Gyurkity Péter

Biztonsági hibák a Mozilla nyílt forráskódú szoftvereiben

Biztonsági cégek szinte teljesen egy időben három különböző biztonsági résre bukkantak a Mozilla és Firefox böngészők egyes verzióiban, illetve a Mozilla Thunderbird nevű email kliensben.

A hibák egyike sem kapott kritikus besorolást, de potenciális veszélyt jelentenek a felhasználók számára, és megfelelő ellenintézkedés hiányában a veszély tovább nőhet. Az első hibát a lengyel iSEC Security Research fedezte fel, amely az NNTP protokoll kezelésében bújik meg - a hiba kihasználásával az esetleges támadók buffer-túlcsordulást idézhetnek elő, és saját kódot futtathatnak a védtelen számítógépeken. Az iSEC jelentése szerint hiba a Mozilla böngésző 1.7.5 előtti, valamint a Thunderbird kliens 1.0 előtti változatait érinti.

A cég bejelentésével csaknem egy időben a Secunia is hasonló figyelmeztetést tett közzé internetes oldalán, amelyben a böngészők beépített letöltés vezérlőjének hibájára figyelmeztetnek. A letöltés elindításakor ugyanis a dialógus ablak egyes esetekben hibásan jelzi ki a letöltendő szoftver forrását, amely szintén a támadók segítségére lehet egy behatolási kísérletnél. "A probléma a hosszú al-domain nevekkel kapcsolatos, mivel a program sok esetben hibásan jeleníti meg ezeket. A hiba segítségével a támadók megváltoztathatják a szöveget, és ily módon álcázhatják az általuk használt internetes címeket" - figyelmeztet a Secunia jelentése. A cég szakemberei szerint a hiba a Mozilla Linux 1.7.3, a Mozilla Windows 1.7.5, illetve a Mozilla Firefox 1.0-ás változatát érinti, de a jelentés kihangsúlyozza, hogy számos, jelenleg használt verzión még nem végezték el a teszteket.

A harmadik biztonsági hibát a ptraced.net biztonsági cég jelentette, amely a Thunderbird által ideiglenesen eltárolt fájlok kiszámítható nevére hívta fel a figyelmet. A cég szakemberei szerint a levelező kliens 0.8-as, illetve 0.9.3-as verziója kiszámítható néven, és olyan formátumban tárolja az ideiglenes fájlokat, amelyet a távoli támadók könnyedén feltörhetnek és elolvashatnak. Arról nem szól a jelentés, hogy a program végleges változata tartalmazza-e a hibát.

Hozzászólások

A témához csak regisztrált és bejelentkezett látogatók szólhatnak hozzá!
Bejelentkezéshez klikk ide
(Regisztráció a fórum nyitóoldalán)
  • mir #77
    Kedves Major! A Suse igen elterjedt szerver-oldali operacios rendszer, mondhatni az IBM a sajat gepeire a linux disztribuciok kozul a RedHatet, vagy a Suset ajanlja. igen, tudom, hogy fizetos programok is vannak benne, attol lesz 24 000 Ft. De ezek a programok nem az otthoni felhasznlaokat celozzak.
  • Major #76
    Tisztelt mir! Én azt ajánlom nézzel utánna és pótold a hiányosságaidat! Másrészt ne állíts olyan dolgokat ami nem igaz! SUSE LINUX 9.1 Professional abban különbözik a nem prof verziótol, hogy ez a csomag tartalmaz egy csomó FIZETŐS, leírom mégegyszer NEM INGYENES programot. Az igaz a sima suse biztosan elérhető ingyenesen is, de ha dobozos verziót akarsz csak is a fizetős programokkal tudod megvenni a lentebb leírt áron! Másrészt a suse nem egy kifejezetten szerver oprendszer, de aki akarja hasznáélhatja igy is. De aki linuxos szervert szeretne futtatni nem hiszem, hogy suse linuxra esik a választása!
  • Pheel #75
    Látom nem esett le a párhuzam. Elég gáz, ha ezt magyarázni kell neked...
  • h4x0r #74
    linux egy fos: ezt konkrétan mire alapozod? csak a kívácsiság miatt...
  • DeathMatch #73
    kb ennyi az ár - érték viszonyuk is... a linux egy fos... aki meg legális szoftvereket vásárol az egy láma
  • b #72
    mégegyszer! a susét ingyen le lehet töltenni, teljesen legálisan!
  • b #71
    ismerem a májkroszoft terméktámogatását. egy nagy vicc! volt szerencsétlenségem olyan helyen dolgozni ahol ezzel a nagy rakással kellett alkotnom. öszintén bevallom néha a hányinger kerülgetett.

    tetézve ezt, volt szerencsétlenségem dolgozni szinte az összes májkroszoft bénasággal, mivel a cégnek volt egy méregdrága msdn előfizetése. bevallom öszintén, csak sajnálni tudom, aki a májkroszoftnak fizet ezekért a progikért!
  • b #70
    nem usb kábel kellett hanem winfos.
  • valamit #69
    Windows Server Standard 2003 OEM - (ami ugye feltételezi, hogy mi új gépet/alkatrészt is vásállni akarunk a szofverünkhö mégha nem is, dehát még némi plussz, hogy nagyobb legyen a kasszánkba a mínusz;) ) - 134.300 FT
    és akkor az általad említett:
    SUSE LINUX Professinal 9.1 - 24.900 FT

    bocs, csak hátha valaki nem néz utánna ;)
  • mir #68
    mi a faszert nem lehet felfogni, h a professional nem otthoni oprendszer, hanem SZERVER
    vagy amit en mondtam,h ingyenes, az a fedora core. de a susenak is van igyenes valtozata. meg a mandrakenek is. es ezek minden nagyon felhasznalobaratok. tehat megkerlek ne idezd be megegyszer a suse professional arat, hacsak nem idezel melle egy win2K3 arat is.