Kritikus, kódfuttatásra alkalmat adó hibát találtak a Firefox-ban

Bug

Nem sokkal a Firefox 3 hivatalos bejelentése után közölte a 3com érdekeltségébe tartozó, IPS-ek gyártására szakosodott TippingPoint, hogy a Zero Day Initiative kezdeményezésének birtokába került egy olyan, a Firefox 3-at érintő kritikus sebezhetőség leírása, amelynek sikeres kihasználása távoli kódfuttatásra adhat lehetőséget a rosszindulatú támadó számára. A sebezhetőség a hírek szerint érinti a korábbi (2.x) Firefox verziókat is.

A ZDI - amely pénzt és egyéb juttatásokat kínál a blackhat-eknek az 0day sebezhetőségekkel kapcsolatos, elsőkézből származó információkért - jelezte, hogy tesztelte laborjában a sebezhetőséget. Az előzetes információk alapján a hiba sikeres kihasználásához a támadónak rá kell vennie az áldozatot egy speciálisan összeállított weboldal meglátogatására, vagy egy speciálisan összeállított e-mail megnyitására. Siker esetén támadó tetszőleges kódot futtathat az áldozat számítógépén annak nevében.

A TippingPoint egyelőre* nem ad ki információt a sebezhetőségről.

Referenciák:
First critical security hole in Firefox 3
Mozilla Firefox 3.0 Vulnerability

* A TippingPoint a ZDI-n keresztül megvásárolt sebezhetőségek leírásait felhasználja a TippingPoint névre hallgató Intrusion Prevention System-eihez (IPS). A megszerzett információk alapján frissíti az IPS-ek "agyának" számító digitális vakcinákat, azokat leteríti az ügyfeleihez, így a TippingPoint IPS-sel rendelkező ügyfelek már a hiba javítása előtt is védelmet élveznek a sebezhetőséggel szemben. Ezután a TippingPoint a hibáról értesíti az érintett gyártót, aki a TippingPoint-tól származó információk alapján el tudja készíteni a javítást.

( trey | 2008. 06. 19., cs – 19:38 )

Ha valakit érdekel a TippingPoint... Korábban írtam róla a blogomban néhány szót.

--
trey @ gépház

( f0xhu v | 2008. 06. 19., cs – 19:40 )

és _PONT_ FF 3 DDay után kerül ki... érdekes

--
A gyors gondolat többet ér, mint a gyors mozdulat.

Elképzelhető, hogy visszatartották egy kicsit a megjelentés utánig, hiszen ha a 2.x-et is érinti, akkor nagy eséllyel az rc-ket is érint, és már bejelenthették volna az FF -rc fázisában is. A TippingPoint-nak is jól jön egy kis extra figyelem.

Másik lehetőség, hogy a hiba eladója megvárta a release-t a ZDI megkeresésével, arra számítva, hogy akkor nagyobb lóvét kap.

Harmadik lehetőség, hogy tényleg most derült ki.

--
trey @ gépház

Valószínűleg én vagyok gyarló lelkületű, de 4. opciónak odatenném az exploit megtalálóját és az ő emberi gyarlóságát.

Úgy gondolom ilyen hiba felfedezése nem pár kitt-katt és nem 10 perc.

Ha pedig a spammelésért, botnetért, címlistákért több pénzt és többször kap, mint egy ilyen kódért,
akkor vezérelhette az a szándék, hogy megvárja, amíg az a sok-sok ember (köztük remélhetőleg számos ÚJ felhasználó)
letölti a már végleges FF-t, majd a már meglévő csatornáin keresztül készít néhány preparált oldalt/mailt és
kezdődik a kör előről.

Természetesen ez csak az én véleményem, nem szeretnék flame-t indítani és biztosan nem így van, de sosem lehet tudni.

--
A gyors gondolat többet ér, mint a gyors mozdulat.

de 4. opciónak odatenném az exploit megtalálóját és az ő emberi gyarlóságát.

Nincs olyan, hogy "exploit megtalálója"... (legalábbis egyelőre nincs ilyen kutatási terület, ezek nem régészeti leletek :)

Bug megtalálója van, meg exploit írója... ;)

Bocs, csak nem először látok ilyet elírva.

"Ha pedig a spammelésért, botnetért, címlistákért több pénzt és többször kap, mint egy ilyen kódért,
akkor vezérelhette az a szándék, hogy megvárja, amíg az a sok-sok ember (köztük remélhetőleg számos ÚJ felhasználó)
letölti a már végleges FF-t, majd a már meglévő csatornáin keresztül készít néhány preparált oldalt/mailt és
kezdődik a kör előről."

Viszont akkor vajon miert kuldte el a TippingPoint-nak (es ezzel implicit reportolta a Mozillanak), es miert nem tette a felsoroltakat?

(Btw, megjegyzes a cikkhez: blackhat pont akkor lenne, ha ezt csinalta volna. De mivel nem, igy itt valami fogalmi keveredes allhat fenn.)

Az exploit-megtalalos poent meg Hunger mar lelotte.

--
Fontos feladatot soha ne bizz olyan gepre, amit egyedul is fel tudsz emelni!

"Viszont akkor vajon miert kuldte el a TippingPoint-nak (es ezzel implicit reportolta a Mozillanak), es miert nem tette a felsoroltakat?"

Mivel a 2-es szériát is érinti, valószínűleg hónapok óta már azt csinálta, aztán amikor már kifújt a dolog, lejelentette a TP-nak, így sokszoros lóvé.
---
;-(

"Mivel a 2-es szériát is érinti, valószínűleg hónapok óta már azt csinálta"

Akkor vagy eleg benan csinalta (ha egy tisztesseges meretu botnetet osszehozott volna ezzel, az nagy valoszinuseggel mar feltunt volna mindenkinek), vagy pedig ez a hipotezis a valosagban nem allja meg a helyet.

--
Fontos feladatot soha ne bizz olyan gepre, amit egyedul is fel tudsz emelni!

[Az ártatlanság vélelmét szem előtt tartva]

Hogy is fogalmazzak, hogy ne kössön bele senki...

Szóval, kiemeltem, hogy ÚJ felhasználók. Kiindulva az átlagfelhasználóból, nem fog nightly buildeket töltögetni és agyontesztelni, hanem 1x telepíti és használja azt. Namost, az ilyen felhasználó, ha nem olvas "szakmai" jellegű híreket vagy bugzilla-t, akkor erről a hibáról IMHO nem fog egyhamar értesülni (Majd 3.0.0.1 auto-update értesítéskor esetleg). Így marad még sok-sok sebezhető masina.

Továbbra is az ártatlanság vélelmét szem előtt tartva, a tisztelt exploit írónak/bugfelfedezőnek innentől már oly' mindegy, hogy néhány százezerrel több vagy kevesebb gép. Továbbá figyelembe véve az alanti hozzászólást, hogy már a 2.x széria is érintett, valószínűsíthető, hogy rég előrébb jár, mint a TippingPoint és társai.

Persze ez mind-mind kitaláció egy olyan világban, ami csak a fantáziánkban létezik és mindenki jóravaló, segítőkész és előzékeny. :)

--
A gyors gondolat többet ér, mint a gyors mozdulat.

( willy v | 2008. 06. 19., cs – 21:03 )

Szarhazi csapat ez a tippingpoint (IMHO)

egyfajta védelmi pénzeket szednek tőled, cserébe védett vagy, mielőtt kegyeskednének bejelenteni a vendornak, másrészt bevallottan zsiványokkal működnek együtt. mellesleg gondolom, azt mindenki sejti, hogy az ún. "biztonsági szakemberek" közül nem mindegyik érdemelne erkölcsi bizonyítványt. ez az egész gyakran a törvények határán mozog.

"egyfajta védelmi pénzeket szednek tőled, cserébe védett vagy"

Nagy vonalakban megvan, hogy hogy mukodik egy signature-based IPS?

"mielőtt kegyeskednének bejelenteni a vendornak"

A verifikacio utan rogton jelentik a vendornak.

"másrészt bevallottan zsiványokkal működnek együtt"

#define zsivany ?

"az ún. "biztonsági szakemberek" közül nem mindegyik érdemelne erkölcsi bizonyítványt"

Totalis inkompetencia, vagy sima rosszindulat?

--
Fontos feladatot soha ne bizz olyan gepre, amit egyedul is fel tudsz emelni!

Bizonyára naív vagyok, ha én inkább úgy értelmezem, hogy a fizetős ügyfelei számára már idejekorán biztosítja a védelmet, így azoknak nem kell megvárniuk, amíg a javítás átfut az adminisztráción, a programozókon, tesztelőkön, megfelelő szoftvereken, és elérkezik hozzájuk a kész termékben?

Másrészt én egy biztonsági rendszert tipikusan nem olyanokkal ellenőriztetnék, akik még a kulccsal is nehezen találnak bele a kulcslyukba. Habár user ellen nem véd semmi...

Azt mondod, hogy Linuxosok (=>minden Linuxos). Egy ember írta, 5-en meg cáfolták.
Ez kb olyan, mintha azt írnám, hogy az összes Windows user ostoba, és nem ért a számítástechnikához, mert a titkárnő Gizike nem lát tovább a Word ikonnál.
Szélsőségekről általánosítás pedig inkább parlamenti eszköztár... hopp, MS emberke vagy, akkor nem szóltam :P

Andi, really. Take it from me. If I tell you something, I'm usually right.

"Azt mondod, hogy Linuxosok (=>minden Linuxos)."

A forumokon irkalo emberek alapjan siman lehet altalanositani.

"Ez kb olyan, mintha azt írnám, hogy az összes Windows user ostoba, és nem ért a számítástechnikához, mert a titkárnő Gizike nem lát tovább a Word ikonnál."

Ez rendszeresen el is hangzik ezen a portalon. :)

"hopp, MS emberke vagy, akkor nem szóltam"

Hopp, melle ment, kozom nincs az MS-hez. :)

Az a baj, hogy te a hosszászólókat próbálod azonosítani a portállal. Hibásan. A hozzászólók egy jól behatárolható alig 100 fős csoport. Az oldal külső auditor által mért látogatottsága napi átlag 16 000 egyedi, robotok nélkül. Namost a hozzászólók egy részéhez (néhány fő) próbálsz alkalmazkodni, hiszen a hozzászólók közül sem olyan mind, mint amit te próbálsz beállítani.

Azonban a visszajelzések alapján tudom, hogy az oldalt az szakma megbecsült tagjai is olvassák. Olyanok is, akik _sosasem szólnak hozzá_ (több ezer látogatottság vs. az a néhány ember, akiket látsz hozzászólni), de mégis itt vannak. Meglepődnél, ha tudnád.

A választás a tiéd. ;)

--
trey @ gépház

Szerintem sehova. Nekem ez az életem. :))

A témához még annyit - még ha off is -, hogy azt azonban azt érdemes figyelembe venni, hogy ez egy kis ország. Mindenkit - még aki nem is fedi fel magát önszántából az interneten - ismer valaki. A mai világban nem olyan nehéz kitalálni senkiről, hogy kicsoda. Állítólag (én nem néztem konkrétan utána) Amerikában bevett szokás már most is, hogy nagy multik (és talán már kisebbek is) felvétel előtt erre szakosodott cégeket kérnek fel, hogy egy-egy állásra jelentkezőnek nézzenek utána az interneten. Ha olyasmiket találnak róla, ami a cég szempontjából vállalhatatlan, nem alkalmazzák. Hogy ez mennyire igaz, nem tudom, de szintén állítólag már olyan cégek is megjelentek az interneten (állítólag), amelyek arra szakosodtak, hogy a potenciális álláskeresők ballépéseit eltűntessék az internetről. Vagy éppen rájuk nézve kedvező tartalmakat helyezzenek el. Csak hát ez állítólag nem kevés pénzbe kerül... :)

Hogy igaz-e ez annak az interneten szerintem utána lehet nézni.

--
trey @ gépház

Tipikus "hallgattam volna, bölcsebb maradtam volna" példa. A TippingPoint pénzt ad anonim módon a blackhateknek, figyelmezteti a gyártókat, és az IPS-üket használók gyorsabban megkapják a virtuális patchet (ezzel hasznot hajtanak maguknak is, nem mellesleg). Ha Te ezt maffia-módszernek tartod...

---
;-(

Továbbmenve, nem csak a gyártót figyelmezteti, hanem egy bizonyos idő után a versenytársait is, majd a végén publikálja az információkat. Legalábbis ez volt a kezdetekben a menetrend.

És hallomásból tudom, hogy a hazai szakértőket is kifizeti. Beszélgetve kiderült, hogy az egyik legutóbbi 0day Excel sebezhetőségért egy magyar tagnak fizettek. Szóval aki legálisan akar pénzt keresni bugvadászattal, annak adott ez a lehetőség.

--
trey @ gépház

( LGee | 2008. 06. 19., cs – 21:04 )

De jo, hogy az opera-rol nehezebben derul ki ilyesmi...

( numen v | 2008. 06. 20., p – 03:24 )

A kísérletező kedvű támadó felfedezte, hogy ha <script> tagek közé rak szöveget, bizonyos feltételek fennállása esetén a távolról letöltött kódot a firefox lefuttatja...
—-—-— 

int getRandomNumber() {
return 4;	//szabályos kockadobással választva.
	       //garantáltan véletlenszerű.
}	      //xkcd

( djula | 2008. 06. 20., p – 09:14 )

A hozzászólásokat olvasva az merült fel bennem, hogy vajon ha történetesen Internet Explorer 8.0 download day lett volna, majd két nap múlva kijön egy ilyen hibáról szóló hír, ugyan ilyen hozzászólások lettek volna?

ez ugye koltoi kerdes volt? a portal nevebol nagyjabol azert latszik hogy milyen preferenciaval rendelkezo alakok jarnak ide (az onkentes es bertrollokat leszamitva), szoval szerintem nem lehet felroni senkinek azt, hogy nem orul ha a hazai csapat kap golt, es udvrivalgasban tor ki ha az ellenfel. (lelki szemeim elott lejatszodott a jelenet amint a fradi-ujpest rangadon -mar ha lesz meg ilyen valaha is- egy ujpest gol utan felteszel egy hasonlo kerdest az ultraviolaknak) :-D