A Mozilla megerősítette, hogy valóban 0day sebezhetőség található a Mozilla Firefox 3.6-ban

 ( trey | 2010. március 21., vasárnap - 16:49 )

Egy hónappal azután, hogy a Secunia egy figyelmeztetőt adott ki arról, hogy nagyon kritikus, távoli kódfuttatást lehetővé tevő 0day sebezhetőség található a Mozilla Firefox 3.6-ban, a Mozilla jelezte, hogy hozzájutott az exploit-hoz és azt tervezi, hogy kijavítja a hibát a következő, március 30-án érkező Firefox kiadásban.

Kapcsolatban lépett a Mozilla-val a hibát felfedező Jevgenyij Legerov, így a gyártó elegendő információval rendelkezett ahhoz, hogy reprodukálhassa és elemezhesse a hibát. A hiba már javításra került, jelenleg a tesztelik és ha megfelel a teszteken, akkor március 30-án eljuthat a felhasználókhoz a Mozilla Firefox 3.6.2-vel.

Addig is a Mozilla kiadott egy betat, amelyben a hiba már javításra került, így aki nem akar várni a hónap végéig, letöltheti és használhatja.

A részletek itt olvashatók.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

azért ez elég lassú javítás szerintem

Szerintem is.

--
trey @ gépház

Nem tudom mit problémáztok.. Kereskedelmi 0daynek indult az egész, eddig volt értéke neki, most már lehet publikálni..
____________________________________
Az embert 2 éven át arra tanítják hogyan álljon meg a 2 lábán, és hogyan beszéljen... Aztán azt mondják neki: -"Ülj le és kuss legyen!"..

Ha a Mozilla tudott róla (márpedig tudott) megvásárolhatta volna az infót, hogy felhasználói biztonságban legyenek.

--
trey @ gépház

Lehet, hogy a háttérben ment is alkudozás, nem?!

Azok után, hogy Daniel Veditz (Security Lead) még bő 1 héttel az exploit hírének felröppenése után is közölte, hogy semmi újdonságot nem tudnak az esetről? ( ahogy érzem ők is hoaxként kezelték eleinte a dolgot inkább )

____________________________________
Az embert 2 éven át arra tanítják hogyan álljon meg a 2 lábán, és hogyan beszéljen... Aztán azt mondják neki: -"Ülj le és kuss legyen!"..

nem is az az erdekes, hanem hogy a javitas elvileg mindenki szamara elerheto mar par napja, tehat barki irhat ra exploitot is, ami sok-sok felhasznalot fog erinteni meg egy darabig... mit is szoktatok ilyenkor irni az MS-rol? ;)

Nem tudom mit lehet írni ilyenkor, de nem tudom nem észrevenni a különbséget a két termékcsalád közt:

IE termékcsalád:

IE6 - Unpatched 17% (legkritikusabb "Extremely critical")
IE7 - Unpatched 27% (legkritikusabb "Extremely critical")
IE8 - Unpatched 44% (legkritikusabb "Moderately critical")

Firefox termékcsalád:

Mozilla Firefox 3.0.x - Unpatched 0%
Mozilla Firefox 3.5.x - Unpatched 0%
Mozilla Firefox 3.6.x - Unpatched 0%

--
trey @ gépház

"Mozilla Firefox 3.6.x - Unpatched 0%"

Nem épp most vált biztossá, hogy van rá egy 0day?

Gondolom mivel van már rá javítás (és kiadott beta is), ezt nem számítja a Secunia "unpatched"-nek. De még ha odaszámítom is? Sokat változtat az összképen?

--
trey @ gépház

Mivel release még nincs belőle, ezért szerintem még unpatched. És elég sokat számítana, mert akkor 1/1 unpatched = 100%. :)

"Mivel release még nincs belőle, ezért szerintem még unpatched."

Írd meg nekik, hogy szerinted nincs igazuk.

"És elég sokat számítana, mert akkor 1/1 unpatched = 100%. :)"

Ez még így elsőre jól is hangzana, ha nem néznék mögé miből jönnek a százalékok:

IE6 - 145 figyelmeztetőből 25 javítás nélkül (legsúlyosabb "Extremely Critical")
IE7 - 44 figyelmeztetőből 12 javítás nélkül (legsúlyosabb "Extremely Critical")
IE8 - 9 figyelmeztetőből 4 javítás nélkül (legsúlyosabb "Moderately critical")

vs.

FF 3.6 - 1 figyelmeztetőből 1 javítás nélkül (Highly critical)

--
trey @ gépház

"Írd meg nekik, hogy szerinted nincs igazuk."

Dehogy írom, igazuk van a maguk módján, de ettől még a 3.6 userek nagy többségét érinti, aki nem használ beta-t, vagy nem magának fordítja.

Ezt hívják csúsztatásnak.

Btw.

"PLEASE NOTE: The statistics provided should NOT be used to compare the overall security of products against one another. It is IMPORTANT to understand what the below comments mean when using the statistics, especially when using the statistics to compare the vulnerability aspects of different products."

Első mondat, ami feltűnt.

----------------
Lvl86 Troll

Nem is beszélt itt senki "overall security"-ről. Itt a publikus nem javított hibák számáról volt szó.

--
trey @ gépház

nahat, szamok. azt is meg tudod mondani, hogy mi jelentenek? marmint erdemben mit jelentenek. mert gondolom akartal vele mondani valamit ;).

A publikus nem javított hibák számát tekintve a Mozilla Firefox terméke csak kisinas lehet a Microsoft böngészőtermékei mellett.

--
trey @ gépház

1. honnan veszed, hogy a secunia tud az osszes publikus hibarol? nem tudod, csak feltetelezed
2. honnan veszed, hogy a javitott hibak tenyleg ki vannak-e javitva? nem tudod, csak feltetelezed
3. honnan veszed, hogy a nem javitott hibak tenyleg hibak-e? nem tudod, csak feltetelezed
4. mit jelent az, hogy 'kisinas' lehet? valami olyasmit kene leirnod, hogy 'biztonsagosabb' (vagy nem), vagy 'felhasznalo erdeket jobban szem elott tartja' (vagy nem), stb. mert ezzel igy kb. semmit se mondtal. aztan ha kivagod a rezet, akkor megnezzuk, hogy ez a sok secunia szam alatamasztja-e azt, amit mondasz, ill. alatamaszt-e egyaltalan valamit is ;-).

Értettem!

--
trey @ gépház

hat jo, akkor ezek szerint ez a sok szam megse jelent semmit se. de kar... ;)

Nem, csak gondoltam megspórolok egy csomó postot, amelyeken keresztül majd bizonygatjuk, hogy nekem mit jelent, meg neked mit jelent. Szerinted semmit.

--
trey @ gépház

korabban azt irtad, hogy:

> nem tudom nem észrevenni a különbséget a két termékcsalád közt:[...]

arra voltam kivancsi, hogyan olvastad ki ezt azokbol a szamokbol, amiknek az eredeterol igazabol semmit se tudunk. aztan persze erre rajohettel te is, mert utana ovatosabban fogalmaztal, mar nem ugy altalaban a termekek kulonbsegerol beszeltel (marmint a biztonsaguk kozotti kulonbsegrol), hanem a "publikus nem javított hibák" szamarol. ezek szerint most mar te is belatod, hogy a ket dolognak semmi koze egymashoz. csak ennyit akartam kihozni ;).

Talán olvasd vissza a saját postodat, hogy megértsd, hogy miért hasonlítottam össze publikus nem javított sebezhetőségek számát. Segítek: "mindenki szamara elerheto", "barki irhat ra exploit-ot"

Azt pedig, hogy én mire gondolok, azt csak bízd ide.

--
trey @ gépház

szerintem fogadd meg a sajat tanacsod, es olvasd el ujra ezt a szosszeneted. aztan probald meg ertelmezni az eredeti kerdesem, amire allitolag nem tudtad mit lehetne irni (aztan megis sikerult, igaz mellebeszeles lett belole, mert nem derult ki, mi koze a secunia statisztikaknak a bongeszok biztonsagahoz), pedig azt mar akkor marhara megmondtad, hogy milyen hulye/szemet/stb az az MS, hogy idobe kerul nekik osszeszedni az informaciokat egy 0day-rol, aztan amikor itt lenne az alkalom, hogy a LUG nagy kedvencere is rapirits kicsit (az lejott, hogy hany napjaba telt az MS-nek ill. Mozillanak azonositani a hibat, stb?), akkor meg jatszod az ertetlent. de azert szep dolog a kettos merce, nem igaz? ;)

olvass, ne személyeskedj

Mielőtt még bedobtad a flamebait-et, azelőtt leírtam, hogy szerintem is gyorsabban kellett volna javítani.

--
trey @ gépház

Nem kellene vele foglalkoznod! Abból is látszik, hogy csak a flame-re hajt, mivel érdekes módon erre a kérdésre nem adott választ:
http://hup.hu/cikkek/20100321/a_mozilla_megerositette_hogy_valoban_0day_sebezhetoseg_talalhato_a_mozilla_firefox_3.6-ban#comment-985204

A saját kérdésére? ROTFL

latom meg a sajat irasod se erted meg, nemhogy az enyem ;). nem a javitas gyorsasagarol irtal te az IE 0-day kapcsan, hanem annak fel/elismereserol, hogy egyaltalan van mit javitani:

_Jelenleg_ az IE6 támadásáról van _tudomásuk_. Azért húzom alá a _tudomásuk_ szót, mert tegnapelőtt még a sebezhetőségről _sem volt tudomásuk_, így az marhán semmit sem jelent, hogy ők miről tudnak.

ott a ket napon kekeckedtel, itt meg meg sem emlitetted, hogy mi tortent. az meg egy kulon tortenet, hogy ki hogyan javitotta az ilyen sulyossagu hibajat.

nagy szerencse hogy te áltátsz a secunia és a mozilla összeesküvésén és utat mutatsz nekünk!
a holdraszállással mi a helyzet?

hu baratom, ez most igy megis hogy? bolond lukbol bolond szel fuj?

Mit jelent nálad az a szó, hogy publikus?

"a szaklapok megírták"...? ;]

latom mash nem fer a borebe, akkor elmagyarazom mire gondoltam, mert gondolom az nem vilagos, hogy nem tudhat a secunia az osszes publikus hibarol. az a helyzet, hogy tudni != tudhatni. ha teszem azt a secunia emberei nem beszelnek kinaiul/arabul/torokul/ukranul/koreaiul/urduul/stb, akkor hiaba publikal valaki az emlitett nyelveken egy hibat valahol, nem fogjak megerteni, sot jo esellyel meg se fogjak talalni.

vagy maskepp, egy talalos kerdes: te ebben a pillanatban hany 0-day linux kernel exploitot vagy kepes megtalalni publikus tadzsik weboldalakon? szerintem egyet se, megse merned kijelenteni, hogy ilyen nem letezik, akkor se, ha tortenetesen tenyleg nem letezik ilyen jelenleg (nem tudom, en se neztem utana, csak egy pelda volt). ugyanilyen doreseg kijelenteni, hogy a secunia (vagy barki) statisztikaja meghizhato es relevans adatokat tartalmaz publikus hibakrol. tehat nem hogy a nem megismerheto adatok (nem publikus exploitok) miatt irrelevansak ezek a statisztikak, de meg az elvileg megismerheto adatok esetleges hianyossaga miatt sem.

Mash remekül elfér a bőrében, úgyhogy nyugodtan visszavehetsz! Viszont azt valóban nem tartom ferrnek, ha állítasz valamit, de a kényes kérdéseket látványosan kerülöd.

Logikus amit mondasz, de alapvetően feltételezéseken alapul a véleményed, mindenféle tényt mellőzve. Lehet, hogy vannak ilyenek Tadzsik weboldalakon, lehet, hogy nincsenek. Az viszont tény, hogy a Secunia által ismert 0day exploitok száma jóval magasabb IE alatt, mint Firefox alatt. Lehet, hogy ez az eredmény neked nem túl szimpatikus, de akkor küldj te nekik Firefox exploitokról infókat, gondolom beszámítják a statisztikákba!

> Viszont azt valóban nem tartom ferrnek, ha állítasz valamit, de a kényes kérdéseket látványosan kerülöd.

a kerdes nem kenyes, hanem butacska volt. mit nem lehet erteni azon, hogy valami publikus?

> de alapvetően feltételezéseken alapul a véleményed, mindenféle tényt mellőzve.

az miota velemeny kerdese, hogy az ismeretlen mit rejteget? (erted, *ismeretlen*, vagy akkor most ezt is el kell magyarazni? ;)

> Az viszont tény, hogy a Secunia által ismert 0day exploitok száma jóval magasabb IE alatt, mint Firefox alatt. Lehet, hogy ez az eredmény neked
> nem túl szimpatikus, de akkor küldj te nekik Firefox exploitokról infókat, gondolom beszámítják a statisztikákba!

elarulom, hogy rohadtul nem erdekel miben hany kihasznalhato hiba van, amig az a szam nem lesz 0. marpedig egyhamar (sokak szerint soha) nem lesz az. innentol kezdve az az igazi kerdes, hogy a secunia meg mas statisztikakat lobogtatok mi a fenet akarnak mondani. mert gondolom oka van a szamokkal valo dobalozasnak, csak epp se trey se te nem bokted meg ki. gondolom azert, mert latjatok mekkora logikai bukta lenne. en viszont kimondom megint: az ilyen statisztikaknak *semmi* koze az egyes termekek biztonsagahoz. ha maskepp gondolod, akkor nyugodtan magyarazd meg, csupa ful vagyok ;).

"a secunia meg mas statisztikakat lobogtatok mi a fenet akarnak mondani."

Személy szerint én az ég világon semmit nem akarok neked mondani, mert sejtem, hogy honnan fúj a szél! Csak már megszoktam azt, hogy ha állítok, vagy sugallok valamit, akkor azt igyekszem tényekkel alátámasztani. Egyelőre amit te sugallsz, még semmilyen ténnyel nem volt itt alátámasztva. Én nem állítom, hogy egyik vagy másik böngésző jobb-vagy rosszabb, csak ha le van írva és az MS beismerte, hogy ennyi és ennyi hiba van az IE-ben, akkor azt ne akard már elkenni azzal, hogy mutogatsz a Firefox-ra és vica versa, ha a Firefox-ban van exploit, akkor senki ne mutogasson az IE-re, mert attól egyik sem lesz biztonságosabb.

"az ilyen statisztikaknak *semmi* koze az egyes termekek biztonsagahoz."

Ezzel a felvetéseddel talán fordulj - mint már javasoltam - a Secuniához, meg azokhoz a biztonságtechnikával foglalkozó szakemberekhez, akik ennek az ellenkezőjét állítják. Talán tőlük komolyabb ellenérveket hallhatsz, mint tőlem. Ez nem az én szakterületem, én elsősorban felhasználói szemmel nézem ezeket az adatokat.

> Egyelőre amit te sugallsz, még semmilyen ténnyel nem volt itt alátámasztva.

te mirol beszelsz itt?

> [...]azt ne akard már elkenni[...]

ilyet hol olvastal? es mit akarok elkenni? ;)

> Firefox-ban van exploit

(remelhetoleg) nincs benne, max exploitalhato hiba.

> akik ennek az ellenkezőjét állítják

hoppa, allitottal valamit. na akkor Mr. Tenyek Embere, mutasd azokat a tenyeket, amik alatamasztjak ezt az allitasod. hogy ne beszelhess melle: olyan kijelenteseket kene talalnod, ahol ok-okozati kapcsolatot allitott (meg jobb: bizonyitott be) valaki a publikussa valt biztonsagi hibak statisztikaja es az adott termek biztonsaga kozott (mellekesen ehhez ertelmezni kene ez utobbi fogalmat, de ne szaladjunk elore ;). tehat nem arra vagyok kivancsi, hogy ki melyik bongeszot tartja biztonsagosnak, hanem azokra, akik ezen velemenyuket kifejezetten az altalatok emlegetett statisztikakbol vontak le.

TE NYERTÉL!!!!!!!

tevedsz, GERMANY WINS!!!!!!

szerk: haha, meg jobbat talaltam, konkretan a 'top 10 most secure products 2009' szekcio. mekkora ironia, amikor a sajat forrasotok allit szogesen mast, mint amit ti szerettetek volna belelatni ;).

ROTFL

Ugyan csak átfutottam, de hol is szerepel benne a 3.6-os Firefox? Ja, hogy 3.5-ös Firefox adatokat próbálsz érvként felhozni a 3.6-os esetében! Érdekes megközelítés...

el kene olvasni, hogy honnan indult a szal (trey termekcsaladok biztonsagarol beszelt, Secunia statisztikakkal 'alatamasztva), es akkor nem irnal hulyesegeket.

Valóban én írtam hülyeséget?! Nahát! Én meg úgy láttam, hogy trey pontosan lebontotta termékekre. Úgy látszik, hogy nem ugyanazt a szálat olvassuk.
http://hup.hu/cikkek/20100321/a_mozilla_megerositette_hogy_valoban_0day_sebezhetoseg_talalhato_a_mozilla_firefox_3.6-ban#comment-985118

Ugyanebben a Secunia reportban láttam az alábbi számokat is, ha már nem egy adott termékről beszélünk, hanem nagyobb merítéssel dolgozunk:

Sebezhetőségek száma:
Microsoft 15
Adobe 10
Mozilla 3
Apple 2

Felőlem mindenki - így te is - azt von le ebből amit akar, én a magam részéről befejeztem!

> Én meg úgy láttam, hogy trey pontosan lebontotta termékekre.

hogy mik vannak, a Secunia riportja is! na es azt vajon ki tudod talalni, miert nincs benne FF3.6? mert akkor rajossz, miert irtal hulyeseget.

Szerinted miért mondtam, hogy FF3.6-tal kapcsolatos vitában elég "érdekes" egy 2009-es évre vonatkozó kimutatást lobogtatni?!

szerintem azert, mert nem fogtad fel, hogy a trey altal bepostolt adatok ugyanugy nem FF3.6-tal kapcsolatosak, hanem sok evre mennek vissza, a FF3.6 elotti idoszakra. ha azokat az adatokat osszevethetonek tartod/jatok, akkor nehogy mar egy 2009-es riportba belekoss. komolyan mi van ma, mindenkinek ertelmezesi nehezsegei tamadtak?

én hiszek neked, szívesen használnék IE-t, ha az biztonságosabb, de nem tudom melyik repóban van :(

nem nekem kell hinni, hanem a Secunianak, trey is megmondta ;). itt a repod.

"te mirol beszelsz itt?"

A tényekről. :)

"na akkor Mr. Tenyek Embere"

Jó lenne, ha nem személyeskednél és leszállnál végre a magas lóról. Vagy normális hangnemben beszélgetünk a témáról vagy sehogy!

"tehat nem arra vagyok kivancsi, hogy ki melyik bongeszot tartja biztonsagosnak"

Pedig valami alapján dönteni kell egyik vagy másik mellett. Én laikus vagyok, vagyis mezei felhasználó. Gondolom te sem vagy biztonságtechnikai szakember, akinek az a munkája, hogy 0day exploitokat kerget. Így azt, hogy melyik böngésző biztonságosabb, csak a Secunia és az ehhez hasonló szervezetek adataiból tudom leszűrni. Lehet, hogy a végkövetkeztetés pontatlan, de még mindig jobb részleges adatokra támaszkodni, mint semmilyenre. Ettől még nincs hamis biztonságérzetem és nem gondolom azt, hogy innentől kezdve semmi gondom nem lehet. Maximum annyi, hogy megtettem mindent, amit tudtam ezen a területen. Ennyi. De felőlem használj nyugodtan bármit, kit érdekel?! :)

Gondolom te sem vagy biztonságtechnikai szakember, akinek az a munkája, hogy 0day exploitokat kerget.

:)))))))))))))))))))

Tudtam, hogy bele fog valaki kötni a megfogalmazásba! Tisztában vagyok a 0day exploit fogalmával, ha ezen próbálsz élcelődni. :)

édesfaszom, mit hagyok én itt ki nap mint nap

Hehe, ezt benéztem! Bocs Hunger!

Úgy módosítanám, hogy nem mindig... :)

hát valamikor aludni is kell az embernek :D

Néha rád is rád férne! Nem lehet könnyű egész nap a hozzászólásokban a hibákat és félreértéseket keresni és utána ezt fikázni naphosszat. :)

Jó hát aki egész nap forráskódokban keres hibát, annak a hozzászólásokban való hibakeresés már kikapcsolódás. :)

> A tényekről. :)

akkor be kene idezni azokat tenyeket, mert en sehol se talalom, miket sugalltam.

> Jó lenne, ha nem személyeskednél és leszállnál végre a magas lóról. Vagy normális hangnemben beszélgetünk a témáról vagy sehogy!

mi van, neked se tetszik, amikor visszanyal a fagyi? akkor talan fontold meg, hogy legkozelebb ne igy inditsd a velem valo diszkurzust (annyi gerinc nem volt benned, hogy nekem valaszolj mellesleg):

Nem kellene vele foglalkoznod! Abból is látszik, hogy csak a flame-re hajt, [...]

> Gondolom te sem vagy biztonságtechnikai szakember, akinek az a munkája, hogy 0day exploitokat kerget.

hu, azert ezt igy 2010-ben kijelenteni, eleg kemeny ;). na de a lenyeg, te mit vontal le a Secunia adataibol? mert ok ugye azt mondjak, hogy az IE biztonsagosabb mint a FF :).

"Gondolom te sem vagy biztonságtechnikai szakember"

gyorsan guglizzal egyet szerintem :)

--
NetBSD - Simplicity is prerequisite for reliability