To κενό ασφαλείας του Firefox ήταν απλά ένα αστείο;

[anon]

Ενας απο τους χακερς που επέδειξαν την δυνατότητα προσβολής μέσω κώδικα javascript του browser Firefox στην συνάντηση χακερς του Σαν Ντιέγκο, παραδέχτηκε αργά την Τρίτη ότι η παρουσίαση βασικά ήταν ένα αστείο, όπως είπε ο υπεύθυνος ασφαλείας του Mozilla.

Οι αναλυτές ασφαλείας του Mozilla ξοδέψαν όλη την Κυριακή και Δευτέρα προσπαθώντας να προσδιορίσουν εαν ο κώδικας που αποκαλύφθηκε στην παρουσίαση απο τους χάκερς Mischa Spiegelmock & Andrew Wbeelsoi στο Torkoon το Σαββατοκύριακο, επιτρέπει σε κάποιον να εκτελέσει επικίνδυνο κώδικα μέσω memory corruption attack στον Firefox.

Παρόλα αυτά, η Window Snyder, που ηγείται της ομάδας ασφαλείας του Mozilla, είπε ότι ο Spiegelmock παραδέχτηκε στην εταιρία ότι η παρουσίαση βασικά ήταν για να κάνουν ένα αστείο, και ότι και οι δύο δεν κατάφεραν ουσιαστικά την εκτέλεση κώδικα με την μέθοδο προσβολής που παρουσίασαν. "Στην καλύτερη περίπτωση θα κρασάρει ο client" είπε η Snyder. "Αυτό έχουμε τεκμηριώσει μέχρις στιγμής"

Ο Spiegelmock που εργάζεται για την Six Apart Ltd., επιβεβαίωσε τα παραπάνω στο δικό LiveJournal blog, στο οποίο συμπεριλαμβάνει και ένα λινκ με την δήλωσή του όπως καταγράφεται στο blog του Snyder.

"Ο βασικός σκοπός της παρουσίασης ήταν απλά χιουμοριστικός" σύμφωνα με την δήλωση. "Σε ένα τμήμα της παρουσίασης, αναφέραμε ότι υπήρχε ένα προηγούμενο γνωστό κενό ασφαλείας στον Firefox το οποίο θα μπορούσε με την μέθοδο stack overflow να καταλήξει σε εκτέλεση κώδικα. Ομως ο κώδικας που παρουσιάστηκε δεν έκανε αυτό, και προσωπικά δεν έχω φτάσει στο αποτέλεσμα της εκτέλεσης κώδικα, και δεν ξέρω κανέναν που να το έχει καταφέρει".

Κατα την διάρκεια της παρουσίασης, οι χάκερς ανέφεραν επίσης ότι γνωρίζουν τουλάχιστον άλλα 30 κενά ασφαλείας στο Firefox, αλλά και αυτό ήταν αστείο όπως είπε η Snyder.

Η εκπρόσωπος τύπου της Six Apart, Jane Anderson, είπε ότι επρόκειτο για αστείο που έγινε απο τα δύο παιδιά, ίσως λόγω της εφηβείας τους, και χωρίς την πλήρη κατανόηση των πράξεων τους. "Ηταν μια παρωδία" είπε η Anderson, και πρόσθεσε ότι ο Spiegelmock δεν αντιπροσώπευε την Six Apart στο σόου.

Η εταιρία (Six Apart) πέρασε όλη την κυριακή δίνοντας εξηγήσεις και προσπαθώντας να σβήσει την "φωτιά" και συνεργαζόμενη με την Mozilla προκειμένου να επιλυθεί το θέμα αυτό. Μάλιστα, τα πράγματα ήταν ακόμη πιο άσχημα απο το γεγονός ότι ένας απο τους πρώτους επενδυτές της Six Apart, ο Joi Ito, είναι στο συμβούλιο διευθυντών του Mozilla!

H Anderson πρόσθεσε ότι ο Spiegelmock δεν θα απολυθεί για τις ενέργειες του. "Ολοι κάνουμε λάθη" είπε.

Η Snyder και η ομάδα του επίσης είναι ευχαριστημένοι για το αποτέλεσμα. "Σίγουρα προτιμάμε, οι ερευνητές ασφαλείας να αναφέρουν τα κενά ασφαλείας σε εμάς ώστε να το διορθώσουμε με κάποιο patch πριν μπουν σε οποιοδήποτε κίνδυνο οι χρήστες. Αλλά αυτή την στιγμή ήταν εξαιρετικά συνεργάσιμος και είμαστε ευχαριστημένοι που επέλεξε να εργαστεί μαζί μας".

Και πρόσθεσε η Snyder "Ξέρω ανθρώπους που δουλέψαν πραγματικά πολύ σκληρά την Κυριακή ενώ θα είχαν να κάνουν άλλα πράγματα"

Πηγή: http://www.infoworld.com/article/06/...laduped_1.html

[alexis7]

Ήταν τελικά ένα εφηβικό αστείο ή μήπως ένα κακοστημένο σενάριο δυσφήμισης του firefox;
Θα δείξει...

[EvilHawk]

Η εταιρία (Six Apart) πέρασε όλη την κυριακή δίνοντας εξηγήσεις και προσπαθώντας να σβήσει την "φωτιά" και συνεργαζόμενη με την Mozilla προκειμένου να επιλυθεί το θέμα αυτό. Μάλιστα, τα πράγματα ήταν ακόμη πιο άσχημα απο το γεγονός ότι ένας απο τους πρώτους επενδυτές της Six Apart, ο Joi Ito, είναι στο συμβούλιο διευθυντών του Mozilla!

η μία συμφωνία κάτω απο το τραπέζι με την εταιρεία που δούλευει ο πιτσιρικάς ?

[malloc]

Να πω την αληθεια μου, κι εμένα έτσι μου φαίνεται. Σαν συμφωνία κάτω απο το τραπέζι μεταξύ Mozilla και Six Apart. Άσχετα με το αν ισχύει η όχι το vlunerability μου φαίνεται πολύ τραβηγμένο να βγήκε ο τύπος σε παρουσίαση να κάνει ένα "αστείο".

Που δεν ειναι και πολύ αστείο εδω που τα λέμε έτσι; Δεν νομίζω να γέλασε και κανείς (εκτός ίσως απο τα teams των άλλων browsers)

[papdoux]

αμα υπαρχουν τοσο στενοι δεσμοι, γιατι να πανε σε παρουσιαση και να μην το κανονισουν απευθειας μεταξυ τους χωρις να δημιουργησουν τετοια φασαρια;

[anon]

Eαν ήταν συμφωνία, εύκολα θα μπορούσε να αποδειχτεί. Η μέθοδος παρουσιαστηκε, και εαν και δεν έχω σχετικό λινκ, αν κάποιος ψάξει πιστεύω ότι μπορεί να την βρεί μαζί με τον σχετικό κώδικα. Αρα θα μπορούσε να το δοκιμάσει (δεν νομίζω να έχει βγεί σχετικό patch, αλλά ακόμη και νάχει βγεί, μπορείς να βάλεις έκδοση χωρίς το patch). Οπότε θα γίνουν ρόμπες. Δεν νομίζω απο το Mozilla Project να το διακινδυνεύουν έτσι απλά, να βγεί κάποιος άλλος και να τους κάνει ρόμπα. Αρα το σενάριο αυτό είναι 99% πιθανό (πάντα θα υπάρχει το 1% !!! ). Απλά οι άνθρωποι του Mozilla Project ίσως αντέδρασαν βεβιασμένα και ασυντόνιστα (μιας και θέλουν να πιστεύουν και να πιστεύει και ο κόσμός ότι δεν υπάρχει θέμα ασφαλείας με τον Firefox).

[EvilHawk]

Οπως και να εχει το θέμα είναι ότι όντως αυτό το Σαββατοκύριακο κάποιοι έτρεχαν και όχι μόνο στον Mozilla, αρκετές εταιρείες σχετικές με θέματα ασφαλείας ασχολήθηκαν με το αντικείμενο. Όλες οι αναφορές που βρήκα στο διαδίκτυο μιλούν στην χειρότερη περίπτωση για crash του firefox αλλά σε καμμια περίπτωση δεν απόκτησαν δικαιώματα εκτέλεσης κώδικα ...

[anon]

Aρα οι πιτσιρικάδες "σπάσανε πλάκα" πανικοβάλλοντας τον κόσμο, και έγκριτους επαγγελματίες - προγραμματιστές.... Της μορφής "κοίτα πως τους έχω κάνει και τρέχουν..."

[whitecat]

το οτι χορηγος στο συνεδριο ηταν και η microsoft δεν το θεωρειτε σημαντικο?
θα μου πειτε δνε ειναι παντα συνομοσιες κτλ
εγω ξερω οτι καποιοι διαβασαν την ειδηση εκεινη αλλα μπορει να μην διαβασουν την ειδηση τη σημερινη...
τετοια αστεια αν οντως ειανι αστεια θα επρεπε να κυνηγουνται δικαστικως....
εκτος και οντως δεν ειναι αστειο.....

[avekr]

Αν τελικά αποδειχθεί φάρσα τότε το Mozilla Project θσ βγει ενισχυμένο,
καθώς θα έχει γίνει ντόρος γύρω από τον Firefox με τελικό συμπέρασμα ότι
δεν συντρέχει θέμα ασφάλειας.
Άρα θεωρώ πιο πιθανό πίσω από την ιστορία να βρίσκεται ο Mozilla παρά η Microsoft.

[Re-Ti-Re]

η μία συμφωνία κάτω απο το τραπέζι με την εταιρεία που δούλευει ο πιτσιρικάς ?

Φυσικά και είναι συμφωνία κάτω από το τραπέζι. Όταν έχεις μια εταιρεία και σου κάνουν τέτοιο αστείο πρέπει να κάνεις μηνύσεις για δυσφήμηση εδώ παίζονται πολλά δεν είναι παίξε γέλασε. Αν βγει αύριο και άλλος και πει τα ίδια και χειρότερα τι θα πεις……..

Επειδή δεν θέλεις (σαν εταιρεία) να παραδεκτής ότι πράγματι υπάρχει πρόβλημα (γιατί τότε θα πρέπει να κόψεις κεφάλια) δεν το κάνεις. Απλά το γυρνάς στην πλάκα και την παιδική αθωότητα.

[anon]

κάτσε ρε retire... θες να πείς ότι δηλαδή τα βρήκανε, βγάλανε μια δήλωση τυπου και καθαρίσανε; Οποιος ασχολείται με web development μπορεί να επαναλάβει ή και να προχωρήσει ακόμη πιο πέρα την συγκεκριμένη τεχνική προσβολής του firefox. Και να τους κάνει σούπερ ρόμπες. Με πρώτη απο όλη την Microsoft που θάχει κάθε λόγο να βρεί κάτι τέτοιο για να τον πατώσει τον firefox.... Κάτι τέτοιο όμως δεν έγινε.... Τι δηλαδή, το Mozilla project τους πλήρωσε όλους;;;; Ούτε η Microsoft δεν μπορεί να το κάνει αυτό..... Το σενάριο συμφωνίας κάτω απο το τραπέζι μάλλον είναι urban legend, μέχρις ότου βγεί και κάποιος άλλος και πεί, ναι υπάρχει κενό, και να δείξει πως γίνεται.... μέχρι τότε ....

ΥΓ. Ουσιαστικά απο τον ντόρο αυτό, βγαίνει ωφελημένος ο Firefox, που γεννάται και το ερώτημα, μήπως ήταν προβοκάτσια το πράγμα;;;;; Ετσι εξηγείται και η μη προσφυγή σε ένδικα μέσα, αλλά αυτό το σενάριο δεν μου αρέσει καθόλου ως μαρκετίστικη προσπαθεια προώθησης,

[EvilHawk]

Κοίτα υπάρχουν μερικοί παράμετροι στην ιστορία που είναι παράξενες. Πρώτο το νεαρό της ηλικίας του ενός απο τους 2 "hackers", η αρχική αμηχανία του εκπροσώπου του Mozilla foundation στο συνέδριο και η προτροπή του να υποβαλλουν τα bugs επίσημα έναντι αμοιβής, η εμπλοκή της εταιρείας που δουλεύει ο πιτσιρικάς και ότι προφανώς ασκήθηκαν πιέσεις για την απόλυση του, το γεγονός ότι δεν ξέρουμε ή δεν εχουμε μάθει τί ξέρει και αν ξέρει ο άλλος "hacker" ...

Γενικά δεν είναι και πολύ ξεκάθαρη ιστορία και σίγουρα εμπλέκονται αρκετά μεγάλα χρηματικά ποσά και συμφέροντα από όποια μεριά και να το εξετάσεις ..

[Re-Ti-Re]

@ avekr
Αν θέλεις να κάνεις ντόρο δεν το κάνεις με τρόπο που να δυσφημεί την εταιρεία σου. Υπάρχουν άλλοι τρόποι.


@anon
Μια τέτοια δήλωση σαν αυτή που έγινε δεν είναι προτιμότερη από το να βγεις και να πεις: ναι τα παιδιά έχουν δίκιο. Δεν νομίζω ότι και οι δυο πλευρές έχουν πει την αλήθεια από την αρχή.

Οι πιτσιρικάδες αν θέλανε να σπάσουν πλάκα υπάρχουν πολλοί τρόποι να το κάνουν. Τρόποι που έχουν περισσότερο χαβαλέ από μια συνέντευξη τύπου με το στιλ που έγινε. Απλά πιστεύω ότι οι πιτσιρικάδες βρήκανε τρόπο να εκβιάσουν με νόμιμο τρόπο.

[morfeas-dsl-]

ρομπες...
trust noone που λενε