Ο Firefox ένα μεγάλο κενό ασφαλείας ?

[nnn]

Δύο hackers καλούμενοι Mischa Spiegelmock και Andrew Wbeelsoi επιτέθηκαν στην ασφάλεια του Firefox browser,υποστηρίζοντας 'ο,τι είναι ένα "complete security mess" και ό,τι δεν μπορεί να γίνει ασφαλής χωρίς μαζικό επαναγράψιμο βασικών τμημάτων του κώδικα του.

Μιλώντας στο ToorCon hacker conference,οι Spiegelmock και Wbeelsoi εξήγησαν ό,τι η Javascript στον περίπου 10 ετών κώδικα κάνει παιχνιδάκι την δημιουργία stack overflows.

Φαινομενικά ένας επιτιθέμενος μπορεί εύκολα να φτιάξει μια web page που θα περιέχει malicious JavaScript κώδικα,για να εκμεταλευτεί αυτά τα κενά για ιδίον όφελος.

Επιπρόσθετα οι δύο hackers ισχυρίζονται ό,τι γνωρίζουν πάνω από 30 ανοικτά κενά στον Firefox,τα οποία για την ώρα δεν σκοπεύουν να αποκαλύψουν.

Αν το κενό υπάρχει πραγματικά στην JavaScript virtual machine,θα είναι δύσκολο να φτιαχτεί και θα απαιτήσει παραπάνω από ένα standard patch.

Αντιδρώντας σε αυτές τις αιτιάσεις η επικεφαλής ασφαλείας του Mozilla Window Snyder ισχυρίστηκε ό,τι δεν πιστεύει ό,τι τα κενά είναι τόσο σοβαρά ώστε να μην μπορούν να φτιαχτούν με patches.

Η Snyder οστόσο παραδέχτηκε την φανερή ανάγκη διερεύνησης αυτών των θεμάτων.
"Αυτό που περιγράφουν μπορεί να είναι παραλλαγή μιας παλιάς επίθεσης"είπε."Πρόκειται να το ερευνήσουμε."

Κατά τη διάρκεια της παρουσίασης,ένα μέλος του security staff του Mozilla oJesse Ruderman έκανε έκκληση στην black hat κοινότητα να αποκαλύπτουν υπεύθυνα τα κενά μέσω του Mozilla bug bounty programme αντί να τα χρησιμοποιούν για κακόβουλους σκοπούς.

Πηγή : http://www.techspot.com/news/23061-F...rity-mess.html

[ogenikos]

Δύο hackers σε ένα συνέδριο (ToorCon hacker conference ), ισχυρίζονται ότι ο κώδικας του Firefox, χρειάζεται να γραφεί εξ'αρχής, και ιδιαίτερα το javascript κομμάτι.
Εκπρόσωπος του Mozilla security πρόσφερε 500$, για κάθε ένα απο τα 30 unpatched Firefox flaws, που ισχυρίστηκαν ότι γνωρίζουν οι hackers, για να μήν τα χρησιμοποιήσουν για botnets kai dos attacks.
Hackers claim zero-day flaw in Firefox
Firefox a "complete security mess"

[no_logo]

μου αρέσει που έχει βάλει ερωτηματικό στον τίτλο

προφανώς είναι τρύπιος και οι γκουρού του mozilla foundation δεν δείχνουν κανένα ενδιαφέρον να τον φτιάξουν.
Και επειδή μου αρέσει να μιλάω με παραδείγματα στο νήμα Software, Security - Updates και Warnings είχα ποστάρει από τις 11/06/06 αυτό αυτό εδώ το μήνυμα

Από τις αρχές Ιουλίου είχαν προειδοποίηση από ειδικούς για συγκεκριμένο κενό ασφαλείας αλλά αδιαφόρησαν

Microsoft and Mozilla have acknowledged that a security hole in their Web browsers could let an intruder nab files, but say it is tough to exploit and so not that high a risk.

Internet Explorer and Firefox, as well as other Mozilla browsers, are flawed in the way they handle JavaScript, security experts warned this week. An attacker could use the problem to launch surreptitious file uploads, jeopardizing people's personal data, they said.

But exploiting the flaw requires so much user interaction that Microsoft and Mozilla don't think it poses much of a danger. The companies do not see a need to rush out a fix. Instead, both plan to address the bug in upcoming releases of their browsers, representatives said, but did not specify which update or when it might arrive.

Από ανθρώπους με τέτοια νοοτροπία τι περιμένεις;

[nnn]

Τώρα και στις ειδήσεις των 9
http://www.adslgr.com/forum/showthre...044#post792044

[manoulamou]

Τα μεγαλα πνευματα συναντωνται εντος και εκτος Firefox
Οταν λενε οι ζωοφιλοι τσακωνονται με τους μουσικοφιλους
κερδισμενος βγαινει ο εξυπνος καταναλωτης...Η ΟΧΙ?

[Patentman]

Εννοειται οτι ειναι σουρωτηρι.
Γιατι αλλωστε το χρησιμοποιω; Επειδη κανει δυο-σε-ενα, σουρωνω και τα μακαρονια (του BlindG ).

Φημες και προσπαθειες να σπασουν την επιτυχια πιστευω οτι ειναι ολα αυτα.

Off Topic

Γεια σου no_logo,
long time -no see.

[nickvog]

Θα δείξει με την 2.0 τί θα γίνει τελικά....

Πάντως το γεγονός της συνειδητοποίησης των όποιων υποτιθέμενων "κενών" στον κώδικα, ΠΡΙΝ την έλευση της νέας έκδοσης, τουλάχιστον θα επιφέρει σχετική εγρήγορση στους προγραμματιστές του Mozilla, με θετικά (ελπίζω) αποτελέσματα για την ασφάλεια των χρηστών.

Εγώ πάντως συνεχίζω να διατηρώ τις προτιμήσεις μου στον Firefox, αφού με έχει βολέψει πολύ, λειτουργικά, ενώ η απόλυτη παραμετροποίησή που προσφέρει (AdBlockPlus, NoScript, NukeΕverything, UserAgentSwitcher κλπ.) χαρίζει έντονη αίσθηση ασφάλειας στο σερφάρισμα (συνοδευόμενος πάντα από ένα τουλάχιστον software firewall) και, γενικά, είναι και ξεκούραστος σαν browser.




P.S. Λέτε να πρόκειται για "προβοκάτσια" της "μαμας" Μ$, ενόψει της επικείμενης κυκλοφορίας ανταγωνιστικών εκδόσεων browsers, πχ. ΙΕ 7 (λέμε τώρα...) ????

[Gordito]

Ρε το bug το διορθωσανε;;;;;;;
Αυτο με τη μνημη

[Varsos]

@nikchris: Μάγος είσαι????????????

[karystos]

Α ναι καλα,δες στο παρακατω λινκ πως το χουν διορθωσει.Παρατηρα οτι τον εχω κλειστο.
http://static.flickr.com/84/253469828_2f6296769a_o.jpg

Ο 1.5.0.7 ειναι.

[ogenikos]

Εγώ πάντως χρησιμοποιώ ΙΕ, Opera, FireFox περισσότερο ΙΕ και Opera, αλλά δεν μπορώ να πώ ότι έχω και μεγάλα προβλήματα και από τους τρείς, (εκτός απο μερικά σπάνια crash-αρίσματα του ΙΕ σε τίποτε περίεργες κ@λ@σελίδες), γιατί χρησιμοποιώ ad/popup/script blocker πρόγραμμα που είναι ειδικευμένο για αυτή τη δουλειά.
Θεωρώ αναξιόπιστη την ασφάλεια που λένε ότι σου προσφέρουν οι τελευταίες εκδόσεις των browsers που τους κάνουν Ελβετικούς σουγιάδες και κάνουν λίγο απ'όλα.
Ισως είμαι της παλιάς σχολής που ο browser ήταν για να να σερφάρεις, το popup killer για τα popups κ.ο.κ.
Επειδή ο Opera π.χ έχει bitorrent client plug-in, δεν σημαίνει ότι μπορεί να συγκριθεί με τους ειδικευμένους bitorrent clients όπως π.χ τον μTorrent.

[Gothic]

Φιρουλί, φιρουλά... Ο

[BlindG]

Ρε Όσιε Φιρούλιε, καλή και η (ιστορία της) Ο, αλλά η Φώφη τρέχει πιο γρήγορα

[nickvog]

Ρε Όσιε Φιρούλιε, καλή και η (ιστορία της) Ο, αλλά η Φώφη τρέχει πιο γρήγορα

[Gordito]

Ρε εννοω στην εκδοση 2 και μετα. Το bug με τη μνημη διορθωνεται/κουκουλωνεται απο το about:config αλλα δε θυμαμαι τωρα πως.

Off Topic

Μια μπουρδα ειναι ο firefox.Εχει πολυ καλυτερο rendering αλλα σε Ολα τα αλλα ειναι απλα ετη φωτος πισω..........