ls -1TörténelemHUP adás-vételNépszerű témákNépszerű fórum témákHardverAjánlott böngésző Linux Weekly NewsLinux DevicesFreeBSD Project NewsOpenBSD Journal |
Firefox exploit, vagy mégsem?Window Snyder-nek sikerült elérnie a szakembert, aki az állítólagos 0day Firefox sebezhetőségéről adott közre információkat. Mint az a leveléből is kiderült, annyira azért nem eszik forrón a kását. A levél itt.
»
|
KeresésNavigációBelépésÁllásajánlatokHWSWFriss blogbejegyzésekHUP napi hírlevélLegfrissebb HUP videókLegfrissebb HUP képekLegfrissebb HUP dokumentumokSzavazás... darab Raspberry Pi-t vennék. 1 54% 2 25% 3 5% 4 2% 5 1% 6-10 1% Több mint 10 2% Egyéb, leírom a hozzászólásban 11% Összes szavazat: 576
Új felhasználók
InformációKövess minket!Partnerünk |
Mischa "jó szekuriti szakember" Spiegelmock. Ezt a nevet megjegyzem.
Aki nem értené, annak körülbelül:
Az előadásuk fő célja az volt, hogy humoros legyen. Az előadás alatt bemutatott kód (amely már korábban is ismert volt) állítólag távoli rendszer-hozzáféréshez (távoli kódfuttatás) segíthette volna a támadót, de Mischa ezt nem tudta elérni, és nem is tud senkiről, akinek ez sikerült volna. Amit el tudott érni az az, hogy összeomlasztotta (feltételezem a Firefox-ot), és felzabáltatta az erőforrásokat (DoS).
Nincs a birtokában 30 eddig ismeretlen Firefox sebezhetőség, és azt állítja, hogy sose állította ezt. Nincs egyáltalán publikálatlan Firefox sebezhetősége. Elnézést kér mindenkitől, és reméli, hogy tisztázta a helyzetet.
Annak ellenére, hogy Mischa-nak nem sikerült távoli kódfuttatást elérnie, a Mozilla tovább vizsgálódik.
Hát humorosak maximum azok a kijelentések voltak, hogy "impossible to patch". Egyébként sem értem, hogy egy biztonsági konferencián hogyan lehet humoros előadást csinálni. Két lehetséges ok lehet: az egyik hogy valóban ekkora lúzer, és saját magát égette be. Ez esetben gratulálok, mehet pörgetni a lamercounter-t. A másik eset, hogy valóban van a birtokában valami, de titkolja. Ebben az esetben pedig egy hazug majom, amivel szintén a világ előtt járatta le magát.
--
trey @ gépház
Bocs! Kicsit pontosítanék: "jó szekuriti munkásember"... ;)
- waiter -
Valaki meghackolta Mischa barátunk mailboxát, aztán irogat a nevébe hülyeségeket, pedig közben Mischa már felfedezte a 45. hibát is. ;)
Sokkal inkább el tudom képzelni a következő két forgatókönyvet. Ebből az egyik az összeesküvés-elmélet kedvelőknek lesz cukor :D
1.) Valaki felbérelte őket, hogy rossz hírét keltsék a Firefox-nak. A Mozilla Corp. kemény üzleti alapon csinálja a böngészőt, ami mégiscsak valakinek a piaci részesedését zabálja alulról. Láttunk már ilyenre példát (SCO közvetve fel akarta bérelni AST-t, hogy mondja azt, hogy Linus a MINIX-ből lopta a Linux egy részét).
2.) Mischa "jószekuriti" hírverést csap maga körül, hogy a neve forogjon, és ezzel tarsolyában később állásinterjúkon előnyhöz (jóbb munkahelyekhez) juthasson, hiszen ő jó szakember. Ha ez volt a célja && valóban csak a szája járt (amit nem lehet tudni), akkor valószínűleg ezt bebukta.
--
trey @ gépház
Nagy baj ha én az elsőt tartom valószínűnek. Valahol valaki talált egyik böngészőben egy hosszú ideje nem javított hibát és hozzá exploitot. Ezért valahogy a másikban is kellene találni. A "szaklapok" (had ne soroljak itt fel párat) majd mind jól megszellőztetik a hírt. Az meg majd nem lesz hír úgy sem, hogy hoax az egész.
Ha tényleg így van, és valaki rászáll a srácra, akkor pár hónap múlva úgyis kiderül az igazság.
"(SCO közvetve fel akarta bérelni AST-t, hogy mondja azt, hogy Linus a MINIX-ből lopta a Linux egy részét)."
Ez egyáltalán nem így volt.
Én úgy emlékeztem erre, hogy Kenneth Brown-t valószínűleg a SCO pénzelte. Kenneth Brown rá akarta venni AST, hogy hazudjon, de az kitálalt.
Te hogyan tudod?
Abban igazad van, hogy a "felbérelte" nem jó szó. Inkább a "rá akarta szedni", "befolyásolni akarta" lenne a jobb.
--
trey @ gépház
Én is csak annyit tudok, ami oda van írva, meg AST reakcióit olvastam, azaz leült vele beszélgetni KB, majd kiadta a könyvét, amire AST azt mondta, hogy ő olyat nem is mondott, csak a szájába adták, KB-nek meg szemlátomást semmi köze a témához, viszont nyilvánvalóan le akarja járatni a Linuxot. Vagyis nem AST-t akarta hazugságra bírni, hanem vele próbálta alátámasztatni a hülyeségeit.
Szóval igen, a felbérelni szó az erősen túlzás, a rászedés sokkal pontosabb.
Megnagyobb osszeeskuves:
A firefox valoban akkora szarrakas amilyennek leirtak, de a mozilla lefizette oket, hogy eltitkoljak ezt, ezert inkabb visszavonta amit mondott :))
:DDDDD
Hogy abba már ne is menjünk bele, itt kinek a blogjában bukkant fel ilyen hamar ez a hír, méghozzá előbb mint az általa hivatkozott magyar it.news cikk megjelent volna. Fura mi? :-)
A blog-kommentek is igen árulkodóak, főleg ügyeletes házi álszakértőink lelkendezései.
Ööö, személyes érintettség... a Firefox tényleg nem a legjobb, de én nem találtam olyan böngészőt, ami jobb lenne _nekem_. Same goes for Windows.
--
Gentoo motto: It's worth spending eight hours trying to make something load 20ns faster.
"a Firefox tényleg nem a legjobb"
Mi az, hogy a legjobb? Mindenkinek az a legjobb, amivel a legjobban tud böngészni. Mivel nem vagyunk egyformák, nyilván mindenkinek más a legjobb. Mások az igények, mások a követelmények. Olyat kijelenteni, hogy XY szoftver a legjobb, az hülyeség.
--
trey @ gépház
hint: a "nem a legjobb" az egy ilyen kifejezés a magyarban (as in "lehet, hogy nem volt a legjobb ötlet")
hth
Kéretik a mondatomat teljesen értelmezni. plzkthx.
--
Gentoo motto: It's worth spending eight hours trying to make something load 20ns faster.
Nem hülyeség, hanem kevés mintán alapuló statisztika: 1 valaki ezt mondta. :)
>> Fura mi?
nem annyira, csak az a házi álszakértő képes beállítani a hup accountjánál az időzónát, te pedig nem
Képzeld nekem is be van állítva, csak a drupal nem kezeli a téli/nyári idősztámítást, ez egy apró drupal bug. De ne próbáld mellékszálra terelni a vitát. A hup ellenzéki önjelölt szakértői újból nagyot koppantak. Kérdés persze, hogy ezek a középhaladó "szakértő" nicknevek mennyi valódi személyt is takarnak.
menjél szépen, legózzál még egy kicsit
Ennyire felzaklattad volna magad?! Ejej...
Hogy abba már ne is menjünk bele, itt kinek a blogjában bukkant fel ilyen hamar ez a hír, méghozzá előbb mint az általa hivatkozott magyar it.news cikk megjelent volna. Fura mi? :-)
:))))))))))))))))))))))
Ezen a konspirációs szövegen mennyire röhögtem.
Kezünkben a teljes IT média!
--
Az ellenzék ;D
Én felelhetek a Windows-bugokért és deraadtrollism újabb epizódjaiért? :-)
--
Gentoo motto: It's worth spending eight hours trying to make something load 20ns faster.
Sajnos nem felelsz meg a követelményeknek. Különben is a BSD-t (meg Theo-t) mi nem szidjuk, mert abból tudunk kódot lopni. ;P
--
Az m$b team
> Kezünkben a teljes IT média!
lebuktal, keson ment bele az it.news-ba az sql injection
mischa te vagy az?
:))
Jade várjál, mert a konspirációsfiú szerint én is te vagyok (vagy te is én), vagymi. :P
Most csak azért szemétkedsz vele, mert ideges vagy, kiderült a h4xx0rpajtásodról, hogy blöffölt. :-)
--
Gentoo motto: It's worth spending eight hours trying to make something load 20ns faster.
olyannyira, hogy wsnyder rögtön maga alá csinált, hogy ha a világklasszis js-spagettikódban gáz van, akkor befordulnak mire kikalapálják ;)
Ez annyit jelent, hogy hatásos volt a blöff. Akinek csak most tűnt fel, hogy a js-implpementáció szar (even from the user's point of view), azt csak sajnálni tudom. :-)
--
Gentoo motto: It's worth spending eight hours trying to make something load 20ns faster.
Te bástya_elvtárs hagyd már őket békén, de komolyan. Már unom olvasni (őket :) ).
Parancsolsz?
Nem érdemes Hungerrel és snq-val vitatkozni na...
Miért?
--
Gentoo motto: It's worth spending eight hours trying to make something load 20ns faster.
Ha ezt a pár nicket autokill-re lehetne itt állítani, egyből érdemes lenne bejelentkezni a hup-ra már olvasáshoz is.
Úgy tűnik, hogy neked ennek ellenére sikerül mégis folyton bejelentkezni, pedig igazán szedhetted volna a sátorfát azokután, hogy kiderült az mplayer ellen uszítottad a jónépet (kissé politikai indíttatásból), amiért a tilos rádióban nyilatkozni mert pontscho... ;)
Azóta sem sikerül hamisítanod valami szaftosabb storyt velem kapcsolatban. Csak ennyit tudsz? Ez az ultimate érv ha már semmi mást nem tudsz mondani?
Vagy a kiskunsági parasztgyerekek minden idejét lekötik mostanában a betakarítási munkálatok? :-)
Ez most egyébként megint mind offtopic. Ami ontopic, hogy megint jól beégtél a nevetséges firefoxfikázó fud blogoddal.
Igen, azóta is folyton csak ellened gyártom a bizonyítékokat, LOL.
Ezt a kiskunsági szöveget már elmondtad multkor is, nem kevés időbe tellett rájönnöm, hogy honnan szeded a hülyeségedet. Aztán leesett, hogy az a srác odavalósi eredetileg, akinek a nevére van regisztrálva a hunger.hu domain. Meghajlok hihetetlen nyomozói munkád előtt, de ugye nem gondoltad komolyan, hogy a saját nevemre/címemre regisztráltatok egy ilyen domaint? ;)
A beégésről meg csak annyit, jól bizonyítod ezzel is abszolút hozzánemértésedet a témában. Jót mulatunk, így kérlek alázd még magad tovább... :))
(Mivel azonban nem szeretem hülyén hagyni az embereket [bár rajtad nehéz lesz segíteni] és veled ellentétben üres fröcsögés helyett bizonyítékokkal is szoktam szolgálni, ezért referálnék egy másik szakértő blogjára, amelyben bemutat többek közt nem kevés 'undisclosed security fix'-et a Firefoxban [talán ennyit még sikerül kiszótáraznod], így esetleg képet kaphatsz a Mozilla és böngészőjének valódi állásáról.)
Az, hogy ki mit mond a Firefoxra, az még nem változtat azon a tényen, hogy rókaekszpojtáló barátunk a jelen állás szerint egy jóízűt FUD-olt, semmi több.
--
Gentoo motto: It's worth spending eight hours trying to make something load 20ns faster.
Még mindig nem érted... mind1
De értem, csak másképp látom.
--
Gentoo motto: It's worth spending eight hours trying to make something load 20ns faster.
Kedves golgota!
Szívesen meghallgatnám nézeteidet a témával kapcsolatban, de nem látom sehol, hogy kifejtetted volna. Beküldtél egy cikket (amelyet hírnek nem lehet nevezni, hisz 2 mondatból áll összesen) és hivatkozol egy Mozilla által kiadott közleményre, amelyel azt kívánod bizonyítani, hogy még sincs hiba a Firefoxban. Természetesen egy Mozilla _Corporation_ nem próbálja szépíteni a dolgokat, ilyet csak egy Microsoft Corporation tenne. Hosszasan ecsetelhetném, hogy valójában mi is történ{t,nik} a háttérben és miért vonta vissza hirtelen egyik előadó a nyilatkozatát, de nyilván felesleges lenne, hisz a hozzáállásodból egyértelműen látszik, hogy elutasítással fogadnál minden érvet. Ennek ellenére felhívnám a figyelmedet a legutóbbi hasonló botrányra, ahol egy Michael Lynn nevezetű szakértőt fenyegettek meg kirugással (végül fel is mondott), ha napvilágra hozza az általa felfedezett Cisco IOS sebezhetőséget. Az előadást a BlackHat konferencián aztán nagynehezen ugyan megtartotta, de a prezentáció anyagát kitépték minden kiadványból.
Talán ez alapján kicsit belegondolsz, hogy attól mert egy 'nemúgyvanaz' közlemény jelenik meg a gyártó saját weboldalán, még nem feltétlenül kell azt gondolni, hogy minden rendben van a termékével.
"Hosszasan ecsetelhetném, hogy valójában mi is történ{t,nik} a háttérben és miért vonta vissza hirtelen egyik előadó a nyilatkozatát, de nyilván felesleges lenne"
Plusz halálra röhögnénk magunkat a "szakértői" okoskodásodon. :-)
Igen, főleg mivel most is látni tőled rengeteg ellenérvet. ;)
Én éppen csendben mosolygok, mert a vége az lesz, hogy Trey és Hunger licitálnak, hogy az M-betűs cégek közül melyik adott többet ennek a haxx0r!!!111~~~ csávónak.
--
Gentoo motto: It's worth spending eight hours trying to make something load 20ns faster.
Senki nem adott senkinek semmit, egyszerűen a srác egy olyan cégnél dolgozik, ahol fontos presztízs kérdés, hogy mit gondolnak róluk. A weboldalukat (amelyből élnek) pedig senki sem látogatná szívesen, ha az lenne a közvélemény tudatában, hogy 30 kihasználható hibáról tudnak a Firefoxban...
Persze lényegtelen mindez, hisz megjött ismét zoozokoska barátunk, aki majd felvilágosít mindenkit az aktuális dolgokról. (Jahogy nem írt még semmit a témával kapcsolatban, csak nulla tartalmú hozzászólásokat posztol? Az ezen a portálon nem számít. ;)
Tévedés, én úgy döntöttem, hogy nem veszek részt többet ezekben a házi "szakértőink" által tartott szájkarate versenyben. Inkább megyek, aztán csinálok valami értelmesebbet (póker).
--
trey @ gépház
Kdves Hunger!
Köszönettel vettem kedves, de ugyanakkor kritikai éltől sem mentes leveledet. Ezúton szeretnék reagálni egy-két dologra az abban elhangzottakra. Nem gondolom, hogy ne lenne hiba a mozilla termékeiben. Vannak, nem is kevés és tudok is róla, mivel használom a fent említett termékeket. Nem hiszem, hogy a post arról szólt volna "A mozzilla termékeiben nincs hiba". Én legalábbis úgy emlékszem (na jó vissza is olvastam azt a két mondatot, mert hát szellemileg valóban nagyon gyenge vagyok), hogy a post arról szólt, hogy az a bizonyos hiba mégsem hiba.
Összeesküvés elméletek gyártásáért nem veszem igénybe a segítségedet, mert bizony elég paranoiás vagyok így is. Azonban nem jelenteném ki, hogy tudom mi tröténik a háttérben és nem is tudnám hosszasan ecsetelni, mert nem folytatok levelezést a fent említett úrral, hogy biztosat tudjak. De elhiszem neked, hogy Te bizony hosszan tudnád a tényeket ecsetelni a visszavonás okairól. Látod neked legalább nem kell bizonytalan teóriákat gyártanod. Te TUDSZ. És ez nagyszerű. Sajnos, mint látod én nem vagyok ilyen jól tájékozott és csak az interneten fellelhető híreket küldöm ide be.
Tisztelettel
golgota
P.S.: Izgatottan várom a fent említett úrral folytatott levelezésed részleteit a témában.
a post arról szólt, hogy az a bizonyos hiba mégsem hiba.
Már hogy ne lenne hiba, ezt még a Mozilla is elismerte. A kérdés csak az volt, hogy távoli kódvégrehajtásra is alkalmas vagy csak DoS-ra...
P.S.: Izgatottan várom a fent említett úrral folytatott levelezésed részleteit a témában.
Ezt ugye te sem gondoltad komolyan?!