Перейти к содержанию
Danilka

Разработчики Firefox планируют заблокировать Java для предотвращения BEAST-атак

Recommended Posts

Danilka
Разработчики Firefox хотят найти способ защитить пользователей от новых кибератак, с помощью которых злоумышленники расшифровывают SSL-трафик. Представители Firefox хотят выпустить обновление, которое заблокирует работу браузера с платформой Java.

Разработчики Firefox хотят обезопасить пользователей от атак, в результате которых расшифровывается SSL-трафик. Этот протокол используется web-сайтами для защиты от атак "человек посередине". Напомним, что на прошлой неделе двое исследователей представили эксплоит, который позволил за две минуты восстановить зашифрованный cookie-файл, содержащий учетные данные пользователей в системе PayPal. Эксплоит BEAST вводит иньекцию Javascript в SSL-сессию, позволяющую ускорить расшифровку конфиденциальной информации, которая передается в потоке данных.

Разработчики Firefox предлагают заблокировать все версии Java-плагинов. Однако они признают, что перед тем, как осуществить блокировку, нужно провести детальное исследование. Они отмечают, что запрет на Java лишит пользователей возможности учавствовать в чате Facebook, а также использовать различные корпоративные приложения, основанные на Java.

Разработчики заявляют, что у них уже есть механизм для «мягкой блокировки» Java, который позволяет пользователям повторно включить плагины с помощью дополнительных расширений браузера, а также подтверждать включение в сплывающем диалоговом окне.

«Введение функции «нажмите, чтобы просмотреть» или так называемого белого списка, проверенных web-сайтов, будет уместным. Однако в белый список будет добавляться большое количество сайтов , к примеру, Facebook, который из-за своих механизмов (еще даже не существующих) будет подвергать пользователей опасности».

Намерения Firefox отказаться от Java могут создать проблемы для корпоративных пользователей, которые используют платформу для работы в браузерах через виртуальные частные сети. Также могут возникнуть проблемы с использованием инструментов интрасети и приложений для работы в режиме web-конференций, к примеру, WebEx от Cisco Systems.

Напомним, что разработчики браузера Google Chrome также выпустили обновления для более надежной защиты информации пользователей от эксплоита BEAST. В основе обновлений версий Google Chrome лежит идея разделения определенных сообщений на фрагменты, чтобы уменьшить воздействие мошенника на текст, который должен быть зашифрован. Такие нововведения в метод шифрования сбивает BEAST с пути дешифрования, добавляя новую информацию. Это обновление стало причиной несовместимости браузера с некоторыми web-сайтами.

http://www.securitylab.ru/news/407545.php

Браузер начинает превращаться в г.вно... Мда.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Чатик в фейсбуке? А то, что у меня веб банкинг работает с использованием Явы, это так, пофиг?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka

Umnik, ну так у меня тоже много чего важного работает с ней.. Так что..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ANDYBOND

А вот у меня ничего важного в ней не работает. Мне нормально.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy

Fx всегда был вроде бы конструктором. И кто хочет блокировать скрипты, для того есть NoScript.

Чем-то это решение напоминает блокировку ВКонтакте целиком как порно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
OlegAndr
Чатик в фейсбуке? А то, что у меня веб банкинг работает с использованием Явы, это так, пофиг?

Уже вроде даже банк москвы перешел на аякс. Или именно яваскрипт имеется ввиду.?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
mvs

да и фик с ним, браузером просто перестанут пользоваться домохозяйки сидящие в соц. сетях.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik
Уже вроде даже банк москвы перешел на аякс. Или именно яваскрипт имеется ввиду.?

Авангард

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka
29 сентября, 2011

Программа: Mozilla Firefox 6.x

Опасность: Высокая

Наличие эксплоита: Нет

Описание:

Обнаруженные уязвимости позволяют удаленному пользователю обойти некоторые ограничения безопасности и скомпрометировать целевую систему.

1. Уязвимость существует из-за неизвестной ошибки, которая позволяет удаленному пользователю вызвать повреждение памяти. Подробности уязвимости не разглашаются.

2. Уязвимость существует из-за ошибки в реализации в объекте window.location JavaScript во время создания именных фреймов. Удаленный пользователь может обойти политику единства происхождения и произвести XSS нападение.

3. Уязвимость существует из-за некорректной проверки данных при загрузке расширений для обозревателя. Для установки вредоносного приложения удаленный пользователь должен убедить жертву нажать клавишу "Enter", например, в ходе игры.

4. Уязвимость существует в WebGL ANGLE библиотеке из-за неправильной проверки возвращаемых значений функции "GrowAtomTable()". Удаленный пользователь может путем отправки последовательности специально сформированных запросов вызвать переполнение буфера.

5. Уязвимость существует из-за неопределенной ошибки в WebGL. Удаленный пользователь может вызвать повреждение памяти.

6. Уязвимость существует из-за неопределенной ошибки в библиотеке регулярных выражений YARR. Удаленный пользователь может вызвать повреждение памяти.

7. Уязвимость существует из-за неправильного развертывания "XPCNativeWrappers" в JSSubScriptLoader. Удаленный пользователь может с помощью специально сформированного плагина выполнить произвольный код на целевой системе.

8. Уязвимость существует из-за ошибки использования после освобождения при обработке OGG заголовков.

9. Уязвимость существует из-за ошибки при работе с множеством вкладок. Удаленный пользовать может с помощью специально сформированной web-страницы определить, какие данные были отправлены в соседнюю вкладку.

URL производителя: http://www.mozilla.org

Решение: Обновите продукт до версии 7.0

:facepalm: У них совсем уже башню сорвало. Жду с нетерпением того момента когда у них останутся 2 калеки из пользователей.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SySOPik
Fx всегда был вроде бы конструктором. И кто хочет блокировать скрипты, для того есть NoScript.

Чем-то это решение напоминает блокировку ВКонтакте целиком как порно.

Ну так они разработчики- имеют право. тот же Вконтакт вообще блокирует ВСЕ ссылки на бесплатные хостинговые сайты, без суда и следствия. :facepalm:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Уже вроде даже банк москвы перешел на аякс. Или именно яваскрипт имеется ввиду.?

В Банке Москвы - BIFIT. То есть Java. Не Java Script, а Java

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Feeble

Не понял, в статье говорят про эксплоит на Javascript, а Firefox собирается блокировать Java плагины?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SBond
У них совсем уже башню сорвало. Жду с нетерпением того момента когда у них останутся 2 калеки из пользователей.

Давайте не будем горячиться, я надеюсь, что все еще не так страшно.

Во первых - нормальный пользователь не будет держать у себя денежные куки, например для PayPal, запустит для этого отдельную сессию, и всегда зачистит такие сессии.

Во вторых - данную уязвимость исследовали только совсем недавно, хотя она уже известна давно, и Майкрософт в этом тоже не последний виновник. Кстати, они собираются выпустить патч - http://technet.microsoft.com/en-us/security/advisory/2588513

В третьих – лично у меня назрел большой вопрос, ко всем владельцам известных сайтов, которые используют данное шифрование, в то время как спецификации TLS 1.1/1.2 были разработаны достаточно давно, и вероятно из-за боязни потерять клиентов, например браузера мазилы - не поставили вопрос ребром.

В общем, одни вопросы, но самый главный вопрос – шумиха. Причем поднятая пока на пустом месте, по крайней мере, я еще не слышал о повальных взломах.

Я думаю, что все будет хорошо, хотя, конечно же - стоит поблагодарить разработчиков программы Beast. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka

SBond, я не про Яву, я про исправление критических уязвимостей в новой версии вместо патча для 6ки. На кой мне ставить 7ку?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SBond
SBond, я не про Яву, я про исправление критических уязвимостей в новой версии вместо патча для 6ки. На кой мне ставить 7ку?

Извини, я как всегда плохо прочитал второй пост, сделав выводы по поднятой теме.

Разработчики Firefox хотят найти способ защитить пользователей от новых кибератак, с помощью которых злоумышленники расшифровывают SSL-трафик. Представители Firefox хотят выпустить обновление, которое заблокирует работу браузера с платформой Java.

Разработчики Firefox хотят обезопасить пользователей от атак, в результате которых расшифровывается SSL-трафик. Этот протокол используется web-сайтами для защиты от атак "человек посередине". Напомним, что на прошлой неделе двое исследователей представили эксплоит, который позволил за две минуты восстановить зашифрованный cookie-файл, содержащий учетные данные пользователей в системе PayPal. Эксплоит BEAST вводит иньекцию Javascript в SSL-сессию, позволяющую ускорить расшифровку конфиденциальной информации, которая передается в потоке данных.

А почему вы отказываетесь от 7ки, из-за отсутствия (пока) поддержки со стороны плагинов KIS. ? :)

Кстати, хитрецы из мазилы обновили мне потихоньку теперь и 7ку, теперь версия - 7.0.1... тут я с вами согласен, наделают кучу версий, и сами уже не знают за что хвататься, вместо того, чтобы обновить чуть более старые версии :)

Хотя обещали, что будут развиваться все новые версии, и быстрые к ним патчи - на баги и уязвимости.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka
А почему вы отказываетесь от 7ки, из-за отсутствия (пока) поддержки со стороны плагинов KIS. ? :)

Кстати, хитрецы из мазилы обновили мне потихоньку теперь и 7ку, теперь версия - 7.0.1... тут я с вами согласен, наделают кучу версий, и сами уже не знают за что хвататься, вместо того, чтобы обновить чуть более старые версии :)

Хотя обещали, что будут развиваться все новые версии, и быстрые к ним патчи - на баги и уязвимости.

Плагинами KIS я не пользуюсь :) Так что мне по барабану - совместимы они или нет, они всегда у меня отключены. А вот другими плагинами, сторонних разрабов, я пользуюсь. И меня достало уже постоянное обновление версий. Почему нельзя разрабатывать как тот же Google? Почему у них на новых версиях ничего не отваливается? Ни плагины, ни чего. Может у разрабов Google руки прямее? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ramonsmaps
      Over the years of independence, the institute has trained more than 13000 physicians (including 800 clinical interns, 1116 masters, 200 postgraduates and 20 doctoral students) in various directions.

      870 staff work at the institute at present,[when?] including 525 professorial-teaching staff in 55 departments, 34 of them are Doctors of science and 132 candidates of science. 4 staff members of the professorial-teaching staff of the institute are Honoured Workers of Science of the Republic of Uzbekistan, 3 – are members of New-York and 2 – members of Russian Academy of Pedagogical Science.

      The institute has been training medical staff on the following faculties and directions: Therapeutic, Pediatric, Dentistry, Professional Education, Preventive Medicine, Pharmacy, High Nursing Affair and Physicians’ Advanced Training. At present[when?] 3110 students have been studying at the institute (1331 at the Therapeutic faculty, 1009 at the Pediatric, 358 at the Dentistry, 175 students at the Professional Education Direction, 49 at the faculty of Pharmacy, 71 at the Direction of Preventive Medicine, 117 ones study at the Direction of High Nursing Affair).

      Today graduates of the institute are trained in the following directions of master's degree: obstetrics and gynecology, therapy (with its directions), otorhinolaryngology, cardiology, ophthalmology, infectious diseases (with its directions), dermatovenereology, neurology, general oncology, morphology, surgery (with its directions), instrumental and functional diagnostic methods (with its directions), neurosurgery, public health and public health services (with its directions), urology, narcology, traumatology and orthopedics, forensic medical examination, pediatrics (with its directions), pediatric surgery, pediatric anesthesiology and intensive care, children's cardiology and rheumatology, pediatric neurology, neonatology, sports medicine.

      The clinic of the institute numbers 700 seats and equipped with modern diagnostic and treating instrumentations: MRT, MSCT, Scanning USI, Laparoscopic Center and others.

      There are all opportunities to carry out sophisticated educational process and research work at the institute.

      Source:
      https://adti.uz/magistratura/
      medical institutes of uzbekistan

      Tags:
      medical institutes of uzbekistan
      regional scientific medical library
      electronic library of a medical student
      electronic medical library official website
    • Dmitrius
      Сервис подбора и сравнение кредитов Случается так, что деньги нужны срочно. Поэтому если у вас нет накоплений, рациональней всего обратиться за помощью на этот сайт, где собраны надежные, проверенные банки, которым точно можно доверять. Учреждения подготовили лучшие предложения, которые только возможны. На этом сайте есть возможность подобрать кредит, а также оформить займ либо взять деньги на приобретение автомобиля. И самое главное, что все это на наиболее выгодных для вас условиях. Автокредит Казахстан проценты - это шанс купить все, что нужно, не отказывая себе в покупке. Все банковские продукты различаются требованиями, условиями выдачи, а потому рекомендуется детально изучить условия договора и особенности выдачи денежных средств. Потребительский кредит оформить (рассчитать) в Алматы получится в данный момент. На этом сайте вы сможете не только подобрать подходящий вариант, но и сравнить имеющиеся. Затем следует определиться с тем, в какой банк обратиться за материальной поддержкой. Составить заявку на выдачу средств можно в режиме реального времени. Кредит наличными заявка онлайн выдается в течение часа наиболее комфортным для вас способом. На портале опубликован список всех доступных предложений, имеется необходимая информация о каждом банке и кредитах. Выберете самую низкую процентную ставку, а также сумму и сроки, на которые планируете занять сумму. Все максимально просто, быстро и понятно. Ипотека проценты Казахстан (ипотека Казахстан) - это отличная возможность решить свои жилищные проблемы. Важно помнить о том, что лишь надежные компании с огромным опытом готовы предложить приемлемые условия. Выберете подходящий для себя банковский продукт, чтобы поправить материальное положение.
    • Dmitrius
      Интернет магазин автозапчастей  Интернет-магазин «AUTOSHOP» реализует внушительный выбор деталей на автомобили - их можно подобрать не только по наименованию, но и артикулу и другим параметрам. Имеются разные запчасти на любые автомобили самых разных марок и моделей - вы сможете их найти в один клик. Запчасти находятся на складе - это дает возможность осуществить быструю транспортировку. Сотрудничество исключительно с надежными, проверенными поставщиками, которые работают на совесть и предлагают продукцию безупречного качества и с длительными эксплуатационными сроками. Автозапчасти интернет магазин для иномарок рекомендует ознакомиться с полным ассортиментом – он даст возможность подобрать вариант с учетом обозначенных требований. Перед тем, как осуществить приобретение, необходимо детально изучить технические аспекты, ведь именно они влияют на сроки эксплуатации и внешний вид авто. Но если вам требуется помощь специалиста, то вы всегда можете воспользоваться профессиональной консультацией. Автозапчасти для иномарок Курск вы обязательно подберете для любой машины, несмотря на год производства. Изучите справочник автотоваров, каталог, а также новости, представленные на данную тематику - информация поможет принять правильное решение. Сотрудники интернет-магазина быстро реагируют на появление новых деталей в европейских магазинах для того, чтобы в ближайшее время пополнить ими свой ассортимент. Это даст возможность быстро среагировать за изменяющуюся ситуацию. Каталог автозапчастей Курск содержит огромный перечень деталей. Они созданы в соответствии с самыми высокими стандартами, нормами, требованиями. Администрация проверяет запчасти на соответствие заданным характеристикам, поэтому в продажу попадает только та продукция, которая имеет сопроводительную документацию, сертификаты. На продукцию есть гарантии, подтверждающие безупречное качество, оригинальность.
    • JamesBisee
      Купить газовый котел с закрытой камерой сгорания в Москве
      https://www.fire-flower.ru/
      https://www.google.tg/url?q=https://fire-flower.ru
    • PR55.RP55
      По всей видимости uVS не всегда может получить доступ к: Hosts Нужно чтобы в Лог писалась информация: "Нет доступа  к Hosts " Вроде сейчас uVS  соответствующих записей не создаёт?
×