LINUX.ORG.RU

есть ли жизнь в жаба-скрипте, нет ли жизни в жаба-скрипте это науке неизвестно

anonymous
()

NN 7.0PR1, на фтп хожу через прокси. Ничего необычного с этим не обнаружено. Как показывался мозилла.щрг, так и показыватеся.

Может работает если напрямую ходить?

Ezh

anonymous
()

смешная какая-то уязвимость :) как верно было замечено выше, при ходьбе через прокси ничего страшного не происходит (к сожалению, напрямую проверить сложно)

Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.0.1) Gecko/20020802

ananas ★★★★★
()

Дык там же человечьим языком написано:

Vulnerable: Windows2000 SP2 Mozilla 1.0

При чем тут Linux?

anonymous
()

2anonymous (*) (2002-08-07 18:13:42.032):

> Дык там же человечьим языком написано:
> Vulnerable: Windows2000 SP2 Mozilla 1.0

> При чем тут Linux?

Там акцент сделан, не на ОС, а на версию Мозиллы.

Vulnerable: Windows2000 SP2 Mozilla 1.0
Not vulnerable: Windows2000 SP2 Mozilla 1.1 Beta

На чём тестировали, о том и рапортуют.

badger
()
Ответ на: комментарий от anonymous

>Дык там же человечьим языком написано:
>Vulnerable: Windows2000 SP2 Mozilla 1.0
>При чем тут Linux?

Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.1a)

также подвержена уязвимости

anonymous
()

а хде фикс?

anonymous
()

Сборка alt тоже страдает?

jackill ★★★★★
()

Про АЛТ - спросить на АЛТ Про АСП - спросить на АСП Про РХ - спросить на РХ.... :) Продолжать? :) Или дальше смысл понятен?... :)

asoneofus
()
Ответ на: комментарий от anonymous


"Mozill'y краснозвездную ДАВИТЬ !!!! "

Виндососов красноглазых ДАВИТЬ !!!

anonymous
()

Linux давить... Unix давить... Windows давить... Как сложна жизнь компьютерного маньяка :)

anonymous
()

Сказано ж - ставь 1.1бета и нет проблем.

anonymous
()

Можно вопрос (может глупый).
У меня плагина под яву нет, но ява-скрипт включен - значит,
у меня дыра, так?

jackill ★★★★★
()

Меня Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.1b) Gecko/20020721 начала доставать тем, что количество попыток достучаться до чего-либо неограниченное. Я уже устал всё время тыкать "Стоп", а Firewall показывает более 20000 запросов на dns каждый день от мозыллы. (если сервер не отвечает, мозилла даёт новый запрос, и т. д. ) Может кто подскажет как исправить? Мозиллой пользуюсь уже давно -- с 0.9.9 только ею! ;-)

anonymous
()

jackill: вопрос глупый :-) ява и ява-скрипт общего имеют только 4 буквы.. (ибо java).. так что ставь 1.1b а лучше не ходи по левым сайтам ;-)

dimonb
()

ХЗ. У меня Mozilla 1.0.0 на Debian, поставленная с какой-то дебки. JavaScript включен, но никакой уязвимости не наблюдается... Наверное, это только виндовые версии...

TaSSaDaR
()

Может, дело в том что я через проксик хожу... Протестить напрямую не получается за отсутствием доступа ;-)))

TaSSaDaR
()

Через прокси и не будет работать :)
Сквид, например, запросы на FTP берет на себя, и чтобы такой эксплоит сработал на сквиде, в него нужно включить поддержку javascript :)
Включается при компилировании configure --enable-javascripts :))))

sandman
()

Блин, и это opensource?!?! Что, если я не хочу бету ставить? Под ie сразу на windowsupdate фикс уже к СУЩЕСТВУЮЩЕЙ версии появляется...

anonymous
()

В данном случае опенсорс позволяет вам вытащить из cvs несколько строчек фикса, которые стопроцентно лягут на сорцы mozilla 1.0. Что касается беты - она тоже не с потолка свалилась, дай бог многим продуктам microsoft работать так, как эта "бета". Сколько народу ее поставило из моих знакомых - все довольны.

anonymous
()

В чем, собственно, эта "уязвимость"? :) Что реально можно сделать запущенным таким образом скриптом?

anonymous
()

>Под ie сразу на windowsupdate фикс уже к СУЩЕСТВУЮЩЕЙ версии появляется...

Дитя малое и наивное, наверное еще не знает о тех ДЫРАХ которые есть в его любимом ИЕ. О дырах которые майкрософт в ближайшее будущее и не думает закрывать... Которые публикуются практически каждую неделю... А находятся еще чаще :)

Вот к примеру недавняя дыра, найди-ка для нее патчик :)

А дыра эта позволяет получить любой файл c машины клиента. Для использования дыры достаточно пару строк javascript'а. А суть такова:

1. При нажатии пользователем CTRL управление передается обработчику события нажатия клавиши. Далее в функции-обработчике эмулируется нажатие 'V' и таким образом обходятся ограничения на операцию вставки.

2. Содержимое буфера обмена может быть изменено. Фокус ввода передается на скрытую форму загрузки файла, затем выполняется операция вставки.

3. Абсолютно легальной операцией javascript подтверждаем (submit) отправку.

23 июля Microsoft в ответ на сообщение об уязвимости заявила, что данная уязвимость не является опасной и патча выпущено не будет.

anonymous
()

за бедный виндузятников уже все решили, что опасно а что нет :)

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.