انتشار ثغرة remote في متصفح Firefox
انتشر استغلال ثغرة خطيرة في متصفح الانترنت Mozilla Firefox في جميع اصدارات السلسلة الثالثة, تعتبر هذه الثغرة الأكثر خطورة منذ اطلاق الاصدار الثالث حيث تمكن المخترق من التحكم الكامل بالجهاز وتشغيل اكواد ضارة على الجهاز بنفس صلاحية المستخدم الذي يستعمل البرنامج.
وتكمن الثغرة في محلل XSL, حيث يستغل المخترق خطأ في طريقة معالجته للبيانات لتنفيذ أكواد خطرة والتحكم الكامل بالجهاز عن بعد,أما اذا فشل المخترق بالاستغلال سوف تؤدي إلى حجب للخدمة في المتصفح واغلاقه, انتشرت الثغرة بشكل علني بتاريخ اليوم قبل ساعات قليلة من كتابة هذه الخبر ومازاد من خطورتها انتشار الاستغلال في مواقع الثغرات وأصبح الاستغلال بأيدي الهاكرز, على الجميع الحذر فهي خطرة جداً ويمكن استغلالها على أنظمة لينوكس و ويندوز!
تعمل الثغرة على الأصدارات التالية فقط:
Mozilla Firefox 3.0.7
Mozilla Firefox 3.0.6
Mozilla Firefox 3.0.5
Mozilla Firefox 3.0.4
Mozilla Firefox 3.0.3
Mozilla Firefox 3.0.2
Mozilla Firefox 3.0.1
Mozilla Firefox 3.0
للعلم أن لهذه اللحظة لم يتم أنزال أي تحديثات من موزيلا بخصوص الثغرة, وعلى الجميع التحديث فور نزول التحديثات من شركة Mozilla. مع العلم أن برنامج فايرفوكس يقوم بالتحديث التلقائي في أنظمةويندوز وفي لينوكس يتم ذلك من خلال مدير الحزم.
رأي الكاتب الشخصي: لا يخلو أي برنامج مهما بلغت شهرته من الثغرات ومن الطبيعي أن يتم اكتشاف ثغرات بهذه الخطورة بين الحين والآخر في برامج مفتوحة المصدر وذلك لتوفر الكود المصدر للبرنامج لكنها تعتبر نادرة الحدوث وطبعا الأمر يختلف عن البرامج المغلقة المصدر والطرق المستخدمة في اكتشاف الثغرات فيها, نتمنى أن يتم اصلاح المشكلة بأسرع وقت ممكن وحتى ذلك الوقت ننصحكم بالحذر! تم اصلاح المشكلة واطلاق الاصدار 3.0.8 في تاريخ 27 من هذا الشهر, ننصح الجميع بالترقية حالاً.
أخي كون الثغرة بالمتصفح فلا علاقة لنظام التشغيل.. في بعض الأحيان يتم اكتشاف ثغرات في برنامج متوفر لعدة أنظمة لكن يمكن استغلالها في نظام محدد مثلا ويندوز فقط أو لينوكس فقط لكن هذه الثغرة لا علاقة لها في النظام وأتوقع أنها موجودة في جميع الأنظمة الأخرى مثل ماك.. لكني لم أتأكد من الأمر بعد!
على الأكثر أن الثغرة تعمل على جميع الانظمة لائنها في محلل XSL الخاص بفايرفوكس
رابط الثغرة
http://milw0rm.com/exploits/8285
شكرا لك
شفت ثغره dos pos في احد مواقع الثغرات
/ :
لدي سؤال : بما أنك ذكرت linux هل بالفعل الثغرة تتيح التحكم في جهاز يعمل على نظام تشغيل linux ?
وعليكم السلام,
نعم بالفعل تم اصدار تحديث من موزيلا يحمل الرقم 3.0.8
السلام عليكم
اصدرت موزيلا يوم امس تحديث جديد يحمل رقم 3.0.8
التحديث على الوندوز يعمل تلقائى وفى لينكس من مدير الحزم
شكرا لكم
وعليكم السلام,
لا الثغرة لا تعمل على هذا الاصدار
الافضل أمنياً بالتأكيد هو 3.0.8 لأنة نسخة ثابتة اما النسخة التي تستخدمها هية نسخة تجريبية (بيتا) ومازالت في مرحلة التطوير ومن المؤكد انها تحتوي على بعض الاخطاء ..
السلام عليكم
بارك الله فيك اخي عبد المهيمن
سوف أقوم بتثبيت النسخة الاخيرة رغم انني مثبت النسخة المحمولة وللامان أكثر سأثبت النسخة كاملة
أخي عبد المهيمن ما رأيك في متصفح صفاري 4 safari4
السلام عليكم
انا أمتلك موزيلا فايرفوكس 3.1.3
هل هذه الثغرة مجودة فيه ايضا
ومن الأفضل 3.0.8 او 3.1.3b
شكرا لكم