Kritikus nulladik napi sebezhetőség a Firefox 3.5-ön

Milkovits Gábor, 2009. július 15. 23:00

A Secunia szoftverbiztonsági cég egy rendkívül kritikus sebezhetőséget talált a legújabb Firefox 3.5 böngészőprogramban, amelynek révén támadók könnyedén megszerezhetik az ellenőrzést a számítógépek felett.

A hiba az új Firefox Just-in-time (JIT) JavaScript compiler alkalmazásán található. A rést kihasználó rosszindulatú kódok futtatásához nincs szükség a felhasználó aktív közreműködésére, elég csupán, ha egy speciálisan konstruált weboldalra téved böngészés közben. A biztonsági résre egyelőre nincsen javítófolt, a Mozilla csak egy átmeneti védelmi intézkedést tett közzé a támadások veszélyének elhárítására. Eszerint a címsorba először be kell írni az about:config jelszót, ezután a szűrőbe a jit szót kell begépelni, majd a javascript.options.jit.content sorra kétszer rákattintva lehet az értéket „false-ra” állítani, azaz az alkalmazást kikapcsolni. A beígért javítófolt telepítése után ugyanezt kell megismételni, hogy az említett érték megnevezéseként a „true” szó szerepeljen.

A Mozilla felhívja a figyelmet, hogy az átmeneti biztonsági megoldás csökkenti az új TraceMonkey JavaScript motor teljesítményét a böngészőben. A JIT compiler egyébként a Java források JavaScript-té alakításáért felel. Arról már a végleges verzió június végi megjelenésekor lehetett tudni, hogy a Mozilla még mindig nem tudott minden hibát kijavítani a TraceMonkey-n, azonban már nem akarták egy további halasztással elvenni a felhasználók kedvét a böngészőtől. Így viszont várható, hogy a JavaScript motor zavartalan működéséhez további hibajavításokra lesz szükség.
 

Kulcsszavak: security Firefox Mozilla opsys

Kövess minket a Facebookon!

Cikkgyűjtő

További fontos híreink

Gépek is rajthoz állnak a most induló Országos IT Megmérettetésen

2024. október 28. 18:06

Megnyitott a Vatera Galéria, a válogatott műtárgyak új platformja

2024. október 22. 15:25

Egy év alatt 45 milliárd forintot loptak el tőlünk a digitális bűnözők

2024. október 15. 16:51

Idén már ezernél is több résztvevőt várnak a Service Design Day-re

2024. október 7. 09:59