Haben Sie schon einmal eine Live-Demo einer dieser kritischen Sicherheitslücken gesehen, die Firefox veröffentlicht? Ist es möglich, ein Programm (z. B. Notepad) auszuführen oder ein neues herunterzuladen/zu installieren, ohne dass der Benutzer eingreifen muss, indem er einfach eine URL besucht? Das ist es, was Mozilla in den Sicherheitshinweisen versichert. https://www.mozilla.org/en-US/security/known-vulnerabilities/firefox/ Ich habe auf anderen Websites um Hilfe gebeten und sogar eine Belohnung ausgesetzt, aber ohne Erfolg. Beachten Sie, dass ich nicht von einem neuen, unveröffentlichten Exploit spreche, ich möchte nur einen dieser öffentlich bekannten Bugs sehen. Ich muss nicht einmal den Quellcode sehen, nur eine Live-Demo. Die letzte Demo dieser Art, die ich gesehen habe, war im Jahr 2000 und betraf IE 5.http://www.guninski.com/chmtemp-desc.html
Antwort1
Nein, es ist kein Mythos. Datenbank ausnutzenist der beste Ort, um Proof-of-Concept-Angriffe für öffentlich bekannt gegebene Schwachstellen zu finden. Natürlich wird dort nicht jede Schwachstelle veröffentlicht, aber viele werden veröffentlicht - die neueste, die ich bei Firefox sehe, istab April letzten Jahres.
Eine weitere gute Quelle für Beweise für Schwachstellen in den wichtigsten Browsern ist der Pwn2Own-Wettbewerb, bei dem im letzten Jahr vier verschiedene Zero-Day-Angriffe gegen Firefox eingesetzt wurden.