Artykuły dotyczące tematu: javascript

dodany: 29.03.2013 | tagi: , , ,

Luka w silniku JavaScript w MongoDB 2.2

0

Pojawił się exploit wykorzystujący lukę w MongoDB, popularnej bazie NoSQL. Odkrywca luki, ukrywający się pod nickiem agixid, zapowiedział powstanie modułu Metasploit. Sama luka dotyczy 32-bitowych systemów korzystających ze starej, chociaż ciągle wspieranej wersji MongoDB 2.3.3; trwają prace nad 64-bitowym exploitem. Najnowsza gałąź – 2.4 – nie jest podatna na atak.

Exploit wykorzystuje funkcję NativeHelper w silniku Javascript SpiderMonkey, aby wstrzyknąć natywny kod. Funkcja ta nie weryfikuje obiektu JS jaki otrzymuje. Twórcy MongoDB byli poinformowani o luce już 3 tygodnie temu, ale nie opublikowali jeszcze poprawki.

Jedną z funkcji nowej gałęzi MongoDB 2.4 jest zmiana silnika JavaScript na V8. Tym samym wydania 2.4.x są odporne na ten atak. Użytkownicy gałęzi 2.2 powinni jak najszybciej dokonać aktualizacji do nowego wydania albo trzymać kciuki za szybkie ukazanie się poprawionej wersji 2.2.

dodany: 17.09.2012 | tagi: , , ,

Szyfrowanie Mozilla+Google

0

W związku z coraz większym stopniem używania aplikacji webowych, programiści z Google i Mozilii połączyli siły, by opracować API dla szyfrowania web. W rezultacie doczekaliśmy się publikacji szkicu roboczego w zasobach  World Wide Web Consortium.

Szkic ten zawiera opis API dla JavaScript, który pozwala na podstawowe szyfrowanie a także zapewnia generowanie i zarządzanie kluczami potrzebnymi do zabezpieczenia połączenia oraz sposób generowania i sprawdzania sygnatur.

Dla zainteresowanych materiał jest dostępny pod tym adresem. 

dodany: 18.07.2012 | tagi: , ,

Mozilla: krytyczne dziury załatane

0

Po ostatniej rundzie aktualizacji do swoich pakietów aplikacji internetowych Mozilla wyszczególnia teraz wszystkie swoje poprawki zabezpieczeń w nowych wersjach swojej przeglądarki (Firefox), klienta poczty (Thunderbird) i pakietu internetowego „wszystko w jednym” (SeaMonkey).

Wszystkie 3 produkty są oparte na tej samej platformie (Gecko), wersja 14.0 Firefoxa i Thunderbirda oraz 2.11 SeaMonkey zamknęły szereg tych samych dziur, z których niektóre były oceniane jako krytyczne przez sam projekt. Aktualizacje zostały także opublikowane dla wersji biznesowych Firefoxa i Thunderbirda.

Te krytyczne błędy obejmują możliwość wykonania kodu związanego z jabascript:URL.

Jest to bug konwersji JSDependentString::undepend, który może być wykorzystany do spowodowania błędu, ominięcia Security Wrappers i różnych błędów bezpieczeństwa w pamięci.

Deweloperzy poprawili także luki określane mianem „luk ryzyka 3 stopnia”- łącznie z fałszowaniem lokalizacji i problemami wycieku danych, a także trzy umiarkowane bugi bezpieczeństwa.

Dodatkowo, aktualizacje Firefoxa zamknęła problem problem XSS-ów i dwóch umiarkowanych podobnych problemów. Wiele z tych luk zostały stworzone w wersji 10.0.6 biznesowego Firefoxa ESR i Thunderbirda ESR.

Firefox 14.0.1., Firefox ESR 10.06, Thunderbird 14.0, Thunderbird ESR 10.0.6 czy SeaMonkey 2.11 są dostępne na Linuxa, Windowsa i MacOS X-a na stronie projektu.