ווטסאפ - לינוקס, BSD, קוד פתוח ותוכנה חופשית בעברית. Whatsup - Linux, BSD, open source and free software in Hebrew

  		 
  כניסת חברים · רישום · שכחתי סיסמה  
tux the penguin

quick_linkדפדני קוד פתוח נפוצים ואופרה פגיעים לקוד HTML זדוני

published at 24/10/2004 - 00:53 · ‏פורסם DanielCockroach · ‏tags אבטחת מידע · שלח לחברידידותי למדפסת
אבטחת מידע מייקל זלווסקי מדווח ל-BUGTRAQ על בעייתיות במספר דפדפני קוד פתוח ואופרה העלולות לגרום להתרסקות הדפדפן. הדפדפנים המדוברים - אופרה, מוזילה, Lynx ו-Links - מפענחים באופן שגוי רצפי קוד HTML ומתרסקים.

לגבי IE, נראה שבבדיקה הראשונה (הופסקה לאחר כשעתיים) הוא עמד במשימה בכבוד. בבדיקה נוספת הדפדפן קרס, אולם רק לאחר 3 שעות. בנקודה הזו מפתחי IE עשו עבודה טובה.

- אופרה: שימוש רב בCOLSPAN בתוך TBODY עלול לגרום להתרסקות.
- מוזילה: מספר TEXTAREA, INPUT, FRAMESET ו-IMG שלאחריהן NUL ותווים נוספים עלול לגרום להתרסקות.
‏- Lynx: קוד HTML "שבור" עלול לגרום להתרסקות.
‏- Links: טבלאות גדולות במיוחד עלולות לגרום להתרסקות.

קישורים:

ההודעה הראשונה של מייקל לרשימת הדיוור
ההודעה הבאה בנושא, כוללת עדכונים
הדיווח אודות Links
הדיווח אודות Lynx
הדיווח אודות מוזילה
הדיווח אודות אופרה
דוגמאות לקוד הגורם להתרסקות

הערה: תודה לצפריר על העדכון
 

קישורים רלוונטיים

· עוד על אבטחת מידע
· חדשות מאת DanielCockroach

הסיפור הנקרא ביותר בנושא אבטחת מידע:
האקרים עדכנו גרסה עם 'דלת אחורית' בשרת הפרוייקט sendmail.org

דפדני קוד פתוח נפוצים ואופרה פגיעים לקוד HTML זדוני | כניסה / יצירת מנוי חדש | 10 תגובות
סף חסימה
  
ההערות הינן מטעם כותביהן. אין צוות האתר לוקח אחריות על תוכנן
Re: דפדני קוד פתוח נפוצים פגיעים לקוד HTML זדוני. (ניקוד: 0)
ע"י פינגווין אנונימי ב 24/10/2004 - 01:06
אני מציע לעורכי האתר לתקן את הסיפור הזה. המציאות כאן קצת יותר עגומה: נראה שדווקא מפתחי MSIE השקיעו את עבודת הבדיקה הכי רצינית במקרה הזה והקוד של הדפדפן שלהם קורס כאן במספר מקרים מועט בהרבה.

http://www.securityfocus.com/archive/1/378632/2004-10-13/2004-10-19/0
http://www.securityfocus.com/archive/1/379207/2004-10-20/2004-10-26/0

הקרדיט מגיע ל־Michal Zalewski

צפריר

[ השב לזאת ]

Re: דפדני קוד פתוח נפוצים פגיעים לקוד HTML זדוני. ע"י mksoft ב 24/10/2004 - 02:22
Re: דפדני קוד פתוח נפוצים ואופרה פגיעים לקוד HTML זדוני (ניקוד: 1)
ע"י CooL_SPoT (linuxfun@email.com) ב 24/10/2004 - 08:14
(מידע על משתמש | שלח הודעה) http://linuxfun.whatsup.org.il
מזל שאני משתמש בקונקי :P

[ השב לזאת ]

Re: דפדני קוד פתוח נפוצים ואופרה פגיעים לקוד HTML זדוני ע"י sforbes ב 24/10/2004 - 08:44
Re: דפדני קוד פתוח נפוצים ואופרה פגיעים לקוד HTML זדוני ע"י CooL_SPoT ב 24/10/2004 - 09:10
Re: דפדני קוד פתוח נפוצים ואופרה פגיעים לקוד HTML זדוני ע"י sforbes ב 24/10/2004 - 09:20
Re: דפדני קוד פתוח נפוצים ואופרה פגיעים לקוד HTML זדוני ע"י sforbes ב 24/10/2004 - 09:22
בדיקת שתי הקריסות הנ"ל עם בנייה לילית של FFOX מאתמול (ניקוד: 1)
ע"י דוביקס ב 24/10/2004 - 21:28
(מידע על משתמש | שלח הודעה)
שני הקישורים שהפילו את הגרסה הקודמת עוברים את הבדיקה בשלום.

ז"א שהתיקונים כבר יהיו בגרסה 1.0RC שתצא השבוע.

[ השב לזאת ]

Re: דפדני קוד פתוח נפוצים ואופרה פגיעים לקוד HTML זדוני (ניקוד: 0)
ע"י פינגווין אנונימי ב 24/10/2004 - 23:46
אין קשר ישיר בין התרסקות דפדפן לחור אבטחה.
זה שהדפדפן מתרסק זה לא אומר שמישהו יכול לגרום לנזק למידע שלי.
אז זה פשוט באג. לא חור אבטחה.

הערה : זו היתה הערה כללית, אני לא מכיר את הבאגים הנדונים.

[ השב לזאת ]

Re: דפדני קוד פתוח נפוצים ואופרה פגיעים לקוד HTML זדוני ע"י bizna ב 31/10/2004 - 19:39