Az ember már épp megpihent volna, abban a hitben, hogy most egy darabig nyugi lesz, amikor a TippingPoint egy rakás ZDI bejelentést tett közzé, melyek között további 6 Firefox távoli kódvégrehajtásra alkalmat adó sebezhetőségről számol be:
ZDI-10-046: Mozilla Firefox Web Worker Array Remote Code Execution Vulnerability [MFSA2010-02]
ZDI-10-047: Mozilla Firefox libpr0n imgContainer Bits-Per-Pixel Change Remote Code Execution Vulnerability [MFSA2010-09]
ZDI-10-048: Mozilla Firefox nsTreeContentView Dangling Pointer Remote Code Execution Vulnerability [MFSA2010-18]
ZDI-10-049: Mozilla Firefox PluginArray nsMimeType Dangling Pointer Remote Code Execution Vulnerability [MFSA2010-19]
ZDI-10-050: Mozilla Firefox nsTreeSelection EventListener Remote Code Execution Vulnerability [MFSA2010-17]
A kérdés már csak az, hogy mennyi biztonsági bejelentésnek kell megjelennie ahhoz, hogy egyesek elhigyjék a Firefox sem sebezhetetlen...
- Hunger blogja
- A hozzászóláshoz be kell jelentkezni
Hozzászólások
FUD! TROLL! :)
----------------
Lvl86 Troll
- A hozzászóláshoz be kell jelentkezni
+1
- A hozzászóláshoz be kell jelentkezni
Lehet valamit tudni arról, hogy IE/Firefox (esetleg egyéb böngészők) biztonsági réseit milyen gyakran használják ki? (Azaz hogy viszonyul egymáshoz a gyakorlatban annak az esélye, hogy az ember elkap valami kártevőt.)
- A hozzászóláshoz be kell jelentkezni
Viszont most nem tudom. Teljesen elmaradt a versenyben, foleg sebessegben. Bejott a hir hogy nem lesz 3.7, aztan megint szivarogtak ki furcsa reszletek. Volt szo tobbszalusitasrol ami pl nagyon jo lenne, meg mindig semmi lathato valtozas. Release sem jelenik meg, pedig mondtak valtoztatnak.
Most akkor mivan?
Bar sokat nem zavar, neha hasznalom meg mindig fut mivel lassan indul. Rock solid ez tetszik benne, de van par oldal amivel a sokkal fiatalabb Chrome vagy az "alacsony piacu" Opera is jobban elboldogul. (Nem teljesitmeny, szimpla lapmegjelenites.)
- A hozzászóláshoz be kell jelentkezni
"Lassan szertefoszlik a Firefox biztonságával kapcsolatos mítosz?"
Volt ilyen? Nyilván gumibelsőben élt, aki ezt hitte. (vagy én) :)
- A hozzászóláshoz be kell jelentkezni
Oh, hát nézd meg az utóbbi évek termését, amelyeket a Firefox indukált. Meg az is elég jól mutatja a magatartást, hogy amikor megjelent a FF 0day hír, akkor egyből hoaxot kiáltottak sokan... :) Ha pedig bebizonyosodik, hogy létező problémá(k)ról van szó, akkor meg azt mondják (és hiszik?), hogy Windows-only.
- A hozzászóláshoz be kell jelentkezni
"egyesek elhigyjék a Firefox sem sebezhetetlen..."
Nem az. Alapvetően amikor a Firefox megkapta a nevét és beindult a Mozilla nagy hadjárata (kb. a 0.9 körül), a cél az IE6 kiszorítása volt. Ez sikerült is és kellemes mellékhatásként beindult a böngészőháború régóta várt következő "csatája". (ugye emlékszünk a régi Netscape-IE háborúra, ami után jött az IE hegemónia sok éve).
Az Ms -t, miután vagy 5-6 évig senki sem késztette új változat készítésére, a Firefox térhódításának hatására előállt az IE7-tel, később az IE8-cal, most dolgoznak a 9-esen. Közben jöttek az új Operák, a Safari Windowsra, a Chrome, satöbbi.
Abban igazad van, hogy ezt a biztonság dolgot felválthatná lassan valami más marketing üzenet, mert már eléggé okafogyott. Mittomén, "anyád is ezt használja", vagy valami.
********************
"Aki nem backupol az tehetsegtelen :-)"
"...ha nem tévedek!" (Sam Hawkins)
http://holo-media.hu
- A hozzászóláshoz be kell jelentkezni
"anyád is ezt használja" :))
Igazából nem lenne ezzel a marketing szöveggel baj, ha tennének érte, hogy igaz legyen. A Google a Chrome kialakításával kapcsolatban leírt néhány jó ötletet, ami előremutató lehetne, csak a Mozillának észbe kellene kapni és felhasználni, mert jelenleg még az IE8 kialakítása is biztonságosabb.
- A hozzászóláshoz be kell jelentkezni
Én utoljára akkor hittem, hogy úgy-ahogy biztonságos a firefox, amikor még netscape-nek hívták, és egy viszonylag jól bekorlátozott jailben futott a gépemen.
De aztán végiggondoltam, és rájöttem, hogy tévedek.
- A hozzászóláshoz be kell jelentkezni
Ha sok böngésző fut, sok különböző jail-ben és megfelelő körültekintéssel választod meg, hogy melyik oldalt melyik jailben (mik mellé) nyiss meg, valamint a jail mechanizmust megvalósító kernelben nincs egy szál hiba se, se a böngésző ablakokat együtt megjelenítő absztrakciós rétegben, akkor az már egész jó lehetne :)
- A hozzászóláshoz be kell jelentkezni
Ti mivel bongesztek? Csak erdeklodeskepp :) (nemtom, lynx exploit van mar?:)
- A hozzászóláshoz be kell jelentkezni
nyilván telnettel...
- A hozzászóláshoz be kell jelentkezni
Én használom majd' mindegyik népszerűbb böngészőt, mindegyiket más feladatra, egymástól és a felhasználótól elszeparálva, jól lekorlátozva.
- A hozzászóláshoz be kell jelentkezni
Have a life.
- A hozzászóláshoz be kell jelentkezni
Ez "Get a life" akart lenni?
- A hozzászóláshoz be kell jelentkezni
Nem. De elírtam. Have life. Azaz "életfogytig". Már usa szlengben.
- A hozzászóláshoz be kell jelentkezni
"Gondolom" a biztonsági hibák többségében a Windowsos-ra igazak.
- A hozzászóláshoz be kell jelentkezni
és ezt miből gondolod? :)
- A hozzászóláshoz be kell jelentkezni
Ismerlek! :) Windows fan vagy. :)
- A hozzászóláshoz be kell jelentkezni
Akkor nagyon nem ismersz.
Egyébként nem is értem... Azért gondolod, hogy a biztonsági hibák a Windowsra igazak, mert szerinted ismersz és szerinted Windows fan vagyok? Hogyan lesz ebből összefüggés?
- A hozzászóláshoz be kell jelentkezni
Varj en is bebofogom a szokasossat:
Biztos csak 32 bitten egyszeru kod futatasra hasznalni.
Amit nem lehet megirni assemblyben, azt nem lehet megirni.
- A hozzászóláshoz be kell jelentkezni
:)
Igaz Windowson, de nincs jelentősége, Vreugdenhil a Pwn2Own versenyen idén 64 bites rendszeren kerülte meg az ASLR-t, méghozzá pont úgy, ahogy évek óta mondom... infoleak által.
- A hozzászóláshoz be kell jelentkezni
Abszolút biztonság nincs. Illetve nincs értelme róla beszélni, te miért akarsz beszélni róla?
- A hozzászóláshoz be kell jelentkezni
én nem az abszolút biztonságról beszélek, hanem az abszolút biztonságot hirdetőkről :)
- A hozzászóláshoz be kell jelentkezni
Pedig én ilyet sehol nem láttam még, a te antennáiddal van baj.
- A hozzászóláshoz be kell jelentkezni
hagyd, csak nagy a pof*ja, de tudni semmit sem tud [+1 hogy én sem láttam még ilyet az életemben: "abszolút biztonságot hirdetők"].
- A hozzászóláshoz be kell jelentkezni
Lol. Ismered kirol van szo ugy megis? Nem, ne Ubuntu fejlesztok kozt keresd.
- A hozzászóláshoz be kell jelentkezni
Neked muszáj mindenbe belepofáznod? Te biztos sokkal többet tudsz, mint Hunger... lol
A hozzád hasonló emberek járatják le az open-source közösséget.
- A hozzászóláshoz be kell jelentkezni
vagy a te látásoddal van baj, hisz az előbb még rólam hitted azt, hogy én beszélek ilyet :)
- A hozzászóláshoz be kell jelentkezni
nincs rosszabb annál mint amikor egy troll a logika mögé bújik:
bugokat soroltál fel ÉS emiatti biztonságba vetett hitcsökkenést, márpedig ennek az ok-okozati összefüggésnek nincs értelme ha az abszolút biztonságra még csak nem is gondolsz :D
- A hozzászóláshoz be kell jelentkezni
hogy ki bújik és mi mögé azt viszonylag egyszerűen kiderítheted, ha elolvasod a korábbi firefox threadeket, amiben egyesek a security bejelentések számával próbálták bizonyítani azt, hogy a firefox biztonságosabb. ergo ha már "hitcsökkenést" írsz, akkor ezen új távoli kódvégrehajtásra alkalmat adó hibák kis idő alatti nagy számossága okozhat ilyet egyeseknél.
vagy nem, hisz hittel bármit meglehet magyarázni és annak ellenkezőjét is... ;)
- A hozzászóláshoz be kell jelentkezni
"az abszolút biztonságot hirdetőkről" vs "próbálták bizonyítani azt, hogy a firefox biztonságosabb"
Itt volt a kifogásolt csúsztatás.
- A hozzászóláshoz be kell jelentkezni
Az "abszolút biztonság" kifejezést eleve nem én hoztam ide, hanem willy és már alapból a végletek közötti gondolkodás eredménye. Ezért írtam, hogy én ilyenről nem beszélek, maximum ennek hirdetőiről.
- A hozzászóláshoz be kell jelentkezni
"A kérdés már csak az, hogy mennyi biztonsági bejelentésnek kell megjelennie ahhoz, hogy egyesek elhigyjék a Firefox sem sebezhetetlen..."
Dehogynem, csak te sebezhetetlenségnek nevezted.
- A hozzászóláshoz be kell jelentkezni
"Ezért írtam, hogy én ilyenről nem beszélek, maximum ennek hirdetőiről."
- A hozzászóláshoz be kell jelentkezni
Ebben nem is kételkedtem. Viszont amikor megkérdőjelezték, hogy vannak "abszolút biztonságot hirdetők", azzal indokoltad, hogy "egyesek a security bejelentések számával próbálták bizonyítani azt, hogy a firefox biztonságosabb". Hibásan, hiszen aki azt próbálja igazolni, hogy a firefox biztonságosabb, még nem feltétlenül hirdeti azt, hogy abszolút biztonságos.
- A hozzászóláshoz be kell jelentkezni
Nyilván nem is hirdetheti, hisz ha már egy hiba is van benne, akkor nem abszolút biztonságos (de utálom ezt a kifejezést), még ha kevesebb is van benne, mint másban.
A "trend" ennek ellenére jól látszik, mint ahogy írtam is. Amikor először felröppent a Firefox 0day híre, akkor jó pár helyen írták, hogy FUD, hoax, etc. Majd amikor már bebizonyosodott, hogy van sebezhetőség, akkor az volt a reakció rá, hogy csak Windowsokon érintett (ergo a Windowsban van a hiba). Mi ez, ha nem annak a hite, hogy a Firefox valami sebezhetetlen csodaböngésző?
Hasonló utalás mellesleg még itt is látható...
- A hozzászóláshoz be kell jelentkezni
trollovics fudicus,
nekem eleg az a biztonsag, hogy nem evekkel a hiba kikerulese utan javitjak ki oket, hanem napok vagy hetek alatt.
- A hozzászóláshoz be kell jelentkezni
nem tudom, hogy kik javítanak hibákat évekkel a kikerülésük után, de akik napok vagy hetek alatt javítják a hibákat, azok is csak azt tudják javítani, amiről tudnak.
szerk.: mellesleg a 2009-12-04-én vendor felé jelentett sebezhetőség, amely 2010-04-02-én kerül javításra mennyire esik a napok/hetek kategóriába? :)
- A hozzászóláshoz be kell jelentkezni
Még egy, azóta kiadott ZDI advisory:
ZDI-10-063: Mozilla Firefox Cross Document DOM Node Moving Code Execution Vulnerability [MFSA2010-25]
- A hozzászóláshoz be kell jelentkezni
Én lenni devil's advocate, de nem lehet, hogy ez az egész inkább a Firefox térnyerését bizonyítja? :-)
(Legalábbis a h4x0rok közt.)
"no video codec le a win32vel", de "Gentoohoz lehet meg tul fiatal vagy"
- A hozzászóláshoz be kell jelentkezni
Dehogynem. Jól látszódik, hogy a Firefox is elérte azt a részesedést, amikor már üzletileg is érdemes benne nagy tételben hibákat keresni. Ez pedig hozza magával azt, hogy nem csak a ZDI-nek adnak el jófiúk hibákat, tehát nem jelent paranoiát előre aggódni... Amiről meg nem tud a Mozilla, azok a hibák javítva se lesznek, ezért lenne jó, ha elindulnának már végre ők is a hardening / exploit mitigation irányába (ahogy az MS IE és a Google Chrome tette).
Egyébként miújság bástya? ;) Nagyon inaktív vagy mostanában... :(
- A hozzászóláshoz be kell jelentkezni