Poważna luka w Firefoksie?

Dziennik Internautów - Bezpieczenstwo

Do sieci prawdopodobnie przedostał się exploit opracowany przez rosyjskiego specjalistę ds. bezpieczeństwa Evgeny'a Legerova pozwalający na zdalne wykonanie kodu w systemie Windows - wykorzystywany przez niego błąd występuje w przeglądarce Firefox 3.6.

Jak informuje The Inquirer, exploit na niezałataną lukę w Firefoksie groźny jest dla użytkowników systemów Windows XP z dodatkiem SP3 oraz Windows Vista. Uzupełniono już o niego komercyjne narzędzie do przeprowadzania testów penetracyjnych Immunity Canvas (założona przez Legerova firma Intevydis jest producentem wtyczki VulnDisco poszerzającej możliwości tego oprogramowania).

Teoretycznie kod nowego exploita nie jest publicznie dostępny. Gwałtowne zmiany w ilości zaobserwowanych w ciągu ostatnich dni awarii Firefoksa 3.6 pracującego pod kontrolą Windows, mogą świadczyć o tym, że jest jednak inaczej (źródło: Nowy exploit Zero Day dla Firefoksa 3.6!, HARD CORE SECURITY LAB).


Evgeny Legerov nie ujawnił szczegółów na temat luki. Secunia nadała jej status wysoce krytyczny (highly critical), zalecając użytkownikom najnowszej wersji Firefoksa nie odwiedzać podejrzanych stron internetowych i nie klikać w odnośniki, co do których nie mają pewności. Mozilla nie zajęła jeszcze oficjalnego stanowiska w tej sprawie. Jak słusznie zauważył jeden z Czytelników DI, producent przeglądarki wie o luce, na razie nie potwierdza jednak jej występowania (Legerov nie zareagował na prośbę o udostępnienie Mozilli większej ilości informacji).

Każdy przeglądarkowy fanboj gotowy?
Zatem flejm po raz kolejny uważam za rozpoczęty!

Po prostu.

Jak hakerzy udostępniają informację Microsoftowi, a Microsoft udaje, że żadnej informacji nie dostał, błędu nie ma, i zwleka z załataniem, to jest źle.

Jeżeli ktoś zwleka z podaniem informacji Mozilli, to dla klientów tej przeglądarki jest to identyczna sytuacja ;-) .

Zastanawiam się jednak czy błąd na pewno istnieje.

Facet jest mocno niepoważny. "Wiem, ale nie powiem" to metoda znana z polskiej polityki, ale wypadałoby potwierdzić jakimiś dowodami odkrycie luki.
Najdziwniejsza jest postawa Secunii - ostrzegają o groźnej luce nawet nie weryfikując jej istnienia. Po prostu uwierzyli na słowo? Bardzo profesjonalne podejscie... ;-)
Ciekaw jestem dalszego rozwoju wydażeń.

Opera jednak lepsza ;)

@DawidDS4: Przeczytaj najpierw art!!!

Zawieszki, wycieki pamięci, zamulanie sprzętu? Winni cyberprzestępcy. Firefoks to doskonały i piękny kawał softu.
Dziury na drogach, koleiny? Winna pogoda.
Dlaczego nie potrafimy nazwać rzeczy po imieniu? Partactwo, dziadostwo, lipa, niewypał. Dlaczego w innych państwach o podobnym klimacie nie ma takich problemów z nawierzchnią? Dlaczego inne przeglądarki działają stabilniej, szybciej?

Flame`y czas zacząć!
Niniejszym otwieram kolejne starcie: FIGHT!

@DawidDS4
Dla jednych tak, dla innych nie. Kwestia dyskusyjna.

@Główny Błąd 6.
Zrób rząd i wyjdź stąd. Nudny jesteś.

No pewnie, jakby mogło być inaczej? Wiedziałem, że jako jeden z pierwszych "trol operowy" master_zonk6 się w komentarzach pojawi ;-) Poczekamy jak ta "Twoja" Opera zdobędzie więcej użytkowników (tak w 30-40% ryku przeglądarek ale bardzo w to wątpię) i ten programik zostanie dokładniej sprawdzony przez osoby wyszukujące luki w oprogramowaniu.
Z Firefoxem i Operą jest podobnie jak z Windows i Linuksem - duża różnica w ilości użytkowników no i "Linux jest bardzo bezpieczny, nie ma wirusów itp, itd". Do czasu, do czasu...

Heh, wypowiedział się master_zonk6, ekspert d/s bezpieczeństwa. Gość, który ignorując wszelkie ostrzeżenia zainstalował sobie dodatek do Fx z rzekomym trojanem i podobno zainfekował sobie system. Tylko że - jak się okazało po kilku dniach - w rozszerzeniu trojana nie było (false positive niektórych AV)...
Po prostu masz czarny pas w trollowaniu. I już jesteś faworytem w konkursie na bzdurę roku. Ciężko będzie to przebić.
Na pewno czytałeś treść newsa, czy znowu upajasz się swoją pisaniną?

@ master_zonk6
Jako osoba używająca (w zależności od nastroju i humory) zarówno Opery (od wersji 5.11), jak i Firefoksa (od początku), mogę cię zapewnić, że w obu tych programach wykryto przez ten czas wiele groźnych luk i błędów. Programiści to też ludzie i popełniają błędy. Problem tkwi w szybkości i skuteczności naprawiania tych błędów.
A co do dróg w innych krajach: jak się przez te kraje jedzie drogami międzynarodowymi to widzi się piękne szerokie drogi bez dziur. W Polsce dopóki się jest też na drogach międzynarodowych to też tak jest. Ale i tam i tu jak się zjedzie na drogi lokalne to od dziur aż się roi. Niedawno miałem się o tym okazję przekonać w Czechach i na Słowacji

Po takich artykułach widać, jak duża liczba dzieciaków czyta tylko sam tytuł i bierze się za komentowanie. Spece od marketingu na onecie czy wp wiedzą co robią, formuując tak, a nie inaczej tytuły newsów.

@cedar
1. Przeczytaj definicję trollowania.
http://pl.wikipedia.org/wiki/Trollowanie
2. W mojej wypowiedzi nie padło nic związane z przeglądarką na O.

Ktoś inteligentny zauważy, że moje wypowiedzi nie pasują do kryteriów trollowania.

PRZECZYTAJ ZWŁASZCZA TO:

http://pl.wikipedia.org/wiki/Trollowanie#Nadu.C5.BCywanie_terminu
cyt.
"Nadużywanie terminu

W sytuacji gdy rolą forów internetowych jest prowadzenie dyskusji, termin ten bywa jednak często nadużywany przez osoby, dla których poruszone zagadnienie jest niewygodne lub zwyczajnie za trudne do merytorycznego, szerszego omówienia, w stosunku do autorów tychże wypowiedzi. Nie każda bowiem kontrowersyjna, poruszająca trudne zagadnienia i mogąca kogoś bulwersować wypowiedź jest zaraz formą trollingu."

@Pazuzu
Czechy i Słowacja? Mądrale a'la Polacy. Mają równie "dobry" przepis na nawierzchnię co Polacy.
A Niemcy, Szwecja, Norwegia...?

DawidDS4 tak się składa że jestem fanem opery ale ten program nie umywa się do Firefoxa wystarczy spojrzeć na obsługę wtyczek na korzyść Firefoxa oraz na poprawne wyświetlanie stron np http://www.kia.pl/ zobaczcie na jednej i drugiej przeglądarce jak wygląda strona

Tu już nie chodzi o luki, bo każdy soft je ma, więcej lub mniej i nie da się tego uniknąć. W jednej rzeczy popieram master_zonk6 - stabilność. Spełniam wymagania przeglądarek jeśli chodzi o sprzęt, a FF czy Chrome potrafią przyciąć albo i nawet czasami zawiesić. W Operze tego nie ma. Chodzi jak trzeba bez zawieszek, a syfu w systemie nie mam.

Znowu będzie konflikt na przeglądarki hm firefox to fakt najbardziej dziurawa przeglądarka 40% dziurnajmniej ma opera 5% ie8 15% a goggle chrome 20% i niepiszcie ze dlatego ma tyle dziur bo najwięcej osub ją uzywa jak juz jeden raz tutaj tak napisał ale itak uzywam firefox bo oni w stosownym czasie zawsze wydają poprawke do przeglądarki a nie jak opera czy inne.

cedar--linux ma pełno wirusow tylko uzytkownicy linuxa mają sie juz za takich wspaniałych informatykow ze nawet niemają pojęcia ze mają wirusy to tak na marginesie.

@Główny Błąd 6
"2. W mojej wypowiedzi nie padło nic związane z przeglądarką na O."

Wystarczy przeczytać Twoje wypowiedzi pod innymi newsami, żeby wiedzieć z kim mamy do czynienia. Ale masz rację, Trollem trudno cię nazwać... bardziej pasowałoby chyba słowo oszołom. Polecam lekturę Twoich komentarzy w profilu. Wszystko staje się jasna. Z tego co widzę, na forum dobrychprogramów próby pisania, jakie stosujesz w komentarzach, są na szczęście tępione przez moderatorów. Tu też by się przydało.

Jesteś zabawny. Prowadzisz krucjatę pod newsami, których czytać nie powinieneś, bo ci ciśnienie skacze. Co chcesz osiągnąć? Poprawę samopoczucia? Kogo interesuje twoje zdanie odnośnie Firefoksa? Mnie, zapewne tez innych, interesuje, co naprawdę znaczą te informacje z newsa. Powtórzę, zachowaj swoje przemyślenia dla siebie.

Zresztą Twoje, i nie tylko, paplanie jest o wyższości Opery, jest pozbawione sensu. Zdaję się nie rozumiecie otaczającego świata z tym związanego.

Przestępny są prawdziwymi demokratami. Myślę, że mało ich obchodzi jaki system czy przeglądarka jest atakowana. Szukają możliwości zdobycia informacji tam, gdzie to możliwe. Sam program może być "bezpieczny"... inaczej, sposób obejścia zabezpieczeń jest mniej lub bardziej czasochłonny. Tak naprawdę mamy mało informacji o tych działaniach i "dziurach" wykorzystywanych. Żyjemy w złudnym przeświadczeniu, że używany przez nas program, system, jest "lepszy", bo się o nim nie mówi. A to, że się nie mówi o niczym nie świadczy. Mówi się tylko o tym, co wypłynęło na światło dzienne. Jaka masz pewność, że Opera, o wszystkim informuje? Jaka masz pewność, że nie są dokonywane ciche aktualizacje? Żadnej. W przypadku programów o otwartym kodzie, sytuacja wygląda inaczej.

Do redakcji mam propozycję. Wprowadzić blokadę, np. 30 minutową, pod nowymi newsami, żeby po przeczytaniu, czytelnik miał czas na ochłonięcie i przemyślenie zdobytych informacji. Najgorzej, jak jakiś raptus, zobaczy słowo klucz i odpala generator komentarzy...

@ dawidos

Proszę cię... pod Linuksem, Opera zostawia wiele do życzenia. Instalowałem ją w różnych dystrybucjach i były zawsze problemy, o których piszesz, mniej lub więcej, ale występowały.

FF to dziadostwo nie otwiera stron, wiesza się i jest wolny w dodatku dziurawy - dno.

IE przynajmniej jest zgodny ze standardami i otwiera wszystkie strony i nie rozwala zawartości. Na FF nawet nie wiedziałem, że strona ma inne funkcje bo ich nie widziałem, normalnie ręce opadają.

@Ololololol @ Radstar (ostatnia część wypowiedzi)

Żeście teraz palnęli, jak łysy warkoczem o kant kuli.

To jest tak: Ktoś informuje, że w danej przeglądarce, programie ,itp. jest dziura. Hakerzy to czytają i wykorzystują lukę. Powinni dopiero mówić o dziurach w momencie udostępnienia aktualizacji

@Ololololol

Przeczytaj na początek definicję słowa standard. Później zainteresuj się wytycznymi organizacji W3C, specyfikacją języków używanych do tworzenia stron www, interpretowaniu kodu przez przeglądarkę, a później pisz.

Ale zobaczcie jakiej wersji używam. Ona wyświetla poprawnie strony a w teście http://acid3.acidtests.org/ dostaje 100/100

Dobra, dobra... piszecie i psioczycie na te luki cały czas..., ale czy chodź raz padliście ofiarą, którejś z luk FF? Ja używam FF'a od 5 lat i nigdy nie miałem problemów.

Skoro Jewgienijowi Legorowi może zależeć na promowaniu w ten sposób jego firmy, to dlaczego w newsie podana jest nazwa owej firmy? Wiadomo że po nazwisku można dojść o jaką firmę chodzi, ale to już wymaga inicjatywy. Czy to nie jest forma pójścia na rękę Legorowi na łamach kolejnego wortalu? Zakładam że nie było to celowe :)

Luka istnieje i zagrożenie też- 4 razy odinstalowywałem firefoxa 3.6 -- po krótkim 1,3 dniowym działaniu - przy intensywnym przeglądaniu internetu , strony były samoczynnie /czasami generując kilka stron naraz / włączane .Zdarzało się naraz 7 stron narastających kaskadowo .

@MP
A skąd masz pewność, że zainstalowałem owy dodatek :)

Prośba do osób, które płaczą, że im się Firefox notorycznie zawiesza, a szczególnie do master_zonka, który znany jest z tego, że wbrew ostrzeżeniom zainstalował sobie trojana.

Rzućcie okiem na statystyki "padów" Firefoksa:

http://crash-stats.mozilla.com/products/Firefox/versions/3.6?duration=28

Jeśli Firefox się zawiesza u połowy procenta użytkowników, a dodatkowo za dużą część tych padów jest odpowiedzialny francowaty Adobe Flash (NPSWF32.dll), to wasze wielokrotne pady potężnie wystają ponad normę. To nie jest pech, winny jest czynnik zewnętrzny i dlatego mam dla was radę.

Odwirusujcie swoje komputery! Naprawdę warto, będzie się wam przyjemniej pracować. No i to trochę wstyd, tak publicznie się przyznawać na portalu o tematyce IT, że się nie potrafi zadbać o bezpieczeństwo własnego systemu.

@master_zonk6

"
#23

Ach to pech. Pobrałem ten dodatek i Avast zaalarmował trojana. Zbagatelizowałem problem, bo myślałem że to fałszywy alarm. No bo niby wszystkie dodatki są bezpieczne. Przez tą głupią Mozillę mój komputer został zarażony. Zawiodłem się. Sądźę, że lepiej zainstalować wszystkomającą Operę, cieszyć się bezpieczeństwem i szybkością, niż instalować rozszerzenia z duszą na ramienią do tego nędznego Firefoksa. Ciekaw jestem ile jest jeszcze trojanów, keyloggerów, robaków i furtek dla cyberprzestępców w tych wszystkich dodatkach. Firefoks nie zagości już u mnie. Jeśli nie odpalę jakiejś stronki na Operze, to wolę skorzystać z IE8"

http://www.dobreprogramy.pl/Niebezpieczne-dodatki-do-Firefoksa-usuniete,Aktualno...

@kruk689: Ale z drugiej strony pozwala użytkownikowi uniknąć działań, które mogłyby "sprzyjać" takiemu atakowi.

@g_no_m
O zobacz. Winne są pluginy/programy firm trzecich. :O
Winny jest Windows, programy zabezpieczające itd :O
Pytam się po raz kolejny. Dlaczego na innych przeglądarkach nie widać tego problemu? Nawet te w fazie Beta pracują stabilniej niż wersje stabilne Firefoksa. Coś nie tak?

FF jest bardzie dziurawy od IE - Opera jest najlepsza!

@zonk
Nie pal głupa, sam się przyznałes :-D
Nie pamiętasz co napisałeś?

@ kruk689
"Powinni dopiero mówić o dziurach w momencie udostępnienia aktualizacji"

I w ogromnej większość przypadków tak to właśnie wygląda. Ludzie zgłaszają błędy Mozilli, ta je naprawia, publikuje łaty i równocześnie informacje o naprawionych lukach wygląda to wtedy tak:

http://secunia.com/advisories/36711/

Zwróć uwagę na pozycję "Original Advisory". Tam właśnie widać, że informacje upubliczniła sama Mozilla.

@Ololololol

Ma gosc poczucie humoru, to trzeba przyznac.

@master_zonk6

Panie, idz juz pan sobie. Nawet nie wiadomo, czy ta luka w ogole istnieje, bo 'wielki odkrywca luki' bawi sie jak dziecko, 'wiem ale nie powiem'. Albo niech opisze sprawe szczegolowo, albo nie bylo sprawy. Jak NIE CIERPIE Firefoksa (user IE8), to tutaj musze swoje 3 grosze wtracic.

W ogole nie rozumiem o co znowu ta afera 'a bo moja przegladarka jest lepsza a bo a bo a bo.....' 'a nie, bo wlasnie ze moja'. To juz bylo walkowane dziesiatki tysiecy razy, i nigdy nic z tego nie wynikalo. Po co walkowac jeszcze kolejny raz? (i mam takie dziwne wrazenie, ze na tym nie koniec...)

@mystic1
"Dobra, dobra... piszecie i psioczycie na te luki cały czas..., ale czy chodź raz padliście ofiarą, którejś z luk FF? Ja używam FF'a od 5 lat i nigdy nie miałem problemów."

Wiesz, ja nawet nie padlem ofiara ani jednej z tych 'oslawionych' luk w IE, o ktorych kraza takie legendy, ze niejedna gwiazda chcialaby, zeby tyle o niej pisali. Ludzie przesadzaja, niezaleznie jaka przegladarka.

@master_zonk

Nie zrozumiałeś. Prostszymi słowami: zgodnie ze statystyką, nie powinieneś doświadczać padu Firefoksa częściej, niż raz na ruski rok. Problem jest więc po twojej stronie, a ty go nie potrafisz zdiagnozować.

Opera ! Polecam !!!

@master_zonk6
Oczywiście, że Windows jest winny, na innych systemach jak widać w newsie takich problemów nie ma.

Mi się tylko FF wiesza jak napisze jakieś dziadostwo w JS ale po jakimś czasie wyświetla się "przerwij skrypt" tak nigdy nie doświadczyłem totalnej z wiechy a chyba że na kompie z komórki na którym mam pentiuma II:) Jedni mają osobne procesy i kupę zjedzonego ramu inni mają FF i sporadyczne zwiechy ciekawe jak będzie kiedy wtyczki będą pracować w osobnym procesie.

A i tak dla antyfanów FF co jakiś czas instaluje sobie Opere lub chroma po ilości pochwał jakie widzę w necie i chyba te 1Mb/s nie daje mi zauważyć różnicy prędkości więc zostaje przy tym co ma największą funkcjonalność.

Ludzie... to dobrze że wykrywają luki, bo tylko w taki sposób będą mogli je łatać. Fanboje tak się podniecają operą, przecież ona ma zamknięty kod jak w niej dziur szukać... Wy nawet nie wiecie ile macie w niej dziur, jak w serze.

@master zonk

Nie wiem jakie ty masz problemy ze stabilnością Firefoxa, bo ja jakoś nigdy ich nie miałem począwszy od wersji 2.0.x do dzisiejszej wersji 3.6
I raczej przestań na siłę udowadniać wyższość i doskonałość Opery nad innymi przeglądarkami, bo tak nie jest.
Jakoś parę razy już podchodziłem do Opery i zawsze kończyło się to powrotem do liska.
Co do rzekomej oszczędności w pobieraniu pamięci RAM(sprawdzałem to na wersji Opery 9.26, 9.50, 9.60, 10.00, 10.10), to trochę mit, ponieważ jak u mnie to miała duży apetyt na RAM, nie wcale nie miała jej ochoty zwolnić. Próbowałem ustawień typu pamięć podręczna 50MB ale na niewiele to się zdało.

Co do luk to proszę pokazać mi przeglądarkę w 100% wolną od luk i błędów.
Jeżeli Mozilla potwierdzi że jest takowa luka to zapewne zostanie ona szybciej usunięta niż podobny scenariusz z Internetem Explorerem od Microsoftu, tu jest wolna amerykanka, albo będzie poza harmonogramem, albo zgodnie z harmonogramem lub za pół roku, bądź wcale.

@master_zonk6 "Dlaczego na innych przeglądarkach nie widać tego problemu? Nawet te w fazie Beta pracują stabilniej niż wersje stabilne Firefoksa. Coś nie tak?"

Sprawdź temperaturę procesora w trakcie przegadania stron z Flashem.

@_zdegustowany
"Pobrałem ten dodatek i Avast zaalarmował trojana. Zbagatelizowałem problem, bo myślałem że to fałszywy alarm."

Czy na pewno to Mozilla jest głupia...?

Zawsze będzie tak, że zwolennicy Fuj Fuja będą się pieklić, jeśłi ktoś im pokaże marność tej przeglądarki, bo trafia to w ich czuły punkt. Nie potrafią się przyznać do swojej porażki, którą było zainstalowanie tego badziewka, a że z innych programów nie potrafią skorzystać, bo ich percepcja jest za niska, aby opanować inną przeglądarkę, to się wkurzają i irytują.Wynika to również z typowej polskiej cechy, jaką jest zawiść. Zawiść w stosunku do MS, bo uczciwiue zarabia pieniądze, a nie posługuje się lennikami, jak to czyni Mozilla. Za darmo ludzie robią przeglądarkę potem to składają do kupy i nie ma się co dziwić że trzeba dodatki instalować, żeby to wogóle chciało odpalić, a co dopiero z tego korzystać. To tak jakby kupić telewizor, ale do funkcjonowania trzebaby dokupić obudowę, kilka mikroprocesorów, zasilacz, przyciski, podstawkę, kondensatory i kabel z wtyczką i ciągle sprawdzać, czy nie przegrzeje się.

Secunia już nie informuje o luce w ff

ok, w takim razie co ma zrobic szary user - taki jak ja, ktory wie tylko tyle, ze lepiej nie uzywac internet explorera, oraz ktoremu notorycznie zawiesza się (wywala, wyłącza i zgłasza blad, ktory chce wysylac przez internet) oraz ktoremu non-stop żre ogromne ilości pamięci, zamulając komputer, utrudniając pracę, obnizając jej komfort. Pracuje na duzej ilosci zakladek, czasem jest ich i ~30, a czasem i 2 x ~30 w dwoch oknach. Komputer zaczyna mielić dyskiem - jak przypuszczam, uzywajac pamieci wirtualnej. Moj komputer nie jest stary, to AMD Phenom II x2 przerobiony na x4, z 2x2GB DDR3 1333 mhz (nie znam sie na tym, taki mi wcisneli, i prosze nie dyskutujmy nad sensem DDR3...). Zagladam do menedzera zadan i widze te 1 500 000 uzywanej przez FF pamieci, ktora wciaz rosnie, mimo ze niczego wiecej nie otwieram? Opera jest be, ok, IE - bez komentarza, przesiasc sie na linuxa? chcialbym, ale Photoshop i cala reszta... Mac? na razie mnie nie stac :P Sciagnąć poprawki do FF? trojany, keyloggery - nie dziekuje (chcialbym nadal spokojnie kupować plyty z muzyka i ksiazki przez internet, tak jak to czyniłem do tej pory). Wiec?