» »

Odkrita prva varnostna ranljivost brskalnika Mozilla

Odkrita prva varnostna ranljivost brskalnika Mozilla

Mozillazine - Pred dvema dnevoma so v brskalnikih, ki temeljijo na Gecko/Mozilla platformi odkrili napako, pri kateri lahko napadalec preko shell: protokola zažene poljubno datoteko na uporabnikovem računalniku, vendar pa mora poznati popolno pot do nje.

To je sicer dokaz, da tudi odprto programje ni varno pred napadi, vendar pa je bila napaka odpravljana prej kot v 48 urah po prijavi hrošča na Buggzili.

Tako je že na voljo popravljena različica brskalnika Mozilla FireFox (0.9.2), na voljo pa je tudi popravek v obliki XPI obliža.

Ranljivost sistema lahko preverite na tej tej povezavi (nekatere od varnostnih ranljivosti na tej strani delujejo tudi v brskalniku Internet Explorer).

60 komentarjev

strani: « 1 2

Matev ::

mozzila je varna samo toliko časa dokler je ne začne uporabljat večje število ljudi

potem pa tudi na njej najdejo luknje

fr0sty ::

Se cisto strinjam...pa se odpravljanje le teh traja in traja in traja :D :D

ahac ::

A ni tole bolj bug Windowsov, kot pa browserja?
Z patchi Mozilla samo blokira Windows funkcijo. :\
Slo-Tech Discord - https://discord.gg/ppCtzMW

V-i-p ::

Če za bug ni krivo vreme, stara mama, copati in metla, je pa treba winse not porinat, rajt? :D :D :D
Kar lahko storiš danes ne odlašaj na jutri. Raje reci, da si naredil že včeraj!

nicjasno ::

Whatever... 1 cel bug so nasli, IE jih je pa poln kot svicarski sir.
www.nicjasno.com | www.vsejasno.com

borchi ::

linux userji smo varni?
l'jga

krho ::

Ja v bistvu po moje kar so krivi windows za tole, ker so ranljivi samo upor. win 2k, XP in 2k3.
(Nisem mogel dodati v novico, sem imel slo-tech blackout, ko pa sem lahko prišel do njega pa je bila novica že objavljena.(SiOL ADSL -- ja ja bom takoj zrihtal tisto s porti))
si.Mail odprto-kodni odjemalec elektronske pošte. - http://www.simail.si
Uredite si svojo zbirko filmov, serij in iger - http://xcollect.sf.net

jeti51 ::

Pravilno je "pred dvema dnevoma"...

|CyGNUS-x ::

Se popolnoma strinjam, da dokler neko stvar uporablja določeno število ljudi (beri: dokaj malo v primerjavi s konkurenčnimi izdelki) ne bo veliko zanimanja crackerjev zanje. Če pomislimo, da je stvar opensource je zdržala zelo dolgo. Vse pohvale!
Ni in ne more biti nobenega drugega načina za preizkušanje
resnične moči kapitalistične države kot je vojna.

Mavrik ::

Pa dajte se že pravilno naučit pisat. Mozilla je, ne mozzila.
The truth is rarely pure and never simple.

Primoz ::

Na Slo-Techu Geckota (Mozilla + Firefox + še kaj) uporablja več kot 50% vseh uporabnikov.
There can be no real freedom without the freedom to fail.

Microsoft ::

Mislim, da je to posledica IE down, Mozilla up.


by Miha
s8eqaWrumatu*h-+r5wre3$ev_pheNeyut#VUbraS@e2$u5ESwE67&uhukuCh3pr

BigWhale ::

Na 0.9.1 Win2k SP4 zadeva ne dela... Vse kar dobis je error message o napaki, da file ne obstaja...

undefined ::

Ko se bo na Google statistikah stanje obrnilo in bo število uporabnikov Mozille dejansko višje od števila uporabnikov IEja, bo tudi razglašenih exploitov Mozille na ravni današnjega IEja. Po mojih občutkih pa še dosti več.

MasterMind ::

Sam poglej čas popravka... In ga primerji z objavo popravkov od IE-ja :D

ghaefb ::

Jooo ste pa sitni s tem "ko bo mozilla tako razširjena.. bo število lukenj narastlo..."
To je pa ja jasno kot beli dan, tarča crackerjev in luknjo-iskalcev je tisti software, ki je najbolj razširjen, a je treba 100x to povedat!?

IceMan, zanimivi občutki.. po mojih občutkih pa precej manj.

Preberte si raje to novico na www.newsforge.com

Kostko ::

Ekhm, security related bugi v open source projektih so odpravljeni takoj, tko da ne se zdej tlele delat kako je pa to, ko najdejo bug v Mozilli že kar znak slabosti. Saj je tudi v Linux kernelu veliko odkritih security related bugov, pa so popravki vedno takoj na voljo.

Tega pa ne bi moral trditi za IE & co. :\
Human stupidity is not convergent, it has no limit!

borchi ::

zanimiv je pa drugi del tegale stavka na strani s primerom o nevarnosti http://www.mccanless.us/mozilla/mozilla_bugs.htm:

The following link successfully link to the Windows(Winnt) directory of the user's machine. Note IE SP1 supposedly stopped access to local files BUT this also works on IE 6.0 fully patched

pizdarija, pa lih ko sem si spet takoj naložu omiljeni mi IE, ccc... :D
l'jga

kopernik ::


Ko se bo na Google statistikah stanje obrnilo in bo število uporabnikov Mozille dejansko višje od števila uporabnikov IEja, bo tudi razglašenih exploitov Mozille na ravni današnjega IEja. Po mojih občutkih pa še dosti več.


No, ko in če se bo to zgodilo, bomo začeli uporabljati nekaj drugega :))
A ti mogoče misliš, da smo čustveno navezani na točno določeno programje. Sam vem, da nisem. Tako kot sem zamenjal windowse z linuxom in IE z firefoxom, lahko zamenjam tudi linux s čim tretjim.

humanoid ::

kako glupi ljudje obiskujejo slo-tech 8-O :\ :\
Vi uporabljajte IE in ostalo sranje pa bo. Po mojem lahko pogledam na disk od 50-60% uporabnikov tukaj gor, brez kakršnih težav, brez opazka. Itak ste vsi tako pametni in varni, ja sej mate firewall. Firewall vas ne brani pol kur** nič, če vi nimate pojma
:\ :\
Slo-tech, ja pred leti je blo še kar zdej pa sami začetniki, ki mislijo, d aje Bill Gates hodil k njim na inštrukcije

Z-lot ::

Samo tole vam povem:

Opera powah! 8-)

krho ::

Z-lot. tudi opera je ranljiva... ista fora tako da
si.Mail odprto-kodni odjemalec elektronske pošte. - http://www.simail.si
Uredite si svojo zbirko filmov, serij in iger - http://xcollect.sf.net

MasterMind ::

Samo Opera je closed project ;). (in še ni vodilna... zaenkrat...)

CCfly ::

Kolikor vem Opera boleha za identičnim hroščem, ki je bil pred kratkim prav tako odpravljen. Hrošč pa je tukaj zaradi slabe varnostnke politike Oken, ki dopustijo izvedbo programa.

Ziga Dolhar ::

> Hrošč pa je tukaj zaradi slabe varnostnke politike Oken, ki dopustijo izvedbo programa.

Zdi se, da bi bili tudi pred temi hrošči uporabniki varni, če računala ne bi uporabljali z administratorskim računom.

>:D
Legal systems are not supposed to be efficient. They are
designed to ensure that innocent people are not found guilty.
If that requires inefficiencies, so be it.

CCfly ::

Ne vem če bo držalo. Možno da bi bilo to že dovolj. Kolikor vem ste po namestitvi zadnje predizdaje SP2 varni.

Jeebs ::

vendar pa mora poznati popolno pot do nje.


Big deal, pa taka luknja.:D Kako pa bo nek osebek izvedel polno pot do ene moje datoteke? Razen tistih standardnih seveda (c:\windoze recimo). Kakšnega formata se manj bojim, kot pa recimo tega, da bi mi kdo prek remote trojanca vse nadziral.
Press any key to continue... RESET. Didn't you say ANY key?!?!?!

hruske ::

al pa če reče "shell:c:\windows\system32\rundll.exe%20wgetni_nekaj_z_neta_in_tisto_poženi"


brihtno...:\

CCfly ::

Kakor da uporabnikom Oken Internet sploh deluje. Daj razmišljaj malo.

Microsoft ::

Kakor da uporabnikom Oken Internet sploh deluje.

Kako si tole mislil?


by Miha
s8eqaWrumatu*h-+r5wre3$ev_pheNeyut#VUbraS@e2$u5ESwE67&uhukuCh3pr

CCfly ::

Saj vem da imam obskurni smisel za humor ampak tako zelo slab pa spet ni.

Z-lot ::

Nekateri ga razumemo, brez skrbi.
:)) :)) :))

undefined ::

> Saj vem da imam obskurni smisel za humor ampak tako zelo slab pa spet ni.

Geek humor. Kdor ni geek, naj si ne brihta glave. :)

Person ::

Vao, celo spet ena nova novica o internetnih brkalnikih.
Pa samo 33 komentarjev ... ejejejejejejejej. A smo se že naveličali?
Let's make something useful!

3p ::

Lepo, da je popravek razmeroma hitro na voljo... Ampak če se spomnite, je bila večina exploitov za Winse zunaj šele po popravku, pa je bil celi šmorn. Ljudem se ne ljubi vsak dan flikat programov (bi moralo biti čisto avtomatsko).

MasterMind ::

Sej ma FireFox auto update? Če ne, pa kliknš na .xpi link, ki je dodan. (tako kot v novici na ST...)

undefined ::

> Sej ma FireFox auto update?

Aja? Kje?

Sicer pa sam sovražim, da se mi v ozadju poganjajo popravki in mi kradejo bandwidth in ostale resorse. Ko potegnem določen program, pričakujem, da z njim ne bom imel težav vsaj nekaj mesecev.

Mavrik ::

IceMan si pa optimističen.
The truth is rarely pure and never simple.

MasterMind ::

Aja kaj pa Windows Update? K ti laufa v ozadju in vleče...

undefined ::

> IceMan si pa optimističen.

Niti ne. Večino aplikacij, ki jih uporabljam, ustreza temu kriteriju.

V Linuxu pa bi bila zgodba povsem drugačna. Še vedno pomnim dnevov, ko sem v eni uri odkril goro hroščev in že drugi dan za nekatere od njih našel tudi popravke. Seveda pa se zgodba tu še ni končala in sem bil ponovno primoran čakati na naslednje popravke za določeno funkcijo. S tem, da so novi popravki kdaj tudi prinesli nove hrošče.

> Aja kaj pa Windows Update? K ti laufa v ozadju in vleče...

Meni nikoli. :)

MasterMind ::

No autoupdajterji so zato, d olajšajo delo. Aja zakaj nimajo te programi tolk velik programov. Ker niso brskljalniki ali pa kakšen drug del programja za Internet. (Antivirus, FireWall itd.) In a ti pričakuješ od Antivirusa, d se ne bo sam updejtaval?

undefined ::

> In a ti pričakuješ od Antivirusa, d se ne bo sam updejtaval?

Točno tako, ker ga tako ali tako poženem le enkrat na tri mesece. Podobno kot defrag. :)

Jernej L ::

http://www.mccanless.us/mozilla/mozilla...
firefox 0.9.1 je brez problemov nepatchan prestal vse te linke na tisti strani :P

ghaefb ::

IceMan ti poganjaš defrag ? :P
ne me j...

Kje so tisti časi fat32 particij, ko je blo treba defragmentirat disk.... daleč daleč
Za NTFS nevem, vem pa da na ext2/3, ReiserFS, JFS, XFS,.. takšnih stvari ni potrebno več uporabljat.

undefined ::

To nam je že jasno, ghaefb, da zelo malo veš. Jaz na tvojem mestu tega ne bi še eksplicitno izražal. :)

borchi ::

firefox 0.9.1 je brez problemov nepatchan prestal vse te linke na tisti strani :P

tale firefox je pa res en drek! še exploitov ne zna prav prikazat ;-))) hec! že en dan me ma, da bi bootnal windows in šel pogledat te linke - naj edn reče da delajo, da ne bom "na uro hodu gledat" v windows.
l'jga

MrStein ::

Jebs : "Big deal, pa taka luknja.:D Kako pa bo nek osebek izvedel polno pot do ene moje datoteke? Razen tistih standardnih seveda (c:\windoze recimo). "

Lahko pa izkoristi buffer overflow v ene standardnem programu ... -> zagon poljubne kode , pardon ZlobneKode™ ;)

MrStein ::

IceMan : "Niti ne. Večino aplikacij, ki jih uporabljam, ustreza temu kriteriju."

Jih lahko nekaj našteješ. Kaj uporabljaš recimo za arhive ( ZIP etc. ) ?

MrStein ::

"prva varnostna ranljivost brskalnika Mozilla"

A je to res prva ? Prej ni bilo nobene ?
strani: « 1 2


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Internet Explorer je najmanj varen brskalnik (strani: 1 2 )

Oddelek: Novice / Varnost
798314 (6095) Matevžk
»

Ko ST-jevci brskalnik na ogled postavijo

Oddelek: Programska oprema
221726 (955) njok
»

Firefox 1.0 je tu! (strani: 1 2 3 )

Oddelek: Novice / Brskalniki
1277596 (7596) MrStein
»

Novi vstavki za brskalnike

Oddelek: Novice / Brskalniki
62025 (2025) noraguta
»

Problemi z internet explorer-jem!

Oddelek: Omrežja in internet
10800 (655) Dr_M

Več podobnih tem