» »

Odkrita resna varnostna ranljivost v Firefox 3

Odkrita resna varnostna ranljivost v Firefox 3

Mozilla.org - Kmalu po izidu Firefox 3 so na TippingPoint objavili informacijo (ranljivost ZDI-CAN-349), da so preko programa Zero Day Initiative nekaj ur po uradnem izidu Firefoxa dobili informacijo o visoko kritični ranljivosti tega spletnega brskalnika.

Ranljivost v Firefox 3.0 in 2.x omogoča zagon poljubne programske kode, potrebno pa je minimalno "sodelovanje" uporabnika (klik na povezavo ali obisk okužene spletne strani). Pri TippingPoint so o ranljivosti nemudoma obvestili razvijalce Firefoxa, ti pa pravijo, da na odpravi napake že intenzivno delajo ter poudarjajo da izraba varnostne ranljivosti še ni javno dostopna.

Še ni. Prav tako pa tudi popravek še ni na voljo.

Na novico nas je opozoril InExtremis.

50 komentarjev

«
1
2

bluefish ::

menda je stvar odpravljena v 3.1 nightly buildu.

T-h-o-r ::

jupi, nimam še 3jke :)
Why have a civilization anymore
if we no longer are interested in being civilized?

Jst ::

Enega izmed glavnih razvijalcev pri Mozilli so snubili pri googlu in človek je odšel, čeprav še vedno sodeljuje pri razvoju firefoxa. Mogoče so se pri mozilli tudi nalezli googlovega "once a beta always a beta" koncepta.

edit 2x: malenkostni popravki.
Islam is not about "I'm right, you're wrong," but "I'm right, you're dead!"
-Wole Soyinka, Literature Nobelist
|-|-|-|-|Proton decay is a tax on existence.|-|-|-|-|

Zgodovina sprememb…

  • spremenil: Jst ()

AndrejS ::

Zgleda da so postavli rekord v napizdovanju folka oz. z downloadanjem bugostevega SWja...

BlackHole ::

jupi, nimam še 3jke :)


Ja in? Za 2.xx velja enako.
LP Marko

[BISI] ::

Jst: Kako pa je ime temu razvijalcu? :) Ce mislis Bena Goodgerja - on ne sodeluje vec pri razvoju Firefoxu ca. dve leti. Raje si gradi bajto v okolici San Francisca.

Posujemo se s pepelom. :| Mislim, da je Opera edini spletni brskalnik, ki ni dozivel odkritja taksne varnostne napake par ur po izzidu. Ceprav ima Opera, kar se tice varnosti, druge probleme (umetno nizanje stopnje nevarnosti sporocene napake).
And then I saw her face... Mozilla Firefox

pivmik ::

(umetno nizanje stopnje nevarnosti sporocene napake).

Kj pa naj bi to pomenilo?
LP, Gregor GRE^

PARTyZAN ::

Opera ni dozivela odkritja taksne varnostne luknje par ur po izidu zaradi njene ne-razsirjenosti.

[BISI] ::

To pomeni, da proizvajalec zniza stopnjo nevarnosti javljene napake. Recimo napaka je javljena s stopnjo "high", proizvajalec pa jo zniza na "medium" ali celo "low".
And then I saw her face... Mozilla Firefox

darkolord ::

In kaj je s tem narobe?

[BISI] ::

Problem je v tem, da se to ne dela. Pustimo ob strani dejstvo, da je to neodgovorno do uporabnikov.
And then I saw her face... Mozilla Firefox

Bakunin ::

mislim, da razvijalci dosti bolje vedo, kdaj naj za lastern izdelek zganjajo alarm ali pa recejo "just move along".
enako delajo tudi ostale programerske skupnosti (linux, debian,...).

ne delati iz muhe slona.

kar velja tudi za ta hrosc v FF3. ;}

FireSnake ::

jupi, nimam še 3jke :)


Ranljivost v Firefox 3.0 in 2.x omogoča zagon poljubne....

Ampak, jaz uporabljam FF zdaj ze leta, pa ni problemov. Zaradi tele novice ne kanim presedlati :D
Poglej in se nasmej: vicmaher.si

bluefish ::

sicer pa očitno nihče ne prebere celotne zadeve. Stvar je možna le ob posredovanju uporabnika. Torej moraš klikniti določeno povezavo, ki je recimo prisotna v spam mail sporočilu.
Če je kdo res tak štor, da klika na vse, kar mu pride pod roke, potem te še tako varen brskalnik ne obvaruje.

Bakunin ::

za taksne poskrbi Darwin. slej ko prej. :}

BigWhale ::

mislim, da razvijalci dosti bolje vedo, kdaj naj za lastern izdelek zganjajo alarm ali pa recejo "just move along".
enako delajo tudi ostale programerske skupnosti (linux, debian,...).


Ne, v bistvu ne vedo. Ce bi bilo na proizvajalcih, bi verjetno itak nikoli ne povedali, da se je kje kak bug pojavil. ;>

In Extremis ::

Bug je bil nedvomno odkrit že v FF3 RC vendar je raziskovalec, iz čisto ekonomskih razlogov, počakal, da izide FF3 Final. Tip se je požvižgal na etična načela in exploit prodal ZDI. Neizbežno se torej bliža čas, ko bodo razvijalci začeli plačevati za odkrite vrzeli, sicer bode le-te odkupili 3rd party posredniki.

"Given enough money, all bugs are shallow".

[BISI] ::

Tudi sam se prebral, da dobijo raziskovalci denarno nagrado s strani ZDI. Vprasanje, ce so bili tukaj v igri ekonomski razlogi. Ce gledas kratkorocno, se ti bolj splaca sporociti napako direktno Mozilli, saj prejmes 500$. Ce raziskujes sirse podrocje racunalniske varnosti, potem pa se ti splaca napake sporocati preko ZDI, sploh zato, ker nimajo vsa podjetja "bug bountyja" v stilu Mozille, pa tudi zato, ker imajo neke vrste piramidalni sistem nagrajevanja.
And then I saw her face... Mozilla Firefox

In Extremis ::

S čisto ekonomskega stališča se RCE exploit definitivno bolj splača prodati ZDI/iDefense kakor ga posredovati razvijalcu. Cene exploitov sicer varirajo vendar je tale, glede na nekatere indikatorje (špekulacije?), vreden od 2000-5000 USD. Le zakaj bi ga torej prodal za pičlih 500$? Mogoče zato, ker mi zraven 500$ priložijo tudi T-shirt?

Bug-bounty je nedvomno way to go, vendar bodo morali žačeti pri Mozilli buge rangirati in jih ustrezno plačevati.

Če se ne motim je nagrajevanje raziskovalcev uvedel tudi Google.

Azrael ::

Pri takih novičkah je najbolj "zabavno", da vedno sledi fraza "da razvijalci na odpravi napake že intenzivno delajo ter poudarjajo da izraba varnostne ranljivosti še ni javno dostopna".

Yeah right. In potem folija zavije čokolado v svizca.

Sploh pri FOSS se (pre)pogosto izkaže, da se bug vleče že malo morje časa, saj je prisosten od prastare verzije xyz ali pa kar od začetka.

In sedaj vprašanje. Kdo upa dati roko v ogenj, da nobenega od takih dolgoživih hroščev, ni kdo izkoriščal? Zakaj bi nekdo javil bug, če mu je donosen? Ubil kuro, ki mi nosi zlata jajca? Danes, ko je denar sveta vladar?

In tako se izkaže, da pravljica o prednosti odprte kode, ko bodo dobri fantje in dekleta pregledali kodo in takoj javili morebitne napake razvijalcem in jih bodo ti tako odpravili (ali pa tudi ne), samo pravljica. Obstajajo tudi mali geniji z računico, na katere pravljičarji pozabljajo.

IMHO FOSS preveč temelji na (lažnem) zaupanju, da bugov ne bo nihče izkoriščal. Narobe. Debianov random generator, Ubuntu txt datoteka z gesli (isti bug je tudi v Coyote Linux), ff luknje itd.

Manjka koordinacije in resnega nadzora. Vem, da je to težko, samo metati v SW nove po možnosti na pol izdelane feature, ni prava pot, za kvaliteten SW.
Nekoč je bil Slo-tech.

Jst ::

A za zaprto kodo je pa kaj drugače?

Sicer se pa FOSS loverji, med katere se *moderate* uvrščam tudi sam, moramo zavedati tudi nevarnosti.

Kriptografija *mora* biti prosta oz. koda algoritma. To je en takšen osnovnošolski primer.

FOSS ima pa težave s centralizacijo. Ubuntu 8.04 je očiten primer. (čeprav imam jaz s kupljeno visto x64 težave težave težave vsepovsod težave) Firefox 3 team bi se tudi moral prioritizirati. Open source svet bi potreboval nekaj branchev: bug snifferje/detektorje, testerje, lokalizacija bi potrebovala avtorizacijo, samo razvojno pot raje trikrat pobrisati na drawing board in manj featurjev, če je to potrebno žrtvovati za a little less bug "free" product ... in takšnim ljudem moraš plačati. Ni Open source zastonj.

Sun, Novell ter še nekateri drugi se tega zavedajo in se zato zelo trudijo, da bi vnesli nekaj reda v to zmedo, ki sedaj vlada, kjer trije naredijo patch za isti bug. Compilerji (ljudje, ki compilajo kodo, ne compiler sam) za različne arhitekture tudi podvajajo delo. In še je takšnih problemov/primerov.
Islam is not about "I'm right, you're wrong," but "I'm right, you're dead!"
-Wole Soyinka, Literature Nobelist
|-|-|-|-|Proton decay is a tax on existence.|-|-|-|-|

[BISI] ::

In Extremis: popravek... Se opravicujem, sem narobe prebral. Ceprav mi se vedno ni jasno, na kaksnem zaupanju temelji placilo s strani ZDI. Ocitno ne bomo tega nikoli izvedeli. Pa tudi glede anonimnosti mi vse jasno, sploh v danasnjih casih...

Azrael: Saj to ni samo problem FOSSa. "Problem" FOSSa je zgolj to, da je vse transparentno. Pri Microsoftu, Applu, Adobeju in se kje pac skrijejo taksne stvari pod preprogo s pomocjo zaprte kode in marketinga, ceprav je ze par letno evidentno, da jim to bolj slabo uspeva.
And then I saw her face... Mozilla Firefox

Zgodovina sprememb…

  • spremenil: [BISI] ()

borchi ::

> Sploh pri FOSS se (pre)pogosto izkaže, da se bug vleče že malo morje časa, saj je prisosten od prastare verzije xyz ali pa kar od začetka.

maš kak link, ki to potrjuje?

> Pri takih novičkah je najbolj "zabavno", da vedno sledi fraza "da razvijalci na odpravi napake že intenzivno delajo ter poudarjajo da izraba varnostne ranljivosti še ni javno dostopna".

mozilla menda že ma fix in podrobnosti exploita niso javno znane. to da nekdo exploit pozna, ne pomeni, da je javno znan. to še svizci razumejo.

> In tako se izkaže, da pravljica o prednosti odprte kode, ko bodo dobri fantje in dekleta pregledali kodo in takoj javili morebitne napake razvijalcem in jih bodo ti tako odpravili (ali pa tudi ne), samo pravljica.

zato imajo 'pravi' proizvajalci SW samo enega razvojnika, ki je hkrati tudi tester. čim manj ljudi vidi kodo, manj je nevarnosti, da bo kdo odkril lapsus, ccc...
l'jga

darkolord ::

Pri Microsoftu, Applu, Adobeju in se kje pac skrijejo taksne stvari pod preprogo s pomocjo zaprte kode in marketinga

Ampak tam tega nihče ne zanika.

Azrael ::

> Sploh pri FOSS se (pre)pogosto izkaže, da se bug vleče že malo morje časa, saj je prisosten od prastare verzije xyz ali pa kar od začetka.

>maš kak link, ki to potrjuje?

Poglej v naslovu te in podobnih novic.

>mozilla menda že ma fix in podrobnosti exploita niso javno znane. to da nekdo exploit pozna, ne pomeni, da je javno znan. to še svizci razumejo

Si ziher, da je bil ta tip, ki je bug lepo prodal, prvi, ki ga je našel? Zadeva gre od verzije 2.x ima pa jo tudi sedanji FF, ljubkovalno imenovan Minefield). Kar nekaj let je bil na voljo.

>zato imajo 'pravi' proizvajalci SW samo enega razvojnika, ki je hkrati tudi tester. čim manj ljudi vidi kodo, manj je nevarnosti, da bo kdo odkril lapsus, ccc...

In kaj je narobe s takim centraliziranim konceptom? Na ta način dobiš samo en patch, eno rešitev problema. Ne pa, da vsak nedeljski programer s preveč časa paca svojo.

Eni se že derete:"Huraaa to hočemo, da imamo izbiro!!!". Super, In kaj boš z izbiro, ko ne veš katera bo O.K, tudi v bodoče in ne bo vir novih problemov?
Nekoč je bil Slo-tech.

In Extremis ::

@[BISI]
Navedena cena exploita je seveda špekulacija. Kako zadeve dejansko potekajo bodo vedeli le posamezniki, ki se s tem resnično ukvarjajo. Mi lahko le verjamemo (ali pa tudi ne) informacijam, ki so nam na razpolago. Ti zaupaš svojim virom, jaz pa svojim. Še vedno pa sem mnenja, da je raziskovalec dobro razmislil komu naj exploit proda - izključno zaradi osebnega profita.

@Jst
S stališča varnosti je transparentnost vsekakor bolj sprejemljiva kakor closed source. Tu ni nobenega dvoma. Res je tudi, da Open Source ni zastonj. Vendar je še vedno prepoceni, zato nekateri strokovnjaki (npr. Crispin Cowan) bežijo na "drugo stran". Poleg tega postaja očitno, da mnoge kritične ranljivosti v FOSS-u odkrivajo varnostni raziskovalci zunaj skupnosti. Kar pa je itak posledica dejstva, da nekatere aplikacije postajajo izjemno priljubljene in imajo veliko bazo uporabnikov.

@Borchi:
podrobnosti exploita niso javno znane. to da nekdo exploit pozna, ne pomeni, da je javno znan.

Tole je tipičen primer "security through obscurity" razmišljanja značilnega za closed source. Ko smo že pri CS: Microsoft je znova kiksnil (patching the patch that didn't patch).

Edit:
In kaj je narobe s takim centraliziranim konceptom? Na ta način dobiš samo en patch, eno rešitev problema. Ne pa, da vsak nedeljski programer s preveč časa paca svojo.


+1. FOSS mora narediti red v hiši. Sicer se bodo bugi kakor "quotting PRNG seed" konstantno ponavljali.

Zgodovina sprememb…

Jst ::

darkolord:
>Ampak tam tega nihče ne zanika.

Ne zanikajo niti potrdijo, takrat govorijo o vrednosti njihovih delnic... :)
Islam is not about "I'm right, you're wrong," but "I'm right, you're dead!"
-Wole Soyinka, Literature Nobelist
|-|-|-|-|Proton decay is a tax on existence.|-|-|-|-|

Zgodovina sprememb…

  • spremenil: Jst ()

jype ::

Azrael> Sploh pri FOSS se (pre)pogosto izkaže, da se bug vleče že malo morje časa, saj je prisosten od prastare verzije xyz ali pa kar od začetka.

Zakaj naj bi FOSS bil pri tem različen od zaprte kode?

Kvečjemu je varnostno na boljšem, saj odprto kodo skrutinira večje število kompetentnih ljudi.

In Extremis ::

Kvečjemu je varnostno na boljšem, saj odprto kodo skrutinira večje število kompetentnih ljudi.


Varjanta "given enough eyeballs, all bugs are shallow" ni garancija za večjo varnost. Kvečjemu daje lažen občutek varnosti (nekako takole kakor AV programi v Oknih :)). Lep dokaz je ravno FF3 bug. Odkrit je bil zunaj skupnosti.

Liker ::

Nekdo je rekel da je vse O.K. ker ze delajo na patchu.
To je sicer res, a mislim da sem pred casom ravno na slo-techu videl novico kako je povprecen cas od odkritja do patcha za exploite cca 1 leto. (Velja v splosnem za ves SW). Predvsem zato ker je veliko ljudi ki jim ni v interesu razkrit taksnega uporabnega "feature"-a.
Tako da je lahko bil exploit znan ze doooooolgo cajta in se je uporabil za "izdelavo" kdove koliko novih zombi masin ali cesa podobnega (poudarek - lahko).
Smo pa tu vsi na istem, tako CS kot FOSS, koliko se bo pa raznim zlobnim(tm) ljudem ljubilo iskati exploite je pa predvsem odvisno od tega koliko ljudi nek SW uporablja. za 100k uporabnikov se verjetno noben ne bo potrudil. za 1M ze mogoce kdo, za 10M pa skoraj zagotovo.
Idealno gledano bi imel vsak svoj SW in vsi bi bili povsem varni :D

jype ::

In Extremis> Varjanta "given enough eyeballs, all bugs are shallow" ni garancija za večjo varnost.

Garancije za varnost _ni_, garancija za večjo varnost pa zagotovo je.

borchi ::

> Lep dokaz je ravno FF3 bug. Odkrit je bil zunaj skupnosti.

?! bugi odkriti 'znotraj skupnosti' so itak deležni neprimerno manj pozornosti. a kdo dela velik cirkus, ko M$ vsak tedn izda 5 patchev?
l'jga

In Extremis ::

Ne. To je pričakovano. Če se kakšen mesec zgodi, da je cikel brez patchov sem resnično zaskrbljen.

Mimogrede, le redke ranljivosti v MS aplikacijah/sistemih so odkrite znotraj MS.

Zgodovina sprememb…

Azrael ::

>Garancije za varnost _ni_, garancija za večjo varnost pa zagotovo je

Bolj možnost, kot kaj drugega. Žal s stranskim učinkom lažne varnosti, ko se nihče zares ne poglobi.

Npr. kdaj so javno obelodanili Debianov bug z random generatorjem, pa razne cvetke v Tor in podobno? Par let pa noben "strokovnjak" ni opazil tega, potem pa plaz. Mislim, da je zelo naivno misliti, da so napako opazili šele takrat. Kako že pravijo Black in white hat?
Nekoč je bil Slo-tech.

BigWhale ::

>Garancije za varnost _ni_, garancija za večjo varnost pa zagotovo je

Bolj možnost, kot kaj drugega. Žal s stranskim učinkom lažne varnosti, ko se nihče zares ne poglobi.

Npr. kdaj so javno obelodanili Debianov bug z random generatorjem, pa razne cvetke v Tor in podobno? Par let pa noben "strokovnjak" ni opazil tega, potem pa plaz. Mislim, da je zelo naivno misliti, da so napako opazili šele takrat. Kako že pravijo Black in white hat?


Kdaj so napako opazili ne ve nihce. Tudi kdaj nekdo opazi napako pri zaprti kodi ne ve nihce. Problem zaprte kode je, da vse do razkritja, dejansko nihce niti ne more vedeti, da je napaka obstajala. Ce do razkritja sploh pride. In, ce nekdo opazi kako luknjo, jo lahko pridno izkorisca vse dokler se je MS ne blagovolji popraviti. Koliko je bilo takih stvari, ki so jih na tiho popravili pa nihce ne ve.

MS (oziroma kdorkoli drug) naredi en ali pa dva 'peer reviewa' kode, pri odprti kodi jih imas lahko tristo dvajest. To JE prednost. Je pa res, da je vprasanje, ce jih v resnici imas toliko. Morda ja, morda ne.

Prednost je tudi to, da lahko vsak lolek kodo popravi. Najbolj pomembno je to, da je popravek cim prej zunaj, ko je neka pomanjkljivost razkrita. Ad-hoc popravki so tako na voljo ze par ur po razkritju, kasneje pa vsak maintainer doticnega dela kode popravi zadevo se v sami distribuciji za katero skrbi.

darkolord ::

Problem zaprte kode je, da vse do razkritja, dejansko nihce niti ne more vedeti, da je napaka obstajala.

Problem odprte kode je, da vse do razkritja dejansko nekdo LAHKO ve, da je napaka obstajala.

jype ::

darkolord> Problem odprte kode je, da vse do razkritja dejansko nekdo LAHKO ve, da je napaka obstajala.

To je tudi problem zaprte kode, tako da ne vem točno, kaj je tvoj point.

darkolord ::

To je tudi problem zaprte kode, tako da ne vem točno, kaj je tvoj point.

Odgovoril sem BWju.

MS (oziroma kdorkoli drug) naredi en ali pa dva 'peer reviewa' kode, pri odprti kodi jih imas lahko tristo dvajest.

MS jih ima lahko tudi tristo dvajset. Če imajo interes za to.

Zgodovina sprememb…

  • spremenilo: darkolord ()

CaqKa ::

>>> Prednost je tudi to, da lahko vsak lolek kodo popravi.

BigWhale ::

MS jih ima lahko tudi tristo dvajset. Če imajo interes za to.


Lahko jih pa tudi sploh nima. :)

darkolord ::

Seveda. (Na drugi strani je enako)

BigWhale ::

Ampak, stvar je v tem, da pri odprti kodi lahko nardi review kdorkoli hoce. Pri MS se pa moras zanesti na to, da bo naredil peer review tisti, ki se na stvari dovolj dobro spozna.

MrStein ::

blueFish:
Če je kdo res tak štor, da klika na vse, kar mu pride pod roke, potem te še tako varen brskalnik ne obvaruje.

Ah, in če "provalijo" cnn.com in tja dajo taki link ? Ali slashdot ?
Analiziraš vsak URL, preden ga obiščeš ?

Bakunin:
za taksne poskrbi Darwin. slej ko prej. :}

Ja, zato živimo v popolnem svetu, ker je Darwin poskrbel za to. Aja, čakaj ...

BigWhale:
MS (oziroma kdorkoli drug) naredi en ali pa dva 'peer reviewa' kode, pri odprti kodi jih imas lahko tristo dvajest.

Tak kot pri onem patch-u za openssl ?

Najbolj pomembno je to, da je popravek cim prej zunaj,

Hmm, minilo je že par dni, pa popravka ni in ni ...

Pri MS se pa moras zanesti na to, da bo naredil peer review tisti, ki se na stvari dovolj dobro spozna.

A pri FOSS pa ne ? (glej zgoraj)
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

CaqKa ::

BW še enkrat si napisal neki kar je meni zelo z logiko skregano.

nevem kdo je že v tej temi omenil da linux potrebuje centralizacijo, projektno vodenje, nekoga ki bo vse skupaj imel pod nadzorom, ne pa da se vsak kekec ali pa lolek kot si se zgoraj izrazil, ki bo imel 5 minut časa naredil svojo stvar.

>>> Prednost je tudi to, da lahko vsak lolek kodo popravi.

>>> Ampak, stvar je v tem, da pri odprti kodi lahko nardi review kdorkoli hoce. Pri MS se pa moras zanesti na to, da bo naredil peer review tisti, ki se na stvari dovolj dobro spozna.


fajn da lahko naredi review ali pa patch kdorkoli hoče, ampak jaz pa nočem da sw popravlja kar nekdo, ki z stvarjo nima blage veze. s tem nikakor ne zagotavljaš kvalitete, prej kvantiteto v smislu "bug je prej odpravljen"

BigWhale ::

Kako pa ves, da imajo pri MS nekoga, ki ima blago vezo? Tam se ne ves tega. Pri FOSS lahko to preveris.

darkolord ::

Kako?

[BISI] ::

"Track record". Pri odprtokodnem projektu je to pac lazje preveriti in se tudi najpogosteje uporablja, ko je nekdo se nov.
And then I saw her face... Mozilla Firefox

poweroff ::

Dakolord, preberi si knjigo The Cathedral and the Bazaar.
sudo poweroff

BigWhale ::

Darko, mail mu posljes. ;)
«
1
2


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Letošnji Pwn2Own z višjimi nagradami in povratkom Googla

Oddelek: Novice / Varnost
104901 (3383) MisterR
»

Z ranljivostmi se živahno trguje

Oddelek: Novice / Omrežja / internet
76463 (4847) techfreak :)
»

Hekersko tekmovanje Pwn2Own se začenja

Oddelek: Novice / Varnost
369765 (7840) noraguta
»

Hewlett-Packard prevzema 3Com

Oddelek: Novice / Nakupi / združitve / propadi
73080 (2743) ALT

Več podobnih tem