LINUX.ORG.RU

Найдена уязвимость во всех (!) основных браузерах


0

0

Проблема заключается в том, что окна диалогов, создаваемых посредством JavaScript не показывают свой родительский URL. Злонамеренный сайт может показать такое окно, когда вы находитесь на доверяемом сайте и вы, по ошибке, оставите информацию злоумышленнику.

>>> Подробности

★★★★★

Проверено: Dimez ()

Господа, вам не кажется, что secunia уже всех изрядно достала с такого рода "уязвимостями"?

K48 ★★★★
()

Интересно, в каком браузере быстрее исправят? :))

Deleted
()

Тоже мне, "уязвимость"! Скоро уязвимостью будут называть возможность отображать содержимое, внешне похожее на "доверенный сайт".

SySAlex
()
Ответ на: комментарий от SySAlex

> Тоже мне, "уязвимость"! Скоро уязвимостью будут называть возможность отображать содержимое, внешне похожее на "доверенный сайт".

Угу, кто-то план выполняет ...

anonymous
()

я java-бы script убил только за то,...

anonymous
()
Ответ на: комментарий от anonymous

>Найдена уязвимость в головах всех (!) людей! - ОНИ МОГУТ ДУМАТЬ.

Не так, так надо: ОНИ ИНОГДА ДУМАЮТ НЕПРАВИЛЬНО!

anonymous
()
Ответ на: комментарий от anonymous

в последней опере тоже ориджын пишет.

kott ★★★★★
()
Ответ на: комментарий от anonymous

Видно только на панели. В самом окне ничего нет.

mitya79
()

Opera 8.01 fo Linux - тоже явновиден адрес.

LeX
()

Найдена уязвимость во всех (!) основных браузерах - они показывают любое содержимое, а не только подписанное сертификатами и проверенное на безопасность компанией securnia. Исходя из этого, злоумышленник может внедрить в html-код фривольные выражения, злонамеренный код и в итоге негативно повлиять на CPU стандартного пользователя.

stimpack80
()

В этих браузерах есть очень хорошая опция - "отключить всплывающие окна". Кстати Deer Park и с разрешенными всплывающими, эту мульку с Secunia не показывает, а Konqueror пишет адрес в заколовке.

anonymous
()

Наверное сама идея стара как мир, но кому то пришло в голову озвучить её :) Но так громко кричать... Кстати в моем deer park под винду, работает, и адрес не показывается :(

Twotl
()

Назойливая эта компания, прямо как Касперский со своим антивирусом.

Считается, что диалог с заголовком [JavaScript Application] уже должен насторожить пользователя.

А чтобы пароли или что-нибудь другое такое же важное через подобные диалоги вводить - не надо такого, никогда на нормальных сайтах так не делают.

Ono
()
Ответ на: комментарий от mitya79

> А в Konqueror не работает!!!

Тык он в списке уязвимых браузеров и не показан. Konqi рулит!

Аффтар новости, замени (!) на (?!) :)

Skull ★★★★★
()
Ответ на: комментарий от K48

Это не "уязвимость", это кривая реализация ява-скрптов как таковых в отдельных браузерах

FF 1.0.4 под Win32 подвержен

anonymous
()
Ответ на: комментарий от anonymous

Надо по ссылкам не жать. Надо копировать адрес, пинговать, и заходить по IP. Да и ELinks 0.9.2 - Text WWW browser неподвержен данной "уязвимости" :)

Kbps
()
Ответ на: комментарий от Kbps

>Надо копировать адрес, пинговать, и заходить по IP

:)))))))

theserg ★★★
()
Ответ на: комментарий от Kbps

> Надо по ссылкам не жать. Надо копировать адрес, пинговать, и заходить по IP.

Короткими перебежками. Сначала флэшу, потом грену. :)

anonymous
()
Ответ на: комментарий от anonymous

Короче раз на раз неприходиться... у мя на 3 раза неудавшихся 1 получаеться удавшееся. Вобщем оно работает правдо и хило... ff1.0.4 linux

stalkerg ★★★★★
()

Да не, всё правильно. Мозилла какого-то х.. пишет в заголовке окна "JavaScript Application". И как я определю, какой именно таб мне ЭТО нарисовал?

anonymous
()

Этот сайт пытается открыть
http://www.google.com.secunia.com/tests/origin_spoof.php
в новом окне браузера с помощью JavaScript.
Разрешить? Да Нет

konqueror 3.3.2, жаба и еёйный скрипт по умолчанию запрещены.

anonymous
()
Ответ на: комментарий от anonymous

Дай-ка отгадаю твой возраст - лет 15, не больше. Угадал? Ну так и кто из нас должен идти на горшок? Подсказка - когда ты ползал и агукая переводил подгузники, я отмечал защиту диплома по специальности "Программное обеспечение вычислительных машин"

anonymous
()
Ответ на: комментарий от DeViL

выбросить это глючное падучее проприетарное поделие и больше не позориться

anonymous
()

я бы за любые окна руки бы поотрывал
на мой взгляд гораздо правильнее ВСЕГДА использовать политику НИКАКИХ ВСПЛЫВАЮЩИХ ОКОН ВВОДА ИЛИ ОКОН ПРЕДУПРЕЖДЕНИЙ

лучше бы в браузерах убрать поддержку этой дури в JScript

vm ★★
()
Ответ на: комментарий от vm

В МОзилле - сделать открывание ВСЕХ окон в бэкграунд табах. Всё. Проблема решена без потери функционала.

Shadow ★★★★★
()
Ответ на: комментарий от Kbps

> Надо по ссылкам не жать. Надо копировать адрес, пинговать, и заходить по IP.

man resolve

sin_a ★★★★★
()
Ответ на: комментарий от SySAlex

> Скоро уязвимостью будут называть возможность отображать 
содержимое, внешне похожее на "доверенный сайт".

Это дефейс =)
Или я мыслб непонял?

ManJak ★★★★★
()
Ответ на: комментарий от Skull

Блин, долго не видел, т.к. по привычке открывал в новом табе,
а там нет глюка =)

ManJak ★★★★★
()
Ответ на: комментарий от ManJak

Снова сорри, т.к. открыть в новом окне - это фитча, а открыть в
новом табе - это обычно =)

ManJak ★★★★★
()
Ответ на: комментарий от Kbps

> Надо копировать адрес, пинговать, и заходить по IP.

Не хочу обидеть, но .... Отдает параноей?

ManJak ★★★★★
()
Ответ на: комментарий от stalkerg

Черт его знает, но, по получении приглашения,
_РЕФЛЕКТОРНО_ жмешь н*а*х или вводишь Der parolle!
Надож ожидать? А это уже попахивает дефейсом,
т.к. надо подложить что-то.

ManJak ★★★★★
()
Ответ на: комментарий от anonymous

>> Надо по ссылкам не жать. Надо копировать адрес, пинговать, и заходить по IP. >Короткими перебежками. Сначала флэшу, потом грену. :)

консольный КС :)

anonymous
()
Ответ на: комментарий от anonymous

Некотрые без форы не могут... :))

anonymous
()

Я нашел еще одну уязвимость. Специально подготовленная страница
с надписью <b>Убей себя</b> может быть воспринята пользователем
как рекомендация к действию. Ждем патчей.

OlegY
()
Ответ на: комментарий от MEZON

подвержена вкоркупадучести. кг\ам

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.