualny włamywacz może nie tylko zmienić wygląd przeglądarki, ale również
> przekierować ją pod dowolny URL. "

Ups, nieuważnie przeczytałem - przepraszam.

Ale znalazłem źródło tej wiadomości.
http://secunia.com/advisories/12188

I okazuje się, że autor notatki chipa też nieuważnie przeczytał ;-)

Z oryginalnego opisu wynika troszkę co innego, niż z polskiego
tłumaczenia. Generalnie chodzi o to, że kliknięcie odpowiednio
spreparowanego linka może spowodować odpalenie dowolnych elementów
graficznych (pisanych w XULu), które będą udawać zawartość innej strony,
co jest potencjalnie niebezpieczne.

Czyli: niebezpieczeństwo tej samej klasy, co kliknięcie w link
prezentowany w mailu od "CitiBanku".

Za secunia.com:
Solution:
Do not follow links from untrusted sites.

A, i jeszcze jedno:
NOTE: This issue appears to be the same as Mozilla Bug 244965

A ten bug został poprawiony w: Mozilla 1.7.1/Firefox 0.9.2/Thunderbird
0.7.2:

http://www.mozilla.org/projects/security/known-vulne
rabilities.html#mozilla1.7

(numer 77).

Nie taki diabeł straszny ;-)

Marek

do góry

Marek napisał(a):
> Nie taki diabeł straszny ;-)

Aha, żeby nie było, że twierdzę, że Mozilla jest superbezpieczna i
nikogo nic złego nie może spotkać - w każdym sofcie są jakieś błędy i NA
PEWNO w Mozilli znajdą się kiedyś kolejne ;-)

Tak więc tytuł tego wątku jest raczej zbyt dramatyczny, bo zawsze
będziesz "zagrożony" - czegokolwiek byś nie używał ;-)

Kwestia tylko ilości tych błędów, ich "krytyczności" i szybkości reakcji
ze strony programistów/producenta.

Pozdrawiam, życząc bezpiecznego klikania po stronach.

Marek

do góry

"Marek" <m...@w...interia.i-to.pl> schrieb im Newsbeitrag
news:ceov4n$h5u$1@srv.cyf-kr.edu.pl...

> Ale znalazłem źródło tej wiadomości.
> http://secunia.com/advisories/12188
>
> I okazuje się, że autor notatki chipa też nieuważnie przeczytał ;-)

taaa, to dosc normalne.
poczytaj sobie np. strone opery (nie pamietam linka) na ktorej dyskredytuja
MSIE.
potem poczytaj zrodla dot. rzekomych bug'ow np. na secunii. :-)
wieksza demagogia to tylko u leppera.
a wnioski dosc podobne.
pzdr,
rafal urbanelis

do góry