Phoenix

Месяц ошибок в браузерах

В этой теме 5 сообщений

(с) http://www.osp.ru/text/685552/2525243/

Закончился проект под названием "Месяц ошибок в браузерах", который проводил исследователь безопасности H. D. Moore, автор платформы для эксплойтов Metasploit.

Однако, хотя хакер обещал рассказывать об ошибках в браузерах, в основном ошибки он публиковал для Internet Explorer - из 31 опубликованного сообщения 25 относились именно к IE. Причем большая часть найденных ошибок связана с ActiveX - таких уязвимостей 21. Также по две ошибки было обнародовано для Safari и Firefox, и по одной для Opera и Konqueror.

Правда, ошибки, которые относились к Firefox уже исправлены, чего нельзя сказать о других браузерах. Ошибки в браузерах были найдены с помощью специальных JavaScript-сценариев Hamachi, CSS-Die, DOM-Hanoi и MangleMe, которые были разработаны H. D. Moore совместно с Метом Мерфи, Авив Раффом и Терри Золлером.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Я вот даже не знаю, можно ли по этим данным судить о количестве потенциальных дыр в том или ином браузере ... методика тестирования где-то опубликована?

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

(с) http://www.securityfocus.com/columnists/411

"... After his interest was piqued by the work of others, Moore began creating his own fuzzers. A fuzzer basically sends randomized data to a program's inputs. If something weird happens - a crash, for example - then the fuzzer has done its job. Moore's fuzzers first looked for flaws in Internet Explorer's implementation of ActiveX (unsurprisingly, a rich source of bugs and issues). From there he spread out to a fuzzer that tests various browsers' methods for DHTML. ..."

Похоже программе передаются случайные (или полуслучайные) данные, пока с ней не случится что-нибудь типа сбоя...

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Эти ошибки в браузерах не являются уязвимостями.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

До написания под ошибку эксплойта Ж)

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • alamor
      PR55.RP55, извиняюсь, про исполняемые недосмотрел, подумал вы .pf файлы предлагаете чистить. Сейчас у многих это "модно".
       
    • PR55.RP55
      alamor У меня порой возникает такое впечатление, что я пишу одно - а люди читают, что-то совсем другое. Ещё раз. Каталог: PREFETCH   в норме не содержит исполняемых файлов. он содержит файлы\информацию по запуску исполняемых файлов. Никто не предлагает очищать сам каталог. ------------------------ SourceMonitor Возможно, что-то в таком духе будет полезно для анализа файла, при добавлении этой информации в Инфо. http://soft.oszone.net/program/5829/SourceMonitor/
    • alamor
      PR55.RP55, не надо всякой фигнёй страдать. И поменьше читайте разные байки в интернете про очистку файлов префетчера. Тем более в контексте uVS после такой очистки вы потеряете часть файлов в образе которые запускались неявно или вручную и будете потом обвинять demkd, что новая версия видит меньше вирусни чем старая.
       
    • AM_Bot
      Антивирусная компания ESET провела опрос, посвященный онлайн-платежам. Респондентам предложили перечислить товары и услуги, которые они оплачивают в Сети, и меры предосторожности. Пользователи могли указать несколько вариантов ответа. Читать далее
    • AM_Bot
      Минкомсвязи собирается ограничить число удостоверяющих центров, которые сегодня имеют право выдавать квалифицированную электронную подпись, двумя государственными структурами. Соответствующий законопроект уже внесен ведомством. Читать далее