Mozilla исправляет Firefox для безопасности Pwn2Own дефекты

mozilla

Еще раз Mozilla является первым из логического элемента для фиксации уязвимостей, раскопанных на взламывающей браузер конкуренции HP Pwn2Own.Как имел место в предшествующих годах, Mozilla является первым поставщиком, который исправит его браузер для уязвимостей, сначала раскрытых во взламывающем браузер конкурсе Hewlett-Packard Pwn2Own. Каждый год главные браузеры, которые поставщики полностью исправили заранее, как находят, являются годными для использования, и 2015 года не было никакое исключение.

На событии Pwn2Own 2015 года 18 и 19 марта, Internet Explorer Microsoft, Google Chrome, Apple Safari и Mozilla Firefox были все использованы исследователями в области безопасности. С 23 марта, Mozilla является единственным поставщиком браузера для выпуска обновления для фиксации дефектов.Mozilla выпустил Firefox 36.0.3 20 марта с намерением обеспечить исправления для проблем безопасности, которые были сначала раскрыты в Pwn2Own 2013. Однако Mozilla быстро обнаружил, что одно из исправлений не было полным и выпущенным Firefox 36.0.4 21 марта обеспечение обновления.

Обновленное исправление в Firefox 36.0.4 для уязвимости, идентифицированной как CVE-2015-0818, который является той же обходной источником проблемой, которая была продемонстрирована исследователем Мариушем Мыльнским 18 марта.Firefox был также исправлен для CVE-2015-0817, который является использованием JavaScript, продемонстрированным исследователем в области безопасности, только известным как ilxu1a.

«Исследователь в области безопасности ilxu1a сообщил, через конкурс HP Zero Day Initiative’s Pwn2Own, дефект в реализации Mozilla границ типизированного массива, регистрируясь в JavaScript своевременная подборка (JIT) и его управление проверкой границ доступ кучи», Mozilla предупреждает на его консультации. «Этот дефект может быть эффективно использован в чтение и запись памяти, допуская произвольное выполнение кода в локальной системе».Относительно того, почему Mozilla не вполне получил исправление CVE-2015-0818, исправляются в первый раз с Firefox 36.0.3, Дан Федиц, основной инженер по безопасности в Mozilla, объяснил, что может потребоваться существенное количество времени, чтобы создать Firefox и выполнить приемочные испытания на трех или больше конфигурациях через все поддерживаемые платформы и более чем 70 локализованных версиях.

«Как только у нас были исправления, которые остановили два использования Pwn2Own, мы запустили эти 36.0.3 сборки и процесс выпуска, в то время как мы продолжали тестировать и заниматься расследованиями параллельно», сказал Федиц eWEEK. «Когда мы нашли, что начальное исправление было неполным, мы добавили дополнительный патч для ловли варианта и поставили 36.0.4 для покрытия этого».С точки зрения других браузеров, которые были использованы в Pwn2Own, ни Apple, ни Google не реагировали на запрос комментария от eWEEK для этой истории о синхронизации или доступности патчей. Microsoft обычно не комментирует об определенной синхронизации обновления перед выпуском бюллетеня безопасности, но представитель компании действительно отвечал на eWEEK о проблемах Pwn2Own.

«Мы не знаем ни о каких активных атаках от конфиденциально раскрытых результатов конкуренции Pwn2Own», заявила Microsoft в электронном письме к eWEEK. «Мы будем продолжать работать с сообществом безопасности по мере необходимости, чтобы помочь защитить наших клиентов».Mozilla выпустил Firefox 28 в марте 2014, спустя меньше чем неделю после частного раскрытия уязвимостей к HP на событии Pwn2Own 2014 года. Microsoft исправила свои 2 014 дефектов Pwn2Own в июне 2014.

Шон Майкл Кернер является главным редактором eWEEK и InternetNews.com. Следуйте за ним в Твиттере @TechJournalist.


11 комментариев

  1. Чунявчик. От Рашки не уходят, от Рашки отворачиваются. Рашка воняет.

  2. Абасрались алени по полной и с тераристами и с алимпиадой.

  3. И чё?

  4. Они же Крым отжали, а теперь дайте дружить

  5. Да наоборот все. Поставщики могут сбросить цену, так как от налога они освобождаются вообще. Полностью. Почитай этот закон, я устал тебе отвечать.

  6. Когда Вашингтон вазьмете, алени раненые?

  7. А что может измениться после Обамы? Одна берлога и три медведя. США, КИТАЙ И РОСИЯ…

  8. 19 марта 2016
    Бомбардировка Россией Ракки
    В Сирии не менее человека погибли в результате авиаударов по контролируемому группировкой «Исламское государство» городу Ракка, сообщили в Сирийский центр мониторинга за соблюдением прав человека, передает Le Monde. Как отмечается, среди погибших — пятеро исламистов, остальные 39 жертв — гражданские, среди них — пятеро детей. При этом, по данным правозащитников, более 60 человек получили ранения.

  9. За лаптой? Это Вам в Россию надо.

  10. Народ из раши бежит сотнями тысяч ! Только за 9 месяцев прошлого года из раши на ПМЖ уехали 200 тыс чел , в основном специалисты с образованием со своими семьями ! Причем это те, кто ОФИЦИАЛЬНО ЗАЯВИЛ ОБ ОТЪЕЗДЕ ! Но так поступают единицы — НИКТО НИКОМУ НИЧЕГО НЕ СООБЩАЕТ ! ВОТ И ПРЕДСТАВЬТЕ СКОЛЬКО РЕАЛЬНО СБЕЖАЛО ИЗ РАШИ + ВЫВЕЗЛИ СВОИ СЕМЬИ ! С 1991 г из раши сбежали свыше 30 млн чел, поэтому , фактически , в стране уже около 90 млн , из которых третья часть — ПЕНСИОНЕРЫ и еще столько же больных, инвалидов и алкашей !
    Скоро в раше останутся одни олигархи и ТУПЫЕ КРЕМЛЕВСКИЕ ТРОЛЛИ ! ВСЕ НОРМАЛЬНЫЕ ЛЮДИ ХОТЯТ ЖИТЬ В НОРМАЛЬНЫХ СТРАНАХ , А НЕ СИДЕТЬ НА ПОРОХОВОЙ БОЧКЕ В КОМПАНИИ КРЕМЛЕВСКИХ ШИЗОФРЕНИКОВ !

  11. Рапс Украина не производит с августа 2014 года .Законодательно. Смени метадичку упорыш.

Комментарии закрыты.