Mozilla опубликовала первое обновление для Firefox 4.0

Ксения Ренселаева 01 Мая 2011 - 17:07

...

Команда разработчиков Mozilla опубликовала первое обновление для новой версии обозревателя Firefox 4.0, в котором исправлены две уязвимости, позволяющие злоумышленникам обойти защиту операционной системы Windows Vista и Windows 7.

Ошибки найдены в двух графических библиотеках WebGLES, которые были включены в последнюю версию обозревателя. Как сообщил исследователь в области безопасности, обнаруживший уязвимость, они стали результатом того, что код был скомпилирован без учета технологии ASLR.

Как известно, технология ASLR является мерой безопасности, которая была разработана для предотвращения возможных атак, затрудняя эксплуатацию нескольких типов уязвимостей. Впервые она была применена в операционной системе Windows Vista. Заметим, что все предшествующие Firefox 4 версии не подвержены этой уязвимости.

Согласно сообщению, хакер, нашедший возможность эксплуатации уязвимости в функции памяти может в дальнейшем использовать эти библиотеки для обхода ASLR на платформах Windows Vista и Windows 7, причем в случае успешной атаки результат будет таким же, как и на Windows XP, т.е. привести к удаленному исполнению кода на целевой системе.

Кроме описанной уязвимости в патче исправлены другие ошибки, в том числе обнаруженные в функции "XSLT generate-id()" динамически распределенной области памяти, а также дефекты, приводящие к нарушению системы безопасности.

Стоит отметить, что компания опубликовала обновления для версии Firefox 3.6. Помимо прочего там исправлены три критические ошибки, в числе которых возможность повышения привилегий через плагин Java, ссылки на несуществующие объекты и ошибки в функции памяти.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 28 Апреля 2025 - 13:23

Уязвимости программ Домашние пользователи Корпорации Средства поиска уязвимостей

СберТех расширил свою баг-баунти: можно получить до 200 тысяч за уязвимость

Независимые исследователи смогут получить до 200 тысяч рублей за найденные уязвимости в сервисах СберТеха. Компания расширил свою публичную баг-баунти на платформе BI.ZONE Bug Bounty.

Теперь баг-хантеры могут искать уязвимости не только в платформе GitVerse, но и на любых клиентских и пользовательских сервисах под доменом sbertech.ru.

Размер вознаграждения зависит от степени риска найденной проблемы. Максимальная выплата за уязвимость составляет 200 тысяч рублей.

Генеральный директор СберТеха Максим Тятюшев отметил, что компания хочет не только усилить защиту своих продуктов, но и открыто показать готовность к независимой оценке своих публичных сервисов.

Руководитель продукта BI.ZONE Bug Bounty Андрей Лёвкин добавил, что всё больше разработчиков запускают собственные программы поиска уязвимостей. По его словам, тренд на рост числа баг-баунти в России сохраняется: появляются новые участники из разных отраслей, а вендоры всё активнее работают с независимыми исследователями.

BI.ZONE Bug Bounty — это площадка, где компании размещают свои программы, а баг-хантеры ищут уязвимости и получают выплаты за подтвержденные находки. Среди участников платформы уже есть Сбер, VK, «Т-Банк», «Группа Астра» и другие.

СберТех — разработчик ПО для бизнеса и госсектора, основной поставщик решений для Сбера.