Опубликован эксплойт для zero-day уязвимости в Opera

Ксения Ренселаева 18 Октября 2011 - 23:41

...

Эксперт в области безопасности Хосе А. Васкес, на днях опубликовал подробную информацию, а также Metasploit модуль для zero-day уязвимости, найденной им год назад в 11-й версии популярного обозревателя Opera.

По словам г-на Васкеса об этой ошибке он сообщил еще год назад, а также отправил опытный образец эксплойт-кода для нее. Но в ответ разработчики заявили, что устранять ее не собираются.

Ошибка была обнаружена в модуле памяти и при отработке SVG контента во фреймах может привести к сбою в работе. А при успешной атаке злоумышленник может удаленно выполнить произвольный код на целевой системе. Как известно, получить на компьютер какую-либо вредоносную программу, имея такой изъян в системе безопасности, довольно просто: достаточно лишь попасть на сайт с вредоносным контентом.

Поэтому, в надежде на то, что разработчики его все-таки услышат, г-н Васкес опубликовал следующую версию своего творения, превратив его в Metasploit модуль для последней версии браузера 11.51, тем самым, предоставив возможность проэксплуатировать уязвимость в приложении любому желающему. Как заявил создатель, по результатам тестирования на 11 версии, эксплойт срабатывает в 3х случаях из 10, а вот бета – версия новой Opera 12 оказалась менее устойчива - положительный результат наблюдался в 6 случаях из 10.

В принципе, в ответ на такие радикальные меры, производители программы просто обязаны устранить изъян в целях обеспечения безопасности для пользователей Opera. Однако на блоге компании заявлений об устранении этой ошибки пока нет.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 04 Июля 2025 - 12:28

Соответствие законодательству РФ Корпорации Системы аутентификации Средства электронной подписи (ЭП)Соответствие требованиям регуляторов Код Безопасности

Jinn Server 1.3.7 прошёл инспекционный контроль ФСБ и поступил в продажу

Программно-аппаратный комплекс электронной подписи Jinn Server версии 1.3 (сборка 1.3.7.218) прошёл инспекционный контроль ФСБ России и получил два сертификата соответствия. Первый — по классу КС1 для исполнения 1 (№ СФ/111-5166), второй — по классу КС2 для исполнения 2 (№ СФ/111-5167). Оба действуют до 17 мая 2028 года.

Продукт «Кода Безопасности» подтвердил соответствие требованиям к средствам криптографической защиты информации и электронной подписи — для работы с информацией, не содержащей сведений, составляющих гостайну.

В новой версии Jinn Server появились доработки, связанные с усилением электронной подписи: в CMS-формате теперь к полю подписанта добавляется дата и время создания подписи.

Это касается как пользовательских подписей, так и штампов времени, применяемых в форматах CAdES и XAdES.

Также появились новые правила обработки полей сертификатов — в зависимости от даты их выпуска, и добавлена поддержка расширения IdentificationKind в квалифицированных сертификатах.

Эти изменения позволяют соответствовать требованиям приказов ФСБ № 795 и № 476, что необходимо для использования решения в системах юридически значимого ЭДО.

Кроме того, Jinn Server теперь поддерживает российскую операционную систему РЕД ОС 7.3.1 МУРОМ.