Безопасность Mozilla Firefox: 30 0day уязвимостей и отсутствие патчей - «Интернет»

Удаленный пользователь может с помощью специально сформированной страницы, содержащей злонамеренный javascript код, скомпрометировать целевую систему, сообщили в субботу Миша Шпигельмок (Mish Spiegelmock) и Эндрю Убилсои (Andrew Wbeelsoi) на хакерской конференции ToorCon. Уязвимость затрагивает продукт на платформах Windows, Mac OS X и Linux.

Шпигельмок сообщил, что уязвимость является результатом некорректной реализации обработки javascript кода в браузере и может позволить злоумышленнику вызвать переполнение стека.

Window Snyder, глава отдела безопасности компании Mozilla, после просмотра демонстрации взлома, предположила, что уязвимость может действительно существовать: «То что они описывают, может быть вариантом старой атаки». Шпигельмок и Убилсои в своей демонстрации предоставили достаточно данных, чтобы воспроизвести атаку, считает Snyder, и тем самым подвергли всех пользователей браузера опасности, хотя эти данные смогут помочь разработчику устранить ошибки в коде. Поскольку ошибки содержатся в коде, обрабатывающем JavaScrip, их будет весьма сложно устранить: «Если уязвимость действительно в виртуальной машине JavaScrip, то быстрого исправления не будет».

Исследователи заявили, что им известно о 30 уязвимостях в Mozilla Firefox, но они не намерены сообщать данные об ошибках.

«Я очень надеюсь, что эти ребята изменят свое решение и все же решат сообщить нам подробности и получить по $500 за каждую уязвимость, вместо того, чтобы использовать эти данные для создания бот сетей» сказал сотрудник компании Mozilla Jesse Ruderman.