Εμφάνιση 1-13 από 13
  1. #1
    Εγγραφή
    05-05-2004
    Μηνύματα
    953
    Downloads
    0
    Uploads
    0
    Το σφάλμα επηρεάζει τους χρήστες του firefox και του mozilla σε λειτουργικά Windows XP και των Windows2000 και επιτρέπει την εκτέλεση οποιουδήποτε τοπικού εκτελέσιμου με την χρήση ενός URI της μορφής shell://.../format.exe. Όταν ο firefox ή ο mozilla βλέπει ένα URI του οποίο του πρωτόκολλο δεν αναγνωρίζει περνά το URI αυτό στο λειτουργικό. Τα windows στην περίπτωση του πρωτοκόλλου shell απλά τρέχουν το εκτελέσιμο που δείχνει το URI, πράγμα που είναι ανασφαλές.

    Υπάρχει ήδη ανανεωμένη έκδοση που διορθώνει το σφάλμα αυτό στο επίσημο site του mozilla. Οι χρήστες άλλων λειτουργικών συστημάτων δεν επηρεάζονται.

    Για περισσότερες πληροφορίες
    http://www.eweek.com/article2/0,1759,1621463,00.asp

  2. #2
    Εγγραφή
    02-11-2003
    Περιοχή
    Επαναπατρισθείς στην Αθήνα
    Ηλικία
    49
    Μηνύματα
    56.427
    Downloads
    64
    Uploads
    73
    Τύπος
    VDSL2
    Ταχύτητα
    102400/10240
    ISP
    Vodafone
    Path Level
    Fastpath
    Έγραψες sandman. Εύγε.

    Σωστο-παίρνονται ήδη.
    Επιτέλους το ελάχιστο δυνατό, ευέλικτο, και ψηφιακό κράτος. Με διαρκή αξιολόγηση.

  3. #3
    Το avatar του μέλους a_x
    a_x Guest
    Το fix σε αυτό το λινκ για xp συγκεκριμένα και για mozilla browser+firefox+thunderbird.

    Σε κάθε περίπτωση ήδη έχουν βγει καινούριες εκδόσεις που έχουν το fix ενσωματωμένο.
    Mozilla 1.7.1,
    Mozilla Firefox 0.9.2
    και Mozilla Thunderbird 0.7.2

  4. #4
    Εγγραφή
    26-09-2003
    Μηνύματα
    17.713
    Downloads
    9
    Uploads
    0
    Τύπος
    VDSL2
    Ταχύτητα
    200/20 Mbps
    ISP
    Cosmote
    SNR / Attn
    9(dB) / 7(dB)
    Path Level
    Interleaved
    Πωπω τραγικό ακούγεται.. Υποτίθεται ότι τον Mozilla τον προτιμούμε για μεγαλύτερη ασφάλεια, και τελικά υπήρχε τόσο απλός τρόπος να τρέξουν από site local αρχεία σου;

    Να κάνω και μια ερώτηση πάνω σε αυτό.. Λογικά ένα firewall με IDS δεν θα 'έπιανε' κάτι τέτοιο; Ότι δηλαδή το mozilla.exe πάει να τρέξει το τάδε αρχείο (στο συγκεκριμένο παράδειγμα το format.com); Έτσι καθαρά από απορία...

  5. #5
    Εγγραφή
    02-11-2003
    Περιοχή
    Επαναπατρισθείς στην Αθήνα
    Ηλικία
    49
    Μηνύματα
    56.427
    Downloads
    64
    Uploads
    73
    Τύπος
    VDSL2
    Ταχύτητα
    102400/10240
    ISP
    Vodafone
    Path Level
    Fastpath
    Παράθεση Αρχικό μήνυμα από psyxakias
    Πωπω τραγικό ακούγεται.. Υποτίθεται ότι τον Mozilla τον προτιμούμε για μεγαλύτερη ασφάλεια, και τελικά υπήρχε τόσο απλός τρόπος να τρέξουν από site local αρχεία σου;

    Να κάνω και μια ερώτηση πάνω σε αυτό.. Λογικά ένα firewall με IDS δεν θα 'έπιανε' κάτι τέτοιο; Ότι δηλαδή το mozilla.exe πάει να τρέξει το τάδε αρχείο (στο συγκεκριμένο παράδειγμα το format.com); Έτσι καθαρά από απορία...
    Το exploit αυτό ουσιαστικά είναι των Windowsκαι όχι του Mozilla.

    Οποιοσδήποτε browser το περάσει στα Windows ως URL της μορφής:

    shell://format.exe

    τα Windows το τρέχουν.

    Το περνά και ο IE έτσι.

    Στο Mozilla απλά έβαλαν πλέον να μην το περνά στο shell.

    Η πατάτα είναι των Windows.
    Επιτέλους το ελάχιστο δυνατό, ευέλικτο, και ψηφιακό κράτος. Με διαρκή αξιολόγηση.

  6. #6
    Εγγραφή
    26-09-2003
    Μηνύματα
    17.713
    Downloads
    9
    Uploads
    0
    Τύπος
    VDSL2
    Ταχύτητα
    200/20 Mbps
    ISP
    Cosmote
    SNR / Attn
    9(dB) / 7(dB)
    Path Level
    Interleaved
    Χμμ τόσο απλό είναι; Δοκίμασα να γράψω shell://regedit.exe και shell://f:/windows/regedit.exe στον Mozilla Και στον IE και δεν έβγαλε κάτι.

    Μήπως δεν είναι τόσο απλό όσο πίστεψα ότι είναι;

  7. #7
    Το avatar του μέλους chatasos
    chatasos Guest
    shell:windows\regedit.exe

    Και shell:windows\chatasos.htm για να τεστάρετε πόσο γρήγοροι είσαστε

    ΥΓ: Προσοχή στο 2ο

  8. #8
    Το avatar του μέλους sdikr
    sdikr Guest
    shell:windows\regedit.exe
    σε εμένα (αν και με Myie2) Μου έβγαλε παράθυρο για να το κάνω download

  9. #9
    Εγγραφή
    05-05-2004
    Μηνύματα
    953
    Downloads
    0
    Uploads
    0
    Το σφάλμα είναι σαφώς των Windows. Γενικά η ιδέα να έχεις ένα πρωτόκολλο shell που να τρέχει όποιο πρόγραμμα δείχνει ένα URI είναι πραγματικά για γέλια. Προφανώς και η microsoft το ίδιο πιστεύει και για αυτό στο serveice pack 2 το έχει διορθώσει. Ο Mozilla απλά βουλώνει τις τρύπες του λειτουργικού της Microsoft και αυτό φαίνεται και από το γεγονός πως το vulnerability αφορά μόνο τα λειτουργικά της.

    Αυτό που πρέπει να κρατήσουμε απ'όλη την ιστορία είναι η υπευθυνότητα των open source developers που έσπευσαν σε μερικές ώρες να βουλώσουν τις τρύπες της microsoft, αντί ας πούμε να περιμένουν από την microsoft να βγάλει patch. Και την ίδια στιγμή η microsoft έχει αφήσει εκτεθυμένους τους χρήστες για παραπάνω από ένα μήνα σε ένα από τα σοβαρότερα exploits[1] και ακόμα δεν έχει βγάλει patch.

    [1] http://www.computerworld.com/securit...,94366,00.html

  10. #10
    Το avatar του μέλους sdikr
    sdikr Guest
    sandman,
    όπως ανάφερα παραπάνω μέσω του Myie2 (ie) δεν μου έκανε καμία μαμακία!


    και φυσικά στα παιδιά του Open source δίνω credit γιατί το βρήκαν και το έφιαξαν

  11. #11
    Εγγραφή
    06-11-2002
    Περιοχή
    Λαμία
    Ηλικία
    43
    Μηνύματα
    3.981
    Downloads
    2
    Uploads
    0
    Ταχύτητα
    12288/1024
    ISP
    Wind
    DSLAM
    Wind - ΛΑΜΙΑ
    Εγώ έχω κάνει ήδη την αναβάθμιση και ότι shell και να του γράψω με πετάει στην Shell (βλέπω βενζίνη)!!!

  12. #12
    Εγγραφή
    05-05-2004
    Μηνύματα
    953
    Downloads
    0
    Uploads
    0
    Παράθεση Αρχικό μήνυμα από sdikr
    sandman,
    όπως ανάφερα παραπάνω μέσω του Myie2 (ie) δεν μου έκανε καμία μαμακία!
    Αυτό το λες για να αποδείξεις ότι τα windows είναι ασφαλή; Τα θέματα αυτά θα έπρεπε να τα διαχειρίζεται το λειτουργικό και όχι ο κάθε browser ξεχωριστά. Ακόμα και ο απλός IE δεν κάνει την μαμακία αλλά σε ρωτάει τί θες να κάνεις ή κάτι τέτοιο. Την μαμακία την έκαναν οι developers του mozilla που θεώρησαν τον URI handler του λειτουργικού ασφαλή. Απλά οι developers του ΙΕ ήξεραν από πρώτο χέρι πόσο ασφαλή είναι τα windows και πήραν τα μέτρα τους.

    Αυτό που έκαναν οι developers του ΙΕ και πλέον και του mozilla είναι να βουλώσουν μια ακόμα τρύπα των windows. Ακόμα και αν δεν θες να παραδεχτείς πως είναι σφάλμα ασφαλείας των windows, είναι σίγουρα σφάλμα σχεδιασμού.

  13. #13
    Το avatar του μέλους sdikr
    sdikr Guest
    Αυτό το λες για να αποδείξεις ότι τα windows είναι ασφαλή;
    οχι

Παρόμοια Θέματα

  1. Μηνύματα: 167
    Τελευταίο Μήνυμα: 09-08-06, 11:39
  2. Δυό κενά ασφάλειας στον Mozilla Firefox
    Από aesir στο φόρουμ Ειδήσεις
    Μηνύματα: 0
    Τελευταίο Μήνυμα: 10-05-05, 12:25

Tags για αυτό το Θέμα

Bookmarks

Bookmarks

Δικαιώματα - Επιλογές

  • Δεν μπορείτε να δημοσιεύσετε νέα θέματα
  • Δεν μπορείτε να δημοσιεύσετε νέα μηνύματα
  • Δεν μπορείτε να αναρτήσετε συνημμένα
  • Δεν μπορείτε να επεξεργαστείτε τα μηνύματα σας
  •  
  • Τα BB code είναι σε λειτουργία
  • Τα Smilies είναι σε λειτουργία
  • Το [IMG] είναι σε λειτουργία
  • Το [VIDEO] είναι σε λειτουργία
  • Το HTML είναι εκτός λειτουργίας