1. На проекте открылась регистрация только для продавцов. Для обычных пользователей будет открыта позже. Подробнее.
    P.S. Не надо скидывать ссылки на форумы, где у вас ноль сообщений. Подобные заявки будут отклонятся.

IT news Уязвимость в Mozilla Firefox позволяет удаленно устанавливать вредоносное ПО

Тема в разделе "TH3MED N3WS", создана пользователем Infoman, 19 сен 2016.

Метки:
  1. Infoman IPv6

    Infoman
    TS
    WebVoice
    Регистрация:
    12 июл 2011
    Сообщения:
    184
    Симпатии:
    86
    Разработчики Tor Project сообщили о серьезной уязвимости в браузере Mozilla Firefox. Проблема позволяет атакующим, получившим в свое распоряжение валидный цифровой TLS-сертификат для сайта addons.mozilla.org, имитировать серверы Mozilla и удаленно устанавливать вредоносное ПО посредством доставки вредоносного обновления для расширения NoScript.

    Проэксплуатировав проблему, злоумышленник может организовать скрытую RCE-атаку на пользователей Tor на различных платформах, включая Windows, Linux, и OS X. По словам разработчика Георга Коппена (Georg Koppen), получить доступ к такому сертификату непростая задача, однако это вполне по силам спецслужбам. Как подсчитал независимый исследователь под псевдонимом Movrcx, подобная атака обойдется в порядка $100 тыс. Для эксплуатации уязвимости могут использоваться и другие слабые места в Firefox, к примеру, возможность подписывать цифровой подписью расширения на основе полностью автоматического процесса. Процесс атаки может состоять из следующих этапов:

    • Разработка вредоносного расширения с нужным для злоумышленника кодом и его подпись у Mozilla;

    • Генерация фальшивого цифрового сертификата для addons.mozilla.org, который может пройти проверку любого СА из хранилища Firefox;

    • Организация MitM-атаки на трафик, проходящий между addons.mozilla.org и системой жертвы при обновлении NoScript;

    • Доставка жертве вредоносного обновления вместо легитимного.

    Уязвимость уже устранена в версии Tor 6.0.5. Исправленный стабильный релиз Mozilla Firefox будет доступен 20 сентября нынешнего года.

    Блин редактить не могу. Источник: http://www.securitylab.ru :websmiles_47:
     
    Последнее редактирование модератором: 19 сен 2016