Перейти к содержанию
Danilka

Разработчики Firefox планируют заблокировать Java для предотвращения BEAST-атак

Recommended Posts

Danilka
Разработчики Firefox хотят найти способ защитить пользователей от новых кибератак, с помощью которых злоумышленники расшифровывают SSL-трафик. Представители Firefox хотят выпустить обновление, которое заблокирует работу браузера с платформой Java.

Разработчики Firefox хотят обезопасить пользователей от атак, в результате которых расшифровывается SSL-трафик. Этот протокол используется web-сайтами для защиты от атак "человек посередине". Напомним, что на прошлой неделе двое исследователей представили эксплоит, который позволил за две минуты восстановить зашифрованный cookie-файл, содержащий учетные данные пользователей в системе PayPal. Эксплоит BEAST вводит иньекцию Javascript в SSL-сессию, позволяющую ускорить расшифровку конфиденциальной информации, которая передается в потоке данных.

Разработчики Firefox предлагают заблокировать все версии Java-плагинов. Однако они признают, что перед тем, как осуществить блокировку, нужно провести детальное исследование. Они отмечают, что запрет на Java лишит пользователей возможности учавствовать в чате Facebook, а также использовать различные корпоративные приложения, основанные на Java.

Разработчики заявляют, что у них уже есть механизм для «мягкой блокировки» Java, который позволяет пользователям повторно включить плагины с помощью дополнительных расширений браузера, а также подтверждать включение в сплывающем диалоговом окне.

«Введение функции «нажмите, чтобы просмотреть» или так называемого белого списка, проверенных web-сайтов, будет уместным. Однако в белый список будет добавляться большое количество сайтов , к примеру, Facebook, который из-за своих механизмов (еще даже не существующих) будет подвергать пользователей опасности».

Намерения Firefox отказаться от Java могут создать проблемы для корпоративных пользователей, которые используют платформу для работы в браузерах через виртуальные частные сети. Также могут возникнуть проблемы с использованием инструментов интрасети и приложений для работы в режиме web-конференций, к примеру, WebEx от Cisco Systems.

Напомним, что разработчики браузера Google Chrome также выпустили обновления для более надежной защиты информации пользователей от эксплоита BEAST. В основе обновлений версий Google Chrome лежит идея разделения определенных сообщений на фрагменты, чтобы уменьшить воздействие мошенника на текст, который должен быть зашифрован. Такие нововведения в метод шифрования сбивает BEAST с пути дешифрования, добавляя новую информацию. Это обновление стало причиной несовместимости браузера с некоторыми web-сайтами.

http://www.securitylab.ru/news/407545.php

Браузер начинает превращаться в г.вно... Мда.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Чатик в фейсбуке? А то, что у меня веб банкинг работает с использованием Явы, это так, пофиг?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka

Umnik, ну так у меня тоже много чего важного работает с ней.. Так что..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ANDYBOND

А вот у меня ничего важного в ней не работает. Мне нормально.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy

Fx всегда был вроде бы конструктором. И кто хочет блокировать скрипты, для того есть NoScript.

Чем-то это решение напоминает блокировку ВКонтакте целиком как порно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
OlegAndr
Чатик в фейсбуке? А то, что у меня веб банкинг работает с использованием Явы, это так, пофиг?

Уже вроде даже банк москвы перешел на аякс. Или именно яваскрипт имеется ввиду.?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
mvs

да и фик с ним, браузером просто перестанут пользоваться домохозяйки сидящие в соц. сетях.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik
Уже вроде даже банк москвы перешел на аякс. Или именно яваскрипт имеется ввиду.?

Авангард

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka
29 сентября, 2011

Программа: Mozilla Firefox 6.x

Опасность: Высокая

Наличие эксплоита: Нет

Описание:

Обнаруженные уязвимости позволяют удаленному пользователю обойти некоторые ограничения безопасности и скомпрометировать целевую систему.

1. Уязвимость существует из-за неизвестной ошибки, которая позволяет удаленному пользователю вызвать повреждение памяти. Подробности уязвимости не разглашаются.

2. Уязвимость существует из-за ошибки в реализации в объекте window.location JavaScript во время создания именных фреймов. Удаленный пользователь может обойти политику единства происхождения и произвести XSS нападение.

3. Уязвимость существует из-за некорректной проверки данных при загрузке расширений для обозревателя. Для установки вредоносного приложения удаленный пользователь должен убедить жертву нажать клавишу "Enter", например, в ходе игры.

4. Уязвимость существует в WebGL ANGLE библиотеке из-за неправильной проверки возвращаемых значений функции "GrowAtomTable()". Удаленный пользователь может путем отправки последовательности специально сформированных запросов вызвать переполнение буфера.

5. Уязвимость существует из-за неопределенной ошибки в WebGL. Удаленный пользователь может вызвать повреждение памяти.

6. Уязвимость существует из-за неопределенной ошибки в библиотеке регулярных выражений YARR. Удаленный пользователь может вызвать повреждение памяти.

7. Уязвимость существует из-за неправильного развертывания "XPCNativeWrappers" в JSSubScriptLoader. Удаленный пользователь может с помощью специально сформированного плагина выполнить произвольный код на целевой системе.

8. Уязвимость существует из-за ошибки использования после освобождения при обработке OGG заголовков.

9. Уязвимость существует из-за ошибки при работе с множеством вкладок. Удаленный пользовать может с помощью специально сформированной web-страницы определить, какие данные были отправлены в соседнюю вкладку.

URL производителя: http://www.mozilla.org

Решение: Обновите продукт до версии 7.0

:facepalm: У них совсем уже башню сорвало. Жду с нетерпением того момента когда у них останутся 2 калеки из пользователей.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SySOPik
Fx всегда был вроде бы конструктором. И кто хочет блокировать скрипты, для того есть NoScript.

Чем-то это решение напоминает блокировку ВКонтакте целиком как порно.

Ну так они разработчики- имеют право. тот же Вконтакт вообще блокирует ВСЕ ссылки на бесплатные хостинговые сайты, без суда и следствия. :facepalm:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Уже вроде даже банк москвы перешел на аякс. Или именно яваскрипт имеется ввиду.?

В Банке Москвы - BIFIT. То есть Java. Не Java Script, а Java

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Feeble

Не понял, в статье говорят про эксплоит на Javascript, а Firefox собирается блокировать Java плагины?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SBond
У них совсем уже башню сорвало. Жду с нетерпением того момента когда у них останутся 2 калеки из пользователей.

Давайте не будем горячиться, я надеюсь, что все еще не так страшно.

Во первых - нормальный пользователь не будет держать у себя денежные куки, например для PayPal, запустит для этого отдельную сессию, и всегда зачистит такие сессии.

Во вторых - данную уязвимость исследовали только совсем недавно, хотя она уже известна давно, и Майкрософт в этом тоже не последний виновник. Кстати, они собираются выпустить патч - http://technet.microsoft.com/en-us/security/advisory/2588513

В третьих – лично у меня назрел большой вопрос, ко всем владельцам известных сайтов, которые используют данное шифрование, в то время как спецификации TLS 1.1/1.2 были разработаны достаточно давно, и вероятно из-за боязни потерять клиентов, например браузера мазилы - не поставили вопрос ребром.

В общем, одни вопросы, но самый главный вопрос – шумиха. Причем поднятая пока на пустом месте, по крайней мере, я еще не слышал о повальных взломах.

Я думаю, что все будет хорошо, хотя, конечно же - стоит поблагодарить разработчиков программы Beast. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka

SBond, я не про Яву, я про исправление критических уязвимостей в новой версии вместо патча для 6ки. На кой мне ставить 7ку?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SBond
SBond, я не про Яву, я про исправление критических уязвимостей в новой версии вместо патча для 6ки. На кой мне ставить 7ку?

Извини, я как всегда плохо прочитал второй пост, сделав выводы по поднятой теме.

Разработчики Firefox хотят найти способ защитить пользователей от новых кибератак, с помощью которых злоумышленники расшифровывают SSL-трафик. Представители Firefox хотят выпустить обновление, которое заблокирует работу браузера с платформой Java.

Разработчики Firefox хотят обезопасить пользователей от атак, в результате которых расшифровывается SSL-трафик. Этот протокол используется web-сайтами для защиты от атак "человек посередине". Напомним, что на прошлой неделе двое исследователей представили эксплоит, который позволил за две минуты восстановить зашифрованный cookie-файл, содержащий учетные данные пользователей в системе PayPal. Эксплоит BEAST вводит иньекцию Javascript в SSL-сессию, позволяющую ускорить расшифровку конфиденциальной информации, которая передается в потоке данных.

А почему вы отказываетесь от 7ки, из-за отсутствия (пока) поддержки со стороны плагинов KIS. ? :)

Кстати, хитрецы из мазилы обновили мне потихоньку теперь и 7ку, теперь версия - 7.0.1... тут я с вами согласен, наделают кучу версий, и сами уже не знают за что хвататься, вместо того, чтобы обновить чуть более старые версии :)

Хотя обещали, что будут развиваться все новые версии, и быстрые к ним патчи - на баги и уязвимости.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka
А почему вы отказываетесь от 7ки, из-за отсутствия (пока) поддержки со стороны плагинов KIS. ? :)

Кстати, хитрецы из мазилы обновили мне потихоньку теперь и 7ку, теперь версия - 7.0.1... тут я с вами согласен, наделают кучу версий, и сами уже не знают за что хвататься, вместо того, чтобы обновить чуть более старые версии :)

Хотя обещали, что будут развиваться все новые версии, и быстрые к ним патчи - на баги и уязвимости.

Плагинами KIS я не пользуюсь :) Так что мне по барабану - совместимы они или нет, они всегда у меня отключены. А вот другими плагинами, сторонних разрабов, я пользуюсь. И меня достало уже постоянное обновление версий. Почему нельзя разрабатывать как тот же Google? Почему у них на новых версиях ничего не отваливается? Ни плагины, ни чего. Может у разрабов Google руки прямее? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • demkd
      Неожиданно в Win10 всплыла нехорошая ошибка с правами доступа к ключам, как оказалось полный доступ к некоторым ключам может привести к неработоспособности отдельных компонентов Windows.
      К примеру исправление двойных слешей в Win10 1803 убивает меню пуск, почему ему не нравится полный доступ к ключу я так и не понял, но теперь такой проблемы нет и владелец и права доступа восстанавливаются после модификации ключа. ---------------------------------------------------------
       4.0.18
      ---------------------------------------------------------
       o В окно информации о процессе добавлены проценты загрузки CPU с момента создания процесса.
         "CPU" = загрузка всего процессора.
         "CPU 1 core" = загрузка в пересчете на 1 ядро.  o uVS теперь восстанавливает права доступа и владельца ключей после модификации параметров ключа.  o Исправлена ошибка из-за которой в лог могло выводиться обрезанное информационное сообщение о пути до ключа реестра.  o Исправлена ошибка из-за которой не удавалось изменить некоторые ключи реестра при запуске uVS под текущим пользователем.
         (Если права доступа запрещали изменение ключа для текущего пользователя).  o Исправлена финальная (когда не помогло использования ASA) функция удаления защищенных ключей реестра из веток *\CLSID.
         Ранее удаление завершалось с ошибкой "ключ не найден".
         (!) Внимательно следите за тем что вы удаляете, функция игнорирует системную защиту реестра (Win10) и защиту большинства антивирусных программ.  
    • PR55.RP55
      Отслеживание активности любого расширения в браузере на примере хрома: Chrome https://xakep.ru/2014/06/16/62643/ Таким образом можно выявить левое расширение. т.е.  хорошо бы отслеживать активность расширений и прописывать данные в Инфо.
    • SemenovaI
      Отзывы читать надо путешественников и уже согласно их мнению ехать отдыхать. Мы так с мужем в Болгарию летом съездили, сначала я изучила впечатления туристов об отелях, кафе и уже тогда выбрала маршрут и забронировала гостиницу. На Букинг зайдите там много всего интересного почитать можно. Кстати, бронировала отель используя кэшбэк https://letyshops.com/shops/bookingcom мне понравилось. Недорого так заплатила за номер, который сняли на пару недель. 
    • Зотов Тимур
      Ой, понимаю, банька это сила. Тоже на даче хочу построить, а то так понравилось отдыхать с мужиками, с пивком и девочками http://prostitutkichelyabinskaxxx.com/ , после горячего отдыха еще и в бассейн прыгнуть... Красота.
    • demkd
      это просто id задачи в кэше он будет виден только в ссылках или не будет виден, я уже не помню, в любом случае оно не представляет интереса.
×