Firefox exploit, vagy mégsem?

Mozilla

Window Snyder-nek sikerült elérnie a szakembert, aki az állítólagos 0day Firefox sebezhetőségéről adott közre információkat. Mint az a leveléből is kiderült, annyira azért nem eszik forrón a kását.

A levél itt.

( trey | 2006. 10. 03., k – 07:38 )

Mischa "jó szekuriti szakember" Spiegelmock. Ezt a nevet megjegyzem.

Aki nem értené, annak körülbelül:

Az előadásuk fő célja az volt, hogy humoros legyen. Az előadás alatt bemutatott kód (amely már korábban is ismert volt) állítólag távoli rendszer-hozzáféréshez (távoli kódfuttatás) segíthette volna a támadót, de Mischa ezt nem tudta elérni, és nem is tud senkiről, akinek ez sikerült volna. Amit el tudott érni az az, hogy összeomlasztotta (feltételezem a Firefox-ot), és felzabáltatta az erőforrásokat (DoS).

Nincs a birtokában 30 eddig ismeretlen Firefox sebezhetőség, és azt állítja, hogy sose állította ezt. Nincs egyáltalán publikálatlan Firefox sebezhetősége. Elnézést kér mindenkitől, és reméli, hogy tisztázta a helyzetet.

Annak ellenére, hogy Mischa-nak nem sikerült távoli kódfuttatást elérnie, a Mozilla tovább vizsgálódik.

Hát humorosak maximum azok a kijelentések voltak, hogy "impossible to patch". Egyébként sem értem, hogy egy biztonsági konferencián hogyan lehet humoros előadást csinálni. Két lehetséges ok lehet: az egyik hogy valóban ekkora lúzer, és saját magát égette be. Ez esetben gratulálok, mehet pörgetni a lamercounter-t. A másik eset, hogy valóban van a birtokában valami, de titkolja. Ebben az esetben pedig egy hazug majom, amivel szintén a világ előtt járatta le magát.

--
trey @ gépház

( Misi | 2006. 10. 03., k – 07:59 )

Valaki meghackolta Mischa barátunk mailboxát, aztán irogat a nevébe hülyeségeket, pedig közben Mischa már felfedezte a 45. hibát is. ;)

Sokkal inkább el tudom képzelni a következő két forgatókönyvet. Ebből az egyik az összeesküvés-elmélet kedvelőknek lesz cukor :D

1.) Valaki felbérelte őket, hogy rossz hírét keltsék a Firefox-nak. A Mozilla Corp. kemény üzleti alapon csinálja a böngészőt, ami mégiscsak valakinek a piaci részesedését zabálja alulról. Láttunk már ilyenre példát (SCO közvetve fel akarta bérelni AST-t, hogy mondja azt, hogy Linus a MINIX-ből lopta a Linux egy részét).

2.) Mischa "jószekuriti" hírverést csap maga körül, hogy a neve forogjon, és ezzel tarsolyában később állásinterjúkon előnyhöz (jóbb munkahelyekhez) juthasson, hiszen ő jó szakember. Ha ez volt a célja && valóban csak a szája járt (amit nem lehet tudni), akkor valószínűleg ezt bebukta.

--
trey @ gépház

Nagy baj ha én az elsőt tartom valószínűnek. Valahol valaki talált egyik böngészőben egy hosszú ideje nem javított hibát és hozzá exploitot. Ezért valahogy a másikban is kellene találni. A "szaklapok" (had ne soroljak itt fel párat) majd mind jól megszellőztetik a hírt. Az meg majd nem lesz hír úgy sem, hogy hoax az egész.

Én úgy emlékeztem erre, hogy Kenneth Brown-t valószínűleg a SCO pénzelte. Kenneth Brown rá akarta venni AST, hogy hazudjon, de az kitálalt.

Te hogyan tudod?

Abban igazad van, hogy a "felbérelte" nem jó szó. Inkább a "rá akarta szedni", "befolyásolni akarta" lenne a jobb.

--
trey @ gépház

Én is csak annyit tudok, ami oda van írva, meg AST reakcióit olvastam, azaz leült vele beszélgetni KB, majd kiadta a könyvét, amire AST azt mondta, hogy ő olyat nem is mondott, csak a szájába adták, KB-nek meg szemlátomást semmi köze a témához, viszont nyilvánvalóan le akarja járatni a Linuxot. Vagyis nem AST-t akarta hazugságra bírni, hanem vele próbálta alátámasztatni a hülyeségeit.
Szóval igen, a felbérelni szó az erősen túlzás, a rászedés sokkal pontosabb.

"a Firefox tényleg nem a legjobb"

Mi az, hogy a legjobb? Mindenkinek az a legjobb, amivel a legjobban tud böngészni. Mivel nem vagyunk egyformák, nyilván mindenkinek más a legjobb. Mások az igények, mások a követelmények. Olyat kijelenteni, hogy XY szoftver a legjobb, az hülyeség.

--
trey @ gépház

Képzeld nekem is be van állítva, csak a drupal nem kezeli a téli/nyári idősztámítást, ez egy apró drupal bug. De ne próbáld mellékszálra terelni a vitát. A hup ellenzéki önjelölt szakértői újból nagyot koppantak. Kérdés persze, hogy ezek a középhaladó "szakértő" nicknevek mennyi valódi személyt is takarnak.

Hogy abba már ne is menjünk bele, itt kinek a blogjában bukkant fel ilyen hamar ez a hír, méghozzá előbb mint az általa hivatkozott magyar it.news cikk megjelent volna. Fura mi? :-)

:))))))))))))))))))))))

Ezen a konspirációs szövegen mennyire röhögtem.

Kezünkben a teljes IT média!

--

Az ellenzék ;D

Úgy tűnik, hogy neked ennek ellenére sikerül mégis folyton bejelentkezni, pedig igazán szedhetted volna a sátorfát azokután, hogy kiderült az mplayer ellen uszítottad a jónépet (kissé politikai indíttatásból), amiért a tilos rádióban nyilatkozni mert pontscho... ;)

Azóta sem sikerül hamisítanod valami szaftosabb storyt velem kapcsolatban. Csak ennyit tudsz? Ez az ultimate érv ha már semmi mást nem tudsz mondani?
Vagy a kiskunsági parasztgyerekek minden idejét lekötik mostanában a betakarítási munkálatok? :-)
Ez most egyébként megint mind offtopic. Ami ontopic, hogy megint jól beégtél a nevetséges firefoxfikázó fud blogoddal.

Igen, azóta is folyton csak ellened gyártom a bizonyítékokat, LOL.
Ezt a kiskunsági szöveget már elmondtad multkor is, nem kevés időbe tellett rájönnöm, hogy honnan szeded a hülyeségedet. Aztán leesett, hogy az a srác odavalósi eredetileg, akinek a nevére van regisztrálva a hunger.hu domain. Meghajlok hihetetlen nyomozói munkád előtt, de ugye nem gondoltad komolyan, hogy a saját nevemre/címemre regisztráltatok egy ilyen domaint? ;)

A beégésről meg csak annyit, jól bizonyítod ezzel is abszolút hozzánemértésedet a témában. Jót mulatunk, így kérlek alázd még magad tovább... :))

(Mivel azonban nem szeretem hülyén hagyni az embereket [bár rajtad nehéz lesz segíteni] és veled ellentétben üres fröcsögés helyett bizonyítékokkal is szoktam szolgálni, ezért referálnék egy másik szakértő blogjára, amelyben bemutat többek közt nem kevés 'undisclosed security fix'-et a Firefoxban [talán ennyit még sikerül kiszótáraznod], így esetleg képet kaphatsz a Mozilla és böngészőjének valódi állásáról.)

Kedves golgota!

Szívesen meghallgatnám nézeteidet a témával kapcsolatban, de nem látom sehol, hogy kifejtetted volna. Beküldtél egy cikket (amelyet hírnek nem lehet nevezni, hisz 2 mondatból áll összesen) és hivatkozol egy Mozilla által kiadott közleményre, amelyel azt kívánod bizonyítani, hogy még sincs hiba a Firefoxban. Természetesen egy Mozilla _Corporation_ nem próbálja szépíteni a dolgokat, ilyet csak egy Microsoft Corporation tenne. Hosszasan ecsetelhetném, hogy valójában mi is történ{t,nik} a háttérben és miért vonta vissza hirtelen egyik előadó a nyilatkozatát, de nyilván felesleges lenne, hisz a hozzáállásodból egyértelműen látszik, hogy elutasítással fogadnál minden érvet. Ennek ellenére felhívnám a figyelmedet a legutóbbi hasonló botrányra, ahol egy Michael Lynn nevezetű szakértőt fenyegettek meg kirugással (végül fel is mondott), ha napvilágra hozza az általa felfedezett Cisco IOS sebezhetőséget. Az előadást a BlackHat konferencián aztán nagynehezen ugyan megtartotta, de a prezentáció anyagát kitépték minden kiadványból.

Talán ez alapján kicsit belegondolsz, hogy attól mert egy 'nemúgyvanaz' közlemény jelenik meg a gyártó saját weboldalán, még nem feltétlenül kell azt gondolni, hogy minden rendben van a termékével.

"Hosszasan ecsetelhetném, hogy valójában mi is történ{t,nik} a háttérben és miért vonta vissza hirtelen egyik előadó a nyilatkozatát, de nyilván felesleges lenne"

Plusz halálra röhögnénk magunkat a "szakértői" okoskodásodon. :-)

Én éppen csendben mosolygok, mert a vége az lesz, hogy Trey és Hunger licitálnak, hogy az M-betűs cégek közül melyik adott többet ennek a haxx0r!!!111~~~ csávónak.
--
Gentoo motto: It's worth spending eight hours trying to make something load 20ns faster.

Senki nem adott senkinek semmit, egyszerűen a srác egy olyan cégnél dolgozik, ahol fontos presztízs kérdés, hogy mit gondolnak róluk. A weboldalukat (amelyből élnek) pedig senki sem látogatná szívesen, ha az lenne a közvélemény tudatában, hogy 30 kihasználható hibáról tudnak a Firefoxban...

Persze lényegtelen mindez, hisz megjött ismét zoozokoska barátunk, aki majd felvilágosít mindenkit az aktuális dolgokról. (Jahogy nem írt még semmit a témával kapcsolatban, csak nulla tartalmú hozzászólásokat posztol? Az ezen a portálon nem számít. ;)

Kdves Hunger!

Köszönettel vettem kedves, de ugyanakkor kritikai éltől sem mentes leveledet. Ezúton szeretnék reagálni egy-két dologra az abban elhangzottakra. Nem gondolom, hogy ne lenne hiba a mozilla termékeiben. Vannak, nem is kevés és tudok is róla, mivel használom a fent említett termékeket. Nem hiszem, hogy a post arról szólt volna "A mozzilla termékeiben nincs hiba". Én legalábbis úgy emlékszem (na jó vissza is olvastam azt a két mondatot, mert hát szellemileg valóban nagyon gyenge vagyok), hogy a post arról szólt, hogy az a bizonyos hiba mégsem hiba.
Összeesküvés elméletek gyártásáért nem veszem igénybe a segítségedet, mert bizony elég paranoiás vagyok így is. Azonban nem jelenteném ki, hogy tudom mi tröténik a háttérben és nem is tudnám hosszasan ecsetelni, mert nem folytatok levelezést a fent említett úrral, hogy biztosat tudjak. De elhiszem neked, hogy Te bizony hosszan tudnád a tényeket ecsetelni a visszavonás okairól. Látod neked legalább nem kell bizonytalan teóriákat gyártanod. Te TUDSZ. És ez nagyszerű. Sajnos, mint látod én nem vagyok ilyen jól tájékozott és csak az interneten fellelhető híreket küldöm ide be.

Tisztelettel
golgota

P.S.: Izgatottan várom a fent említett úrral folytatott levelezésed részleteit a témában.

a post arról szólt, hogy az a bizonyos hiba mégsem hiba.

Már hogy ne lenne hiba, ezt még a Mozilla is elismerte. A kérdés csak az volt, hogy távoli kódvégrehajtásra is alkalmas vagy csak DoS-ra...

P.S.: Izgatottan várom a fent említett úrral folytatott levelezésed részleteit a témában.

Ezt ugye te sem gondoltad komolyan?!