Mozilla Firefox 3.0.8 - biztonsági kiadás

Címkék

Ahogy arról már csütörtökön szó volt, a Mozilla Firefox böngészőben kritikus biztonsági sebezhetőséget fedeztek fel. A Mozilla jelezte, hogy a problémára azonnal reagál és rövid időn belül javítást tesz közzé a 3.0.8-as verzió képében. A javítás az eredeti ütemterv szerint március 30-án vagy április 1-én érkezett volna, de ehelyett már tegnap elérhetővé tette a vállalat.

A 3.0.8-as kiadást a felhasználók letölthetik a getfirefox.com weboldalról, illetve ellenőrizhetik, hogy a disztribúciójuk elkezdte-e a terjesztését. A Linux disztribútorok megkezdték a terjesztését - például az Ubuntu szállítja, e cikk már 3.0.8 alatt íródott.

A Mozilla erősen ajánlja, hogy minden felhasználó a lehető legrövidebb időn belül frissítsen erre a kiadásra. A Firefox 3-at futtatók 24-48 órán belül automatizált értesítést kapnak arról, hogy frissítés áll rendelkezésre. Az ellenőrzés természetesen végrehajtható manuálisan is a "Check for Updates…"-t választva a "Help" menüben.

A változásokról a release notes értekezik.

A részletek itt olvashatók.

Hozzászólások

Buta kerdes, ha 3.0.7 alatt fedeztek fel most, akkor 3.1beta3-ban vajh szinten bennevan? Gyanitom igen, akkor ahhoz mikor jon a frissites?

"Az ellenőrzés természetesen végrehajtható manuálisan is a "Check for Updates…"-t választva a "Help" menüben."

Nekem Ubuntuban az a gomb mindig inaktív. :D

érdekesnek találom, hogy a SecurityTracker oldalról lekövetve a linkeket
http://securitytracker.com/alerts/2009/Mar/1021939.html
http://www.mozilla.org/security/announce/2009/mfsa2009-12.html
https://bugzilla.mozilla.org/show_bug.cgi?id=460090
https://bugs.launchpad.net/ubuntu/+source/firefox-3.0/+bug/253641
gyakorlatilag az látszik, hogy a bugot már tavaly októbet 15-én jelezték a Mozilla felé (miután augusztusban a launchpad-en). de csak most, a CanSecWest böngésző"verseny" után javították igen gyorsan. hm...

all those moments will be lost in time...

Egy kis kiegészítés illetve korrekció:

Ez a release (3.0.8) két biztonsági bugot javít. A PWN2OWN-on kihasznált hiba nem ez (XSL Transformation vulnerability) volt. Hanem ez (Arbitrary code execution via XUL tree element). És ez a bug - amit a TippingPoint megvásárolt - eddig NDA alatt volt.

--
trey @ gépház

Már melyik esetben? Ahol egyértelmű volt a biztonsági hiba kihasználhatósága, ott szinte azonnal megvolt a javítás. Néhány napja volt PWN2OWN, a hiba NDA alatt volt, megcsinálták a javítást és már a gépeden van. Szerintem ez gyors.

A második esetben a Mozilla szerint stabilitási problémaként lett bejelentve egy Andre nevű user által az Ubuntu-hoz. Az Ubuntu-tól egy másik tag bejelentette a Mozilla-hoz, ahol elkezdték vizsgálni a problémát. Közben Guido Landi is bejelentette és ezután megszületett a javítás egy _lehetségesen_ kihasználható problémára.

A kettő közt a lényeges eltérés az, hogy az első esetben egyértelműen kihasználható biztonsági problémáról van szó, amelyet a hiba kihasználója (Nils) ledokumentálva átadott a TippingPoint-nak, a Tippingpoint átadta a Mozilla-nak - nem kizárható, hogy a lehetséges javításra tett javaslattal együtt - a Mozilla-nak pedig csak ki kellett javítania.

A második esetben pedig adott volt egy crash, amelyet egy laikus jelentett be minden részlet ismertetése nélkül. Ezt egy másik közösségi tag bejelentette a Mozilla-nak, amelyik elkezdte vizsgálni, a vizsgálat során kiderült, hogy akár biztonsági vonzata is lehet. Ezután erre kellett javítást csinálni.

Az első esetben nyilvánvalóan sokkal könnyebb dolga volt a Mozilla-nak. Az első esetben a probléma egyértelműen kihasználható (hiszen Nils nyert vele), így a Mozilla-nak azonnal kellett reagálni. A második esetben a probléma még most is "potentially use this crash to run arbitrary code on a victim's computer" leírással van, a "potentially" pedig azt jelenti, hogy "lehetségesen".

Persze a szerencsés lenne, ha a "lehetségesen" kihasználható sebezhetőségeket is 10 perc alatt kijavítanák, azért az látszik, hogy a két eset több ponton is eltérő.

--
trey @ gépház

Csak annyit szeretnék kérdezni, hogy a Debian (Lenny) féle Iceweasel érintett?
Rendszeresen frissítek, de még mindig 3.0.6

Nem mondom, hogy nem nálam van a probléma, az viszont biztos, hogy a vodafone által gyártott js förmedvénnyel nem bír el.Ez biztosítja képek esetén a "übergyors letöltést", s amiatt épül be az oldalakba, hogy pl. Shift-R kombóval normál minőségü képeket is le tudjak rámolni.
Viszont ezzel az opera -nak semmi problémája nem akad...

Upd:
Másként meg nem jutok normális képekhez (ha ezt a JS-t letiltom).

kötöjelkötöjel
Pedig ez nem az! - lécinetámagy! - ervéó