» »

Firefox 2.0.0.12 z resno varnostno luknjo

Firefox 2.0.0.12 z resno varnostno luknjo

Slashdot - Niti trije dnevi niso minili od izida Mozille Firefox 2.0.0.12, pa je že bila najdena prva kritična varnostna napaka v brskalniku.

Luknja se je pojavila v view source, ki skozi JavaScript omogoči dostop do vsebine praktično celotnega trdega diska. Zaenkrat se da zadevi izogniti z uporabo dodatka NoScript.

Izvorna novica je bila objavljena na Slashdotu, kjer se tudi krešejo mnenja o dejanski resnosti luknje.

75 komentarjev

«
1
2

Matko ::

V komentarji piše, da je to stara stvar, torej ni ranljiva samo v2.0.0.12, ampak tudi vse prejšnje verzije.

KoMar- ::

OMG FireFox ima varnostno luknjo? No way!! Jaz sem pa mislil, da če vsem uporabnikom Internet Explorerja priporočim FireFox, da bomo potem vsi carji in največji jebači :D

Liker ::

Tale novica je tak flamebait da je kar grozno, ampak upam da bo prevladala pamet :)

Kar se tice ranljivosti - nic presenetljivega zame. Vec ljudi bo uporabljalo nek SW, vec ranljivosti bo odkritih. Neranljiv SW pac ne obstaja (pustimo zdaj trivialne primere z nic funkcionalnosti).

Hardstyle ::

A da ti lahko vsak script kiddie brska po trdem disku je zate flame? In, da je ta bug znan že iz prejšnih verzij ampak še ga vedno niso popravli? v IE temah pa vsi pišete kok bugov ima, pa da jih ne odpravijo itd. ?

Meni dol visi za ta bug (uporabljam drug browser) ampak to je KRITIČEN bug in ne vem kako si lahko tako opevan brskalnik privošči, da ga ne odpravi?

CaqKa ::

to je tak fajn, ko se ti ff kar sam updejta na bolj nvo bolj bugasto različico :)
no upam da hitro poflikajo.. skratka.. brez densega klika in view source pa bo kul :?

edge540 ::

Kak bo to preraslo v kreganje IE vs Firefox vs vse ostalo:D

CWIZO ::

Ekipa Firefoxa je nasplošno malo lena, ko se gre za popravljanje. Očitno se sam z novimi featurji radi igrajo. V zadnjem mesecu sem jih vsaj 3x preklel, ker sem mogu neke workarounde delat okoli stvari, za katere vejo že 5 let da so pokvarjene pa se še kar ni nič naredilo.

Pa zadnje čase se mi firefox skoz neki sesuva. Kar tako na random (grem nanovo stran pa se usuje). Bom videl, če bo po temle updejtu kej bolš. Če ne bo bom mogu zgleda kaj drugega uporabljat za browsanje...
hancic.info
I can't uninstall it, there seems to be some kind of "Uninstall Shield"...

Gandalfar ::

CWIZO: Safari je vedno boljsi ;)

Hardstyle ::

Use opera :)

BendeR ::

Safari je vedno boljsi ;)


Ja, zdaj se sesuje samo še 10x na dan. :D
:=)

keber ::

Mislim da ni panike. Se spet pretirava.

Če samo pomislim recimo v službi, koliko folka po internetu brska z IE6 in tisti z Firefoxom. Oni z IE6 imajo vedno neke probleme ali z virusi ali s takimi in drugačnimi nevšečnostmi. Je Firefox mnogo bolj varen od tega.

scorpy ::

Uporabniki Opere se samo smejimo. :)

BendeR ::

Sem poskuso z Opero, a se nisma najbolj razumelal. Jaz sem ji reko osveži vsebino, slike ipd. vedno, ona je še kr grabla po 1 dan stari vsebini iz chacheja. Potem sem brisal chache po vsakem zaprtju, a je zadeva postala svinjsko počasna. To je dalo pojmu najhitrejši brskalnik čisto nov pomen.

No, da ne zanemarim še Safarija. Iz zanimanja sem si SPET inštaliral novo beto. Zadeva je naložla appleov home page, a ko sem hotel odpret komaj drugo stran (slo-tech) je zadeva zginla neznano kam. Pomagal je le ponovni zagon. :)

P.S. Da me ne bo imel kdo za Firefox fanboya. Moja filozofija je .. uporabljaj ff dokler je beta in se ga losaj, ko je final. Pri meni namreč še nobena final verzija ni delala kot more - naprem beti, ki se vsaj sesuva ne tako pogosto. Bog si ga vedi zakaj. :D

IE pa mi je enostavno anti že sam po sebi. Sicer sem ga probal uporabljat kak mesec, a sem hitro začel uporabljat spet FF, ki ga uporabljam od verzije 0.2 dalje. Postaja pa z vsako verzijo večji krš. :P

PS. 2 Za foro bom Safari uporabljal 1 tedn in pridno štel kolk krat se bo govedna sesula. :D
:=)

Zgodovina sprememb…

  • spremenil: BendeR ()

Hardstyle ::

Bender pri operi si lahko nastaviš velikost cache in kdaj se ti naj izprazni (Empty on exit). Ctrl+f12 - advanced-history, nastaviš na automatic in recimo 5mb ter narediš klukico na Empty on exit in to je to.

CWIZO ::

Gandalfar: mam inštaleran. Sam mi izgled fontov ne sede tam kej preveč :)
hancic.info
I can't uninstall it, there seems to be some kind of "Uninstall Shield"...

BendeR ::

Sem dal empty ob vsakem zaprtju browserja. ;)

Opero sem uporabljal še v časih starega Slo-Compa (se mi zdi da je blo nekje leta 2000), kot main browser, a je z vsako verzijo postala večji krš. Vedno več navlake ki je ne potrebujem in je tudi nočem. Potem so začeli še z reklamami in si mogo zadevo celo "crackat", da si dobil add free browser. No, na srečo so to potem odpravili. Še vedno pa ostaja krš od brskalnika poln navlake in z nastavitvami, ki jih niti sam ne upošteva.

Glede uporabe Safarija. Po dobih 30 minutah sem doživel enih 50 errorjev, ko sem se želel prijavit na moje priljubjene strani/forume. Vedno je error bil isti in je po tolčenju na refresh gumb po 10 poskusih izginil in stran je začela delovat.

Drugi velik minus iz strani uporabnosti. Ko klikneš na url se ne označi cel in potem moreš označevat ročno, kar pri nekaterih straneh nanese nemalo čakanja. Naj nekdo to proba na mobile.de, ki ti poda link daljiši od bibilje.

P.S. Glede urlja sem najdo rešitev. Moreš kliknit na ikonico poleg urlja. :P
:=)

Zgodovina sprememb…

  • spremenil: BendeR ()

upirna ::

Firefox je cute k ma še firebug. Si sploh ne predstavljam več, kako bi razvijal aplikacije (še posebje ajax fore) brez tega.

Je pa res, da se včasih sesuje in da je požrešen.

IE6 itak ni omembe vreden, IE7 ima pa grde fonte.

Opero sem uporavljal kak mesec nekaj let nazaj pa sem prešaltal nazaj na ff. Nekako mi ni bilo tako udobno kot v ffju.
[to sporočilo bo spremenil upirna, kadar bo to njemu pasalo]

MrStein ::

Pa da ti v status baru pokaže URL, kam bo šel klik na neki URL/link/gumb jim je tudi težko narihtat. (govorim o FF)
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

PARTyZAN ::

MrStein: FF po defaultu v statusbaru prikazuje "hoverano" povezavo.

km- ::

men je definitivno najbolj kul uporabljat ff, zarad izgleda, pluginov in bookmarkov, imam pa se opero in safari za web development. edina stvar ki mi gre na k pri ffju je to da se prakticno za vsak bolj advance javascript zamrzne za par sekund da ne mors nic, potem pa naprej loada (os x)

In Extremis ::

Luknja se je pojavila v view source, ki skozi JavaScript omogoči dostop do vsebine praktično celotnega trdega diska.


AFAIK, v takšni obliki kakor je bug objavljen omogoča zgolj pregledovanje vsebine direktorija %ProgramFiles%/Mozilla Firefox/ in ne celotnega diska. Seveda vedno obstaja možnost, da se odkrije directory traversal vektor...

Kot bonus (od istega security researcherja) pa še zanimiv phishing vektor:

Copy/Paste to address bar
http://:www.google.si@www.microsoft.com

krho ::

@upirna: ugasni firebug za vse strani razen za tiste na katerih delaš razvoj. Poraba rama se bo po daljšem browsanju čudežno zmanjšala :)
si.Mail odprto-kodni odjemalec elektronske pošte. - http://www.simail.si
Uredite si svojo zbirko filmov, serij in iger - http://xcollect.sf.net

grex ::

Jaz FF zamerim samo to, da še po tolikem času niso zrihtali počasnosti na linux sistemih (nppr. mouse gestures - mouse trails ipd.).
Sem primoran uporabljati opero, ki mi je sicer ok, ampak bi mi FF (če bi vsaj tako delal kot na winsih) bolj sedel.

Filo ::

safari je nor..posebej zdej ko so z beta4 porihtal glajenje fontov na razumljivo raven..prej je blo pa res vse bold ^^

opera je tud fajn drgač... ff mi pa ne diši več od kar se mi je začel ful dolg nalagat ko ga odprem...kar mije čudno, ker nimam praktično nobenih addonov, mogoče ima kdo kak predlog?

MrStein ::

PARTyZAN:
MrStein: FF po defaultu v statusbaru prikazuje "hoverano" povezavo.


(kurzor je kjer je rdeči križec, na skrinšotu se ga ne vidi)
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

MrStein ::

In Extremis:
Kot bonus (od istega security researcherja) pa še zanimiv phishing vektor:

Copy/Paste to address bar
http://:www.google.si@www.microsoft.com

Ni to pet let stara finta ???
Aja, kot ime te opozori, za geslo pa ne...
No ja, bi mogel lepo zavrniti nepravilen URL, tako kot to naredi IE.

To je tisto, ko so eni (in jaz) govorili, da so FF-jevci malo "počasni". Ene stvari nočejo pofiksat, pa če jim kolena vrtaš.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

[MYTiX] ::

Glede uporabe Safarija. Po dobih 30 minutah sem doživel enih 50 errorjev, ko sem se želel prijavit na moje priljubjene strani/forume. Vedno je error bil isti in je po tolčenju na refresh gumb po 10 poskusih izginil in stran je začela delovat.


Seveda to velja za Safari na Windowsih. Na Macu deluje bp.

Drugi velik minus iz strani uporabnosti. Ko klikneš na url se ne označi cel in potem moreš označevat ročno, kar pri nekaterih straneh nanese nemalo čakanja. Naj nekdo to proba na mobile.de, ki ti poda link daljiši od bibilje.


Kaj pa če dvoklikneš na url? Potem ti označi cel url. Enako kot v večini text editorjev.
podpis

Celeborn ::

MrStein: Firefox čisto lepo pokaže, kam gre povezava. Ali je pri tebi kaj narobe, ali pa je stran v flashu. V slednjem primeru ti pa noben brskalnik ne more pomagat.
If air travel is so safe, why do they call it a "terminal"?

arjan_t ::

ff3 je cisto lepo hiter, ceprav se mu zna zataknit ob zapiranju gmaila za par sekund

PARTyZAN ::

MrStein: kot je ze Celeborn napisal ... nekaj je narobe pri tebi, ali pa stran izrablja kaksen cuden nacin za linke.

Podaj se URL, da vidimo za kaj se gre? :P

BendeR ::

Kaj pa če dvoklikneš na url? Potem ti označi cel url. Enako kot v večini text editorjev.


Se ne zgodi nič. :D
:=)

Vlady ::

Velik časa so rabl da so najdl tole lukno. Zdej nej pa najdejo še memory-leak lukne, ker mozilla žre tolk RAM-a da je kar grdo. Sodelavec ima rekord: 1,5GB skupaj RAM in virtual (nekaj čez 700Mb RAM-a na windows server 2003, uptime 20dni).
"Lotereya - naibolee točnyj sposob učeta količestva optimistov"

krho ::

@In Extremis: Meni čisto lepo odpre stran od malega mehkega brez kakršnikoli obsvetil. Samo izgine tisti del pred afno. drugače je pa to tako ali tako način za podajo u/p za prijavo na stran.
si.Mail odprto-kodni odjemalec elektronske pošte. - http://www.simail.si
Uredite si svojo zbirko filmov, serij in iger - http://xcollect.sf.net

sidd ::

Uporabniki Opere se samo smejimo.


podpis...
no idea for signature
signed
I

Celeborn ::

krho: ravno to je point, ne bi smelo samo izginiti. Predstavljaj si, da je prvi del naslova en dolg legitimen url, drug del pa slabonamerna stran. Kaj se zgodi? Uporabnik vidi najprej samo tisti legitimen del, spregleda pa slabonamerno stran. Pristane pa na napači strani, kjer se lahko zgodi kaj hudega.

Poskusi odpreti stran v IE, pa boš videl, kaj naj bi se zgodilo.
If air travel is so safe, why do they call it a "terminal"?

In Extremis ::

@krho

V bistvu bi te FF moral opozoriti na "redirect":


http://%20:www.google.si@www.microsoft....

Zgodovina sprememb…

Tilen ::

Meni naredi točno to, kar naredi v IE.

413120536c6f76656e696a612c20642e642e

Zgodovina sprememb…

  • spremenil: Tilen ()

poweroff ::

Mene pod Ubuntujem ne opozoril. Je pa res, da "popravi" URL.

Sicer je pa to že hudo stara finta.
sudo poweroff

In Extremis ::

@Tilen

1.)
http://:www.google.si@www.microsoft.com
(will escape)

2.)
http://%20:www.google.si@www.microsoft....
(pop-up warning)

Privzeto IE7 sploh ne procesira tovrstnih zahtevkov:
http://support.microsoft.com/kb/834489

@Matthai
Sometimes they return...

Zgodovina sprememb…

Loki ::

opera je dobra ja, je pa zalost, da nekaterih strani opera ne zrenda dobro, medtem ko jih ff in ie perfektno. kaj je pa tam tako posebnega, pa ne vem (javascript verjetno)
I left my wallet in El Segundo

kriko1 ::

To da ne zrenderira dobro je že zrabljena fora, spomnite se novo. Ko delam na portalu preverjam design sproti v operi, ff ter konquerorju in vsi izrišejo enako, edino za IE je treba prilagajat.

Loki ::

saj jaz uporabljam opero in se vcsaih kaksni menuji (ali kaj podobnega, ne spomnim se sedaj) ne kazejo dobro, kaksen tezak js zna delati probleme (yahoo mail raje gledam z ie)
I left my wallet in El Segundo

krho ::

%20 je pa druga zadeva. v prvem sporočilu manjka presledek.
si.Mail odprto-kodni odjemalec elektronske pošte. - http://www.simail.si
Uredite si svojo zbirko filmov, serij in iger - http://xcollect.sf.net

kriko1 ::

@Loki: to je pa čisto možno ker ne uporabljam js.

Hardstyle ::

Pa žal je tudi pri ajaxu opera bolj boga se mi zdi.

___ ::

itak je opera bolš. da ff ni najvarnejši je pa jasno vsakmu k vsake tolk časa mal spuca komp..k se nabere precej nesnage.z opero se mi nabere vsaj pol manj nesnage na računalniku

Filo ::

jap bo treba porbat tole beta3...me zanima, če imaže glajenje fontov

[BISI] ::

Velik časa so rabl da so najdl tole lukno. Zdej nej pa najdejo še memory-leak lukne, ker mozilla žre tolk RAM-a da je kar grdo. Sodelavec ima rekord: 1,5GB skupaj RAM in virtual (nekaj čez 700Mb RAM-a na windows server 2003, uptime 20dni).


Firefox nima tezav z memory leaki (te je namrec enostavno najti), ampak je problem nekoliko vecji - memory fragmentation. Na tem se dela...
And then I saw her face... Mozilla Firefox

arjan_t ::

v ff3 so zelo izboljšali porabo rama, čez 120MB mi sploh ne gre
«
1
2


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Acid3 test brskalnikov spet dal misliti razvijalcem

Oddelek: Novice / Znanost in tehnologija
386229 (3980) zee
»

Firefox 3 s trenutno najmanjšo porabo pomnilnika (strani: 1 2 )

Oddelek: Novice / Brskalniki
7611357 (7697) lukanium
»

JavaScript + fade

Oddelek: Izdelava spletišč
161802 (1437) arjan_t
»

Firefox 2.0.0.12 z resno varnostno luknjo (strani: 1 2 )

Oddelek: Novice / Varnost
7510688 (6496) Loki

Več podobnih tem