Полезная информация

Хотите узнать больше о расширениях? Посмотрите ролики, рассказывающие о работе с расширениями Firefox.
  • Форумы
  •  » Флейм
  •  » Нахождение 30 уязвимостей в Firefox оказалось ложью (см. 2 страницу)

№102-10-2006 19:30:43

Entropiou[S]
Участник
 
Группа: Members
Зарегистрирован: 06-12-2005
Сообщений: 32

Нахождение 30 уязвимостей в Firefox оказалось ложью (см. 2 страницу)

Удаленный пользователь может с помощью специально сформированной страницы, содержащей злонамеренный JavaScript код, скомпрометировать целевую систему, сообщили в субботу Миша Шпигельмок (Mish Spiegelmock) и Эндрю Убилсои (Andrew Wbeelsoi) на хакерской конференции ToorCon. Уязвимость затрагивает продукт на платформах Windows, Mac OS X и Linux.

Шпигельмок сообщил, что уязвимость является результатом некорректной реализации обработки JavaScript кода в браузере и может позволить злоумышленнику вызвать переполнение стека.

Window Snyder, глава отдела безопасности компании Mozilla, после просмотра демонстрации взлома, предположила, что уязвимость может действительно существовать: «То что они описывают, может быть вариантом старой атаки». Шпигельмок и Убилсои в своей демонстрации предоставили достаточно данных, чтобы воспроизвести атаку, считает Snyder, и тем самым подвергли всех пользователей браузера опасности, хотя эти данные смогут помочь разработчику устранить ошибки в коде. Поскольку ошибки содержатся в коде, обрабатывающем JavaScrip, их будет весьма сложно устранить: «Если уязвимость действительно в виртуальной машине JavaScrip, то быстрого исправления не будет».

Исследователи заявили, что им известно о 30 уязвимостях в Mozilla Firefox, но они не намерены сообщать данные об ошибках.

«Я очень надеюсь, что эти ребята изменят свое решение и все же решат сообщить нам подробности и получить по $500 за каждую уязвимость, вместо того, чтобы использовать эти данные для создания бот сетей» сказал сотрудник компании Mozilla Jesse Ruderman.

(c) http://www.securitylab.ru/news/274775.php

Отсутствует

 

№202-10-2006 19:49:32

Modex
_
 
Группа: Extensions
Откуда: Краснодар, Россия
Зарегистрирован: 10-10-2004
Сообщений: 3311

Re: Нахождение 30 уязвимостей в Firefox оказалось ложью (см. 2 страницу)

Я использую расширение NoScript и разрешаю выполнению яваскриптов только тем сайтам, которым доверяю... остальные идут лесом... и вам советую им воспользоваться в целях уменьшения таких панических мыслей :music:

по $500 за каждую уязвимость

а разве не за 5 уязвимостей? :/


F.I.R.E.F.O.X.: Fearsome, Intimidating, Redhead-Eating Fiend from the Ominous Xenopolis
Скиньтесь мне на новый MacBook Pro! Кто сколько может!

Отсутствует

 

№302-10-2006 20:29:55

St.MPA3b
Участник
 
Группа: Members
Откуда: Москва
Зарегистрирован: 23-05-2005
Сообщений: 1852

Re: Нахождение 30 уязвимостей в Firefox оказалось ложью (см. 2 страницу)

Хм, а сколько же подобных уязвимостей в ослике? :)

Отредактировано St.MPA3b (02-10-2006 20:45:32)


Я схожу с ума или это глючит Реальность?
Gentoo Linux (~x86) + Konqueror + Kmail ;). Не люблю GTK.

Отсутствует

 

№402-10-2006 21:46:33

ego
Участник
 
Группа: Members
Откуда: Москва
Зарегистрирован: 23-06-2006
Сообщений: 1538

Re: Нахождение 30 уязвимостей в Firefox оказалось ложью (см. 2 страницу)

«Если уязвимость действительно в виртуальной машине JavaScrip, то быстрого исправления не будет»

Исправления не будет никогда, т. к. никто не знает, что такое JavaScrip

Отсутствует

 

№502-10-2006 21:53:59

St.MPA3b
Участник
 
Группа: Members
Откуда: Москва
Зарегистрирован: 23-05-2005
Сообщений: 1852

Re: Нахождение 30 уязвимостей в Firefox оказалось ложью (см. 2 страницу)

ego пишет

«Если уязвимость действительно в виртуальной машине JavaScrip, то быстрого исправления не будет»

Исправления не будет никогда, т. к. никто не знает, что такое JavaScrip

:D


Я схожу с ума или это глючит Реальность?
Gentoo Linux (~x86) + Konqueror + Kmail ;). Не люблю GTK.

Отсутствует

 

№602-10-2006 21:55:20

Modex
_
 
Группа: Extensions
Откуда: Краснодар, Россия
Зарегистрирован: 10-10-2004
Сообщений: 3311

Re: Нахождение 30 уязвимостей в Firefox оказалось ложью (см. 2 страницу)

Кстати в спонсорах там присутствует Microsoft :lol: Действительно этой компании должно быть интересно всё что связано с уязвимостями, правда толку от этого никакого... :D

Отредактировано Modex (02-10-2006 21:56:14)


F.I.R.E.F.O.X.: Fearsome, Intimidating, Redhead-Eating Fiend from the Ominous Xenopolis
Скиньтесь мне на новый MacBook Pro! Кто сколько может!

Отсутствует

 

№702-10-2006 22:13:40

Entropiou[S]
Участник
 
Группа: Members
Зарегистрирован: 06-12-2005
Сообщений: 32

Re: Нахождение 30 уязвимостей в Firefox оказалось ложью (см. 2 страницу)

ego пишет

«Если уязвимость действительно в виртуальной машине JavaScrip, то быстрого исправления не будет»

Исправления не будет никогда, т. к. никто не знает, что такое JavaScrip

Ты не первый, кто это заметил - читай третий коммент по ссылке :)

Отсутствует

 

№803-10-2006 09:38:37

ego
Участник
 
Группа: Members
Откуда: Москва
Зарегистрирован: 23-06-2006
Сообщений: 1538

Re: Нахождение 30 уязвимостей в Firefox оказалось ложью (см. 2 страницу)

Update: Possible Vulnerability Reported at Toorcon

We got a chance to talk to Mischa Spiegelmock, the Toorcon speaker that reported the potential javascript security issue referenced earlier.  He gave us more code to work with and also made this statement and agreed to let me post it here:

The main purpose of our talk was to be humorous.

As part of our talk we mentioned that there was a previously known Firefox vulnerability that could result in a stack overflow ending up in remote code execution. However, the code we presented did not in fact do this, and I personally have not gotten it to result in code execution, nor do I know of anyone who has.

I have not succeeded in making this code do anything more than cause a crash and eat up system resources, and I certainly haven’t used it to take over anyone else’s computer and execute arbitrary code.

I do not have 30 undisclosed Firefox vulnerabilities, nor did I ever make this claim. I have no undisclosed Firefox vulnerabilities. The person who was speaking with me made this claim, and I honestly have no idea if he has them or not.

I apologize to everyone involved, and I hope I have made everything as clear as possible.

Sincerely,

Mischa Spiegelmock

Even though Mischa hasn’t been able to achieve code execution, we still take this issue seriously.  We will continue to investigate.

-Window Snyder

Источник: Mozilla Developer News
См. также предыдущую новость

Речь идет о возможности вызвать отказ в обслуживании (DoS) или крэш Firefox. Неизвестно, существуют ли пресловутые 30 неисправленных уязвимостей или это плод воображения одного из участников конференции.

Отредактировано ego (03-10-2006 11:26:24)

Отсутствует

 

№903-10-2006 10:54:36

LattyF
Участник
 
Группа: Members
Откуда: г. Самара
Зарегистрирован: 19-06-2005
Сообщений: 2924

Re: Нахождение 30 уязвимостей в Firefox оказалось ложью (см. 2 страницу)

плод воображения

Ага, школьники пришли потусоваться.


Black holes were created when the God divided by zero.

Отсутствует

 

№1003-10-2006 12:11:27

Пит Бэнкман
Участник
 
Группа: Members
Зарегистрирован: 31-07-2006
Сообщений: 910

Re: Нахождение 30 уязвимостей в Firefox оказалось ложью (см. 2 страницу)

Исследователи заявили, что им известно о 30 уязвимостях в Mozilla Firefox, но они не намерены сообщать данные об ошибках.

Вместо того, чтобы помогать развитию хорошей программы, они являются тормозом этого развития :usch: Да и вообще, а "был ли мальчик"? Существуют ли эти уязвимости или же это очередной пиар-ход ненавистников ФФ?

Отсутствует

 

№1103-10-2006 17:37:18

INFOMAN
Телепаты в отпуске
 
Группа: Extensions
Откуда: Кишинев
Зарегистрирован: 31-12-2005
Сообщений: 1099
Веб-сайт

Re: Нахождение 30 уязвимостей в Firefox оказалось ложью (см. 2 страницу)

Сколько раз уже сообщалось о дырах, способных допустить выполнение левого кода, а оказывалось, что это всего лишь DoS...


Закрой кран
Включи свет ©
Fire! Kill IE is your desire | NULL | NULL

Отсутствует

 

№1203-10-2006 17:51:02

RED
Модеpатор
 
Группа: Moderators
Откуда: Ульяновск
Зарегистрирован: 08-10-2004
Сообщений: 6085
Веб-сайт

Re: Нахождение 30 уязвимостей в Firefox оказалось ложью (см. 2 страницу)

Каждое действие рождает противодействие. IE имеет просто бешеную популярность - и все знают, какой он дырявый.
Firefox был очень хорошо раскручен, имеет около 15% популярности, соответственно, и ошибок "находят" в нем немало.
Opera была нафиг не нужна никому, не было ошибок (только у всех почему-то глючила). Тут выходит 9-ка, опять же неплохой PR, было 0.5%, стало 0.7% (бешеный рост популярности!) и вот вам ответ - 2 уязвимости.

Вывод: эмпирически вывожу, что количество ошибок в браузере примерно равно удвоению процентной доли на рынке.
Firefox - 15*2=30, Opera почти 1% * 2 = 2 и т.д...


Другое дело, что тот, у кого есть голова на плечах, все понимает и видит, где реальные угрозы, а где дешевый PR "компаний", занимающихся поиском ошибок.

Отсутствует

 

№1303-10-2006 17:55:02

Modex
_
 
Группа: Extensions
Откуда: Краснодар, Россия
Зарегистрирован: 10-10-2004
Сообщений: 3311

Re: Нахождение 30 уязвимостей в Firefox оказалось ложью (см. 2 страницу)

Ну и пусть орут и привлекают к себе внимание... когда появятся факты публичного использования этих уязвимостей, то патчи не заставят себя ждать... хоть на следующий день могут выпустить, если пофиксят... :)


F.I.R.E.F.O.X.: Fearsome, Intimidating, Redhead-Eating Fiend from the Ominous Xenopolis
Скиньтесь мне на новый MacBook Pro! Кто сколько может!

Отсутствует

 

№1403-10-2006 18:00:37

RED
Модеpатор
 
Группа: Moderators
Откуда: Ульяновск
Зарегистрирован: 08-10-2004
Сообщений: 6085
Веб-сайт

Re: Нахождение 30 уязвимостей в Firefox оказалось ложью (см. 2 страницу)

Modex
Вот и я о том.

Причем, хочу, чтобы все обратили на это внимание. Можно долго кричать о какой-нибудь уязвимости, но надо еще ей заразиться.
Приходишь домой к знакомому. Стоит IE. Обязательно домашняя страница - это какая-нибудь Арена (или как там ее? вирус, в общем), пара левых панелек не пойми откуда и т.д.
Потому что решето, а не браузер.
А где вы видели человека, подцепившего вирус через Firefox!?
Я не имею в виду случаи, когда браузером скачивается файл nude_madoona.exe, запускается, а там вирус! Это не Firefox виноват, а вы - запустившие левый файл.

Интернет - это секс. Вы же не будете заниматься сексом, не предохраняясь с незнакомой женщиной? А если и будете, то в случае проблем, винить некого. То же самое и интернет. Есть знакомые сайты (наш, например). Ходите любым браузером, запускайте все подряд. Тут (тьфу-тьфу, не сглазить) вирусы пока никто на подсовывал.
А пойдете в реальное путешествие? Лучше Firefox, он безопасней.

Отсутствует

 

№1503-10-2006 18:04:13

Modex
_
 
Группа: Extensions
Откуда: Краснодар, Россия
Зарегистрирован: 10-10-2004
Сообщений: 3311

Re: Нахождение 30 уязвимостей в Firefox оказалось ложью (см. 2 страницу)

RED
Может ты напишешь подробную статью как пользоваться расширением NoScript? :D Тогда более-менее сознательные пользователи перестанут так вопить и начнут его юзать => уменьшится вероятность (тьфу-тьфу-тьфу) самизнаетечего... :rolleyes:


F.I.R.E.F.O.X.: Fearsome, Intimidating, Redhead-Eating Fiend from the Ominous Xenopolis
Скиньтесь мне на новый MacBook Pro! Кто сколько может!

Отсутствует

 

№1603-10-2006 18:09:50

RED
Модеpатор
 
Группа: Moderators
Откуда: Ульяновск
Зарегистрирован: 08-10-2004
Сообщений: 6085
Веб-сайт

Re: Нахождение 30 уязвимостей в Firefox оказалось ложью (см. 2 страницу)

Modex
Ага, пишется статья. 90% не используют Firefox. Из них еще 90% не используют NoScript. Из них еще 90% и без сопливых знают весь материал наизусть. Вывод: статья будет полезна одному человеку. Мне. Я получу за нее мизерный гонорар, который окупит расходы на электричество, потраченное на включенный во время набора текста компьютер.
В общем, не стоит писать такие статьи. Это надо просто обсуждать на форумах, активно давая советы о безопасности.

Отсутствует

 

№1703-10-2006 18:18:14

Modex
_
 
Группа: Extensions
Откуда: Краснодар, Россия
Зарегистрирован: 10-10-2004
Сообщений: 3311

Re: Нахождение 30 уязвимостей в Firefox оказалось ложью (см. 2 страницу)

Из них еще 90% не используют NoScript.

Не надо врать :D на Addons.Mozilla.org это одно из самых популярных расширений... думаю оно не просто так туда попало ;) хотя как хочешь, дело твоё... кусок хлеба из твоего рта вырывать не буду :)


F.I.R.E.F.O.X.: Fearsome, Intimidating, Redhead-Eating Fiend from the Ominous Xenopolis
Скиньтесь мне на новый MacBook Pro! Кто сколько может!

Отсутствует

 

№1803-10-2006 18:22:36

Syzygy
Участник
 
Группа: Members
Откуда: Луховицы
Зарегистрирован: 10-12-2005
Сообщений: 1432
Веб-сайт

Re: Нахождение 30 уязвимостей в Firefox оказалось ложью (см. 2 страницу)

Modex

когда появятся факты публичного использования этих уязвимостей

то тем ,против кого они использовались будет уже глубоко по барабану, что

патчи не заставят себя ждать...


No mercy will be granted by the drone as the feature was removed in the last  operating system update

Отсутствует

 

№1903-10-2006 18:30:08

Modex
_
 
Группа: Extensions
Откуда: Краснодар, Россия
Зарегистрирован: 10-10-2004
Сообщений: 3311

Re: Нахождение 30 уязвимостей в Firefox оказалось ложью (см. 2 страницу)

Syzygy
Всегда приходится чем-нибудь жертвовать... зато если те на ком они использовались не тупые как бревна, то лучше будут думать о своей безопасности в сети и о том какими методами её можно было бы улучшить...

P.S.: Все учатся на своих ошибках ;) умные на чужих, тупые на своих...


F.I.R.E.F.O.X.: Fearsome, Intimidating, Redhead-Eating Fiend from the Ominous Xenopolis
Скиньтесь мне на новый MacBook Pro! Кто сколько может!

Отсутствует

 

№2003-10-2006 18:36:53

Denton
Участник
 
Группа: Members
Зарегистрирован: 14-07-2006
Сообщений: 80

Re: Нахождение 30 уязвимостей в Firefox оказалось ложью (см. 2 страницу)

RED пишет

Обязательно домашняя страница - это какая-нибудь Арена (или как там ее? вирус, в общем), пара левых панелек не пойми откуда и т.д.

Кстати да. Эта арена уже достала в осле. Вылечилось только переустановкой виндовса. Уж не знаю в каком там пути в реестре они прописывают.

Отсутствует

 

№2103-10-2006 18:58:40

Лапоть
Участник
 
Группа: Members
Зарегистрирован: 22-09-2005
Сообщений: 132

Re: Нахождение 30 уязвимостей в Firefox оказалось ложью (см. 2 страницу)

Denton, ради осла винду переставлять? :lol:

Отсутствует

 

№2203-10-2006 19:03:22

Denton
Участник
 
Группа: Members
Зарегистрирован: 14-07-2006
Сообщений: 80

Re: Нахождение 30 уязвимостей в Firefox оказалось ложью (см. 2 страницу)

Лапоть пишет

Denton, ради осла винду переставлять? :lol:

Я не говорил, что переустанавливал винду из-за осла. Я сказал, что вылечилось с переустановкой винды. Видимо "умельцы" в Acer так умело поставили мне его, что почти каждое приложение ругалось на разные ошибки. Это и стало причиной переустановки.

Отсутствует

 

№2303-10-2006 19:10:10

ragnaar
Administrator
 
Группа: Administrators
Зарегистрирован: 14-10-2004
Сообщений: 2567
Веб-сайт

Re: Нахождение 30 уязвимостей в Firefox оказалось ложью (см. 2 страницу)

Modex
Тут я полностью согласен с Syzygy... Уязвимости должны закрываться до появления эксплойтов, либо через день, максимум два. Пока что MoFo это удается и пусть так и будет. Лучше узнать о уязвимостях в списке изменений новой версии, чем нарвавшись на ее эксплуатацию на каком-нибудь сайте.
И как правильно кем-то сказано, важно не количество найденных уязвимостей, а скорость их закрытия...

Отсутствует

 

№2403-10-2006 19:16:48

Modex
_
 
Группа: Extensions
Откуда: Краснодар, Россия
Зарегистрирован: 10-10-2004
Сообщений: 3311

Re: Нахождение 30 уязвимостей в Firefox оказалось ложью (см. 2 страницу)

ragnaar
В данной ситуации никто ничего не знает (и в этом случае появление эксплойтов только покажет, что через уязвимость кому-то уже сделали нехорошо) :) как разработчикам закрыть? тем более я написал что если потребуется, то новую версию выпустят хоть на следующий день если смогут (смогут не смогут вопрос уже не ко мне), а это укладывается в твои рамки ;)


F.I.R.E.F.O.X.: Fearsome, Intimidating, Redhead-Eating Fiend from the Ominous Xenopolis
Скиньтесь мне на новый MacBook Pro! Кто сколько может!

Отсутствует

 

№2503-10-2006 20:58:23

Erik
Рупор народной культуры
 
Группа: Members
Откуда: Бавария, Бюргерстан
Зарегистрирован: 25-09-2006
Сообщений: 1341

Re: Нахождение 30 уязвимостей в Firefox оказалось ложью (см. 2 страницу)

Загрузил NoScript. Камрад RED - большое тебе человеческое :beer: :D

Отсутствует

 
  • Форумы
  •  » Флейм
  •  » Нахождение 30 уязвимостей в Firefox оказалось ложью (см. 2 страницу)

Board footer

Powered by PunBB
Modified by Mozilla Russia
Copyright © 2004–2020 Mozilla Russia GitHub mark
Язык отображения форума: [Русский] [English]