Biztonsági szakértők állítják, hogy 0day sebezhetőség van a Firefox-ban

Mozilla

Szombat délután két biztonsági szakember azt állította a ToorCon konferencián, hogy a Mozilla Firefox JavaScript kezelésében kritikus hiba van, amelyet speciálisan preparált weboldal segítségével ki lehet használni. A hibát kihasználva a támadó átveheti az irányítást az áldozat gépe felett. A probléma a rendelkezésre álló infók szerint érinti a Firefox-ot futtató Windows, Mac OS X, Linux gépeket egyaránt.

A szakértők szerint a hiba a FF JavaScript implementációjában van, amely egyikük szerint teljesen rossz, és véleménye szerint azt lehetetlen javítani.
Window Snyder, a Mozilla vezető biztonsági szakembere szerint, a JavaScript-tel kapcsolatos probléma valós sebezhetőségnek tűnik, valószínűleg egy régi sebezhetőség új variációja. Egyelőre vizsgálják a problémát. Window elmondta, hogy nem örül annak, hogy a prezentáció alatt bemutatták a problémát és elérhetővé tettek egy exploitot, mert ezek elegendő adatok lehetnek ahhoz, hogy valaki reprodukálja a kárt okozó kódot. Mindezzel együtt a prezentáció valószínűleg elegendő infót ad a Mozilla-nak is ahhoz, hogy javíthassák a hibát. A Mozilla szakembere elmondta, hogy ha a hiba a JavaScript virtuális gépben van, akkor a javítás nem lesz gyors.

A hibát bemutató szakemberek azt állítják, hogy kb. 30 javítatlan Mozilla sebezhetőségről tudnak.

Bővebben itt.

(A hírt többen is beküldték, köszönet érte.)

Na, ezt jól leoffoltuk, sz'al ez az uncyclopediáról van, és szerintem nagyon szellemes, és a Gentoo most a divat-distro. Már elmondtam párszor a HUP-on, hogy nekem vinnui elmagyarázta, miért jobb a Gentoo pl. nagy frissítések során, de a divatgentoosokat képtelen vagyok megérteni.
--
Gentoo motto: It's worth spending eight hours trying to make something load 20ns faster.

Én napi szinten használom a pkgsrc-t, szóval nem probléma. MOndjuk az lenne a jó, ha lenne egy distro, ami eleve pkgsrc-vel össze van hegesztve (pl. /usr/pkg alatt a prebuildelt binárisok (X etc.), bootstrap kit alapból benne, stb, meg persze bináris csomagmirror esetleg wip-ről is, ugye pkgsrc-ben is van többmirroros téma, semmivel sem tud kevesebbet, mint a netpkg, de ez már végképp nem ide való).
--
Gentoo motto: It's worth spending eight hours trying to make something load 20ns faster.

Én szívem szerint ezt próbálnám ki, és szerintem ebből ki is indulhat az ember egy distrógyártásnál, és akkor lenne egy slack-alapú distró pkgsrc-vel, csak ahhoz egy olyan team kell, akik folyamatosan tolják fel a binárisokat, de igazából ennél egyszerűbbet keresve sem lehetne találni, mivel pkg_path, pkg_add, pkg_info, pkg_delete, van lehetőség bináris és forrásos frissítésre is, ill. egyszerű a pkgsrc-fát frissíteni, ill. talán az a legjobb, hogy az ember fia legyárthatja forrásbók custom PKG_OPTIONS-szal, ami rohadtul nem mindegy, csak egy példát mondok: php és fastcgi.
--
Gentoo motto: It's worth spending eight hours trying to make something load 20ns faster.

Az a baj, hogy sem időm nincs rá, sem a képességeim nem elégségesek, és a Linuxért sem vagyok annyira oda. :-)
szerk.: a következő teszprojectem viszont ez lesz, majd elolvasom, hogyan lehet ebből cédét összehozni. :-)
--
Gentoo motto: It's worth spending eight hours trying to make something load 20ns faster.

mit jelent az, hogy divatgentoo-s? hallottam mar divatlinuxost, divattechnost, mindenhez hozza tudjak kotni a divat jelzot. mostanaban divatos mindent divatossaggal jellemezni, divatbol csinal mindenki mindent, divatbol mondja mindenki, hogy divatbol csinal mindenki mindent... rohadt rekurzio, nehogy en is divatot inditsak a divatossagot fikazo divatossaggal... jajj de utalom ezt a szot
bocs
---
"A legjobb dolgok az életben nem dolgok."

Divatlinuxos: hú, én nlinuxot használok, mert az most divatos. Divatgentoos: én mellette getntoot is hasznáálok, és nekem lefordul 7h13min alatt az OpenOffice!
Kezded érteni? :-)
--
Gentoo motto: It's worth spending eight hours trying to make something load 20ns faster.

( bervi | 2006. 10. 01., v – 18:00 )

>amely egyikük szerint teljesen rossz, és véleménye szerint azt lehetetlen javítani.

szóval lehetetlen. ilyen is van a világon?

>Mindezzel együtt a prezentáció valószínűleg elegendő infót ad a Mozilla-nak is ahhoz, hogy javíthassák hibát.

mintha itt valami ellentmondás lenne. akkor valaki hazudik :-)
(ja, mellékesen kimaradt egy a betű a vastag részben;))

>A hibát bemutató szakemberek azt állítják, hogy kb. 30 javítatlan Mozilla sebezhetőségről tudnak.

akkor mi lenne, ha nem csak beszélnének

"The implementation is a "complete mess," he said. "It is impossible to patch.""

Ezt én inkább úgy fordítanám, hogy az implementáció teljesen zagyva, így közel lehetetlen azt javítani.

Mások meg úgy fordították, hogy:
"a JavaScript-implementáció egy „teljes katyvasz”, amelyet „lehetetlen patchelni” – mondta."

Gondolom így már érthető, mit is szeretett volna mondani.

"...handing C++ to the average programmer seems roughly comparable to handing a loaded .45 to a chimpanzee."
-- Ted Ts'o

( waiter | 2006. 10. 01., v – 18:05 )

Ejnyemán gyerekek! Ez a "lehetelen javítani" dolog egy kicsit azért túlzás...

- waiter -

ejnyeno, d értetlen vagy... lehetetlen, és kész;) válts windowsra, IE-re...

"Firefoxot használjanak csak a gyávák.Az Explorer az igazi férfiak böngészője!Veszély, kaland, nyitottság!Ez kell a hardcore usernek." from: bash.hu

_________________________________________
Valódi paraszt vagyok. Csak előre tudok lépni, nem azt ütöm le, aki velem szembenáll, és ha nincs tovább, megváltozom.

( whitehawk v | 2006. 10. 01., v – 18:18 )

Kínos lenne azért, ha most a 2.0 küsuönbén hirtelen fél év csúszás lenne mert az egész JavaScript implementációt újra kéne írni. Vagy kiadnák anélkül? (Furcsa volna.)

Na majd a pornó oldalakhoz kikapcsolom a JavaScriptet a biztonság kedvéért.

Software is like sex, it's better with a penguin. :D (r)(tm)(c)

( bastya_elvtars | 2006. 10. 01., v – 18:49 )

A MozillaZine-ra ki sem rakták, kíváncsi lennék, hogy az ottaniak mit mondanak...
--
Gentoo motto: It's worth spending eight hours trying to make something load 20ns faster.

Most őszintén. Jelen helyzetben erre mit mondanának? Elég soványka ez így exploit nélkül, vagy konkrétumok nélkül. Nyilván meg kell várni valami hivatalos cáfolatot, vagy megerősítését, exploitot, vagy biztonsággal foglalkozó oldal hibajegyét.

--
trey @ gépház

;-) Lehet, hogy a konqueroré nem akkora gáz, de a legtöbb gondom a konquerorral pont abból fakad, hogy ilyen-olyan objektumok nem léteznek alatta... Sok javascriptes weboldal, ami nem megy K alatt, megy FF-fel... Ha egyszer lesz időm, akkor visszafejtem a legidegesítőbb oldalakat és összeírok egy listát, hogy a K mit nem valósít meg a javascriptből.

Habár feltételezem, hogy a hiba valós - mert nagyon könnyű ellenőrizni a felfedezőnek -, azért szerintem komplett hülyék: "It is a double-edged sword, but what we're doing is really for the greater good of the Internet, we're setting up communication networks for black hats".

KisKresz

( turul16 v | 2006. 10. 01., v – 21:46 )

Window Snyder

Lassunk bizonyitekot a sebezhetosegre. Foleg 30 -ra.
SeaMonkey erintettsegerol, miert nem szolnak ?

( uid_228 | 2006. 10. 01., v – 21:53 )

Segííítséééééég! Átvette valaki az irányítást a Firefoxom fölött! Az összes fülön csak torrent- és pornóoldalak vannak!

--
Sokan nincsenek tudatában annak, / hogy egyszer mindenki meghal. / Akik ráébrednek erre, / azonnal abbahagyják az ellenségeskedést.

( Hunger | 2006. 10. 02., h – 01:02 )

Bah... Nem azt mondta Mischa, hogy javítani lehetetlen a hibát, hanem a JavaScript zagyva kódját így lehetetlen _karbantartani_

Jó, akkor lehetetlen "foltozni". De rohadtul nem az adott szó jelentésén kell lovagolni, hanem tudni kell értelmezni a mondat környezetet. Nyilván nem fog olyan hülyeséget mondani egy szakértő, hogy lehetetlen egy hibát javítani, hanem arra utalt, hogy a Firefox JavaScript kódja ebben a formában használhatatlan...

Szerintem az 'impossible to patch' mint megfogalmazás szar, épp azért írtam. Vagy javítható, és akkor készül(het) hozzá patch, vagy nem, és akkor nyilván nem. Azt, hogy a javascript implementáció egy rémálom, 1000 helyen olvastam már (és nagyon rosszul kezeli a js popupokat pl.), tehát abban igaza lehet.
--
Gentoo motto: It's worth spending eight hours trying to make something load 20ns faster.