כנראה ששום דבר לא מושלם: שלש פרצות אבטחה התגלו במוצרי מוזילה. טלאי אבטחה עדיין לא שוחררו.

מאת: מערכת חיים ברשת18:39 08/01/2005

[התמונה הבאה מגיעה מקישור שלא מתחיל ב https ולכן לא הוטמעה בדף כדי לשמור על https תקין: http://images.nana.co.il//Upload/12005/Article/Article_Title_691834.jpg]

שלוש פרצות אבטחה בדפדפני מוזילה (כולל פיירפוקס) פורסמו השבוע בידי מספר גורמי אבטחת מידע.

חברת האבטחה Secunia מצאה פרצת אבטחה במנגנון ההורדות של הדפדפן. פרצה זו מאפשרת להאקרים לגרום לקבצים שיורדים באמצעות מנגנון ההורדות, להיראות כאילו הם הגיעו ממקור שונה מהמקור האמיתי שלהם. החברה מזהירה, שהאקרים עלולים בדרך זו לגרום למשתמשים להוריד קבצים בעלי קוד זדוני, בעוד כתובת ה-URL בחלון ההורדות מציגה כאילו הקובץ יורד ממקור לגיטימי.

מומחי אבטחת המידע חלוקים בחומרת פרצת האבטחה הזו. מיקו היפונן מחברת האנטיוירוס F-secure חושש כי גורמים זדונים אכן ינצלו את הכשל וטוען כי "השימוש העיקרי שעלול להיעשות בפרצה הוא בהונאות פישינג". לעומתו, דיוויד אמם מחברת האנטיוירוס קספרסקי מרגיע ואומר לאתר ZDnet : "אני חושב שאין זה סביר שהאקרים ירוצו לנצל את פרצת האבטחה הזו. אחרי הכל, דפדפן פיירפוקס נפוץ פחות מהאקספלורר, והסיכויים שההאקרים יקדישו לו תשומת לב הם מעטים".
הפרצה רלוונטית למשתמשי מוזילה ללינקוס בגירסה 1.7.3, מוזילה לחלונות בגירסה 1.7.5 ופיירפוקס 1.0, והיא מוגדרת על ידי Secunia כ"לא קריטית". הגולשים מוזהרים לא לנסות להוריד קבצים ממקורות לא מהימנים.

את הפרצה השניה גילתה חברת האבטחה הפולנית iSEC. החברה דיווחה על פרצה הקיימת בפרוטקול קריאת החדשות של הדפדפן (NNTP). פרצה זו מאפשרת להריץ קוד זדוני בכל פעם שמנסים לגלוש לאתר עם התחילית //:news. על פי החברה, הבאג קיים בדפדפן מוזילה 1.7.3 , אולם בגרסה 1.7.5 הוא תוקן כבר. כמו כן הוא מופיע בדפדפני פיירפוקס בגירסאות המוקדמות לגירסה 1.0.

הפרצה השלישית גם היא מוגדרת כקלה יחסית והיא קשורה בדרך שבה פיירפוקס ותוכנת הדואר Thunderbird שומרות על המחשב את הקבצים הזמניים. חברות האבטחה ptraced.net ו-Gentoo Foundation גילו, כי שתי התוכנות מאכסנות קבצים זמניים באופן לקוי, החושף את הצרופות של המכתבים ואת הקבצים שהורדו באמצעות הדפדפן, למשתמשים אחרים העובדים עם אותו מחשב.


מקור נענע

..

3 טלאי אבטחה של מיקרוסופט ייצאו ביום ג' הקרוב
חברת מיקרוסופט הודיעה כי ביום ג' הקרוב היא תשחרר שלושה טלאי אבטחה. החברה לא הסגירה אילו פירצת אבטחה טלאים אלו אמורים לתקן, אולם ידוע כי דרגת החומרה הגבוהה ביותר של פרצות האבטחה המתוקנות היא "קריטית". החברה גם לא גילתה אם סוף סוף היא מספקת פתרון לחורי האבטחה הקיימים בדפדפן אינטרנט אקספלורר ואשר ידועים כבר מזה 3 חודשים.

מקור: cnet

מקור הידיעה: "חיים ברשת"-נענע

יש לקוות שהפעם מייקרוסופט נזכרון לתקן את הפירצות הקיימות כבר חודשיים(כך נכתב בידיעה המקורית).

לדעתי הפירצות לא כה מסוכנות (למעט אולי הראשונה),ואני מעריך שהפירצות יתוקנו בקרוב.

והפרצה השלישית זה רק למי שעובד עם אותו מחשב.

יופי, העיקר שלא שמו את השורה התחתונה:

ציטוט:

These bugs are all fixed in Firefox 1.0 and newer, and Thunderbird 0.9 and newer.

אני לא יודע מה איתך, אבל אני יודע כמה דברים בקשר לראייה סלקטיבית. אולי תסביר את השורות האלו?

ציטוט:

הפרצה רלוונטית למשתמשי מוזילה ללינקוס בגירסה 1.7.3, מוזילה לחלונות בגירסה 1.7.5 ופיירפוקס 1.0, והיא מוגדרת על ידי Secunia כ"לא קריטית". הגולשים מוזהרים לא לנסות להוריד קבצים ממקורות לא מהימנים.

ציטוט:

על פי החברה, הבאג קיים בדפדפן מוזילה 1.7.3 , אולם בגרסה 1.7.5 הוא תוקן כבר. כמו כן הוא מופיע בדפדפני פיירפוקס בגירסאות המוקדמות לגירסה 1.0

..

בשני מקורות אחרים באנגלית שאני מצאתי, כתוב שזה מתוקן בפיירפוקס 1.0 ובירד 0.9, אני יותר סומך עליהם מאשר על "תרגום" (תרתי משמע) ישראלי.

אשמח גם אני לקבל קישור לאחד ממקורותיך. ואגב, לפני שאתה מביא אותו, תוודא שאתה על הבאג הנכון, כי כמו שאתה בטח יודע, הבאגים בדפדפנים נמצאים בתדירות של אחד לשבוע +/-.

..

TechWorld

צודק. טעות של נענע. להבא אבדוק את המידע לפני שאני מפרסם פה.

..