Браузерная безопасность
| |
Gugul | Дата: Четверг, 08.Февраля.2007, 12:11:48 | Сообщение # 1 |
Админ
Группа: Администраторы
Сообщений: 620
Статус: Offline
| здесь можно проверить свой браузер на глюки и уязвимости. онлайновый тест
С годами глупостей я делаю поменьше, но качество при этом их растёт
|
|
| |
Boobeer | Дата: Четверг, 08.Февраля.2007, 12:11:58 | Сообщение # 2 |
Передовик
Группа: Администраторы
Сообщений: 247
Статус: Offline
| Quote (Gugul) | Не успела выйти новая версия популярного и непоколебимого браузера от Microsoft, как в ней уже обнаружили первую «дырку». | Ну как всегда, чем больше денег вложено в софтину, тем хуже она работает А про мелко-мяхких я вооще молчу. Такое ощущение, что они вначале делают прогу, потом берут дырокол и штампуют дырки
Жизнь - это вылезти, чуток постебаться над Вселенной и сыбаца.
|
|
| |
Gugul | Дата: Четверг, 08.Февраля.2007, 12:11:58 | Сообщение # 3 |
Админ
Группа: Администраторы
Сообщений: 620
Статус: Offline
| наткнулся на интересную заметку на одном из секьюрных ресурсов Quote | Большое число пользователей почтового сервиса Gmail жалуются на мистическую пропажу с их аккаунтов всех сообщений. Впервые это событие получило огласку на сайте TechCrunch, где автор Майкл Аррингтон (Michael Arrington) сообщил, что говорить о Gmail как о совершенном сервисе пока еще рано. Там же было размещено первое сообщение с форума Google Groups, касающееся исчезновения содержимого электронных почтовых ящиков. "Я обнаружил свой аккаун абсолютно пустым – ничего в папке Inbox, контактах и отправленных сообщениях. Как могла исчезнуть информация из разных папок?.. Как сообщить об этом техподдержке и восстановить данные?", - написал пользователь Gmail 19 декабря 2006 года. Как оказалось, большинство пострадавших пользовались браузером Firfox и обнаружили пропажу контента при открытии аккаунта через него. Некоторые пользователи получили следующее сообщение : "Это не ошибка. Все ваши контакты и сообщения были удалены преднамеренно. Это была атака, а не ошибка сервиса. Удачного дня!" Один из пользователей утверждает, что атакующими была использована уязвимость Firefox 2.0, которая была позже закрыта версией 2.0.0.1. Всего же в результате инцидента были "очищены" 60 аккаунтов пользователей. Google принесла официальные извинения пострадавшим и заявила о начале работ по выяснению причин случившегося. Удаленные послания и контакты Gmail, кстати, не подлежат восстановлению. | By Techlabs "думайте сами, решайте сами - иметь или не иметь" ©
С годами глупостей я делаю поменьше, но качество при этом их растёт
|
|
| |
Gugul | Дата: Четверг, 08.Февраля.2007, 12:11:58 | Сообщение # 4 |
Админ
Группа: Администраторы
Сообщений: 620
Статус: Offline
|
С годами глупостей я делаю поменьше, но качество при этом их растёт
|
|
| |
Gugul | Дата: Четверг, 08.Февраля.2007, 12:12:08 | Сообщение # 5 |
Админ
Группа: Администраторы
Сообщений: 620
Статус: Offline
| Quote | Представители корпорации Microsoft прокомментировали информацию о первой дыре в недавно представленном браузере Internet Explorer 7. Об уязвимости в IE 7 сообщила датская компания Secunia всего через несколько часов после официальной презентации продукта. Согласно описанию на веб-сайте Secunia, брешь теоретически может использоваться злоумышленниками с целью получения несанкционированного доступа к конфиденциальным данным. Для организации атаки необходимо заманить жертву на сформированную специальным образом веб-страницу. Однако, как отмечает в блоге разработчик Microsoft Кристофер Бадд, информация, обнародованная специалистами Secunia, является технически неточной. Уязвимость, о которой идёт речь, присутствует вовсе не в браузере, а в одном из компонентов почтового клиента Outlook Express. Хотя задействовать эту дыру можно через Internet Explorer. В Microsoft занимаются изучением проблемы и отмечают, что случаев её практического использования пока зарегистрировано не было. |
С годами глупостей я делаю поменьше, но качество при этом их растёт
|
|
| |
Gugul | Дата: Четверг, 08.Февраля.2007, 12:12:08 | Сообщение # 6 |
Админ
Группа: Администраторы
Сообщений: 620
Статус: Offline
| огнелис опять прокололся Quote | Одна из уязвимостей связана с работой блокировщика всплывающих окон в версии 1.5.0.9 и позволяет внешнему сайту получить доступ к пользовательским документам (обычно FF запрещает такой доступ, но проверка обходится в случае "ручного" разрешения всплывающего окна). Вторая позволяет обмануть фишинг-фильтр, добавив несколько символов "/" после имени домена. Тут под раздачу попала и актуальная на сегодня версия 2.0.0.1. |
С годами глупостей я делаю поменьше, но качество при этом их растёт
|
|
| |
Gugul | Дата: Четверг, 08.Февраля.2007, 12:12:18 | Сообщение # 7 |
Админ
Группа: Администраторы
Сообщений: 620
Статус: Offline
| Quote | Издание Washington Post провело собственное расследование относительно безопасности пользователей, предпочитающих просматривать веб-страницы через браузер Internet Explorer. Было подготовлено сообщение, основанное на данных, предоставленных Microsoft и другими разработчиками решений компьютерной безопасности. Как выяснилось, за прошедший год пользователи IE находились под угрозами атак вирусов, червей и прочих неприятных явлений Интернета 284 дня или 78% всего 2006 года. Эти 284 дня включаются в 98-дневный период, когда вообще не выходило патчей безопасности, хотя с помощью браузера активно кралась личная и финансовая информация. Причем были публично раскрыты до выхода патчей десять уязвимостей. Для сравнения, браузер Mozilla Firefox в прошлом году имел наибольший срок выхода "заплатки" девять дней с момента обнаружения ошибки. Безопасности линейки IE не способствовал выход седьмой версии, которая вобрала в себя не только новые функции, но и прежние проблемы безопасности, что вкупе с "сырым" кодом дало многим пользователям повод засомневаться если не в правильности, то хотя бы своевременности перехода на обновленный браузер Microsoft. | by TECHLABS
С годами глупостей я делаю поменьше, но качество при этом их растёт
|
|
| |
Gugul | Дата: Четверг, 18.Декабря.2008, 03:24:02 | Сообщение # 8 |
Админ
Группа: Администраторы
Сообщений: 620
Статус: Offline
| 17 декабря, корпорация Microsoft выпустит внеплановый патч для критически опасной «дыры» в браузере Internet Explorer. Брешь, о которой идет речь, была обнаружена около недели назад. Уязвимость может использоваться злоумышленниками с целью несанкционированного проникновения на удаленный компьютер и выполнения на нем произвольного программного кода. Для организации атаки необходимо заманить пользователя на сформированный специальным образом веб-сайт. Проблема затрагивает все версии Internet Explorer, причем злоумышленники по всему миру уже активно эксплуатируют уязвимость. По некоторым данным, на сегодня с помощью «дыры» в IE взломано около двух миллионов компьютеров. Вредоносный код встроен уже в тысячи веб-страниц. Пользователи с активированной системой Windows Update получат обновление автоматически. Кроме того, «заплатку» для браузера можно будет загрузить вручную с веб-сайта корпорации Microsoft. ©Compulenta
С годами глупостей я делаю поменьше, но качество при этом их растёт
|
|
| |
Gugul | Дата: Четверг, 18.Декабря.2008, 03:24:58 | Сообщение # 9 |
Админ
Группа: Администраторы
Сообщений: 620
Статус: Offline
| Программа: Mozilla Firefox версии до 3.0.5 Опасность:Высокая Наличие эксплоита: Нет Описание: Обнаруженные уязвимости позволяют удаленному пользователю произвести XSS нападение, обойти некоторые ограничения безопасности, получить доступ к важным данным и скомпрометировать целевую систему. 1. Уязвимость существует из-за неизвестной ошибки в механизме Layout. Удаленный пользователь может вызвать повреждение памяти и скомпрометировать целевую систему. 2. Уязвимость существует из-за неизвестной ошибки в механизме Layout. Удаленный пользователь может вызвать повреждение памяти и скомпрометировать целевую систему. 3. Уязвимость существует из-за неизвестной ошибки в механизме JavaScript. Удаленный пользователь может вызвать повреждение памяти и скомпрометировать целевую систему. 4. Уязвимость существует из-за того, что атрибут persist в XUL элементах может использоваться для хранения некоторых сессионных данных. Удаленный пользователь может подобным образом сохранить сессионные данные, даже когда использование файлов куки запрещено в настройках браузера. 5. Уязвимость существует из-за ошибки в XMLHttpRequest при обработке HTTP перенаправлений (ответ 302). Удаленный пользователь может с помощью специально сформированного Web сайта вызвать XMLHttpRequest, перенаправить запросы на сайт в произвольном домене и получить доступ к данным, отправляемым удаленным сервером. 6. Уязвимость существует из-за ошибки при обработке JavaScript ошибок. Удаленный пользователь может с помощью специально сформированного Web сайта загрузить JavaScript URL в текущем домене, который перенаправляет пользователя на URL за пределами текущего домена и не является JavaScript сценарием, и получить доступ к потенциально важным данным, отображаемым в window.onerror DOM API. Удачная эксплуатация уязвимости позволит злоумышленнику получить доступ к данным пользователей, авторизованных на внешних ресурсах. 7. Уязвимость существует из-за неизвестной ошибки при обработке некоторых контрольных символов вначале URL, что может привести к некорректным данным в обработчике URL. Уязвимость относится к: www.securitylab.ru/vulnerability/359840.php #11 8. Уязвимость существует из-за недостаточной обработки символа '\0' в CSS обработчике. Удаленный пользователь может потенциально обойти некоторые механизмы фильтрации Web приложений. 9. Уязвимость существует из-за ошибки при обработке XBL привязок, прикрепленных к незагруженному документу. Удаленный пользователь может обойти политику единства происхождения и выполнить произвольный JavaScript сценарий в контексте другого Web сайта. 10. Уязвимость существует из-за двух ошибок. Удаленный пользователь может с помощью XPCNativeWrapper выполнить произвольный JavaScript сценарий с привилегиями chrome. 11. Уязвимость существует из-за ошибки в функционале восстановления данных сессий. Удаленный пользователь может внедрить произвольный HTML код в некорректное хранилище, включая хранилища для других доменов, обойти политику единства происхождения и произвести XSS нападение во время восстановления SessionStore данных. URL производителя: www.mozilla-europe.org/ru/firefox/ Решение: Установите последнюю версию 3.0.5 с сайта производителя.
С годами глупостей я делаю поменьше, но качество при этом их растёт
|
|
| |
Gugul | Дата: Понедельник, 22.Декабря.2008, 12:28:06 | Сообщение # 10 |
Админ
Группа: Администраторы
Сообщений: 620
Статус: Offline
| Quote (Securitylab) Google пошла на агрессивный шаг, рекомендуя пользователям Gmail установку Chrome или Firefox вместо Internet explorer. Целевой группой новой рекламной кампании поискового гиганта стали пользователи сервиса электронной почты Gmail. Google избрал достаточно агрессивную тактику, суть которой заключается в следующем. Когда пользователь с Internet Explorer подключается к Gmail, то в правом верхнем углу появляется надпись "Get faster Google Mail" ("Получите более быстрый Google Mail"). Кликнув на нее, пользователь попадает на следующую страницу, где предлагается увеличить быстродействие Gmail путем установки Chrome или Firefox 3. Сопроводительный текст гласит, что браузеры становятся все быстрее и лучше, поэтому для более комфортной работы с веб-приложениями вроде Google Mail рекомендуется перейти на один из самых оптимальных браузеров под Windows, коим, по версии Google, является Chrome. Ниже имеется небольшой комментарий, в котором говорится буквально следующее: "Наиболее быстрая версия Internet Explorer, IE8, находится на стадии разработки и пока доступна лишь его бета-версия". И все это на фоне крупных логотипов Chrome и Firefox 3.
С годами глупостей я делаю поменьше, но качество при этом их растёт
|
|
| |
Gugul | Дата: Четверг, 05.Февраля.2009, 02:55:30 | Сообщение # 11 |
Админ
Группа: Администраторы
Сообщений: 620
Статус: Offline
| Программа: Mozilla Firefox версии до 3.0.6 Опасность: Высокая Наличие эксплоита: Нет Описание: Обнаруженные уязвимости позволяют удаленному пользователю произвести XSS нападение, обойти некоторые ограничения безопасности, получить доступ к важным данным и скомпрометировать целевую систему. 1. Уязвимость существует из-за ошибки в механизме layout. Удаленный пользователь может с помощью специально сформированного Web сайта вызвать повреждение памяти и выполнить произвольный код на целевой системе. 2. Уязвимость существует из-за ошибки в механизме JavaScript. Удаленный пользователь может с помощью специально сформированного Web сайта вызвать повреждение памяти и выполнить произвольный код на целевой системе. 3. Уязвимость существует из-за ошибки, которая позволяет злоумышленнику использовать метод chrome XBL совместно с window.eval для обхода политики единства происхождения. Удаленный пользователь может с помощью специально сформированного Web сайта выполнить произвольный JavaScript сценарий в контексте безопасности другого сайта. 4. Уязвимость существует из-за ошибки при восстановлении закрытых вкладок. Удаленный пользователь может с помощью специально сформированного сайта изменить введенные в текстовые поля данные и получить доступ к содержимому локальных файлов, когда пользователь попытается восстановить закрытую вкладку. 5. Уязвимость существует из-за ошибки при обработке ярлыков. Удаленный пользователь может с помощью специально сформированного HTML файла, загружающего привилегированный документ через ярлык .desktop, выполнить произвольный JavaScript на целевой системе с привилегиями chrome. Для успешной эксплуатации уязвимости злоумышленник должен обманом заставить пользователя скачать и запустить специально сформированные HTML и .desktop файлы. Уязвимость относится к: www.securitylab.ru/vulnerability/361118.php 6. Уязвимость существует из-за того, что файлы куки, помеченные как "HTTPOnly", доступны JavaScript сценариям через API "XMLHttpRequest.getResponseHeader" и "XMLHttpRequest.getAllResponseHeaders". 7. Уязвимость существует из-за того, что Firefox игнорирует HTTP директивы "Cache-Control: no-store" и "Cache-Control: no-cache" для HTTPS страниц, запрещающие кеширование страниц. Злоумышленник может получить доступ к потенциально важным данным через сохраненные страницы в кеше. Решение: Установите последнюю версию 3.0.6 с сайта производителя. ©SecurityLab
С годами глупостей я делаю поменьше, но качество при этом их растёт
|
|
| |
Gugul | Дата: Четверг, 05.Февраля.2009, 02:59:59 | Сообщение # 12 |
Админ
Группа: Администраторы
Сообщений: 620
Статус: Offline
| Программа: Google Chrome версии до 1.0.154.46 Опасность: Средняя Наличие эксплоита: Нет Описание: Обнаруженные уязвимости позволяют удаленному пользователю произвести XSS нападение и получить доступ к важным данным. 1. Уязвимость существует из-за в плагине Adobe Reader. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта. Подробное описание уязвимости: www.securitylab.ru/vulnerability/285027.php 2. Уязвимость существует из-за ошибки в механизме V8 JavaScript. Удаленный пользователь может обойти политику единства происхождения и получить доступ к полному URL и другим атрибутам или данным фрейма в другом домене. URL производителя: www.google.com/chrome Решение: Установите последнюю версию с сайта производителя. ©SecurityLab
С годами глупостей я делаю поменьше, но качество при этом их растёт
|
|
| |
Gugul | Дата: Вторник, 03.Марта.2009, 17:23:37 | Сообщение # 13 |
Админ
Группа: Администраторы
Сообщений: 620
Статус: Offline
| Программа: Opera версии до 9.64 Опасность: Высокая Наличие эксплоита: Нет Описание: Обнаруженные уязвимости позволяют удаленному пользователю обойти некоторые ограничения безопасности, произвести XSS нападение и скомпрометировать целевую систему. 1. Уязвимость существует из-за неизвестной ошибки при обработке JPEG изображений. Удаленный пользователь может вызвать повреждение памяти и выполнить произвольный код на целевой системе. 2. Уязвимость существует из-за неизвестной ошибки в некоторых плагинах. Удаленный пользователь может выполнить произвольный код сценария в браузере жертвы в контексте безопасности другого домена. 3. Уязвимость существует из-за неизвестной ошибки. Подробности уязвимости не сообщаются. URL производителя: www.opera.com Решение: Установите последнюю версию 9.64 с сайта производителя. ©SecurityLab
С годами глупостей я делаю поменьше, но качество при этом их растёт
|
|
| |
Gugul | Дата: Четверг, 05.Марта.2009, 18:17:09 | Сообщение # 14 |
Админ
Группа: Администраторы
Сообщений: 620
Статус: Offline
| Программа: Mozilla Firefox 3.0.6 и более ранние версии. Опасность: Высокая Наличие эксплоита: Нет Описание: Обнаруженные уязвимости позволяют удаленному пользователю обойти некоторые ограничения безопасности, получить доступ к важным данным, произвести спуфинг атаку и скомпрометировать целевую систему. 1. Уязвимость существует из-за ошибки в механизме раскладки. Удаленный пользователь может вызвать повреждение памяти и скомпрометировать целевую систему. 2. Уязвимость существует из-за ошибки в механизме раскладки. Удаленный пользователь может вызвать повреждение памяти и скомпрометировать целевую систему. Уязвимость также распространяется на Firefox 2.x. 3. Уязвимость существует из-за неизвестной ошибки в механизме JavaScript. Удаленный пользователь может вызвать повреждение памяти и скомпрометировать целевую систему. 4. Уязвимость существует из-за неизвестной ошибки в механизме раскладки. Удаленный пользователь может вызвать повреждение памяти и скомпрометировать целевую систему. Уязвимость также распространяется на Firefox 2.x. 5. Уязвимость существует из-за двойного освобождения памяти в процессе “garbage collection”. Удаленный пользователь может с помощью клонированных XUL DOM элементов, связанных между собой, вызвать повреждение памяти и выполнить произвольный код на целевой системе. 6. Уязвимость существует из-за отсутствия ограничения на использование nsIRDFService. Удаленный пользователь может обойти политику единства происхождения и получить доступ к XML данным другого домена. 7. Уязвимость существует из-за ошибки при обработке PNG изображений в библиотеке libpng. Подробное описание уязвимости: www.securitylab.ru/vulnerability/368509.php 8. Уязвимость существует из-за того, что некоторые невидимые служебные символы декодируются при отображении в адресной строке, что приводит к уменьшению видимых символов. Удаленный пользователь может подменить адресную строку и перенаправить пользователя на злонамеренный сайт. URL производителя: www.mozilla.com/en-US/ Решение: Установите последнюю версию с сайта производителя. ©SecurityLab
С годами глупостей я делаю поменьше, но качество при этом их растёт
|
|
| |
Gugul | Дата: Вторник, 11.Мая.2010, 19:54:58 | Сообщение # 15 |
Админ
Группа: Администраторы
Сообщений: 620
Статус: Offline
| Sputnik гугловый пакет тестов для браузера проверяет множество параметров следования стандарту ECMAscript (JavaScript). продолжим холивар?! ;-) результаты теста: хром: иэ: мозилла: опера:
С годами глупостей я делаю поменьше, но качество при этом их растёт
|
|
| |
|