Lassan szertefoszlik a Firefox biztonságával kapcsolatos mítosz?

 ( Hunger | 2010. április 3., szombat - 0:34 )

Miután a sokak által hoaxnak kikiáltott Firefox 0day bebizonyosodott, hogy jelenleg is aktív kihasználás alatt áll és a Mozilla nagy nehezen egy hónappal rá végre elismerte a hibát, majd béna módon javította, Nils a Pwn2Own versenyen ledöntötte lábáról idén is a Firefoxot egy másik 0dayel. Erre is megszületett az advisory és a Mozilla kiadta a javított Firefox 3.6.3-at.

Az ember már épp megpihent volna, abban a hitben, hogy most egy darabig nyugi lesz, amikor a TippingPoint egy rakás ZDI bejelentést tett közzé, melyek között további 6 Firefox távoli kódvégrehajtásra alkalmat adó sebezhetőségről számol be:

ZDI-10-046: Mozilla Firefox Web Worker Array Remote Code Execution Vulnerability [MFSA2010-02]
ZDI-10-047: Mozilla Firefox libpr0n imgContainer Bits-Per-Pixel Change Remote Code Execution Vulnerability [MFSA2010-09]
ZDI-10-048: Mozilla Firefox nsTreeContentView Dangling Pointer Remote Code Execution Vulnerability [MFSA2010-18]
ZDI-10-049: Mozilla Firefox PluginArray nsMimeType Dangling Pointer Remote Code Execution Vulnerability [MFSA2010-19]
ZDI-10-050: Mozilla Firefox nsTreeSelection EventListener Remote Code Execution Vulnerability [MFSA2010-17]

A kérdés már csak az, hogy mennyi biztonsági bejelentésnek kell megjelennie ahhoz, hogy egyesek elhigyjék a Firefox sem sebezhetetlen...

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

FUD! TROLL! :)

----------------
Lvl86 Troll

+1

Lehet valamit tudni arról, hogy IE/Firefox (esetleg egyéb böngészők) biztonsági réseit milyen gyakran használják ki? (Azaz hogy viszonyul egymáshoz a gyakorlatban annak az esélye, hogy az ember elkap valami kártevőt.)

Viszont most nem tudom. Teljesen elmaradt a versenyben, foleg sebessegben. Bejott a hir hogy nem lesz 3.7, aztan megint szivarogtak ki furcsa reszletek. Volt szo tobbszalusitasrol ami pl nagyon jo lenne, meg mindig semmi lathato valtozas. Release sem jelenik meg, pedig mondtak valtoztatnak.

Most akkor mivan?

Bar sokat nem zavar, neha hasznalom meg mindig fut mivel lassan indul. Rock solid ez tetszik benne, de van par oldal amivel a sokkal fiatalabb Chrome vagy az "alacsony piacu" Opera is jobban elboldogul. (Nem teljesitmeny, szimpla lapmegjelenites.)

"Lassan szertefoszlik a Firefox biztonságával kapcsolatos mítosz?"

Volt ilyen? Nyilván gumibelsőben élt, aki ezt hitte. (vagy én) :)

Oh, hát nézd meg az utóbbi évek termését, amelyeket a Firefox indukált. Meg az is elég jól mutatja a magatartást, hogy amikor megjelent a FF 0day hír, akkor egyből hoaxot kiáltottak sokan... :) Ha pedig bebizonyosodik, hogy létező problémá(k)ról van szó, akkor meg azt mondják (és hiszik?), hogy Windows-only.

"egyesek elhigyjék a Firefox sem sebezhetetlen..."

Nem az. Alapvetően amikor a Firefox megkapta a nevét és beindult a Mozilla nagy hadjárata (kb. a 0.9 körül), a cél az IE6 kiszorítása volt. Ez sikerült is és kellemes mellékhatásként beindult a böngészőháború régóta várt következő "csatája". (ugye emlékszünk a régi Netscape-IE háborúra, ami után jött az IE hegemónia sok éve).

Az Ms -t, miután vagy 5-6 évig senki sem késztette új változat készítésére, a Firefox térhódításának hatására előállt az IE7-tel, később az IE8-cal, most dolgoznak a 9-esen. Közben jöttek az új Operák, a Safari Windowsra, a Chrome, satöbbi.

Abban igazad van, hogy ezt a biztonság dolgot felválthatná lassan valami más marketing üzenet, mert már eléggé okafogyott. Mittomén, "anyád is ezt használja", vagy valami.

********************
"Aki nem backupol az tehetsegtelen :-)"
"...ha nem tévedek!" (Sam Hawkins)
http://holo-media.hu

"anyád is ezt használja" :))

Igazából nem lenne ezzel a marketing szöveggel baj, ha tennének érte, hogy igaz legyen. A Google a Chrome kialakításával kapcsolatban leírt néhány jó ötletet, ami előremutató lehetne, csak a Mozillának észbe kellene kapni és felhasználni, mert jelenleg még az IE8 kialakítása is biztonságosabb.

Én utoljára akkor hittem, hogy úgy-ahogy biztonságos a firefox, amikor még netscape-nek hívták, és egy viszonylag jól bekorlátozott jailben futott a gépemen.
De aztán végiggondoltam, és rájöttem, hogy tévedek.

Ha sok böngésző fut, sok különböző jail-ben és megfelelő körültekintéssel választod meg, hogy melyik oldalt melyik jailben (mik mellé) nyiss meg, valamint a jail mechanizmust megvalósító kernelben nincs egy szál hiba se, se a böngésző ablakokat együtt megjelenítő absztrakciós rétegben, akkor az már egész jó lehetne :)

Ti mivel bongesztek? Csak erdeklodeskepp :) (nemtom, lynx exploit van mar?:)

nyilván telnettel...

Én használom majd' mindegyik népszerűbb böngészőt, mindegyiket más feladatra, egymástól és a felhasználótól elszeparálva, jól lekorlátozva.

Have a life.

Ez "Get a life" akart lenni?

Nem. De elírtam. Have life. Azaz "életfogytig". Már usa szlengben.

"Gondolom" a biztonsági hibák többségében a Windowsos-ra igazak.

és ezt miből gondolod? :)

Ismerlek! :) Windows fan vagy. :)

Akkor nagyon nem ismersz.

Egyébként nem is értem... Azért gondolod, hogy a biztonsági hibák a Windowsra igazak, mert szerinted ismersz és szerinted Windows fan vagyok? Hogyan lesz ebből összefüggés?

Varj en is bebofogom a szokasossat:
Biztos csak 32 bitten egyszeru kod futatasra hasznalni.


Amit nem lehet megirni assemblyben, azt nem lehet megirni.

:)

Igaz Windowson, de nincs jelentősége, Vreugdenhil a Pwn2Own versenyen idén 64 bites rendszeren kerülte meg az ASLR-t, méghozzá pont úgy, ahogy évek óta mondom... infoleak által.

Abszolút biztonság nincs. Illetve nincs értelme róla beszélni, te miért akarsz beszélni róla?

én nem az abszolút biztonságról beszélek, hanem az abszolút biztonságot hirdetőkről :)

Pedig én ilyet sehol nem láttam még, a te antennáiddal van baj.

hagyd, csak nagy a pof*ja, de tudni semmit sem tud [+1 hogy én sem láttam még ilyet az életemben: "abszolút biztonságot hirdetők"].

Lol. Ismered kirol van szo ugy megis? Nem, ne Ubuntu fejlesztok kozt keresd.

Neked muszáj mindenbe belepofáznod? Te biztos sokkal többet tudsz, mint Hunger... lol
A hozzád hasonló emberek járatják le az open-source közösséget.

vagy a te látásoddal van baj, hisz az előbb még rólam hitted azt, hogy én beszélek ilyet :)

nincs rosszabb annál mint amikor egy troll a logika mögé bújik:
bugokat soroltál fel ÉS emiatti biztonságba vetett hitcsökkenést, márpedig ennek az ok-okozati összefüggésnek nincs értelme ha az abszolút biztonságra még csak nem is gondolsz :D

hogy ki bújik és mi mögé azt viszonylag egyszerűen kiderítheted, ha elolvasod a korábbi firefox threadeket, amiben egyesek a security bejelentések számával próbálták bizonyítani azt, hogy a firefox biztonságosabb. ergo ha már "hitcsökkenést" írsz, akkor ezen új távoli kódvégrehajtásra alkalmat adó hibák kis idő alatti nagy számossága okozhat ilyet egyeseknél.

vagy nem, hisz hittel bármit meglehet magyarázni és annak ellenkezőjét is... ;)

"az abszolút biztonságot hirdetőkről" vs "próbálták bizonyítani azt, hogy a firefox biztonságosabb"

Itt volt a kifogásolt csúsztatás.

Az "abszolút biztonság" kifejezést eleve nem én hoztam ide, hanem willy és már alapból a végletek közötti gondolkodás eredménye. Ezért írtam, hogy én ilyenről nem beszélek, maximum ennek hirdetőiről.

"A kérdés már csak az, hogy mennyi biztonsági bejelentésnek kell megjelennie ahhoz, hogy egyesek elhigyjék a Firefox sem sebezhetetlen..."

Dehogynem, csak te sebezhetetlenségnek nevezted.

"Ezért írtam, hogy én ilyenről nem beszélek, maximum ennek hirdetőiről."

Ebben nem is kételkedtem. Viszont amikor megkérdőjelezték, hogy vannak "abszolút biztonságot hirdetők", azzal indokoltad, hogy "egyesek a security bejelentések számával próbálták bizonyítani azt, hogy a firefox biztonságosabb". Hibásan, hiszen aki azt próbálja igazolni, hogy a firefox biztonságosabb, még nem feltétlenül hirdeti azt, hogy abszolút biztonságos.

Nyilván nem is hirdetheti, hisz ha már egy hiba is van benne, akkor nem abszolút biztonságos (de utálom ezt a kifejezést), még ha kevesebb is van benne, mint másban.

A "trend" ennek ellenére jól látszik, mint ahogy írtam is. Amikor először felröppent a Firefox 0day híre, akkor jó pár helyen írták, hogy FUD, hoax, etc. Majd amikor már bebizonyosodott, hogy van sebezhetőség, akkor az volt a reakció rá, hogy csak Windowsokon érintett (ergo a Windowsban van a hiba). Mi ez, ha nem annak a hite, hogy a Firefox valami sebezhetetlen csodaböngésző?

Hasonló utalás mellesleg még itt is látható...

trollovics fudicus,

nekem eleg az a biztonsag, hogy nem evekkel a hiba kikerulese utan javitjak ki oket, hanem napok vagy hetek alatt.

nem tudom, hogy kik javítanak hibákat évekkel a kikerülésük után, de akik napok vagy hetek alatt javítják a hibákat, azok is csak azt tudják javítani, amiről tudnak.

szerk.: mellesleg a 2009-12-04-én vendor felé jelentett sebezhetőség, amely 2010-04-02-én kerül javításra mennyire esik a napok/hetek kategóriába? :)

Még egy, azóta kiadott ZDI advisory:

ZDI-10-063: Mozilla Firefox Cross Document DOM Node Moving Code Execution Vulnerability [MFSA2010-25]

Én lenni devil's advocate, de nem lehet, hogy ez az egész inkább a Firefox térnyerését bizonyítja? :-)
(Legalábbis a h4x0rok közt.)


"no video codec le a win32vel", de "Gentoohoz lehet meg tul fiatal vagy"

Dehogynem. Jól látszódik, hogy a Firefox is elérte azt a részesedést, amikor már üzletileg is érdemes benne nagy tételben hibákat keresni. Ez pedig hozza magával azt, hogy nem csak a ZDI-nek adnak el jófiúk hibákat, tehát nem jelent paranoiát előre aggódni... Amiről meg nem tud a Mozilla, azok a hibák javítva se lesznek, ezért lenne jó, ha elindulnának már végre ők is a hardening / exploit mitigation irányába (ahogy az MS IE és a Google Chrome tette).

Egyébként miújság bástya? ;) Nagyon inaktív vagy mostanában... :(