Lassan szertefoszlik a Firefox biztonságával kapcsolatos mítosz?

Miután a sokak által hoaxnak kikiáltott Firefox 0day bebizonyosodott, hogy jelenleg is aktív kihasználás alatt áll és a Mozilla nagy nehezen egy hónappal rá végre elismerte a hibát, majd béna módon javította, Nils a Pwn2Own versenyen ledöntötte lábáról idén is a Firefoxot egy másik 0dayel. Erre is megszületett az advisory és a Mozilla kiadta a javított Firefox 3.6.3-at.

Az ember már épp megpihent volna, abban a hitben, hogy most egy darabig nyugi lesz, amikor a TippingPoint egy rakás ZDI bejelentést tett közzé, melyek között további 6 Firefox távoli kódvégrehajtásra alkalmat adó sebezhetőségről számol be:

ZDI-10-046: Mozilla Firefox Web Worker Array Remote Code Execution Vulnerability [MFSA2010-02]
ZDI-10-047: Mozilla Firefox libpr0n imgContainer Bits-Per-Pixel Change Remote Code Execution Vulnerability [MFSA2010-09]
ZDI-10-048: Mozilla Firefox nsTreeContentView Dangling Pointer Remote Code Execution Vulnerability [MFSA2010-18]
ZDI-10-049: Mozilla Firefox PluginArray nsMimeType Dangling Pointer Remote Code Execution Vulnerability [MFSA2010-19]
ZDI-10-050: Mozilla Firefox nsTreeSelection EventListener Remote Code Execution Vulnerability [MFSA2010-17]

A kérdés már csak az, hogy mennyi biztonsági bejelentésnek kell megjelennie ahhoz, hogy egyesek elhigyjék a Firefox sem sebezhetetlen...

Hozzászólások

FUD! TROLL! :)

----------------
Lvl86 Troll

Lehet valamit tudni arról, hogy IE/Firefox (esetleg egyéb böngészők) biztonsági réseit milyen gyakran használják ki? (Azaz hogy viszonyul egymáshoz a gyakorlatban annak az esélye, hogy az ember elkap valami kártevőt.)

Viszont most nem tudom. Teljesen elmaradt a versenyben, foleg sebessegben. Bejott a hir hogy nem lesz 3.7, aztan megint szivarogtak ki furcsa reszletek. Volt szo tobbszalusitasrol ami pl nagyon jo lenne, meg mindig semmi lathato valtozas. Release sem jelenik meg, pedig mondtak valtoztatnak.

Most akkor mivan?

Bar sokat nem zavar, neha hasznalom meg mindig fut mivel lassan indul. Rock solid ez tetszik benne, de van par oldal amivel a sokkal fiatalabb Chrome vagy az "alacsony piacu" Opera is jobban elboldogul. (Nem teljesitmeny, szimpla lapmegjelenites.)

"Lassan szertefoszlik a Firefox biztonságával kapcsolatos mítosz?"

Volt ilyen? Nyilván gumibelsőben élt, aki ezt hitte. (vagy én) :)

Oh, hát nézd meg az utóbbi évek termését, amelyeket a Firefox indukált. Meg az is elég jól mutatja a magatartást, hogy amikor megjelent a FF 0day hír, akkor egyből hoaxot kiáltottak sokan... :) Ha pedig bebizonyosodik, hogy létező problémá(k)ról van szó, akkor meg azt mondják (és hiszik?), hogy Windows-only.

"egyesek elhigyjék a Firefox sem sebezhetetlen..."

Nem az. Alapvetően amikor a Firefox megkapta a nevét és beindult a Mozilla nagy hadjárata (kb. a 0.9 körül), a cél az IE6 kiszorítása volt. Ez sikerült is és kellemes mellékhatásként beindult a böngészőháború régóta várt következő "csatája". (ugye emlékszünk a régi Netscape-IE háborúra, ami után jött az IE hegemónia sok éve).

Az Ms -t, miután vagy 5-6 évig senki sem késztette új változat készítésére, a Firefox térhódításának hatására előállt az IE7-tel, később az IE8-cal, most dolgoznak a 9-esen. Közben jöttek az új Operák, a Safari Windowsra, a Chrome, satöbbi.

Abban igazad van, hogy ezt a biztonság dolgot felválthatná lassan valami más marketing üzenet, mert már eléggé okafogyott. Mittomén, "anyád is ezt használja", vagy valami.

********************
"Aki nem backupol az tehetsegtelen :-)"
"...ha nem tévedek!" (Sam Hawkins)
http://holo-media.hu

"anyád is ezt használja" :))

Igazából nem lenne ezzel a marketing szöveggel baj, ha tennének érte, hogy igaz legyen. A Google a Chrome kialakításával kapcsolatban leírt néhány jó ötletet, ami előremutató lehetne, csak a Mozillának észbe kellene kapni és felhasználni, mert jelenleg még az IE8 kialakítása is biztonságosabb.

Én utoljára akkor hittem, hogy úgy-ahogy biztonságos a firefox, amikor még netscape-nek hívták, és egy viszonylag jól bekorlátozott jailben futott a gépemen.
De aztán végiggondoltam, és rájöttem, hogy tévedek.

Ha sok böngésző fut, sok különböző jail-ben és megfelelő körültekintéssel választod meg, hogy melyik oldalt melyik jailben (mik mellé) nyiss meg, valamint a jail mechanizmust megvalósító kernelben nincs egy szál hiba se, se a böngésző ablakokat együtt megjelenítő absztrakciós rétegben, akkor az már egész jó lehetne :)

"Gondolom" a biztonsági hibák többségében a Windowsos-ra igazak.

Abszolút biztonság nincs. Illetve nincs értelme róla beszélni, te miért akarsz beszélni róla?

hogy ki bújik és mi mögé azt viszonylag egyszerűen kiderítheted, ha elolvasod a korábbi firefox threadeket, amiben egyesek a security bejelentések számával próbálták bizonyítani azt, hogy a firefox biztonságosabb. ergo ha már "hitcsökkenést" írsz, akkor ezen új távoli kódvégrehajtásra alkalmat adó hibák kis idő alatti nagy számossága okozhat ilyet egyeseknél.

vagy nem, hisz hittel bármit meglehet magyarázni és annak ellenkezőjét is... ;)

Ebben nem is kételkedtem. Viszont amikor megkérdőjelezték, hogy vannak "abszolút biztonságot hirdetők", azzal indokoltad, hogy "egyesek a security bejelentések számával próbálták bizonyítani azt, hogy a firefox biztonságosabb". Hibásan, hiszen aki azt próbálja igazolni, hogy a firefox biztonságosabb, még nem feltétlenül hirdeti azt, hogy abszolút biztonságos.

Nyilván nem is hirdetheti, hisz ha már egy hiba is van benne, akkor nem abszolút biztonságos (de utálom ezt a kifejezést), még ha kevesebb is van benne, mint másban.

A "trend" ennek ellenére jól látszik, mint ahogy írtam is. Amikor először felröppent a Firefox 0day híre, akkor jó pár helyen írták, hogy FUD, hoax, etc. Majd amikor már bebizonyosodott, hogy van sebezhetőség, akkor az volt a reakció rá, hogy csak Windowsokon érintett (ergo a Windowsban van a hiba). Mi ez, ha nem annak a hite, hogy a Firefox valami sebezhetetlen csodaböngésző?

Hasonló utalás mellesleg még itt is látható...

trollovics fudicus,

nekem eleg az a biztonsag, hogy nem evekkel a hiba kikerulese utan javitjak ki oket, hanem napok vagy hetek alatt.

nem tudom, hogy kik javítanak hibákat évekkel a kikerülésük után, de akik napok vagy hetek alatt javítják a hibákat, azok is csak azt tudják javítani, amiről tudnak.

szerk.: mellesleg a 2009-12-04-én vendor felé jelentett sebezhetőség, amely 2010-04-02-én kerül javításra mennyire esik a napok/hetek kategóriába? :)

Dehogynem. Jól látszódik, hogy a Firefox is elérte azt a részesedést, amikor már üzletileg is érdemes benne nagy tételben hibákat keresni. Ez pedig hozza magával azt, hogy nem csak a ZDI-nek adnak el jófiúk hibákat, tehát nem jelent paranoiát előre aggódni... Amiről meg nem tud a Mozilla, azok a hibák javítva se lesznek, ezért lenne jó, ha elindulnának már végre ők is a hardening / exploit mitigation irányába (ahogy az MS IE és a Google Chrome tette).

Egyébként miújság bástya? ;) Nagyon inaktív vagy mostanában... :(