LINUX.ORG.RU
 

Выполнение произвольного кода в Mozilla


0

0

И очередная уязвимость в Mozilla, а так же связанных с ним проектах. Уязвимость позволяет злоумышленнику выполнить произвольный код на целевой системе с привилегиями текущего пользователя.

>>> Подробности

anonymous ()
Проверено: Pi (19.04.2005 10:27:56)

ПОСАДИ КОМПЬЮТЕР НА ЦЕПЬ И ЗАСТАВЬ ЛАЯТЬ!

домашняя автоматизация: сделай сам; лучший подарок для техногика

http://www.unicontrollers.com/products/unc01x

1 2 3 4
[#]  

Re: Выполнение произвольного кода в Mozilla

итак перед нами фактически еще одно подтверждение тому что гетерогенная среда лучше "выживает"

anonymous ()
[#] Ответ на: Re: Выполнение произвольного кода в Mozilla от gass512 20.04.2005 10:13:04  

Re: Выполнение произвольного кода в Mozilla

"У него один билд от 4 апреля, это NIGHTLY(!!!) версия, одна из первых, кажется третий RC!!! А от 14 апреля -- это RELEASE!!!"

Тогда, наверное, стоит придумать лучшую систему обозначения таких билдов. Ты вон сам не знаешь, какой это билд :)

** ()
[#] Ответ на: Re: Выполнение произвольного кода в Mozilla от WindowsUser 20.04.2005 10:49:15  

Re: Выполнение произвольного кода в Mozilla

> Тогда, наверное, стоит придумать лучшую систему обозначения таких билдов. Ты вон сам не знаешь, какой это билд :)

Ничего придумывать не надо. А система обозначения проста: Gecko/20050414 -- первые 4 цифры -- год, вторые 2 -- месяц, третьи 2 -- день. То есть билд от 14 апреля сего года.

Просто надо качать релизы, а не nightly, тогда и удивляться не придется, что при "закрытой" дырке эксплоит работает.

()
[#]  

Re: Выполнение произвольного кода в Mozilla

Всем у кого "работает"

После исправления СИНТАКСИЧЕСКИХ ошибок:

Error: uncaught exception: Permission denied to get property ChromeWindow.doitlinux

НЕ ВЕРЮ.

Видел пока только один РАБОТАЮЩИЙ эксплойт Мозиллы. Пару лет назад. При ненастроенном ulimit теоретически могла снять X-ы. Пофиксили через 48 часов после обнаружения.

anonymous ()
[#] Ответ на: Re: Выполнение произвольного кода в Mozilla от WindowsUser 20.04.2005 6:13:54  

Re: Выполнение произвольного кода в Mozilla

> слово "похоже" видел? Наверное, как обычно, читать не умеешь. Хотя, если посмотреть два сообщения перед этим от linux_newbe, сомнения таки закрадываются....

Хорошо, исправляюсь. WindowsUser! Похоже, ты провокатор. И, похоже, ты наглый лжец. Полегчало?

anonymous ()
[#] Ответ на: Re: Выполнение произвольного кода в Mozilla от linux_newbe 20.04.2005 3:47:46  

Re: Выполнение произвольного кода в Mozilla

> Уже не работает. Ну и зоопарк с версиями эххх.

Когда и откуда ты скачал уродца "20050401"?

anonymous ()
[#] Ответ на: Re: Выполнение произвольного кода в Mozilla от WindowsUser 20.04.2005 10:49:15  

Re: Выполнение произвольного кода в Mozilla

> Тогда, наверное, стоит придумать лучшую систему обозначения таких билдов. Ты вон сам не знаешь, какой это билд :)

20050414 чем-то не устраивает? Чем? Если ты полез в nightly (который с основной страницы mozilla напрямую недоступен, его ещё разыскать надо), значит, знаешь, что делаешь?

anonymous ()
[#] Ответ на: Re: Выполнение произвольного кода в Mozilla от anonymous 20.04.2005 12:21:00  
linux_newbe

Re: Выполнение произвольного кода в Mozilla

Почитай вот этот тред: http://www.linux.org.ru/jump-message.jsp?msgid=860778

Зоопарк версий - это факт. Исправили баг быстро - молодцы, но могли-бы как-то обозначать что билд RCx.

# ()
[#] Ответ на: Re: Выполнение произвольного кода в Mozilla от linux_newbe 20.04.2005 13:08:47  

Re: Выполнение произвольного кода в Mozilla

> Почитай вот этот тред:
> http://www.linux.org.ru/jump-message.jsp?msgid=860778

Почитал, цитирую одного из выступавших:
---------------------------------------
Уточняю ссылку ftp://ftp.mozilla.org/pub/mozilla.org/firefox/nightly/latest-aviary1.0.1-l10n/

но это ветка для тестирования
---------------------------------------

> Зоопарк версий - это факт. Исправили баг быстро - молодцы, но могли-бы
> как-то обозначать что билд RCx.

Зачем? Если ты присмотришься к линку, то файл лежит в каталоге nightly (!!!). Ты понимаешь, что это означает? Эти билды НЕ ПРЕДНАЗНАЧЕНЫ для конечных пользователей. И в их Help -> About ВСЕГДА можно найти дату. Что ещё нужно? Неужели так сложно обратить внимание на дату? Лично у меня это не вызывает НИКАКИХ сложностей. Релизы - в ftp://ftp.mozilla.org/pub/mozilla.org/firefox/releases , эксперименты - в ftp://ftp.mozilla.org/pub/mozilla.org/firefox/nightly . Если ты плохо понимаешь, что это означает, то зачем лезешь туда и ставишь билды оттуда в качестве стабильных?

anonymous ()
[#] Ответ на: Re: Выполнение произвольного кода в Mozilla от anonymous 20.04.2005 13:30:24  

Re: Выполнение произвольного кода в Mozilla

Так что зоопарк у тебя в голове, а не с версиями ff. У ff всё прозрачно: есть релиз - он для всех, в releases. И есть nightly, которые для экстремалов. Отличие одних от других - однозначное и прозрачное - дата билда, которая ЯВЛЯЕТСЯ ЧАСТЬЮ ВЕРСИИ (чего ты не знал или не хотел знать, а сейчас неумело пытаешься оправдываться).

anonymous ()
[#] Ответ на: Re: Выполнение произвольного кода в Mozilla от linux_newbe 20.04.2005 13:52:33  

Re: Выполнение произвольного кода в Mozilla

> Да всё я понимаю. Блин просто могли-бы указывать в названии явным образом чтоли.

У них уже сложилась такая система нумерования версий, и менять они не видят смысла :)

anonymous ()
[#] Ответ на: Re: Выполнение произвольного кода в Mozilla от anonymous 20.04.2005 13:39:09  

Re: Выполнение произвольного кода в Mozilla

> дата билда, которая ЯВЛЯЕТСЯ ЧАСТЬЮ ВЕРСИИ

так блин, явно, может, стоит это написать на сайте? А то файрфокс 1.0.3, 1.0.3... Пишите релиз 1.0.3 билд такой-то. Либо меняй нумерацию

Я вообще думал, что эта версия Gecko встроенная. Идиотизм полный...

** ()
[#] Ответ на: Re: Выполнение произвольного кода в Mozilla от anonymous 20.04.2005 12:19:53  

Re: Выполнение произвольного кода в Mozilla

> Хорошо, исправляюсь. WindowsUser! Похоже, ты провокатор. И, похоже, ты наглый лжец. Полегчало?

да, анонимус, я тебя тоже также люблю. :)

** ()
[#] Ответ на: Re: Выполнение произвольного кода в Mozilla от WindowsUser 20.04.2005 15:10:00  

Re: Выполнение произвольного кода в Mozilla

> так блин, явно, может, стоит это написать на сайте? А то файрфокс 1.0.3, 1.0.3... Пишите релиз 1.0.3 билд такой-то. Либо меняй нумерацию

Зачем это писать? На сайте пишут релизы, и только релизы, зачем номер билда писать? У релиза один билд... все что до него -- nightly.

()
[#] Ответ на: Re: Выполнение произвольного кода в Mozilla от WindowsUser 20.04.2005 15:10:00  

Re: Выполнение произвольного кода в Mozilla

> так блин, явно, может, стоит это написать на сайте? А то файрфокс 1.0.3, 1.0.3... Пишите релиз 1.0.3 билд такой-то. Либо меняй нумерацию

Для особо одарённых: на сайте выкладываются РЕЛИЗЫ, а не то, что вы там выковыривали из ж... под названием nightly. Nightly - не для юзеров, а для тестеров. Теперь доходчиво? Или таким, как вы, надо несмываемую печать на всё окно лепить: NIGHTLY BUILD, YOU WERE WARNED! ?

anonymous ()
[#]  

Re: Выполнение произвольного кода в Mozilla

обновился

Mozilla/5.0 (X11; U; Linux i686; en-EN; rv:1.7.7) Gecko/20050414 Firefox/1.0.3

теперь не работает

()
[#] Ответ на: Re: Выполнение произвольного кода в Mozilla от gass512 20.04.2005 8:58:52  

Re: Выполнение произвольного кода в Mozilla

> Дык нефиг было nightly качать.

Дык ё! Когда вышел эксплойт и когда появился релиз? Конечно грамотный
народ сразу полез за найтли билдами с быстрыми исправлениями. Ну, вот за
грамотность и пострадали ;-(

anonymous ()
[#]  

Re: Выполнение произвольного кода в Mozilla

По ходу вопрос к слэкварщикам: Патрик опять что ли помирает? Апдейтов нетути...

anonymous ()
[#] Ответ на: Re: Выполнение произвольного кода в Mozilla от anonymous 20.04.2005 20:41:56  

Re: Выполнение произвольного кода в Mozilla

> Дык ё! Когда вышел эксплойт и когда появился релиз? Конечно грамотный народ сразу полез за найтли билдами с быстрыми исправлениями. Ну, вот за грамотность и пострадали ;-(

Я не совсем понял, в чём конкретно выразилось это "страдание". Можно попродробнее? Недо-1.0.3 сделал харакири твоему винту или что? Может, всё от твоей лени и глупости?

anonymous ()
[#] Ответ на: Re: Выполнение произвольного кода в Mozilla от anonymous 20.04.2005 21:57:00  

Re: Выполнение произвольного кода в Mozilla

В том, что патч от 2-го апреля был недоделан, и сейчас пришлось тянуть второй раз. В чём ты узрел глупость? В том, что человек сразу обновился после сообщения о первой уязвимости и не стал ждать несколько дней пока выйдет официальный релиз?

anonymous ()
[#] Ответ на: Re: Выполнение произвольного кода в Mozilla от anonymous 20.04.2005 22:58:11  

Re: Выполнение произвольного кода в Mozilla

> В том, что патч от 2-го апреля был недоделан, и сейчас пришлось тянуть второй раз.

Блин, ну разумеется, он был не доделан! Потому и не выложили его в виде релиза, что об этой уязвимости ещё НЕ ЗНАЛИ. И никто это релизом не называл, это у тебя только навязчивые идеи какие-то.

> В чём ты узрел глупость? В том, что человек сразу обновился после сообщения о первой уязвимости и не стал ждать несколько дней пока выйдет официальный релиз?

Нет. В том, что он после этого начал вопить, что его обманули.

anonymous ()
[#] Ответ на: Re: Выполнение произвольного кода в Mozilla от anonymous 21.04.2005 0:44:04  

Re: Выполнение произвольного кода в Mozilla

Да сам ты козёл! Ты наверное это добивался услышать? Никто не вопил. Просто рассказали как о казусе.

anonymous ()
[#] Ответ на: Re: Выполнение произвольного кода в Mozilla от anonymous 21.04.2005 2:14:59  

Re: Выполнение произвольного кода в Mozilla

> Да сам ты козёл! Ты наверное это добивался услышать? Никто не вопил. Просто рассказали как о казусе.

Так ведёт себя типичный провокатор, которого поймали за яйца.

anonymous ()
[#] Ответ на: Re: Выполнение произвольного кода в Mozilla от anonymous 20.04.2005 22:58:11  

Re: Выполнение произвольного кода в Mozilla

с каких это пор глупость стала оправданием? наоборот, это отягчающий вину фактор

anonymous ()
[#]  

Re: Выполнение произвольного кода в Mozilla

Внесу свои 5 копеек: Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.7a) Gecko/20040111 Firebird/0.8.0+ не работает

anonymous ()
1 2 3 4
Mozilla