in Internet

Firebug ispravio sigurnosni propust [en]

Firebug je izuzetno koristan JavaScript debug-er za FireFox, ali ne samo to on ima gomilu korisnih osobina i dodataka, kao što su DOM explorer, CSS editor sa kojim možete da menjate css kod direktno na sajtu. Isti je slučaj i sa HTML editorom, koji takođe dozvoljava online editovanje. Ni izvršavanje JavaScript koda “u letu” nije problem za ovu moćnu alatku. Ovo je veoma korisna alatka za sve web programere i dizajnere.

Firebug

Na nekim blogovima objavljena je informacija da postoji sigurnosni propustu Firebug-u i da on veoma ranjiv. Tačnije napadač može preuzeti kontrolu nad bilo kojim sistemom na kojem je instaliran Firebug. Ali prvo žrtva mora posetiti zlobnu stranicu, što donekle sužava prostor za napad.

Kada žrtva poseti zlonamernu stranicu, ukoliko je aktivna Firebug ekstenzija, zla skripta se izvršava u zoni browser-a. Tada skripta može preuzeti kontrolu nad vašim sistemom, pošto je izvršavanje komandi kao i čitanje i upisivanje u fajlove dozvoljeno.

Ali na sajtu Firebuga je objavljena ispravka, tako da se preporučuje da ažurirate Firebug sa najnovijom verzijom. Ova ispravka je objavljena ubrzo pošto se pojavila vest da postoji ozbiljan bezbedonosni propust u Firebug ekstenziji.

Pogledajte funkciju koja pokreće fajl na udaljenom računaru:

  1. function runFile(f) {
  2.         var file = Components.classes["@mozilla.org/file/local;1"]
  3.                 .createInstance(Components.interfaces.nsILocalFile);
  4.         file.initWithPath(f);
  5.         var process = Components.classes["@mozilla.org/process/util;1"]
  6.                 .createInstance(Components.interfaces.nsIProcess);
  7.         process.init(file);
  8.         var argv = Array.prototype.slice.call(arguments, 1);
  9.         process.run(true, argv, argv.length);
  10. }

Ne zaboravite da ažurirate Firebug sa zakrpljenom verzijom.

Write a Comment

Comment