Kritikus hiba a Mozilla Firefox összes verziójában

Mozilla

Egy bizonyos Tom Ferris nevű úriember olyan puffer túlcsordulásos biztonsági hibát fedezett fel a Mozilla Firefox-ban, melynek kihasználásakor az crash-elhet, és rossz esetben akár tetszőleges kódot is futtathat. A hiba a jelenleg legfrissebb stabil 1.0.6-os és korábbi, illetve a most kiadott 1.5 béta verziókat is érinti.A Secunia biztonsági oldal az 5-ös skáláján 4-es fokozatúnak ("Highly critical") minősítette hibát. A hibát természetesen jelentették a Mozilla Foundation-nek, akik feltehetőleg már dolgoznak a javításon. Az eredeti advisory itt található.

nem ertek egyet.

nem elhagyni kell az IDN, hanem csinalni egy normalis implementaciot. nyilvan aki eloszor csinalja, az "vegigszivja" a dolgot.

Az IDN itt EU-ban erdektelen. tuleljuk ekezetek nelkul. a kinaiak/thaiok/arabok/... szamara viszont alapveto.

pl: thafoldon az emberek donto resze nem tud irni/olvasni angolul, szamukra az angol betuk hieroglifak. nekunk meg az oveik. gondolj bele mennyire ***** lenne, ha URL-eket te csak ogorog betukkel irhatnal/olvashatnal?

Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.7.10) Gecko/20050906 Firefox/1.0.6

Gentoo Linux-os, es ez is megpusztult. Az elozo win-es kiirta, hogy hibas cimrol akart olvasni, es kihalt. Linux alatt pedig nem valaszolt az ablak, de futott. Sikerult csinalnom egy szep absztrakt kepet, ahogy huzgalom folotte az atlatszo terminalablakot :)

Szerintem meg kellenek a magyar ékezetek is. Már csak azért is, hogy ne kapjak szívrohamot, mikor beolvasnak egy címet a TV-ben.

Az emberek többsége már ott kiakad, ha egy url nem www-vel kezdődik. Legalább az ékezetek problémáját levehetjük a vállukról.

Egyébként meg tényleg implementáció kérdése. Opera nem halt be nálam (ettől:) ).

( pepo v | 2005. 09. 10., szo – 11:57 )

Nekem bizony a

www.security-protocols.com/firefox-death.html

becrachelt... :(

Így van. Attól eltekintve, hogy 1000 bugot hozott be, ez a legfőbb problémám nekem is vele.

Aki ezt kitalálta annak a pokolban kell majd vezekelnie érte azzal, hogy csupa tradícionális kínai, koreai, kanji, arab, héber domain neveket kell majd angol billentyűzeten berírnia 500 éven át. :)

( WoOh | 2005. 09. 11., v – 13:33 )

Semmit nem csinal..

Bongeszo:

Mozilla/5.0 (X11; U; OpenBSD i386; en-US; rv:1.7.10) Gecko/20050816 Firefox/1.0.6

( cheeky v | 2005. 09. 12., h – 08:58 )

Beállításoktól is függhet, mert nálam win alatt se csinált semmit, még 1.6-os(!!!) mozillában sem, se 1.06-os firefoxnál...

( uid_2813 | 2005. 09. 09., p – 23:27 )

Mar nem is csodalkozok rajta.

Lassan tobb megismert lyuk lesz mint az ie-ben. :S

Ben

( rpsoft v | 2005. 09. 09., p – 23:55 )

Sikerült valakinek reprodukálnia a hibát? Nekem a kinyíró-html itt van egy másik ablakban megnyitva, sokadik próbálkozásra is semmi... Firefox 1.0.6 en_us, Mandrake linuxon, forrásból.

( uid_395 v | 2005. 09. 10., szo – 00:12 )

Hm. Erdekes. Nalam se tortent semmi.

Forrasba meg ez latszik: <A HREF=https:­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­ >

Szal erdekes. Frugalware current. 1.0.6 -os firefox x86_64 -en. Forrasbol forditott.

udv

-krix-

( vomberg | 2005. 09. 10., szo – 00:40 )

Egy pillanat alatt merevgörcsbe állt.

Mozilla/5.0 (X11; U; Linux i686; hu-HU; rv:1.7.8) Gecko/20050517 Firefox/1.0.4 (Debian package 1.0.4-2)

( XMI | 2005. 09. 10., szo – 02:11 )

Csak én érzem úgy, hogy ez az egész IDN (international domain names) dolog csak a szívások számát növeli?! Mert "természetesen" ezt a mostani hibát is annak köszönhetjük.

Ki a francnak kellett ez tulajdonképpen? Lassan már tényleg az IE lesz biztonságosabb, azzal, hogy nem támogatja az idn-t egyáltalán. És most az egyszer kivételesen szerencse, az hogy ezzel gyakorlatilag megakadályozza, hogy bárki is lokális karaktereket tartalmazó domaint reg-eljen.