| MozTW 討論區 https://forum.moztw.org/ |
|
| Mozilla 釋出 1.0.6 security fix https://forum.moztw.org/viewtopic.php?f=2&t=10436 |
第 1 頁 (共 2 頁) |
| 發表人: | Xanatos [ 2005-09-10, 21:18 ] |
| 文章主題 : | Mozilla 釋出 1.0.6 security fix |
引言回覆: 安全研究人員Tom Ferris宣布,在Firefox中發現一個尚未修復的新漏洞,有可能被攻擊者利用,通過惡意代碼獲取用戶PC中所有資料。新發現的漏洞存在于Firefox處理超長網絡鏈接地址過程中,涉及所有版本Firefox,包括Firefox 1.5 Beta 1。
新安全隱患為緩存溢出類漏洞,「允許攻擊者通過遠程控制在受侵入計算機上運行惡意代碼」,攻擊者可以通過建立包含惡意代碼的網頁來利用該漏洞。 只要三個步驟 1. 在網址打上about :config 2. 在filter box 輸入 network.enableIDN 然後按enter 3. 將 network.enableIDN從true 改成false就可以了 有關security flow 的文章 哪位好心人找一下 這個影響到剛發布的1.5 beta1 跟 1.0.6 不過現在只看到 1.0.6 的fix 不知道1.5beta1 可不可以用 :p source:http://www.flexbeta.net/main/comments.php?catid=11&shownews=14709 Mozilla Firefox Link Buffer Overflow Allows Arbitrary Code Execution http://www.mozillazine.org/talkback.html?article=7307 Patch http://www.mozilla.org/security/idn.html |
|
| 發表人: | yuoo2k [ 2005-09-10, 21:25 ] |
| 文章主題 : | |
IDN是什麼? 如果沒套用這個修正的話,會有什麼漏洞? |
|
| 發表人: | Xanatos [ 2005-09-10, 21:35 ] |
| 文章主題 : | |
yuoo2k 寫: IDN是什麼?
如果沒套用這個修正的話,會有什麼漏洞? http://secunia.com/advisories/16764/ Successful exploitation crashes Firefox and may potentially allow code execution but requires that the user is tricked into visiting a malicious web site or open a specially crafted HTML file. |
|
| 發表人: | rail02000 [ 2005-09-11, 08:12 ] |
| 文章主題 : | |
官方釋出的套件1.5Beta1似乎可以用................. http://ftp.mozilla.org/pub/mozilla.org/ ... 307259.xpi network.enableIDN的預設值變false |
|
| 發表人: | wini [ 2005-09-12, 02:27 ] |
| 文章主題 : | |
首篇發文者的文章, 在「 about:config 」的地方有誤, 輸入「 about :config 」是找不到東西的。 可以參考我的文章來修正看看。 :) ---- [緊急] Mozilla 及 Firefox 所有版本的 IDN 安全漏洞修正法 影響: 所有版本的 Mozilla Suite 及 Mozilla Firefox (註:下一個穩定版會修正此問題) 修正用的 xpi 檔請從 MozTw.org 的首頁找尋一下 2005/09/11 的公告。 http://moztw.org/ 不下載 xpi 的手動修正只要三個步驟即可: 1. 在網址打上 about:config 2. 在 filter box 輸入 network.enableIDN 然後按 enter 3. 將 network.enableIDN 的值用滑鼠左鍵雙擊從 true 改成 false 就可以了 安全問題的測試發布網站 Secunia 的相關報告 http://secunia.com/advisories/16764/ MozTw.org 討論區文章來源: viewtopic.php?t=10436 |
|
| 發表人: | Tenki [ 2005-09-12, 03:51 ] |
| 文章主題 : | |
wini 寫: (恕我省略)
雖然我所言太重,但這恐怕是站務瑕疵。 此等為極重要的狀況,但至今兩天,未見事件背景的解釋(我的意思是有必要解釋這個瑕疵究竟有何嚴重?);管理員隔日即在首頁公告雖極迅速,但應該親自發置頂文於firefox區內,而且將正確的內容整理過後一並寫入。 目的無它,以昭公信而已 抱歉在下可能冒犯此版人員及版主們,但是我仍認為事關重大 - 幸好事情在假日時期甚少中文媒體發布,一旦週一開始披露,相信會造成更多人的疑慮,免不了更多各式(非技術性)問題甚至傳言發生,是該未雨綢繆先做好應變準備才是。 我考慮太久才發此文,希望不是我杞人憂天。 |
|
| 發表人: | james [ 2005-09-12, 10:17 ] |
| 文章主題 : | |
wini 寫: 不下載 xpi 的手動修正只要三個步驟即可:
1. 在網址打上 about:config 2. 在 filter box 輸入 network.enableIDN 然後按 enter 3. 將 network.enableIDN 的值用滑鼠左鍵雙擊從 true 改成 false 就可以了 1.手動方式修改完後,最好重新啟動 Fx,檢查 network.enableIDN 的內含值是否已改為 false。 若重建 profile 或使用多組 profiles, 須逐一修正 ,不建議使用此方式手動修改。 2.建議安裝官網的patch,如此 每次啟動 Fx時 ,在 Fx 主程式安裝目錄下的 defaults/pref/bug307259.js 會自動更改 network.enableIDN 為 false。 3.不喜歡 ua 裡的 (No IDN) 也可自行修改bug307259.js 4. .... *** 可是這樣修改方式,不知有心的網頁可不可以也利用這種方式,透過發佈擴充套件夾帶闖關,輕易再改成 true?也許我們會需要一個檢查此類安全漏洞的擴充套件,或者偶而手動檢查 ... *** |
|
| 發表人: | Tenki [ 2005-09-12, 11:37 ] |
| 文章主題 : | |
james 寫: wini 寫: *** 可是這樣修改方式,不知有心的網頁可不可以也利用這種方式,透過發佈擴充套件夾帶闖關,輕易再改成 true?也許我們會需要一個檢查此類安全漏洞的擴充套件,或者偶而手動檢查 ... *** 誠如所言, 只是個開關不算是治本的方法, 不過要在一兩天內就做出來不太容易吧, 要出1.0.7嗎 所以目前只能建議user暫時別加入新套件了 |
|
| 發表人: | james [ 2005-09-12, 14:05 ] |
| 文章主題 : | |
Tenki 寫: james 寫: *** 可是這樣修改方式,不知有心的網頁可不可以也利用這種方式,透過發佈擴充套件夾帶闖關,輕易再改成 true?也許我們會需要一個檢查此類安全漏洞的擴充套件,或者偶而手動檢查 ... *** 誠如所言, 只是個開關不算是治本的方法, 不過要在一兩天內就做出來不太容易吧, 要出1.0.7嗎 所以目前只能建議user暫時別加入新套件了 這樣不免太 over 了,此漏洞更新尚無其他治本方法之前,"稍加留意" network.enableIDN 的內含值即可。 一如M$ 對 IE 中千夫所指惡名昭彰的 ActiveX 的安全修正,不也是改變預設開關。雖說 Javascripts 有一定的安全水平,還是小心為上。親和力與安全性的考量往往難以兩全,如何拿捏在於個人。 |
|
| 發表人: | josesun [ 2005-09-12, 15:42 ] |
| 文章主題 : | |
Tenki 寫: 雖然我所言太重,但這恐怕是站務瑕疵。 此等為極重要的狀況,但至今兩天,未見事件背景的解釋(我的意思是有必要解釋這個瑕疵究竟有何嚴重?);管理員隔日即在首頁公告雖極迅速,但應該親自發置頂文於firefox區內,而且將正確的內容整理過後一並寫入。 目的無它,以昭公信而已 抱歉在下可能冒犯此版人員及版主們,但是我仍認為事關重大 - 幸好事情在假日時期甚少中文媒體發布,一旦週一開始披露,相信會造成更多人的疑慮,免不了更多各式(非技術性)問題甚至傳言發生,是該未雨綢繆先做好應變準備才是。 我考慮太久才發此文,希望不是我杞人憂天。 目前已在首頁正式公告(by piaip) + 討論區公告,為了怕有人看不懂英文,已將原文譯成中文,以後這類安全性更新都會有中文翻譯版。 |
|
| 發表人: | yuoo2k [ 2005-09-12, 16:05 ] |
| 文章主題 : | |
josesun 寫: 目前已在首頁正式公告(by piaip) + 討論區公告,為了怕有人看不懂英文,已將原文譯成中文,以後這類安全性更新都會有中文翻譯版。
嗯! 的確~重要安全性修正的確有必要以中譯版本公告! 不過小弟很久以來就一直很納悶... [選項設定]的[進階]內不是有個軟體更新嘛?? Mozilla發布這類重要的修正通告,為什麼不透過這個檢查機制呢? 像擴充套件那樣開啟瀏覽器後檢查到有更新版本就自動跑出訊息~ 這樣不是很方便、又不會漏掉更新。為什麼不這樣做呢? |
|
| 發表人: | josesun [ 2005-09-12, 17:04 ] |
| 文章主題 : | |
yuoo2k 寫: 嗯! 的確~重要安全性修正的確有必要以中譯版本公告!
不過小弟很久以來就一直很納悶... [選項設定]的[進階]內不是有個軟體更新嘛?? Mozilla發布這類重要的修正通告,為什麼不透過這個檢查機制呢? 像擴充套件那樣開啟瀏覽器後檢查到有更新版本就自動跑出訊息~ 這樣不是很方便、又不會漏掉更新。為什麼不這樣做呢? 這是 1.5 的新功能之一。 
|
|
| 發表人: | Lestat [ 2005-09-12, 18:30 ] |
| 文章主題 : | |
恩恩~ 我想問個問題~ 是不是停用了 IDN 之後,就無法傳送檔案了? 因為想用 Gmail 傳檔案卻出現"此文件無資料。"、利用 mytempdir 來傳也是出現"此文件無資料。"~ 煩請高人指點一番~ 謝謝~ |
|
| 發表人: | josesun [ 2005-09-12, 19:55 ] |
| 文章主題 : | |
Lestat 寫: 恩恩~
我想問個問題~ 是不是停用了 IDN 之後,就無法傳送檔案了? 因為想用 Gmail 傳檔案卻出現"此文件無資料。"、利用 mytempdir 來傳也是出現"此文件無資料。"~ 煩請高人指點一番~ 謝謝~ IDN 就是用多國文字顯示的網域名稱,例如:[url]http://www.魔斯拉台灣.org[/url] (我亂掰的...orz)和http://www.moztw.org會連到一樣的地方,關掉這個 Firefox 就看不懂中文網址了。和傳送檔案沒關係。 |
|
| 發表人: | andante [ 2005-09-12, 21:24 ] |
| 文章主題 : | |
josesun 寫: IDN 就是用多國文字顯示的網域名稱,例如:[url]http://www.魔斯拉台灣.org[/url] (我亂掰的...orz)和http://www.moztw.org會連到一樣的地方,關掉這個 Firefox 就看不懂中文網址了。和傳送檔案沒關係。
入秋颱風多,以下是應景的實例: IDN 就是用多國文字顯示的網域名稱, 例如:[url]http://中央氣象局/[/url] (不必打http://直接在網址列打 中央氣象局 五個字,跟Google無關) 和 http://www.cwb.gov.tw/index-f.htm會連到一樣的地方, 關掉這個 Fx 就看不懂中文網址了。和傳送檔案沒關係。 |
|
| 第 1 頁 (共 2 頁) | 所有顯示的時間為 UTC + 8 小時 |
| Powered by phpBB® Forum Software © phpBB Group https://www.phpbb.com/ |
|