A Mozilla megerősítette, hogy valóban 0day sebezhetőség található a Mozilla Firefox 3.6-ban

Mozilla

Egy hónappal azután, hogy a Secunia egy figyelmeztetőt adott ki arról, hogy nagyon kritikus, távoli kódfuttatást lehetővé tevő 0day sebezhetőség található a Mozilla Firefox 3.6-ban, a Mozilla jelezte, hogy hozzájutott az exploit-hoz és azt tervezi, hogy kijavítja a hibát a következő, március 30-án érkező Firefox kiadásban.

Kapcsolatban lépett a Mozilla-val a hibát felfedező Jevgenyij Legerov, így a gyártó elegendő információval rendelkezett ahhoz, hogy reprodukálhassa és elemezhesse a hibát. A hiba már javításra került, jelenleg a tesztelik és ha megfelel a teszteken, akkor március 30-án eljuthat a felhasználókhoz a Mozilla Firefox 3.6.2-vel.

Addig is a Mozilla kiadott egy betat, amelyben a hiba már javításra került, így aki nem akar várni a hónap végéig, letöltheti és használhatja.

A részletek itt olvashatók.

( skynetpro | 2010. 03. 21., v – 17:11 )

azért ez elég lassú javítás szerintem

Nem tudom mit problémáztok.. Kereskedelmi 0daynek indult az egész, eddig volt értéke neki, most már lehet publikálni..
____________________________________
Az embert 2 éven át arra tanítják hogyan álljon meg a 2 lábán, és hogyan beszéljen... Aztán azt mondják neki: -"Ülj le és kuss legyen!"..

Azok után, hogy Daniel Veditz (Security Lead) még bő 1 héttel az exploit hírének felröppenése után is közölte, hogy semmi újdonságot nem tudnak az esetről? ( ahogy érzem ők is hoaxként kezelték eleinte a dolgot inkább )

____________________________________
Az embert 2 éven át arra tanítják hogyan álljon meg a 2 lábán, és hogyan beszéljen... Aztán azt mondják neki: -"Ülj le és kuss legyen!"..

Nem tudom mit lehet írni ilyenkor, de nem tudom nem észrevenni a különbséget a két termékcsalád közt:

IE termékcsalád:

IE6 - Unpatched 17% (legkritikusabb "Extremely critical")
IE7 - Unpatched 27% (legkritikusabb "Extremely critical")
IE8 - Unpatched 44% (legkritikusabb "Moderately critical")

Firefox termékcsalád:

Mozilla Firefox 3.0.x - Unpatched 0%
Mozilla Firefox 3.5.x - Unpatched 0%
Mozilla Firefox 3.6.x - Unpatched 0%

--
trey @ gépház

"Mivel release még nincs belőle, ezért szerintem még unpatched."

Írd meg nekik, hogy szerinted nincs igazuk.

"És elég sokat számítana, mert akkor 1/1 unpatched = 100%. :)"

Ez még így elsőre jól is hangzana, ha nem néznék mögé miből jönnek a százalékok:

IE6 - 145 figyelmeztetőből 25 javítás nélkül (legsúlyosabb "Extremely Critical")
IE7 - 44 figyelmeztetőből 12 javítás nélkül (legsúlyosabb "Extremely Critical")
IE8 - 9 figyelmeztetőből 4 javítás nélkül (legsúlyosabb "Moderately critical")

vs.

FF 3.6 - 1 figyelmeztetőből 1 javítás nélkül (Highly critical)

--
trey @ gépház

Ezt hívják csúsztatásnak.

Btw.

"PLEASE NOTE: The statistics provided should NOT be used to compare the overall security of products against one another. It is IMPORTANT to understand what the below comments mean when using the statistics, especially when using the statistics to compare the vulnerability aspects of different products."

Első mondat, ami feltűnt.

----------------
Lvl86 Troll

1. honnan veszed, hogy a secunia tud az osszes publikus hibarol? nem tudod, csak feltetelezed
2. honnan veszed, hogy a javitott hibak tenyleg ki vannak-e javitva? nem tudod, csak feltetelezed
3. honnan veszed, hogy a nem javitott hibak tenyleg hibak-e? nem tudod, csak feltetelezed
4. mit jelent az, hogy 'kisinas' lehet? valami olyasmit kene leirnod, hogy 'biztonsagosabb' (vagy nem), vagy 'felhasznalo erdeket jobban szem elott tartja' (vagy nem), stb. mert ezzel igy kb. semmit se mondtal. aztan ha kivagod a rezet, akkor megnezzuk, hogy ez a sok secunia szam alatamasztja-e azt, amit mondasz, ill. alatamaszt-e egyaltalan valamit is ;-).

korabban azt irtad, hogy:

> nem tudom nem észrevenni a különbséget a két termékcsalád közt:[...]

arra voltam kivancsi, hogyan olvastad ki ezt azokbol a szamokbol, amiknek az eredeterol igazabol semmit se tudunk. aztan persze erre rajohettel te is, mert utana ovatosabban fogalmaztal, mar nem ugy altalaban a termekek kulonbsegerol beszeltel (marmint a biztonsaguk kozotti kulonbsegrol), hanem a "publikus nem javított hibák" szamarol. ezek szerint most mar te is belatod, hogy a ket dolognak semmi koze egymashoz. csak ennyit akartam kihozni ;).

szerintem fogadd meg a sajat tanacsod, es olvasd el ujra ezt a szosszeneted. aztan probald meg ertelmezni az eredeti kerdesem, amire allitolag nem tudtad mit lehetne irni (aztan megis sikerult, igaz mellebeszeles lett belole, mert nem derult ki, mi koze a secunia statisztikaknak a bongeszok biztonsagahoz), pedig azt mar akkor marhara megmondtad, hogy milyen hulye/szemet/stb az az MS, hogy idobe kerul nekik osszeszedni az informaciokat egy 0day-rol, aztan amikor itt lenne az alkalom, hogy a LUG nagy kedvencere is rapirits kicsit (az lejott, hogy hany napjaba telt az MS-nek ill. Mozillanak azonositani a hibat, stb?), akkor meg jatszod az ertetlent. de azert szep dolog a kettos merce, nem igaz? ;)

latom meg a sajat irasod se erted meg, nemhogy az enyem ;). nem a javitas gyorsasagarol irtal te az IE 0-day kapcsan, hanem annak fel/elismereserol, hogy egyaltalan van mit javitani:

_Jelenleg_ az IE6 támadásáról van _tudomásuk_. Azért húzom alá a _tudomásuk_ szót, mert tegnapelőtt még a sebezhetőségről _sem volt tudomásuk_, így az marhán semmit sem jelent, hogy ők miről tudnak.

ott a ket napon kekeckedtel, itt meg meg sem emlitetted, hogy mi tortent. az meg egy kulon tortenet, hogy ki hogyan javitotta az ilyen sulyossagu hibajat.

latom mash nem fer a borebe, akkor elmagyarazom mire gondoltam, mert gondolom az nem vilagos, hogy nem tudhat a secunia az osszes publikus hibarol. az a helyzet, hogy tudni != tudhatni. ha teszem azt a secunia emberei nem beszelnek kinaiul/arabul/torokul/ukranul/koreaiul/urduul/stb, akkor hiaba publikal valaki az emlitett nyelveken egy hibat valahol, nem fogjak megerteni, sot jo esellyel meg se fogjak talalni.

vagy maskepp, egy talalos kerdes: te ebben a pillanatban hany 0-day linux kernel exploitot vagy kepes megtalalni publikus tadzsik weboldalakon? szerintem egyet se, megse merned kijelenteni, hogy ilyen nem letezik, akkor se, ha tortenetesen tenyleg nem letezik ilyen jelenleg (nem tudom, en se neztem utana, csak egy pelda volt). ugyanilyen doreseg kijelenteni, hogy a secunia (vagy barki) statisztikaja meghizhato es relevans adatokat tartalmaz publikus hibakrol. tehat nem hogy a nem megismerheto adatok (nem publikus exploitok) miatt irrelevansak ezek a statisztikak, de meg az elvileg megismerheto adatok esetleges hianyossaga miatt sem.

Mash remekül elfér a bőrében, úgyhogy nyugodtan visszavehetsz! Viszont azt valóban nem tartom ferrnek, ha állítasz valamit, de a kényes kérdéseket látványosan kerülöd.

Logikus amit mondasz, de alapvetően feltételezéseken alapul a véleményed, mindenféle tényt mellőzve. Lehet, hogy vannak ilyenek Tadzsik weboldalakon, lehet, hogy nincsenek. Az viszont tény, hogy a Secunia által ismert 0day exploitok száma jóval magasabb IE alatt, mint Firefox alatt. Lehet, hogy ez az eredmény neked nem túl szimpatikus, de akkor küldj te nekik Firefox exploitokról infókat, gondolom beszámítják a statisztikákba!

> Viszont azt valóban nem tartom ferrnek, ha állítasz valamit, de a kényes kérdéseket látványosan kerülöd.

a kerdes nem kenyes, hanem butacska volt. mit nem lehet erteni azon, hogy valami publikus?

> de alapvetően feltételezéseken alapul a véleményed, mindenféle tényt mellőzve.

az miota velemeny kerdese, hogy az ismeretlen mit rejteget? (erted, *ismeretlen*, vagy akkor most ezt is el kell magyarazni? ;)

> Az viszont tény, hogy a Secunia által ismert 0day exploitok száma jóval magasabb IE alatt, mint Firefox alatt. Lehet, hogy ez az eredmény neked
> nem túl szimpatikus, de akkor küldj te nekik Firefox exploitokról infókat, gondolom beszámítják a statisztikákba!

elarulom, hogy rohadtul nem erdekel miben hany kihasznalhato hiba van, amig az a szam nem lesz 0. marpedig egyhamar (sokak szerint soha) nem lesz az. innentol kezdve az az igazi kerdes, hogy a secunia meg mas statisztikakat lobogtatok mi a fenet akarnak mondani. mert gondolom oka van a szamokkal valo dobalozasnak, csak epp se trey se te nem bokted meg ki. gondolom azert, mert latjatok mekkora logikai bukta lenne. en viszont kimondom megint: az ilyen statisztikaknak *semmi* koze az egyes termekek biztonsagahoz. ha maskepp gondolod, akkor nyugodtan magyarazd meg, csupa ful vagyok ;).

"a secunia meg mas statisztikakat lobogtatok mi a fenet akarnak mondani."

Személy szerint én az ég világon semmit nem akarok neked mondani, mert sejtem, hogy honnan fúj a szél! Csak már megszoktam azt, hogy ha állítok, vagy sugallok valamit, akkor azt igyekszem tényekkel alátámasztani. Egyelőre amit te sugallsz, még semmilyen ténnyel nem volt itt alátámasztva. Én nem állítom, hogy egyik vagy másik böngésző jobb-vagy rosszabb, csak ha le van írva és az MS beismerte, hogy ennyi és ennyi hiba van az IE-ben, akkor azt ne akard már elkenni azzal, hogy mutogatsz a Firefox-ra és vica versa, ha a Firefox-ban van exploit, akkor senki ne mutogasson az IE-re, mert attól egyik sem lesz biztonságosabb.

"az ilyen statisztikaknak *semmi* koze az egyes termekek biztonsagahoz."

Ezzel a felvetéseddel talán fordulj - mint már javasoltam - a Secuniához, meg azokhoz a biztonságtechnikával foglalkozó szakemberekhez, akik ennek az ellenkezőjét állítják. Talán tőlük komolyabb ellenérveket hallhatsz, mint tőlem. Ez nem az én szakterületem, én elsősorban felhasználói szemmel nézem ezeket az adatokat.

> Egyelőre amit te sugallsz, még semmilyen ténnyel nem volt itt alátámasztva.

te mirol beszelsz itt?

> [...]azt ne akard már elkenni[...]

ilyet hol olvastal? es mit akarok elkenni? ;)

> Firefox-ban van exploit

(remelhetoleg) nincs benne, max exploitalhato hiba.

> akik ennek az ellenkezőjét állítják

hoppa, allitottal valamit. na akkor Mr. Tenyek Embere, mutasd azokat a tenyeket, amik alatamasztjak ezt az allitasod. hogy ne beszelhess melle: olyan kijelenteseket kene talalnod, ahol ok-okozati kapcsolatot allitott (meg jobb: bizonyitott be) valaki a publikussa valt biztonsagi hibak statisztikaja es az adott termek biztonsaga kozott (mellekesen ehhez ertelmezni kene ez utobbi fogalmat, de ne szaladjunk elore ;). tehat nem arra vagyok kivancsi, hogy ki melyik bongeszot tartja biztonsagosnak, hanem azokra, akik ezen velemenyuket kifejezetten az altalatok emlegetett statisztikakbol vontak le.

Valóban én írtam hülyeséget?! Nahát! Én meg úgy láttam, hogy trey pontosan lebontotta termékekre. Úgy látszik, hogy nem ugyanazt a szálat olvassuk.
http://hup.hu/cikkek/20100321/a_mozilla_megerositette_hogy_valoban_0day…

Ugyanebben a Secunia reportban láttam az alábbi számokat is, ha már nem egy adott termékről beszélünk, hanem nagyobb merítéssel dolgozunk:

Sebezhetőségek száma:
Microsoft 15
Adobe 10
Mozilla 3
Apple 2

Felőlem mindenki - így te is - azt von le ebből amit akar, én a magam részéről befejeztem!

szerintem azert, mert nem fogtad fel, hogy a trey altal bepostolt adatok ugyanugy nem FF3.6-tal kapcsolatosak, hanem sok evre mennek vissza, a FF3.6 elotti idoszakra. ha azokat az adatokat osszevethetonek tartod/jatok, akkor nehogy mar egy 2009-es riportba belekoss. komolyan mi van ma, mindenkinek ertelmezesi nehezsegei tamadtak?

"te mirol beszelsz itt?"

A tényekről. :)

"na akkor Mr. Tenyek Embere"

Jó lenne, ha nem személyeskednél és leszállnál végre a magas lóról. Vagy normális hangnemben beszélgetünk a témáról vagy sehogy!

"tehat nem arra vagyok kivancsi, hogy ki melyik bongeszot tartja biztonsagosnak"

Pedig valami alapján dönteni kell egyik vagy másik mellett. Én laikus vagyok, vagyis mezei felhasználó. Gondolom te sem vagy biztonságtechnikai szakember, akinek az a munkája, hogy 0day exploitokat kerget. Így azt, hogy melyik böngésző biztonságosabb, csak a Secunia és az ehhez hasonló szervezetek adataiból tudom leszűrni. Lehet, hogy a végkövetkeztetés pontatlan, de még mindig jobb részleges adatokra támaszkodni, mint semmilyenre. Ettől még nincs hamis biztonságérzetem és nem gondolom azt, hogy innentől kezdve semmi gondom nem lehet. Maximum annyi, hogy megtettem mindent, amit tudtam ezen a területen. Ennyi. De felőlem használj nyugodtan bármit, kit érdekel?! :)

> A tényekről. :)

akkor be kene idezni azokat tenyeket, mert en sehol se talalom, miket sugalltam.

> Jó lenne, ha nem személyeskednél és leszállnál végre a magas lóról. Vagy normális hangnemben beszélgetünk a témáról vagy sehogy!

mi van, neked se tetszik, amikor visszanyal a fagyi? akkor talan fontold meg, hogy legkozelebb ne igy inditsd a velem valo diszkurzust (annyi gerinc nem volt benned, hogy nekem valaszolj mellesleg):

Nem kellene vele foglalkoznod! Abból is látszik, hogy csak a flame-re hajt, [...]

> Gondolom te sem vagy biztonságtechnikai szakember, akinek az a munkája, hogy 0day exploitokat kerget.

hu, azert ezt igy 2010-ben kijelenteni, eleg kemeny ;). na de a lenyeg, te mit vontal le a Secunia adataibol? mert ok ugye azt mondjak, hogy az IE biztonsagosabb mint a FF :).