Блог о браузерах

В Java найдена серьезная уязвимость, позволяющая злоумышленнику получить контроль над системой под управлением любой версии ОС Windows при открытии специально оформленной веб-страницы в любом браузере с включенной поддержкой Java.

Проблема заключается в Java Web Start framework, эта технология создана компанией Sun Microsystems для упрощения развертывания Java-приложений. Дело в том, что Java Web Start не проверяет параметры переданные из командной строки, поэтому злоумышленники могут менять эти параметры, используя определенные HTML теги на веб-странице. Таким образом, например, можно подменить библиотеку приложения на свою.

Поскольку Java Web Start включен в Java Runtime Environment, который используется большинством браузеров, уязвимости подвержены все подобные приложения. Наличие проблемы подтверждено только для платформы Windows.

Утверждается, что уязвимость существует в Java Web Start уже несколько лет, но разработчики фреймворка не считают ситуацию настолько серьезной, чтобы выпускать экстренную заплатку.

В новой версии браузера Google Chrome разработчики пошли на интересный шаг - браузер в строке ввода больше не показывает название протокола «http://» перед адресом веб-страницы. До сих пор такое было замечено только в одном браузере - мобильной версии Safari для iPhone.

Так как многие приложения все же требуют ввода префикса, то браузер поддерживает автоматическую функцию вставки названия протокола «http://» в буфер обмена каждый раз, когда пользователь копирует адрес веб-страницы.

Многие пользователи не придают никакого значения названиям протокола в строке адреса, поэтому, чтобы упростить им жизнь, и было принято решение о скрытии префикса в браузере. Однако, такой способ трудно назвать идеальным. Оптимальный способ может состоять в том, чтобы заменить префиксы типа «http://», «ftp://» и «https://» на понятные значки. Тем более, что подобный опыт уже есть: например, в 2005 г. компании Mozilla и Microsoft смогли договориться об использовании единого значка для RSS-подписок.

В связи с растущей популярностью браузера Google Chrome среди пользователей Интернета, начинает увеличиваться и заинтересованность хакеров в его использовании для кражи персональных данных. Вирусные аналитики BitDefender обнаружили новый троян, маскирующийся под плагин для Google Chrome.

Сначала пользователь получает письмо, якобы с описанием нового плагина для браузера, позволяющего получить более удобный доступ к документам, вложенным в электронные письма. В этом письме содержится ссылка для скачивания “плагина” и инструкция по его установке. Перейдя по ссылке, пользователь скачивает с сайта злоумышленников вредоносное приложение, заражающее компьютер.

Троян, определяемый BitDefender как Trojan.Agent.20577 модифицирует системный файл HOSTS и подменяет такие поисковые сайты как Google и Yahoo на поддельные страницы, с помощью которых происходит дальнейшее заражение компьютера более серьезными вирусами.

Одним из значительных нововведений, заявленных в Mozilla Firefox версии 3.7, является запуск каждого плагина (например, Adobe Flash Player) в отдельном процессе. Это позволяет продолжать работу с браузером, даже в случае если плагин сработает некорректно и вызовет сбой. В этом случае появится надпись, сообщающая об ошибке, а для того чтобы перезапустить плагин и попробовать еще раз, нужно перезагрузить страницу.

Однако, ждать новую версию Mozilla Firefox 3.7 придется еще долго, так как она сейчас находится только на стадии альфа-тестирования. Поэтому разработчики и решили внедрить эту замечательную функцию в текущую версию браузера Firefox 3.6. Уже сейчас можно скачать бета-версию Firefox 3.6.4, проходящую предварительное публичное тестирование, в которой реализована данная функция.

Вышедшая недавно мобильная версия браузера Opera Mini для iPhone, действительно, как и было обещано, работает быстрее Safari. Но вот с версткой веб-страниц Opera обходится не слишком деликатно. В этом можно убедиться, сравнив отображение одного и того же ресурса, открытого в Opera Mini и Safari. В качестве проверки, также можно воспользоваться тестами на соответствие веб-стандартам. К примеру, в тесте Acid3 Opera Mini набирает лишь 74 балла из 100, в то время как Safari Mobile получил 100 баллов из 100. Однако, версия Opera для ПК справляется с этим тестом, и отлично обрабатывает любые сайты, не уступая Safari.

В итоге получается, что за преимущества в скорости загрузки сайтов в Opera Mini для iPhone, приходится платить тем, что из-за менее точного рендеринга страницы, многие ее элементы могут оказаться нечитаемыми.