brainslicer Postad 14 Juli , 2009 Rapport Postad 14 Juli , 2009 SR09-122 Mozilla - "0day"-sårbarhet i Mozilla Firefox SR09-122 Mozilla - "0day"-sårbarhet i Mozilla Firefox Nyckelord: Webbläsare Mozilla En "0day"-sårbarhet har identifierats i Mozilla Firefox. Effektivt utnyttjande kan medge godtycklig kodexekvering på ett sårbart system. Publicerad: 2009-07-14 13:56 Problembeskrivning CVE-referens: - Simon Berry-Byrne har identifierat en sårbarhet i Mozilla Firefox version 3.5. En användare med en sårbar version av Firefox behöver bara besöka en riggad webbplats för att drabbas. Vid ett effektivt utnyttjande kan en angripare skaffa sig samma rättigheter på systemet som användaren har. Sårbarheten beror på ett fel i hanteringen av "JavaScript"-kod. I skrivandets stund finns inga rättningar att tillgå från Mozilla och det är oklart om andra versioner av Firefox är sårbara. Påverkade versioner: Mozilla Firefox 3.5 Andra versioner av Firefox kan vara sårbara Mer information och programrättningar: http://www.vupen.com/english/advisories/2009/1868 http://www.securityfocus.com/bid/35660 http://secunia.com/advisories/35798 also unpatched: Highlighted Microsoft Office Web Components Code Execution Vulnerability Issued 22 hours ago. // Extremely critical // From remote // 1,430 views Unpatched. Set the kill-bit for the affected ActiveX control. Microsoft DirectShow Streaming Video ActiveX Control Vulnerabilities Issued 6 July, 2009. // Extremely critical // From remote // 9,376 views Unpatched. Set the kill-bit for the affected ActiveX control. Mozilla Firefox Memory Corruption Vulnerability Issued 5 hours ago. // Highly critical // From remote // 750 views Unpatched. Do not browse untrusted websites or follow untrusted links. Citera
brainslicer Postad 14 Juli , 2009 Författare Rapport Postad 14 Juli , 2009 Vad är 0-day-sårbarhet? http://en.wikipedia.org/wiki/Zero_day_attack A zero-day (or zero-hour) attack or threat is a computer threat that tries to exploit computer application vulnerabilities which are unknown to others, undisclosed to the software vendor, or for which no security fix is available. Zero-day exploits (actual code that can use a security hole to carry out an attack) are used or shared by attackers before the software vendor knows about the vulnerability. Kort sagt: attack koden finns ute publikt, men ingen patch finns. Kommer ju dock inte alltid så här direkt till kännedom med varningar, vissa kan ju vart ute länge innan dom uppmärksammas, om det är elakingar som upptäckt dom Citera
brainslicer Postad 15 Juli , 2009 Författare Rapport Postad 15 Juli , 2009 vill man temporärt fixa tills en patch kommer så: http://www.kb.cert.org/vuls/id/443060 III. Solution We are currently unaware of a practical solution to this problem. Until an update is available the below workaround may mitigate this issue. Disable TraceMonkey To disable the vulnerable components, use the about:config interface to set javascript.options.jit.content and javascript.options.jit.chrome to false. This will still allow JavaScript to run, but it will disable the TraceMonkey performance enhancements. Use NoScript Using the Mozilla Firefox NoScript extension to whitelist web sites that can run scripts will help to mitigate this vulnerability. Further details for configuring NoScript are available in the Securing Your Web Browser document. Disable JavaScript For instructions on how to disable JavaScript in Firefox, please refer to the Firefox section of the Securing Your Web Browser document. rekommenderar användandet av NoScript, inte bara nu utan även för framtida hot, plus man slipper en massa reklam som bonus Citera
bzkt Postad 15 Juli , 2009 Rapport Postad 15 Juli , 2009 Microsoft DirectShow Streaming Video ActiveX Control Vulnerabilities Issued 6 July, 2009. // Extremely critical // From remote // 9,376 views Unpatched. Set the kill-bit for the affected ActiveX control. Upptäckt den 6:e juli, alltså 10 dagar sedan. 'Extremely critical'. Microsoft är oerhört snabba i sitt säkerhetsarbete... Citera
brainslicer Postad 15 Juli , 2009 Författare Rapport Postad 15 Juli , 2009 Upptäckt den 6:e juli, alltså 10 dagar sedan. 'Extremely critical'. Microsoft är oerhört snabba i sitt säkerhetsarbete... jaoo, blir väl så när dom har patchdag 1 gång/månad. tror den fixades i patchpaketet som kom idag, står iaf "Solution Status: Vendor Patch" nu edit: ska väl tilläggas att den andra(Office/Excel buggen)inte patchades, också den Extremly Critical, lär dröja 30dagar tills den fixas då... Vad är 0-day-sårbarhet? Angående 0-day så är det just dom 2 högsta klasserna Highly/Exremely Critical som avses. De har attack koden ute publikt, kräver oftast inte någon handling från användaren, och är "remotely exploitable". Den senare används bevisligen aktivt. Den som tar sin laptop till okända nät bör ju även uppmärksamma lägre varnings klasser som är exploitable via LAN tex. Men normalt bör väl dom 2 högsta räcka att vara medveten om. Citera
brainslicer Postad 17 Juli , 2009 Författare Rapport Postad 17 Juli , 2009 eldräven fixad nu http://www.sitic.se/publikationer/namnvart/mozilla-firefox-3-5-1-slappt-rattar-en-sarbarhet Mozilla har släppt version 3.5.1 av sin webbläsare Firefox. Uppdateringen rättar den sårbarhet i Firefox 3.5 som vi skrev om tidigare i veckan i SR09-122 Mozillas råd: http://www.mozilla.org/security/announce/2009/mfsa2009-41.html 2009-07-17 09:46 Citera
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.