Kritikus nulladik napi sebezhetőség a Firefox 3.5-ön

Milkovits Gábor, 2009. július 15. 23:00

A Secunia szoftverbiztonsági cég egy rendkívül kritikus sebezhetőséget talált a legújabb Firefox 3.5 böngészőprogramban, amelynek révén támadók könnyedén megszerezhetik az ellenőrzést a számítógépek felett.

A hiba az új Firefox Just-in-time (JIT) JavaScript compiler alkalmazásán található. A rést kihasználó rosszindulatú kódok futtatásához nincs szükség a felhasználó aktív közreműködésére, elég csupán, ha egy speciálisan konstruált weboldalra téved böngészés közben. A biztonsági résre egyelőre nincsen javítófolt, a Mozilla csak egy átmeneti védelmi intézkedést tett közzé a támadások veszélyének elhárítására. Eszerint a címsorba először be kell írni az about:config jelszót, ezután a szűrőbe a jit szót kell begépelni, majd a javascript.options.jit.content sorra kétszer rákattintva lehet az értéket „false-ra” állítani, azaz az alkalmazást kikapcsolni. A beígért javítófolt telepítése után ugyanezt kell megismételni, hogy az említett érték megnevezéseként a „true” szó szerepeljen.

A Mozilla felhívja a figyelmet, hogy az átmeneti biztonsági megoldás csökkenti az új TraceMonkey JavaScript motor teljesítményét a böngészőben. A JIT compiler egyébként a Java források JavaScript-té alakításáért felel. Arról már a végleges verzió június végi megjelenésekor lehetett tudni, hogy a Mozilla még mindig nem tudott minden hibát kijavítani a TraceMonkey-n, azonban már nem akarták egy további halasztással elvenni a felhasználók kedvét a böngészőtől. Így viszont várható, hogy a JavaScript motor zavartalan működéséhez további hibajavításokra lesz szükség.
 

Kulcsszavak: security Firefox Mozilla opsys

Kövess minket a Facebookon!

Cikkgyűjtő

További fontos híreink

Megvannak az IAB 2023-as Legjobb szakdolgozat pályázatának nyertesei

2024. március 25. 15:50

A 2024-es év fordulópont lehet az IT munkaerőpiacon?

2024. március 20. 10:09

Nők az informatikában – Számít a nemek aránya a munkahelyen?

2024. március 12. 20:53

Szemünk előtt zajlik az e-kereskedelem mohácsi csatája

2024. március 6. 13:05