MozillaPL.org - polskie centrum Mozilli

Główne menu:

Firefox zaczyna dorównywac IE

Tematy specyficzne dla przeglądarki Mozilla Firefox

Moderator: Pomocy?!

Firefox zaczyna dorównywac IE

Postautor: Gość » 08 maja 2005, 15:47

Przeglądarka: Mozilla/5.0 (Windows; U; Windows NT 5.1; pl-PL; rv:1.7.7) Gecko/20050414 Firefox/1.0.3

http://secunia.com/product/4227/

Wyjątkowo niebezpieczny jak piszą. Mam dość, chyba odinstaluję firefoxa bo coś za dużo kłopotów z nim.
Gość
 

Postautor: Gość » 08 maja 2005, 15:59

Przeglądarka: Mozilla/5.0 (Windows; U; Windows NT 5.1; pl-PL; rv:1.7.7) Gecko/20050414 Firefox/1.0.3

Twoj wybor, zegnaj
Gość
 

Postautor: Arecki » 08 maja 2005, 16:18

Przeglądarka: Mozilla/5.0 (Windows; U; Win98; pl; rv:1.8b2) Gecko/20050424 Firefox/1.0+

Od kiedy, tzn. od paru miesięcy używam kolejnych wersji Firefoxa (również nighty) nie miałem żadnych problemów z padami przeglądarki itp., nie mówiąc już o różnicy w bezpieczeństwie. Z racji mojej pracy nie jestem początkującym użytkownikiem internetu i porównując różne produkty, nie wiem skad biorą się te ciągłe narzekania na forum. Jak nie chcecie to nie używajcie!!!
Chyba chcecie aby cały świat usłyszał Wasz płacz. Pamiętajcie macie jeszcze do dyspozycji wspaniałą, bezbłędną, idealną przeglądarkę IE, do której też Was nikt nie zmusza, więc po co te krzyki. Nie musicie też korzystać z internetu, wtedy nie będziecie mieli żadnych kłopotów.

P.s. Przekonałem wiele osób do tej przeglądarki i nikt!!! z nich nie skarży się, tylko chwali. Faktem jest, że zawsze można coś poprawić i nic nie jest wolne od błędów, ale ważna jest reakcja twórcy na te będy.
Arecki
 
Posty: 13
Z nami od: 25 kwietnia 2005, 22:14

Postautor: Olhado/256 » 08 maja 2005, 17:06

Przeglądarka: Mozilla/5.0 (Windows; U; Windows NT 5.0; en-US; rv:1.7.7) Gecko/20050418 Firefox/1.0.3 (MOOX M2)

Zwracam uwagę na to:
Successful exploitation requires that the site is allowed to install software (default sites are "update.mozilla.org" and "addons.mozilla.org").

i na to:
Solution:
Disable JavaScript.


Nie trzeba od razu odinstalowywać przeglądarki. Samo wywalenie z listy wszystkich stron, którym wolno instalować rozszerzenia, właściwie likwiduje zagrożenie (o ile dobrze zrozumiałem). Jeśli komuś naprawdę zależy na bezpieczeństwie, może wyłączyć JS i pomęczyć się do czasu załatania błędu (co zapewne nastąpi z właściwą dla MoFo szybkością).
Pamiętaj obywatelu: WTYCZKI TO NIE TO SAMO, CO ROZSZERZENIA!
WinXP SP2
Olhado/256
Moderator
 
Posty: 3878
Z nami od: 26 września 2002, 09:47
Lokalizacja: Wrocław

Postautor: Gość » 08 maja 2005, 17:16

Przeglądarka: Opera/8.0 (Windows NT 5.1; U; pl)

Olhado/256 pisze:Zwracam uwagę na to:
Successful exploitation requires that the site is allowed to install software (default sites are "update.mozilla.org" and "addons.mozilla.org").

i na to:
Solution:
Disable JavaScript.


Nie trzeba od razu odinstalowywać przeglądarki. Samo wywalenie z listy wszystkich stron, którym wolno instalować rozszerzenia, właściwie likwiduje zagrożenie (o ile dobrze zrozumiałem). Jeśli komuś naprawdę zależy na bezpieczeństwie, może wyłączyć JS i pomęczyć się do czasu załatania błędu (co zapewne nastąpi z właściwą dla MoFo szybkością).


Aaa.. to się jeszcze pomęczę bo tak sie przyzwyczaiłem, że ciężko porzucić :) Zresztą może przesadzam z tym bezpieczeństwem. Tyle czasu używałem IE i jakoś żyję :)
Gość
 

Postautor: Magellan » 08 maja 2005, 17:49

Przeglądarka: Mozilla/5.0 (Windows; U; Windows NT 5.0; pl-PL; rv:1.7.7) Gecko/20050414 Firefox/1.0.3

Nie, nie przesadzasz. Większość dziur w IE też można w ten sposób "załatać": wyłącz to, wyłącz tamto. Tylko co z tego? Ja chcę korzystać z pełnowartościowej przeglądarki.
Magellan
 

Postautor: lazik » 08 maja 2005, 17:56

Przeglądarka: Opera/7.54 (Windows NT 5.1; U) [en]

Magellan pisze:Nie, nie przesadzasz. Większość dziur w IE też można w ten sposób "załatać": wyłącz to, wyłącz tamto. Tylko co z tego? Ja chcę korzystać z pełnowartościowej przeglądarki.

Według twoich przyjętych kryteriów niestety nie istnieje pełnowartściowa przeglądarka.
Pozdrawiam,
lazik_s
lazik
 
Posty: 177
Z nami od: 30 października 2004, 10:52

Postautor: zwierz » 08 maja 2005, 18:06

Przeglądarka: Mozilla/5.0 (X11; U; Linux i686; pl-PL; rv:1.7.7) Gecko/20050415 Firefox/1.0.3

Successful exploitation requires that the site is allowed to install software (default sites are "update.mozilla.org" and "addons.mozilla.org").

Zatem żaden exploit nic mi nie zrobi. Nie sądzę też, żeby ktokolwiek padł ofiarą.

Potencjalna ofiara musi:
- mieć włączony JavaScirpt
- mieć włączoną opcję "Zezwól witrynom na instalację oprogramowania"
- trafić na stronę z exploitem
- dodać tę witrynę do listy stron, które mogą instalować oprogramowanie

Pierwsze dwie opcje większosć osób ma włączone, trafić na stronę z exploitem można przez przypadek, ale to ostatnie czyni ten błąd trudnym do wykorzystania :)
zwierz
Moderator
 
Posty: 1914
Z nami od: 31 sierpnia 2003, 10:13
Lokalizacja: Kraków

Postautor: Magellan » 08 maja 2005, 18:17

Przeglądarka: Mozilla/5.0 (Windows; U; Windows NT 5.0; pl-PL; rv:1.7.7) Gecko/20050414 Firefox/1.0.3

zwierz pisze:
Pierwsze dwie opcje większosć osób ma włączone, trafić na stronę z exploitem można przez przypadek, ale to ostatnie czyni ten błąd trudnym do wykorzystania :)


Tak sądzisz? Wystarczy by oszust/hacker/spamer umieścił na swojej stronie jakieś hiper-ekstra rozszerzenie i zareklamował je w Google. Sam wiele razy instalowałem rozszerzenia ze stron innych niż Mozilla.org i myślę, że wiele osób tak robi.
Magellan
 

Postautor: zwierz » 08 maja 2005, 18:29

Przeglądarka: Mozilla/5.0 (X11; U; Linux i686; pl-PL; rv:1.7.7) Gecko/20050415 Firefox/1.0.3

Coś mi tu nie pasuje... Skoro jest tak bosko to dlaczego Secunia określiła to jako "Extremely critical"?
Successful exploitation requires that the site is allowed to install software (default sites are "update.mozilla.org" and "addons.mozilla.org").

Może chodzi o to, że wystarczy jakiejkolwiek stronie (np. domyślnym "update.mozilla.org" i "addons.mozilla.org") pozwolić na instalację, by exploit umieszczony na innej stronie mógł coś zainstalować?
Znalazłem exploita, który (patrząc na jego kod) kopiuje na dysk C: jakiś plik booom.bat i uruchamia go. Niestety nie mam Windows, by to sprawdzić (pod Linuksem oczywiście nie działa). Może ktoś przetestować?
zwierz
Moderator
 
Posty: 1914
Z nami od: 31 sierpnia 2003, 10:13
Lokalizacja: Kraków

Postautor: lazik » 08 maja 2005, 18:59

Przeglądarka: Mozilla/5.0 (Windows; U; Windows NT 5.1; pl; rv:1.8b2) Gecko/20050424 Firefox/1.0+

Znalazłem exploita, który (patrząc na jego kod) kopiuje na dysk C: jakiś plik booom.bat i uruchamia go. Niestety nie mam Windows, by to sprawdzić (pod Linuksem oczywiście nie działa). Może ktoś przetestować?

Gandalfowy Power FF na to nie reaguje. Może 1.0.3?
Pozdrawiam,
lazik_s
lazik
 
Posty: 177
Z nami od: 30 października 2004, 10:52

Postautor: piecu » 08 maja 2005, 19:02

Przeglądarka: Mozilla/5.0 (Windows; U; Windows NT 5.1; pl-PL; rv:1.7.7) Gecko/20050414 Firefox/1.0.3

zwierz pisze:Znalazłem exploita, który (patrząc na jego kod) kopiuje na dysk C: jakiś plik booom.bat i uruchamia go. Niestety nie mam Windows, by to sprawdzić (pod Linuksem oczywiście nie działa). Może ktoś przetestować?

U mnie nic się nie dzieje. Widać, że zaczyna coś robić, ale komunikatu nie wyświetla (ze źródła wynika, że powinien), pliku też nie tworzy.
Bartosz Piec
piecu
Moderator
 
Posty: 809
Z nami od: 17 kwietnia 2003, 15:45
Lokalizacja: Warszawa

Postautor: zwierz » 08 maja 2005, 19:13

Przeglądarka: Mozilla/5.0 (X11; U; Linux i686; pl-PL; rv:1.7.7) Gecko/20050415 Firefox/1.0.3

@Magellan: do tego nie trzeba dziury w przeglądarce :) Jeśli instalujesz rozszerzenia z nieznanych/niezaufanych źródeł - to skąd wiesz, co tak naprawdę robią te rozszerzenia?
zwierz
Moderator
 
Posty: 1914
Z nami od: 31 sierpnia 2003, 10:13
Lokalizacja: Kraków

Postautor: Gość » 08 maja 2005, 19:16

Przeglądarka: Mozilla/5.0 (Windows; U; Windows NT 5.1; pl-PL; rv:1.7.7) Gecko/20050414 Firefox/1.0.3

1.0.3 pl, exploit nie dziala. Widac, ze cos sie dzieje, ale ani batcha ani komunikatu
Gość
 

Postautor: Olhado/256 » 08 maja 2005, 21:48

Przeglądarka: Mozilla/5.0 (Windows; U; Windows NT 5.0; en-US; rv:1.7.7) Gecko/20050418 Firefox/1.0.3 (MOOX M2)

Magellan pisze:Nie, nie przesadzasz. Większość dziur w IE też można w ten sposób "załatać": wyłącz to, wyłącz tamto. Tylko co z tego?

To z tego, że wyłączenie JS jest tymczasowym obejściem problemu, a nie jego załataniem. Dziura zostanie załatana i, znając MoFo, zostanie załatana szybko. Poza tym powtarzam - błąd jest trudny do wykorzystania. Wystarczy przez pewien czas nie instalować żadnych rozszerzeń, wywalić wszystkie zaufane witryny z listy i, jeśli dobrze rozumiem, jesteś bezpieczny.
Magellan pisze:Ja chcę korzystać z pełnowartościowej przeglądarki.

Pełnowartościowej, czyli wolnej od błędów? Nie da się. Jeśli Fx jest dla ciebie zbyt dziurawy, wypróbuj Operę (zero znanych błędów według Secunii). Ale i w niej zapewne w końcu coś odkryją (szczególnie jeśli zwiększy swój udział w rynku).
Pamiętaj obywatelu: WTYCZKI TO NIE TO SAMO, CO ROZSZERZENIA!
WinXP SP2
Olhado/256
Moderator
 
Posty: 3878
Z nami od: 26 września 2002, 09:47
Lokalizacja: Wrocław

Postautor: raj » 08 maja 2005, 23:44

Przeglądarka: Mozilla/5.0 (Windows; U; Win98; pl-PL; rv:1.7.7) Gecko/20050414 Firefox/1.0.3

Olhado/256 pisze:
Magellan pisze:Ja chcę korzystać z pełnowartościowej przeglądarki.

Pełnowartościowej, czyli wolnej od błędów? Nie da się. Jeśli Fx jest dla ciebie zbyt dziurawy, wypróbuj Operę (zero znanych błędów według Secunii). Ale i w niej zapewne w końcu coś odkryją (szczególnie jeśli zwiększy swój udział w rynku).


Ale fakt faktem, że ostatnio coś w zbyt szybkim tempie te kolejne dziury w FF zaczynają sie pojawiać... :(
raj
 

Postautor: siegiel » 08 maja 2005, 23:50

Przeglądarka: Mozilla/5.0 (X11; U; FreeBSD i386; en-US; rv:1.7.7) Gecko/20050507 Firefox/1.0.3

raj pisze:
Olhado/256 pisze:
Magellan pisze:Ja chcę korzystać z pełnowartościowej przeglądarki.

Pełnowartościowej, czyli wolnej od błędów? Nie da się. Jeśli Fx jest dla ciebie zbyt dziurawy, wypróbuj Operę (zero znanych błędów według Secunii). Ale i w niej zapewne w końcu coś odkryją (szczególnie jeśli zwiększy swój udział w rynku).


Ale fakt faktem, że ostatnio coś w zbyt szybkim tempie te kolejne dziury w FF zaczynają sie pojawiać... :(
cena popularnosci, otwartego zrodla i nagrody pienieznej MoFo ;)
siegiel
 
Posty: 402
Z nami od: 05 lutego 2003, 11:58
Lokalizacja: tychy

Postautor: mkey » 09 maja 2005, 02:10

Przeglądarka: Opera/8.0 (X11; Linux i686; U; pl)

Wracając do tematu tej "dziury" w firefoxie to można powiedzieć że każdy program, system jest obciążony takim błedem...
Trudno wymagać żeby programy myślały za użytkownika
wiadomo, że słowo ZAUFANY znaczy co znaczy i trudno obciążać winą przeglądarkę że użytkownik stronę niezaufaną dodaje do "zaufanych".
To tak jakby chciał obciążać system za to że z poziomu root-a / Administratora wydał polecenie:
rm -rf / del *.*
i się czepiać, że system go posuchał :(
Będąc adminem w pewnej firmie zauważam, że ludzie chcą by maszyny za nich "myślały", a przecież to my podobno jesteśmy Homo Sapiens?
Hmmm.... A może już nie?
mkey
 

Postautor: zwierz » 09 maja 2005, 05:32

Przeglądarka: Mozilla/5.0 (X11; U; Linux i686; pl-PL; rv:1.7.7) Gecko/20050415 Firefox/1.0.3

Problem został wstępnie rozwiązany.
http://www.frsirt.com/english/advisories/2005/0493 pisze:Update - The Mozilla Foundation patched (partially) this vulnerability on the server side by adding random letters and numbers to the "install()" function, which will prevent the public exploit from working.

http://www.securityfocus.com/bid/13544/discussion/ pisze:*Update: The cross-site scripting vulnerability
that the publicly available exploit relied on in the mozilla.org domain has been
fixed. This issue is no longer exploitable through this public attack vector.

http://secunia.com/advisories/15292/ pisze:NOTE: A temporary solution has been added to the sites "update.mozilla.org" and "addons.mozilla.org" where requests are redirected to "do-not-add.mozilla.org". This will stop the publicly available exploit code using a combination of vulnerability 1 and 2 to execute arbitrary code in the default settings of Firefox.

Teraz pozostaje już tylko poczekać na Firefoksa 1.0.4.

UPDATE: Prawdopodobnie do tego czasu instalacja rozszerzeń ze stron mozilla.org będzie mniej wygodna. Exploity nie działają ponieważ zmieniono adres stron z rozszerzeniami na https://do-not-add.mozilla.org/ (jest przekierowanie z update.mozilla.org)

To address security concerns, we have made a number of changes, including temporarily changing the URL for this site. If prompted, please DO NOT add this new URL (do-not-add.mozilla.org) to your Allowed Sites or White List.


Adresu serwera do-not-add.mozilla.org (ani innych stron) nie należy dodawać do zaufanych stron, tylko instalować rozszerzenia ręcznie - zapisać na dysk (prawym przyciskiem myszy), a następnie Plik > Otwórz plik

Jeśli ktoś posiada domyślną konfigurację, czyli pozwala na instalację rozszerzeń ze stron update.mozilla.org i addons.mozilla.org - jest bezpieczny. Nie trzeba wtedy wyłączać ani JavaScript, ani wyłączać opcji "Zezwól na instalację oprogramowania". Do czasu ukazania się nowej wersji Firefoksa - rozszerzenia instalujemy "ręcznie".
Ostatnio zmieniony 09 maja 2005, 10:39 przez zwierz, łącznie zmieniany 1 raz
zwierz
Moderator
 
Posty: 1914
Z nami od: 31 sierpnia 2003, 10:13
Lokalizacja: Kraków

Postautor: Ludwik » 09 maja 2005, 08:17

Przeglądarka: Mozilla/5.0 (X11; U; Linux i686; pl-PL; rv:1.7.6) Gecko/20050406 Firefox/1.0.2 (Debian package 1.0.2-3)

Ogólnie co do dziur to różnica jest taka, że w Firefoksie dużo dziur jest łatanych, natomiast w IE dużo dziur jest nie załatanych. Od miesięcy. Polecam ten tekst: http://di.com.pl/n/?lp=9710
Ludwik
Moderator
 
Posty: 2908
Z nami od: 10 marca 2003, 10:05

Następna

Wróć do Przeglądarka Firefox

Kto jest online

Zarejestrowani użytkownicy: Bing [Bot]

Przejdź do powiązanej strony

Nawigacja:

Stopka: