MozillaPL.org - polskie centrum Mozilli

[Gość]

http://secunia.com/product/4227/

Wyjątkowo niebezpieczny jak piszą. Mam dość, chyba odinstaluję firefoxa bo coś za dużo kłopotów z nim.

[Gość]

Twoj wybor, zegnaj

[Arecki]

Od kiedy, tzn. od paru miesięcy używam kolejnych wersji Firefoxa (również nighty) nie miałem żadnych problemów z padami przeglądarki itp., nie mówiąc już o różnicy w bezpieczeństwie. Z racji mojej pracy nie jestem początkującym użytkownikiem internetu i porównując różne produkty, nie wiem skad biorą się te ciągłe narzekania na forum. Jak nie chcecie to nie używajcie!!!
Chyba chcecie aby cały świat usłyszał Wasz płacz. Pamiętajcie macie jeszcze do dyspozycji wspaniałą, bezbłędną, idealną przeglądarkę IE, do której też Was nikt nie zmusza, więc po co te krzyki. Nie musicie też korzystać z internetu, wtedy nie będziecie mieli żadnych kłopotów.

P.s. Przekonałem wiele osób do tej przeglądarki i nikt!!! z nich nie skarży się, tylko chwali. Faktem jest, że zawsze można coś poprawić i nic nie jest wolne od błędów, ale ważna jest reakcja twórcy na te będy.

[Olhado/256]

Zwracam uwagę na to:

Successful exploitation requires that the site is allowed to install software (default sites are "update.mozilla.org" and "addons.mozilla.org").

i na to:

Solution:
Disable JavaScript.

Nie trzeba od razu odinstalowywać przeglądarki. Samo wywalenie z listy wszystkich stron, którym wolno instalować rozszerzenia, właściwie likwiduje zagrożenie (o ile dobrze zrozumiałem). Jeśli komuś naprawdę zależy na bezpieczeństwie, może wyłączyć JS i pomęczyć się do czasu załatania błędu (co zapewne nastąpi z właściwą dla MoFo szybkością).

[Gość]

Zwracam uwagę na to:

Successful exploitation requires that the site is allowed to install software (default sites are "update.mozilla.org" and "addons.mozilla.org").

i na to:

Solution:
Disable JavaScript.

Nie trzeba od razu odinstalowywać przeglądarki. Samo wywalenie z listy wszystkich stron, którym wolno instalować rozszerzenia, właściwie likwiduje zagrożenie (o ile dobrze zrozumiałem). Jeśli komuś naprawdę zależy na bezpieczeństwie, może wyłączyć JS i pomęczyć się do czasu załatania błędu (co zapewne nastąpi z właściwą dla MoFo szybkością).

Aaa.. to się jeszcze pomęczę bo tak sie przyzwyczaiłem, że ciężko porzucić Zresztą może przesadzam z tym bezpieczeństwem. Tyle czasu używałem IE i jakoś żyję

[Magellan]

Nie, nie przesadzasz. Większość dziur w IE też można w ten sposób "załatać": wyłącz to, wyłącz tamto. Tylko co z tego? Ja chcę korzystać z pełnowartościowej przeglądarki.

[lazik]

Nie, nie przesadzasz. Większość dziur w IE też można w ten sposób "załatać": wyłącz to, wyłącz tamto. Tylko co z tego? Ja chcę korzystać z pełnowartościowej przeglądarki.

Według twoich przyjętych kryteriów niestety nie istnieje pełnowartściowa przeglądarka.

[zwierz]

Successful exploitation requires that the site is allowed to install software (default sites are "update.mozilla.org" and "addons.mozilla.org").

Zatem żaden exploit nic mi nie zrobi. Nie sądzę też, żeby ktokolwiek padł ofiarą.

Potencjalna ofiara musi:
- mieć włączony JavaScirpt
- mieć włączoną opcję "Zezwól witrynom na instalację oprogramowania"
- trafić na stronę z exploitem
- dodać tę witrynę do listy stron, które mogą instalować oprogramowanie

Pierwsze dwie opcje większosć osób ma włączone, trafić na stronę z exploitem można przez przypadek, ale to ostatnie czyni ten błąd trudnym do wykorzystania

[Magellan]

Pierwsze dwie opcje większosć osób ma włączone, trafić na stronę z exploitem można przez przypadek, ale to ostatnie czyni ten błąd trudnym do wykorzystania

Tak sądzisz? Wystarczy by oszust/hacker/spamer umieścił na swojej stronie jakieś hiper-ekstra rozszerzenie i zareklamował je w Google. Sam wiele razy instalowałem rozszerzenia ze stron innych niż Mozilla.org i myślę, że wiele osób tak robi.

[zwierz]

Coś mi tu nie pasuje... Skoro jest tak bosko to dlaczego Secunia określiła to jako "Extremely critical"?

Successful exploitation requires that the site is allowed to install software (default sites are "update.mozilla.org" and "addons.mozilla.org").

Może chodzi o to, że wystarczy jakiejkolwiek stronie (np. domyślnym "update.mozilla.org" i "addons.mozilla.org") pozwolić na instalację, by exploit umieszczony na innej stronie mógł coś zainstalować?
Znalazłem exploita, który (patrząc na jego kod) kopiuje na dysk C: jakiś plik booom.bat i uruchamia go. Niestety nie mam Windows, by to sprawdzić (pod Linuksem oczywiście nie działa). Może ktoś przetestować?

[lazik]

Znalazłem exploita, który (patrząc na jego kod) kopiuje na dysk C: jakiś plik booom.bat i uruchamia go. Niestety nie mam Windows, by to sprawdzić (pod Linuksem oczywiście nie działa). Może ktoś przetestować?

Gandalfowy Power FF na to nie reaguje. Może 1.0.3?

[piecu]

Znalazłem exploita, który (patrząc na jego kod) kopiuje na dysk C: jakiś plik booom.bat i uruchamia go. Niestety nie mam Windows, by to sprawdzić (pod Linuksem oczywiście nie działa). Może ktoś przetestować?

U mnie nic się nie dzieje. Widać, że zaczyna coś robić, ale komunikatu nie wyświetla (ze źródła wynika, że powinien), pliku też nie tworzy.

[zwierz]

@Magellan: do tego nie trzeba dziury w przeglądarce Jeśli instalujesz rozszerzenia z nieznanych/niezaufanych źródeł - to skąd wiesz, co tak naprawdę robią te rozszerzenia?

[Gość]

1.0.3 pl, exploit nie dziala. Widac, ze cos sie dzieje, ale ani batcha ani komunikatu

[Olhado/256]

Nie, nie przesadzasz. Większość dziur w IE też można w ten sposób "załatać": wyłącz to, wyłącz tamto. Tylko co z tego?

To z tego, że wyłączenie JS jest tymczasowym obejściem problemu, a nie jego załataniem. Dziura zostanie załatana i, znając MoFo, zostanie załatana szybko. Poza tym powtarzam - błąd jest trudny do wykorzystania. Wystarczy przez pewien czas nie instalować żadnych rozszerzeń, wywalić wszystkie zaufane witryny z listy i, jeśli dobrze rozumiem, jesteś bezpieczny.

Ja chcę korzystać z pełnowartościowej przeglądarki.

Pełnowartościowej, czyli wolnej od błędów? Nie da się. Jeśli Fx jest dla ciebie zbyt dziurawy, wypróbuj Operę (zero znanych błędów według Secunii). Ale i w niej zapewne w końcu coś odkryją (szczególnie jeśli zwiększy swój udział w rynku).

[raj]

Ja chcę korzystać z pełnowartościowej przeglądarki.

Pełnowartościowej, czyli wolnej od błędów? Nie da się. Jeśli Fx jest dla ciebie zbyt dziurawy, wypróbuj Operę (zero znanych błędów według Secunii). Ale i w niej zapewne w końcu coś odkryją (szczególnie jeśli zwiększy swój udział w rynku).

Ale fakt faktem, że ostatnio coś w zbyt szybkim tempie te kolejne dziury w FF zaczynają sie pojawiać...

[siegiel]

Ja chcę korzystać z pełnowartościowej przeglądarki.

Pełnowartościowej, czyli wolnej od błędów? Nie da się. Jeśli Fx jest dla ciebie zbyt dziurawy, wypróbuj Operę (zero znanych błędów według Secunii). Ale i w niej zapewne w końcu coś odkryją (szczególnie jeśli zwiększy swój udział w rynku).

Ale fakt faktem, że ostatnio coś w zbyt szybkim tempie te kolejne dziury w FF zaczynają sie pojawiać...

cena popularnosci, otwartego zrodla i nagrody pienieznej MoFo

[mkey]

Wracając do tematu tej "dziury" w firefoxie to można powiedzieć że każdy program, system jest obciążony takim błedem...
Trudno wymagać żeby programy myślały za użytkownika
wiadomo, że słowo ZAUFANY znaczy co znaczy i trudno obciążać winą przeglądarkę że użytkownik stronę niezaufaną dodaje do "zaufanych".
To tak jakby chciał obciążać system za to że z poziomu root-a / Administratora wydał polecenie:
rm -rf / del *.*
i się czepiać, że system go posuchał
Będąc adminem w pewnej firmie zauważam, że ludzie chcą by maszyny za nich "myślały", a przecież to my podobno jesteśmy Homo Sapiens?
Hmmm.... A może już nie?

[zwierz]

Problem został wstępnie rozwiązany.

Update - The Mozilla Foundation patched (partially) this vulnerability on the server side by adding random letters and numbers to the "install()" function, which will prevent the public exploit from working.

*Update: The cross-site scripting vulnerability
that the publicly available exploit relied on in the mozilla.org domain has been
fixed. This issue is no longer exploitable through this public attack vector.

NOTE: A temporary solution has been added to the sites "update.mozilla.org" and "addons.mozilla.org" where requests are redirected to "do-not-add.mozilla.org". This will stop the publicly available exploit code using a combination of vulnerability 1 and 2 to execute arbitrary code in the default settings of Firefox.

Teraz pozostaje już tylko poczekać na Firefoksa 1.0.4.

UPDATE: Prawdopodobnie do tego czasu instalacja rozszerzeń ze stron mozilla.org będzie mniej wygodna. Exploity nie działają ponieważ zmieniono adres stron z rozszerzeniami na https://do-not-add.mozilla.org/ (jest przekierowanie z update.mozilla.org)

To address security concerns, we have made a number of changes, including temporarily changing the URL for this site. If prompted, please DO NOT add this new URL (do-not-add.mozilla.org) to your Allowed Sites or White List.

Adresu serwera do-not-add.mozilla.org (ani innych stron) nie należy dodawać do zaufanych stron, tylko instalować rozszerzenia ręcznie - zapisać na dysk (prawym przyciskiem myszy), a następnie Plik > Otwórz plik

Jeśli ktoś posiada domyślną konfigurację, czyli pozwala na instalację rozszerzeń ze stron update.mozilla.org i addons.mozilla.org - jest bezpieczny. Nie trzeba wtedy wyłączać ani JavaScript, ani wyłączać opcji "Zezwól na instalację oprogramowania". Do czasu ukazania się nowej wersji Firefoksa - rozszerzenia instalujemy "ręcznie".

[Ludwik]

Ogólnie co do dziur to różnica jest taka, że w Firefoksie dużo dziur jest łatanych, natomiast w IE dużo dziur jest nie załatanych. Od miesięcy. Polecam ten tekst: http://di.com.pl/n/?lp=9710