22/02/2006 19:56:40
dracula_2000
לאחר התפתחותו של הקוד הפתוח, מאבטחי מידע היתחילו ליראות בו כיעדם הבא, לא מיזמן דווחה פגיעה מרובה בדפדפן המוזילה, הינה פירוט הפגיעות:
1) הפגיעה הראשונה נגמרה עקב בעיות במנוע ה JavaScript שמחטה בצורה לקויה משתנים זמניים. 2) הפגיעה הזאת נגמרת בעת שינוי אלמנטים מ "position:relative" ל "position:static", הפגיעה יכולה לגרום למתקיפים מרוחקים לסכן את המערכת.
3) הפגיעה השלישית נגמרת בעת טיפול במידע היסטורי גדול המועבר לקובץ history.dat.
4) הפיגעה הרביעית נגרמת בעת קריאה לשיטת ה QueryInterface של אובייקטי הדפדפנים, פגיעה זו באה לידי ניצול ע"י מתקיפים זדוניים וגורמת להרצה של קוד זדוני.
5) הפגיעה החמישית נגרמת עקב שגיאה בפונקציה XULDocument.persist() אשר אינה מחטא את שמות ה attributes, הפגיעה יכולה לבוא לידי ניצול כך שמתקיף זדוני יריץ קוד זדוני בעזרת פקודות JavaScript על גבי הרשאות הדפדפן ע"י הזרקת XML לתוך localstore.rdf.
נילקח מהאתר SEC.ORG.IL
24/02/2006 03:37:37
antivirus
דרקולה...קודם כל ישר כח על המאמץ.. ויפה מאוד שהתקדמת הרבה לאמרים כאלה אחרי המאמרים הראשונים... אבל אחי דרושה עוד טיפה רמה חחח זה טיפשי להביא מהאתר שהבאת מאמרים לפה...בזמן שיש כאן אנשים בפורום כולל אני שכותבים לאתר הנוכחי את המאמרים שלו. אבל שוב אל תיפגע...ההיפך הגמור..אני שמח לראות שאתה תופס כיוון נכון בקשר לכתבות ולרמה פה...
נ.ב : אם לא הבנת מה חסר פשוט תעיין בפירסומים של חורים אחרים..ותראה את ההבדל אחי...
בהצלחה בהמשך גבר (:
24/02/2006 06:04:24
dracula_2000
תודה על המחמאה
24/02/2006 11:52:10
porto_jwl
שוב דפקו את מוזילה. וכבר מוכר לי הידיעה,אבל בכל זאת תודה.
24/02/2006 12:22:29
dracula_2000
איפו שמעת את הידיעה הזאת???
24/02/2006 22:55:19
אודי
באתר שאתה שמעת ממנו..
יש אשכול של קישורים לאתרי אבטחה, לבלוגים של מאבטחים, תעשה מה שאני עשיתי, תרשם לNewS LeTtEr שלהם ותקבל למייל שלך כל כמה זמן ידיעות על דברים כאלה.
25/02/2006 06:16:02
dracula_2000
אני כבר רשום
25/02/2006 08:29:27
porto_jwl
שמעתי אותו מפורום אחר,ועוד באיזה מקום אחד לא זוכר. ואם אני לא טועה זה באג ישן והוא כבר לא רלונטי או שכן...
25/02/2006 09:24:09
dracula_2000
אולי מישהוא העתיק את זה מאיתנו?
25/02/2006 20:44:42
cp77fk4r
?! מפה? אתה לקחת את זה מSEC.ORG.IL והם לקחו את זה מ(אני מניח) FrSIRT והם קיבלו את זה כמו כל אתר של חדשות אבטחה מזה שגילה את הבאג, זה עבר דרך ארוכה עד שזה הגיע לפה, תאמין לי שלקחת ידיעות מאתרים ישראלים זה לא בדיוק "מקור ראשון", ולכן אין כאן מקום להניח שמישהו העתיק את זה מפה.
בכל אופן, ישר כח- אבל בפעם הבאה אני אמחק את הודעה בסיגנון- אתם לא קוראים את החוקים וזה כבר בגבול ההצקה.
25/02/2006 20:47:15
dracula_2000
לא אני קראתי את החוקים ואני שינתי קצת מי מה שהיה כתוב במאמר האמתי למאמר בטיפה יותר מקוצר
25/02/2006 20:50:05
cp77fk4r
לשנות זה לא עוזר, וזה באמת מעצבן וגבולי, אני ממש מציע לך לקרוא אותם שוב, כשאתה מפרסם ידיעה- אתה חייב לשלב מקורות, ולהצליב מידע, סתם ככה כולנו יכולים לקרוא את הידיעה מהאתר ההוא.
ואני לא מתכוון להוסיף ולהתווכח איתך, זה חוקי הפורום ואני עייף מכדי להיות יותר מובן.
06/03/2006 19:58:36
dracula_2000
בסדר, אז סליחה.[ההודעה נערכה על-ידי cp77fk4r ב-06/03/2006 20:19:00]
עמודים:
1
