https://bugtraq.ru/review/archive/2005/22-09-05.html

FireFox 1.0.7 - подтверждение быстроты реакции; Mozilla: а зато мы в лучшей форме; Бесплатная Опера; IE оказался безопасней Mozilla, но атакуют его чаще; Безопасность в Vista: что нас ожидает.

#211, 22.09.2005

FireFox 1.0.7 - подтверждение быстроты реакции
dl // 21.09.05 23:11
У Mozilla Foundation появился шанс подтвердить свою оперативность - Secunia во вторник объявила о крайне опасной уязвимости в linux-версиях Firefox 1.0.6. Символ `, переданный в url при вызове FireFox из внешней программы, приводил к тому, что скрипт командной оболочки, запускавший броузер, норовил интерпретировать идущие следом символы как отдельные команды.

Вышедшая следом версия 1.0.7 содержит в том числе исправление и этой уязвимости (на самом деле, согласно bugzilla, все произошло несколько раньше - с 6 по 12 сентября, просто 1.0.7 - первый релиз, в который вошел патч, а Secunia выбрала крайне удачный момент, чтобы подлить масла в огонь, разгоревшийся вокруг недавнего symantec'овского отчета).
Источник: ZDNet

Mozilla: а зато мы в лучшей форме
dl // 20.09.05 17:13
Не прошло и суток с публикации symantec'овского отчета, согласно которому IE оказался безопасней Mozilla, как на него откликнулся президент Mozilla Europe Тристан Нито (Tristan Nitot). По его словам, с точки зрения реагирования на уязвимости Mozilla находится в гораздо лучшей форме. В качестве примера Нито привел недавнюю уязвимость, связанную с обработкой международных символов в именах доменов, на полное исправление которой ушло десять дней, а изменения в конфигурации, прикрывающие ее, появились через три дня. Кроме того, он считает уязвимости IE более опасными. Так, за период с 2003 под 2005 год Secunia выпустила 22 бюллетеня, касающихся Firefox 1.x, оценив их как "less critical", в то время как IE удостоился 85 "highly critical" бюллетеней.

Исследователь из Symantec Олли Уайтхауз (Ollie Whitehouse) соглашается, что Firefox сложнее атаковать хотя бы из-за его многоплатформенности, затрудняющей целенаправленную атаку пользовательской системы. По его словам, результаты, полученные Symantec, кажутся на первый взгляд удивительными, но вполне объяснимы скачкообразным распространением Firefox и доступностью его исходников, что просто дало возможность большому количеству экспертов наброситься на него. До недавнего времени у Firefox было значительно меньше уязвимостей, чем у IE, но именно в последние шесть месяцев начался их рост. Останется ли это эпизодическим всплеском, или тенденция сохранится по мере его распространения, покажет время.
Источник: ZDNet

Бесплатная Опера
dl // 20.09.05 12:09
Opera Software объявила о переходе к полностью бесплатному распространению своего броузера, из которого отныне удалены все баннеры. За дополнительные деньги доступен Premium support.
Источник: пресс-релиз (via amirul)

IE оказался безопасней Mozilla, но атакуют его чаще
dl // 19.09.05 18:04
Как регулярно заявляет президент Mozilla Foundation Митчелл Бейкер (Mitchell Baker), броузеры семейства Mozilla принципиально более безопасны, чем IE, и не будут ощущать существенного роста проблем с расширением своей доли рынка.

Это согревает душу, однако не очень стыкуется с практикой - согласно отчету Symantec, за первое полугодие 2005 года в Mozilla было обнаружено 25 уязвимостей, подтвержденных производителем, 18 из которых получили статус крайне опасных. Аналогичные показатели для IE - 13 и 8 соответственно. Интервал между публикацией уязвимости и появлением использующего ее кода сократился в среднем до шести дней.

Впрочем, Symantec признала, что IE остается единственным броузером, на который осуществляются массовые атаки, отметив, что ожидает изменения картины по мере распространения альтернативных броузеров.
Источник: ZDNet

Безопасность в Vista: что нас ожидает
dl // 16.09.05 11:37
В четверг на MSDNовском чате вице-президент Microsoft Майк Нэш (Mike Nash) рассказал о некоторых нововведениях в Windows Vista с точки зрения безопасности. Большие усилия прилагаются для защиты пользователей от вредоносных программ. Нэш подтвердил намерение MS дать всем пользователям Vista возможность использования технологии анти-spyware.

Интересным новшеством обещает стать защищенный режим в IE, при котором броузер будет изолирован от других процессов операционной системы и не будет иметь прав на запись за пределами каталога Temporary Internet Files, что должно снизить риск от "тихой" установки всевозможных вредоносных плагинов. Большинство объектов ActiveX будет по умолчанию запрещено; будет улучшен встроенный файрволл; будет продолжена работа по более аккуратному определению привилегий, необходимых для функционирования различных служб, начатая в Server 2003.

Наконец, в готовящуюся к выходу в ноябре Visual Studio 2005 будут включены многие средства, используемые внутри самой MS для написания более безопасного кода, в том числе интеграция с анализаторами кода PreFast и FxCop.
Источник: InformationWeek