from:大风
21号出来的paper,讲Firefox 扩展(Extension)的安全问题
Cross Context Scripting with Firefox
Exploiting Cross Context Scripting Vulnerabilities
第一篇是whitepaper,第二篇是讲实际案例。
从许多角度论述了Firefox Extension 和页面交互时存在的一些问题。
可以预见,未来找扩展、插件的漏洞,会有些类似今天找桌面漏洞一样。
我以前也研究过一点Firefox 扩展的开发,还贴过一篇Firefox 插件木马的文章,感觉这里面还是有很多东西可以挖的。有兴趣的朋友可以搜搜我的blog,关键词:Firefox.
1、Pwn2Own安全大会果然没让我们失望,iPhone被毫无悬念地攻破,黑客还获得了iPhone的SMS数据库,甚至还包含一些被删 除的短信。
来自卢森堡大学的32岁黑客Weinmann和Zynamics 22岁的研究人员Iozzo合作,通过最薄弱环节—iPhone上的Safari成功实现入侵,利用特别设计的页面让Safari崩溃,从而攻入 iPhone 3GS的最新固件3.1.3,拿走1.5万美元的现金奖励,当然,该漏洞目前为止都还未被修补。
2、Windows 7的DEP和ALSR被绕过
温哥华Pwn2Own黑客挑战赛又有猛料爆出,德国黑客“Nils”迅速攻破了Mozilla Firefox在64位系统上的运作,并实现了对64位Windows 7的完全控制。
更为令人震惊的是,他利用一些技巧绕过了Windows 7的DEP和ALSR,加载了目标计算机上的可执行文件,同时还计划攻击苹果的Safari浏览器,可惜查理·米勒提前拿下了该项目,因此他没有得到奖 金。
ASLR技术+ DEP被视作Windows最新版本重要的安全路障,但比赛结果显示,只要有足够的动力(奖金?)和资源,技术高超的黑客可以绕过这些限制。
按照 比赛规则,他不能透露有关Firefox的漏洞细节,TippingPoint拥有该信息的独占权。
Mozilla基金会当地时间周四发布了Firefox 3.6。这也是Mozilla基金会自去年6月份以来首次对Firefox 浏览器升级。
之前,Mozilla基金会已经发布了4个测试版本的Firefox 3.6。Firefox 3.6内置支持Personas皮肤,支持CSS、DOM和 HTML 5,以及全屏视频播放和开放源代码的“Web开放字体格式”。另外,Firefox 3.6还增添了一项新的安全功能,可以检查Flash Player和QuickTime等插件版本,确保它们是最新版本,屏蔽存在安全问题的插件,并提醒用户更新插件。
Mozilla 基金会还提高了Firefox 浏览器总体性能,减少了启动时间。Mozilla基金会Firefox 项目总监迈克·贝尔兹纳(Mike Beltzner)表示,与3.5版相比,Firefox 3.6执行JavaScript代码的速度提高约12%,部分网页加载速度提高20%。
阅读全文
===8<=================== Original Nachrichtentext ===================
________________________________________________________________________
From the very-low-hanging-fruit-department
Firefox Denial of Service (KEYGEN)
________________________________________________________________________
Release mode: Forced release.
Ref : [TZO-27-2009] - Firefox Denial of Service (KEYGEN)
WWW : http://blog.zoller.lu/2009/04/advisory-firefox-denial-of-service.html
阅读全文
本消息来自支付宝官方博客,作者为西毒与支付宝产品技术部安全研发组。我上次也发布了他们的内测消息,具体见:Linux平台下支付宝的Firefox的支持已经在内部测试。而自从上次支付宝在官方网志上宣布将支持 Firefox 浏览器后,已经有很多用户询问什么时候能够支持 Linux 平台下的 Firefox ,现在是可以做出回答的时候了:尽管该安全控件(针对 Linux 下 Firefox 的安全控件)还没有正式在官方网站上发布,本 Blog 用户可以提前体验啦。
使用方法:下载上述链接的文件,解压缩成两个文件:
阅读全文
新闻来源:阿里blog
首先预祝大家中秋快乐! 在下周,支付宝(中国)网络技术有限公司(Alipay.com)将正式发布针对 Firefox (火狐浏览器) 的支持环境。
可能还有用户记得,支付宝在 2007 年 7 月 31 日发布了一则《关于关闭 Firefox 等浏览器访问支付宝网站权限的通知》,这是出于安全方面的考虑不得不做出痛苦的决定,当时也引起了很多热心用户的关注。很多用户可能忽略了其中的一句话:
我们也会尽快解决 Firefox 与支付宝安全控件的兼容问题…
这是支付宝对 Firefox 用户的承诺。这一年多来,我们一直没有忘记这一承诺,也没有无视来自 Firefox 用户的更强烈呼声,我们一直在努力。可爱的工程师进行了艰苦的技术攻关,解决了众多技术难题。在进行了相对比较长的内部测试之后,我们终于可以宣布支付宝支持 Firefox 了!
阅读全文
2008年6月17日是 Firefox 3 正式发布日期,24小时内的下载量已超过800万,然而就在正式推出后不到5个小时,TippingPoint 数字免疫实验室(DVLabs) 便报道了 Forefox 3 的一个严重的安全漏洞。
DVLabs 称,该漏洞系研究者发现,DVLabs 已经向该研究者支付费用购买这一发现并做出验证,DVLabs 同时立即将该漏洞报告了 Firefox 安全团队。虽然 DVLabs 在 Firefox 推出安全补丁之前不会公布漏洞细节,但声称,这个同时会影响 Firefox 2 的安全漏洞会在用户参与下执行一些恶意代码。Mozilla 称会推出相关补丁。
本文国际来源:http://news.cnet.com/8301-10789_3-9972207-57.html?tag=nefd.top
中文翻译来:COMSHARP CM
