2019-5-4 1424 0
2011-3-17 4369 0
互联网新闻

Mozilla发布修复了它的10个安全,周三PWN2OWN比赛提前在下周的在温哥华CanSecWest会议在那里的安全专家将尝试利用领先的网络浏览器的任何安全漏洞在世界上的。Mozilla的更新谷歌周一公布。每年的PWN2OWN事件提请全球各地主要媒体的注意力从。今年,谷歌是提高PWN2OWN选手的利害关系,通过提供20,000元现金奖,谁成功地违反任何Chrome的浏览器的安全。“到了采取主动接触有关情况谷歌安全团队荣誉,说:”阿龙波特诺伊,对在TippingPoint的安全研究团队经理。“我们在为他们的工作经常做免费奖励安全研究人员一直赞成,”他在博客中写道。一个JPEG图片漏洞Mozilla的第一个浏览器自12月9安全更新包括八个“危急”漏洞的修补程序。本周的Firefox3.6.14更新涵盖的脆弱性问题,其中许多是由独立的安全研究人员报告给Mozilla范围。例如,Mozilla的通知霍尔迪斯尔,黑客可能会构造一个JPEG文件,一些版本的Firefox将解码不正确,导致数据在过去的缓冲区的机器创建存储图像年底写的。攻击者有可能利用此漏洞的恶意代码所造成在内存中保存在主机上后执行。Adobe系统安全研究人员报告说,Uhley跨站请求伪造(CSRF)风险如有违例命令可以通过一个用户传播,网站的信任。当发起的请求一个Firefox插件收到了307重定向,该插件就不会得到通知,要求可能已转发到另一个网络上的位置。“这对自己的起源CSRF的风险为网络的应用程序的请求,从目前依赖于自定义标头中只存有”Mozilla表示,在一个安全咨询。其它安全漏洞涉及两个安全漏洞Firefox的JavaScript引擎也被堵塞这个星期。例如,JavaScript引擎的本地js的变量的内部存储器映射不包含一个缓冲区溢出。据Mozilla基金会称,黑客可以利用这个安全漏洞运行的计算机上的任意代码的受害者。另一个修补Firefox的漏洞,使攻击者会迫使用户的浏览器“页面提交到接受任何打开的对话框到对话框中提升的权限,如授予一,”Mozilla的观察。此外,Mozilla的开发人员发现并修正了一些记忆的安全代码中的错误,某些情况下攻击者可以利用来运行任意的。现在,到PWN2OWN看看其他参赛者的安全漏洞利用他们能找到在Firefox和其他主流浏览器,从3月9日。我们的目标是确保可靠的披露的漏洞,使受影响的供应商的机会,问题的补丁,TippingPoint的说。“去年的比赛是一个伟大的成功,成功地作出妥协,以及苹果iPhone浏览器的三四个,”波特诺伊观察。“我们已经调升了赌注,今次的总奖金分配现金池已上升到高达125,000元。”Firefox程序下载