Перейти к содержанию
Danilka

Разработчики Firefox планируют заблокировать Java для предотвращения BEAST-атак

Recommended Posts

Danilka
Разработчики Firefox хотят найти способ защитить пользователей от новых кибератак, с помощью которых злоумышленники расшифровывают SSL-трафик. Представители Firefox хотят выпустить обновление, которое заблокирует работу браузера с платформой Java.

Разработчики Firefox хотят обезопасить пользователей от атак, в результате которых расшифровывается SSL-трафик. Этот протокол используется web-сайтами для защиты от атак "человек посередине". Напомним, что на прошлой неделе двое исследователей представили эксплоит, который позволил за две минуты восстановить зашифрованный cookie-файл, содержащий учетные данные пользователей в системе PayPal. Эксплоит BEAST вводит иньекцию Javascript в SSL-сессию, позволяющую ускорить расшифровку конфиденциальной информации, которая передается в потоке данных.

Разработчики Firefox предлагают заблокировать все версии Java-плагинов. Однако они признают, что перед тем, как осуществить блокировку, нужно провести детальное исследование. Они отмечают, что запрет на Java лишит пользователей возможности учавствовать в чате Facebook, а также использовать различные корпоративные приложения, основанные на Java.

Разработчики заявляют, что у них уже есть механизм для «мягкой блокировки» Java, который позволяет пользователям повторно включить плагины с помощью дополнительных расширений браузера, а также подтверждать включение в сплывающем диалоговом окне.

«Введение функции «нажмите, чтобы просмотреть» или так называемого белого списка, проверенных web-сайтов, будет уместным. Однако в белый список будет добавляться большое количество сайтов , к примеру, Facebook, который из-за своих механизмов (еще даже не существующих) будет подвергать пользователей опасности».

Намерения Firefox отказаться от Java могут создать проблемы для корпоративных пользователей, которые используют платформу для работы в браузерах через виртуальные частные сети. Также могут возникнуть проблемы с использованием инструментов интрасети и приложений для работы в режиме web-конференций, к примеру, WebEx от Cisco Systems.

Напомним, что разработчики браузера Google Chrome также выпустили обновления для более надежной защиты информации пользователей от эксплоита BEAST. В основе обновлений версий Google Chrome лежит идея разделения определенных сообщений на фрагменты, чтобы уменьшить воздействие мошенника на текст, который должен быть зашифрован. Такие нововведения в метод шифрования сбивает BEAST с пути дешифрования, добавляя новую информацию. Это обновление стало причиной несовместимости браузера с некоторыми web-сайтами.

http://www.securitylab.ru/news/407545.php

Браузер начинает превращаться в г.вно... Мда.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Чатик в фейсбуке? А то, что у меня веб банкинг работает с использованием Явы, это так, пофиг?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka

Umnik, ну так у меня тоже много чего важного работает с ней.. Так что..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ANDYBOND

А вот у меня ничего важного в ней не работает. Мне нормально.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy

Fx всегда был вроде бы конструктором. И кто хочет блокировать скрипты, для того есть NoScript.

Чем-то это решение напоминает блокировку ВКонтакте целиком как порно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
OlegAndr
Чатик в фейсбуке? А то, что у меня веб банкинг работает с использованием Явы, это так, пофиг?

Уже вроде даже банк москвы перешел на аякс. Или именно яваскрипт имеется ввиду.?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
mvs

да и фик с ним, браузером просто перестанут пользоваться домохозяйки сидящие в соц. сетях.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik
Уже вроде даже банк москвы перешел на аякс. Или именно яваскрипт имеется ввиду.?

Авангард

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka
29 сентября, 2011

Программа: Mozilla Firefox 6.x

Опасность: Высокая

Наличие эксплоита: Нет

Описание:

Обнаруженные уязвимости позволяют удаленному пользователю обойти некоторые ограничения безопасности и скомпрометировать целевую систему.

1. Уязвимость существует из-за неизвестной ошибки, которая позволяет удаленному пользователю вызвать повреждение памяти. Подробности уязвимости не разглашаются.

2. Уязвимость существует из-за ошибки в реализации в объекте window.location JavaScript во время создания именных фреймов. Удаленный пользователь может обойти политику единства происхождения и произвести XSS нападение.

3. Уязвимость существует из-за некорректной проверки данных при загрузке расширений для обозревателя. Для установки вредоносного приложения удаленный пользователь должен убедить жертву нажать клавишу "Enter", например, в ходе игры.

4. Уязвимость существует в WebGL ANGLE библиотеке из-за неправильной проверки возвращаемых значений функции "GrowAtomTable()". Удаленный пользователь может путем отправки последовательности специально сформированных запросов вызвать переполнение буфера.

5. Уязвимость существует из-за неопределенной ошибки в WebGL. Удаленный пользователь может вызвать повреждение памяти.

6. Уязвимость существует из-за неопределенной ошибки в библиотеке регулярных выражений YARR. Удаленный пользователь может вызвать повреждение памяти.

7. Уязвимость существует из-за неправильного развертывания "XPCNativeWrappers" в JSSubScriptLoader. Удаленный пользователь может с помощью специально сформированного плагина выполнить произвольный код на целевой системе.

8. Уязвимость существует из-за ошибки использования после освобождения при обработке OGG заголовков.

9. Уязвимость существует из-за ошибки при работе с множеством вкладок. Удаленный пользовать может с помощью специально сформированной web-страницы определить, какие данные были отправлены в соседнюю вкладку.

URL производителя: http://www.mozilla.org

Решение: Обновите продукт до версии 7.0

:facepalm: У них совсем уже башню сорвало. Жду с нетерпением того момента когда у них останутся 2 калеки из пользователей.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SySOPik
Fx всегда был вроде бы конструктором. И кто хочет блокировать скрипты, для того есть NoScript.

Чем-то это решение напоминает блокировку ВКонтакте целиком как порно.

Ну так они разработчики- имеют право. тот же Вконтакт вообще блокирует ВСЕ ссылки на бесплатные хостинговые сайты, без суда и следствия. :facepalm:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Уже вроде даже банк москвы перешел на аякс. Или именно яваскрипт имеется ввиду.?

В Банке Москвы - BIFIT. То есть Java. Не Java Script, а Java

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Feeble

Не понял, в статье говорят про эксплоит на Javascript, а Firefox собирается блокировать Java плагины?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SBond
У них совсем уже башню сорвало. Жду с нетерпением того момента когда у них останутся 2 калеки из пользователей.

Давайте не будем горячиться, я надеюсь, что все еще не так страшно.

Во первых - нормальный пользователь не будет держать у себя денежные куки, например для PayPal, запустит для этого отдельную сессию, и всегда зачистит такие сессии.

Во вторых - данную уязвимость исследовали только совсем недавно, хотя она уже известна давно, и Майкрософт в этом тоже не последний виновник. Кстати, они собираются выпустить патч - http://technet.microsoft.com/en-us/security/advisory/2588513

В третьих – лично у меня назрел большой вопрос, ко всем владельцам известных сайтов, которые используют данное шифрование, в то время как спецификации TLS 1.1/1.2 были разработаны достаточно давно, и вероятно из-за боязни потерять клиентов, например браузера мазилы - не поставили вопрос ребром.

В общем, одни вопросы, но самый главный вопрос – шумиха. Причем поднятая пока на пустом месте, по крайней мере, я еще не слышал о повальных взломах.

Я думаю, что все будет хорошо, хотя, конечно же - стоит поблагодарить разработчиков программы Beast. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka

SBond, я не про Яву, я про исправление критических уязвимостей в новой версии вместо патча для 6ки. На кой мне ставить 7ку?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SBond
SBond, я не про Яву, я про исправление критических уязвимостей в новой версии вместо патча для 6ки. На кой мне ставить 7ку?

Извини, я как всегда плохо прочитал второй пост, сделав выводы по поднятой теме.

Разработчики Firefox хотят найти способ защитить пользователей от новых кибератак, с помощью которых злоумышленники расшифровывают SSL-трафик. Представители Firefox хотят выпустить обновление, которое заблокирует работу браузера с платформой Java.

Разработчики Firefox хотят обезопасить пользователей от атак, в результате которых расшифровывается SSL-трафик. Этот протокол используется web-сайтами для защиты от атак "человек посередине". Напомним, что на прошлой неделе двое исследователей представили эксплоит, который позволил за две минуты восстановить зашифрованный cookie-файл, содержащий учетные данные пользователей в системе PayPal. Эксплоит BEAST вводит иньекцию Javascript в SSL-сессию, позволяющую ускорить расшифровку конфиденциальной информации, которая передается в потоке данных.

А почему вы отказываетесь от 7ки, из-за отсутствия (пока) поддержки со стороны плагинов KIS. ? :)

Кстати, хитрецы из мазилы обновили мне потихоньку теперь и 7ку, теперь версия - 7.0.1... тут я с вами согласен, наделают кучу версий, и сами уже не знают за что хвататься, вместо того, чтобы обновить чуть более старые версии :)

Хотя обещали, что будут развиваться все новые версии, и быстрые к ним патчи - на баги и уязвимости.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka
А почему вы отказываетесь от 7ки, из-за отсутствия (пока) поддержки со стороны плагинов KIS. ? :)

Кстати, хитрецы из мазилы обновили мне потихоньку теперь и 7ку, теперь версия - 7.0.1... тут я с вами согласен, наделают кучу версий, и сами уже не знают за что хвататься, вместо того, чтобы обновить чуть более старые версии :)

Хотя обещали, что будут развиваться все новые версии, и быстрые к ним патчи - на баги и уязвимости.

Плагинами KIS я не пользуюсь :) Так что мне по барабану - совместимы они или нет, они всегда у меня отключены. А вот другими плагинами, сторонних разрабов, я пользуюсь. И меня достало уже постоянное обновление версий. Почему нельзя разрабатывать как тот же Google? Почему у них на новых версиях ничего не отваливается? Ни плагины, ни чего. Может у разрабов Google руки прямее? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×