Firefox zaczyna dorównywac IE
Moderator: Pomocy?!
Firefox zaczyna dorównywac IE
Przeglądarka: Mozilla/5.0 (Windows; U; Windows NT 5.1; pl-PL; rv:1.7.7) Gecko/20050414 Firefox/1.0.3
Wyjątkowo niebezpieczny jak piszą. Mam dość, chyba odinstaluję firefoxa bo coś za dużo kłopotów z nim.
- Gość
Przeglądarka: Mozilla/5.0 (Windows; U; Win98; pl; rv:1.8b2) Gecko/20050424 Firefox/1.0+
Chyba chcecie aby cały świat usłyszał Wasz płacz. Pamiętajcie macie jeszcze do dyspozycji wspaniałą, bezbłędną, idealną przeglądarkę IE, do której też Was nikt nie zmusza, więc po co te krzyki. Nie musicie też korzystać z internetu, wtedy nie będziecie mieli żadnych kłopotów.
P.s. Przekonałem wiele osób do tej przeglądarki i nikt!!! z nich nie skarży się, tylko chwali. Faktem jest, że zawsze można coś poprawić i nic nie jest wolne od błędów, ale ważna jest reakcja twórcy na te będy.
- Arecki
- Posty: 13
- Z nami od: 25 kwietnia 2005, 22:14
Przeglądarka: Mozilla/5.0 (Windows; U; Windows NT 5.0; en-US; rv:1.7.7) Gecko/20050418 Firefox/1.0.3 (MOOX M2)
Successful exploitation requires that the site is allowed to install software (default sites are "update.mozilla.org" and "addons.mozilla.org").
i na to:
Solution:
Disable JavaScript.
Nie trzeba od razu odinstalowywać przeglądarki. Samo wywalenie z listy wszystkich stron, którym wolno instalować rozszerzenia, właściwie likwiduje zagrożenie (o ile dobrze zrozumiałem). Jeśli komuś naprawdę zależy na bezpieczeństwie, może wyłączyć JS i pomęczyć się do czasu załatania błędu (co zapewne nastąpi z właściwą dla MoFo szybkością).
WinXP SP2
- Olhado/256
- Moderator
- Posty: 3878
- Z nami od: 26 września 2002, 09:47
- Lokalizacja: Wrocław
Przeglądarka: Opera/8.0 (Windows NT 5.1; U; pl)
Olhado/256 pisze:Zwracam uwagę na to:Successful exploitation requires that the site is allowed to install software (default sites are "update.mozilla.org" and "addons.mozilla.org").
i na to:Solution:
Disable JavaScript.
Nie trzeba od razu odinstalowywać przeglądarki. Samo wywalenie z listy wszystkich stron, którym wolno instalować rozszerzenia, właściwie likwiduje zagrożenie (o ile dobrze zrozumiałem). Jeśli komuś naprawdę zależy na bezpieczeństwie, może wyłączyć JS i pomęczyć się do czasu załatania błędu (co zapewne nastąpi z właściwą dla MoFo szybkością).
Aaa.. to się jeszcze pomęczę bo tak sie przyzwyczaiłem, że ciężko porzucić Zresztą może przesadzam z tym bezpieczeństwem. Tyle czasu używałem IE i jakoś żyję
- Gość
Przeglądarka: Opera/7.54 (Windows NT 5.1; U) [en]
Magellan pisze:Nie, nie przesadzasz. Większość dziur w IE też można w ten sposób "załatać": wyłącz to, wyłącz tamto. Tylko co z tego? Ja chcę korzystać z pełnowartościowej przeglądarki.
Według twoich przyjętych kryteriów niestety nie istnieje pełnowartściowa przeglądarka.
lazik_s
- lazik
- Posty: 177
- Z nami od: 30 października 2004, 10:52
Przeglądarka: Mozilla/5.0 (X11; U; Linux i686; pl-PL; rv:1.7.7) Gecko/20050415 Firefox/1.0.3
Successful exploitation requires that the site is allowed to install software (default sites are "update.mozilla.org" and "addons.mozilla.org").
Zatem żaden exploit nic mi nie zrobi. Nie sądzę też, żeby ktokolwiek padł ofiarą.
Potencjalna ofiara musi:
- mieć włączony JavaScirpt
- mieć włączoną opcję "Zezwól witrynom na instalację oprogramowania"
- trafić na stronę z exploitem
- dodać tę witrynę do listy stron, które mogą instalować oprogramowanie
Pierwsze dwie opcje większosć osób ma włączone, trafić na stronę z exploitem można przez przypadek, ale to ostatnie czyni ten błąd trudnym do wykorzystania
- zwierz
- Moderator
- Posty: 1914
- Z nami od: 31 sierpnia 2003, 10:13
- Lokalizacja: Kraków
Przeglądarka: Mozilla/5.0 (Windows; U; Windows NT 5.0; pl-PL; rv:1.7.7) Gecko/20050414 Firefox/1.0.3
zwierz pisze:Pierwsze dwie opcje większosć osób ma włączone, trafić na stronę z exploitem można przez przypadek, ale to ostatnie czyni ten błąd trudnym do wykorzystania
Tak sądzisz? Wystarczy by oszust/hacker/spamer umieścił na swojej stronie jakieś hiper-ekstra rozszerzenie i zareklamował je w Google. Sam wiele razy instalowałem rozszerzenia ze stron innych niż Mozilla.org i myślę, że wiele osób tak robi.
- Magellan
Przeglądarka: Mozilla/5.0 (X11; U; Linux i686; pl-PL; rv:1.7.7) Gecko/20050415 Firefox/1.0.3
Successful exploitation requires that the site is allowed to install software (default sites are "update.mozilla.org" and "addons.mozilla.org").
Może chodzi o to, że wystarczy jakiejkolwiek stronie (np. domyślnym "update.mozilla.org" i "addons.mozilla.org") pozwolić na instalację, by exploit umieszczony na innej stronie mógł coś zainstalować?
Znalazłem exploita, który (patrząc na jego kod) kopiuje na dysk C: jakiś plik booom.bat i uruchamia go. Niestety nie mam Windows, by to sprawdzić (pod Linuksem oczywiście nie działa). Może ktoś przetestować?
- zwierz
- Moderator
- Posty: 1914
- Z nami od: 31 sierpnia 2003, 10:13
- Lokalizacja: Kraków
Przeglądarka: Mozilla/5.0 (Windows; U; Windows NT 5.1; pl; rv:1.8b2) Gecko/20050424 Firefox/1.0+
Znalazłem exploita, który (patrząc na jego kod) kopiuje na dysk C: jakiś plik booom.bat i uruchamia go. Niestety nie mam Windows, by to sprawdzić (pod Linuksem oczywiście nie działa). Może ktoś przetestować?
Gandalfowy Power FF na to nie reaguje. Może 1.0.3?
lazik_s
- lazik
- Posty: 177
- Z nami od: 30 października 2004, 10:52
Przeglądarka: Mozilla/5.0 (Windows; U; Windows NT 5.1; pl-PL; rv:1.7.7) Gecko/20050414 Firefox/1.0.3
zwierz pisze:Znalazłem exploita, który (patrząc na jego kod) kopiuje na dysk C: jakiś plik booom.bat i uruchamia go. Niestety nie mam Windows, by to sprawdzić (pod Linuksem oczywiście nie działa). Może ktoś przetestować?
U mnie nic się nie dzieje. Widać, że zaczyna coś robić, ale komunikatu nie wyświetla (ze źródła wynika, że powinien), pliku też nie tworzy.
- piecu
- Moderator
- Posty: 809
- Z nami od: 17 kwietnia 2003, 15:45
- Lokalizacja: Warszawa
Przeglądarka: Mozilla/5.0 (X11; U; Linux i686; pl-PL; rv:1.7.7) Gecko/20050415 Firefox/1.0.3
- zwierz
- Moderator
- Posty: 1914
- Z nami od: 31 sierpnia 2003, 10:13
- Lokalizacja: Kraków
Przeglądarka: Mozilla/5.0 (Windows; U; Windows NT 5.0; en-US; rv:1.7.7) Gecko/20050418 Firefox/1.0.3 (MOOX M2)
Magellan pisze:Nie, nie przesadzasz. Większość dziur w IE też można w ten sposób "załatać": wyłącz to, wyłącz tamto. Tylko co z tego?
To z tego, że wyłączenie JS jest tymczasowym obejściem problemu, a nie jego załataniem. Dziura zostanie załatana i, znając MoFo, zostanie załatana szybko. Poza tym powtarzam - błąd jest trudny do wykorzystania. Wystarczy przez pewien czas nie instalować żadnych rozszerzeń, wywalić wszystkie zaufane witryny z listy i, jeśli dobrze rozumiem, jesteś bezpieczny.
Magellan pisze:Ja chcę korzystać z pełnowartościowej przeglądarki.
Pełnowartościowej, czyli wolnej od błędów? Nie da się. Jeśli Fx jest dla ciebie zbyt dziurawy, wypróbuj Operę (zero znanych błędów według Secunii). Ale i w niej zapewne w końcu coś odkryją (szczególnie jeśli zwiększy swój udział w rynku).
WinXP SP2
- Olhado/256
- Moderator
- Posty: 3878
- Z nami od: 26 września 2002, 09:47
- Lokalizacja: Wrocław
Przeglądarka: Mozilla/5.0 (Windows; U; Win98; pl-PL; rv:1.7.7) Gecko/20050414 Firefox/1.0.3
Olhado/256 pisze:Magellan pisze:Ja chcę korzystać z pełnowartościowej przeglądarki.
Pełnowartościowej, czyli wolnej od błędów? Nie da się. Jeśli Fx jest dla ciebie zbyt dziurawy, wypróbuj Operę (zero znanych błędów według Secunii). Ale i w niej zapewne w końcu coś odkryją (szczególnie jeśli zwiększy swój udział w rynku).
Ale fakt faktem, że ostatnio coś w zbyt szybkim tempie te kolejne dziury w FF zaczynają sie pojawiać...
- raj
Przeglądarka: Mozilla/5.0 (X11; U; FreeBSD i386; en-US; rv:1.7.7) Gecko/20050507 Firefox/1.0.3
cena popularnosci, otwartego zrodla i nagrody pienieznej MoForaj pisze:Olhado/256 pisze:Magellan pisze:Ja chcę korzystać z pełnowartościowej przeglądarki.
Pełnowartościowej, czyli wolnej od błędów? Nie da się. Jeśli Fx jest dla ciebie zbyt dziurawy, wypróbuj Operę (zero znanych błędów według Secunii). Ale i w niej zapewne w końcu coś odkryją (szczególnie jeśli zwiększy swój udział w rynku).
Ale fakt faktem, że ostatnio coś w zbyt szybkim tempie te kolejne dziury w FF zaczynają sie pojawiać...
- siegiel
- Posty: 402
- Z nami od: 05 lutego 2003, 11:58
- Lokalizacja: tychy
Przeglądarka: Opera/8.0 (X11; Linux i686; U; pl)
Trudno wymagać żeby programy myślały za użytkownika
wiadomo, że słowo ZAUFANY znaczy co znaczy i trudno obciążać winą przeglądarkę że użytkownik stronę niezaufaną dodaje do "zaufanych".
To tak jakby chciał obciążać system za to że z poziomu root-a / Administratora wydał polecenie:
rm -rf / del *.*
i się czepiać, że system go posuchał
Będąc adminem w pewnej firmie zauważam, że ludzie chcą by maszyny za nich "myślały", a przecież to my podobno jesteśmy Homo Sapiens?
Hmmm.... A może już nie?
- mkey
Przeglądarka: Mozilla/5.0 (X11; U; Linux i686; pl-PL; rv:1.7.7) Gecko/20050415 Firefox/1.0.3
http://www.frsirt.com/english/advisories/2005/0493 pisze:Update - The Mozilla Foundation patched (partially) this vulnerability on the server side by adding random letters and numbers to the "install()" function, which will prevent the public exploit from working.
http://www.securityfocus.com/bid/13544/discussion/ pisze:*Update: The cross-site scripting vulnerability
that the publicly available exploit relied on in the mozilla.org domain has been
fixed. This issue is no longer exploitable through this public attack vector.
http://secunia.com/advisories/15292/ pisze:NOTE: A temporary solution has been added to the sites "update.mozilla.org" and "addons.mozilla.org" where requests are redirected to "do-not-add.mozilla.org". This will stop the publicly available exploit code using a combination of vulnerability 1 and 2 to execute arbitrary code in the default settings of Firefox.
Teraz pozostaje już tylko poczekać na Firefoksa 1.0.4.
UPDATE: Prawdopodobnie do tego czasu instalacja rozszerzeń ze stron mozilla.org będzie mniej wygodna. Exploity nie działają ponieważ zmieniono adres stron z rozszerzeniami na https://do-not-add.mozilla.org/ (jest przekierowanie z update.mozilla.org)
To address security concerns, we have made a number of changes, including temporarily changing the URL for this site. If prompted, please DO NOT add this new URL (do-not-add.mozilla.org) to your Allowed Sites or White List.
Adresu serwera do-not-add.mozilla.org (ani innych stron) nie należy dodawać do zaufanych stron, tylko instalować rozszerzenia ręcznie - zapisać na dysk (prawym przyciskiem myszy), a następnie Plik > Otwórz plik
Jeśli ktoś posiada domyślną konfigurację, czyli pozwala na instalację rozszerzeń ze stron update.mozilla.org i addons.mozilla.org - jest bezpieczny. Nie trzeba wtedy wyłączać ani JavaScript, ani wyłączać opcji "Zezwól na instalację oprogramowania". Do czasu ukazania się nowej wersji Firefoksa - rozszerzenia instalujemy "ręcznie".
- zwierz
- Moderator
- Posty: 1914
- Z nami od: 31 sierpnia 2003, 10:13
- Lokalizacja: Kraków
Przeglądarka: Mozilla/5.0 (X11; U; Linux i686; pl-PL; rv:1.7.6) Gecko/20050406 Firefox/1.0.2 (Debian package 1.0.2-3)
- Ludwik
- Moderator
- Posty: 2908
- Z nami od: 10 marca 2003, 10:05
Kto jest online
Zarejestrowani użytkownicy: Bing [Bot], Google [Bot]