ווטסאפ - לינוקס, BSD, קוד פתוח ותוכנה חופשית בעברית. Whatsup - Linux, BSD, open source and free software in Hebrew

  		 
  כניסת חברים · רישום · שכחתי סיסמה  
tux the penguin

quick_linkשדרוג לפיירפוקס - 1.0.3 - בקרוב

published at 05/04/2005 - 01:11 · ‏פורסם דוביקס · ‏tags אבטחת מידע · שלח לחברידידותי למדפסת
אבטחת מידע בימים הקרובים צפוי להשתחרר עדכון נוסף לפיירפוקס - גרסה 1.0.3. השדרוג מתקן בין השאר את באג האבטחה 288688 שנפתח לפני מספר ימים.

הבאג מאפשר כתיבת JavaScript זדוני שמסוגל לקרוא קטעי זכרון מסויימים. מידע נוסף על הבאג ניתן למצוא בדיווח של חברת Secunia, כולל הדגמה של הבעיה. Secunia קיטלגה את הבאג בדרגת חומרה שלישית (מתוך 5 אפשריות).

יש לציין שתיקון לבאג כבר זמין בגרסאות הבדיקה של 1.0.3 - המעוניינים יכולים להתקין את הגרסה הלילית מקישור זה (גרסת פיתוח לצרכי בדיקה בלבד - תודה למגיב האלמוני שהדגיש את הנקודה).

עוד בעיות אבטחה שהתגלו לאחרונה, נוגעות ל-MS Outlook ו-MS Internet Explorer. הבעיות שהתגלו ע"י חברת eEye Digital, מאפשרות השתלטות על מחשב בלחיצה תמימה על קישור באתר אינטרנט. אחת הבעיות דווחה למיקרוסופט לפני כ-3 שבועות, והשניה לפני כשבוע, אולם תיקונים עדיין אינם זמינים. חברת eEye הודיעה שאין בכוונתה לפרסם מידע נוסף עד לשחרור תיקונים לליקויים, שהוגדרו על ידה כחמורים ביותר.

חברת eEye מכנה את הסתרת הבאגים "Responsible Disclosure" - משחק מילים על "Full Disclosure" שנדון בידיעה בנושא Sybase שפורסמה כאן לפני מספר ימים.

 

קישורים רלוונטיים

· עוד על אבטחת מידע
· חדשות מאת דוביקס

הסיפור הנקרא ביותר בנושא אבטחת מידע:
האקרים עדכנו גרסה עם 'דלת אחורית' בשרת הפרוייקט sendmail.org

שדרוג לפיירפוקס - 1.0.3 - בקרוב | כניסה / יצירת מנוי חדש | 10 תגובות
סף חסימה
  
ההערות הינן מטעם כותביהן. אין צוות האתר לוקח אחריות על תוכנן
Re: שדרוג לפיירפוקס - 1.0.3 - בקרוב (ניקוד: 0)
ע"י פינגווין אנונימי ב 05/04/2005 - 10:49
גירסאות nightly אינן "חתומות" מבחינה אבטחתית.
מומלץ להשאיר את הnightly לביתא, או nightly, טסטרים וכ'.

[ השב לזאת ]

Re: שדרוג לפיירפוקס - 1.0.3 - בקרוב (ניקוד: 0)
ע"י פינגווין אנונימי ב 05/04/2005 - 17:12
חבל שהיה צורך להכניס גם לידיעה זו אמירות בעניני מיקרוסופט.

[ השב לזאת ]

Re: שדרוג לפיירפוקס - 1.0.3 - בקרוב(ניקוד: 0)
ע"י פינגווין אנונימי ב 05/04/2005 - 18:57
חבל שלא הבנת את הקשר בין שני אלו, זה נכתב כך לא סתם.
הכוונה היתה להראות לך, "הנה, בזמן שיש פירצת אבטחה כזו או אחרת בff, שלא תחשבו שעולם החלונות חי חיים שקטים, בזמן זה, מותקפת פי כמה תוכנת האוטלוק אקספרס ואינטרנט איכספלורר".
מקווה שהבנת את הצורך השיווקי שבעניין.

בברכה,
עמרי שושן.
מנהל אתר spikal.net

[ השב לזאת ]

Re: שדרוג לפיירפוקס - 1.0.3 - בקרוב(ניקוד: 1)
ע"י דוביקס ב 05/04/2005 - 19:28
(מידע על משתמש | שלח הודעה)
עמרי - נקודת המבט שלך מעניינת והגיונית, רק שלא לכך כיוונתי.

הידיעה הזו בעצם ממשיכה את הידיעה אודות Sybase והיא נוסבת סביב full disclosure - כן או לא.

שים לב מה קרה כאן - במקרה אחד, הבעיה מדווחת במקום ציבורי, וכתוצאה מכך היא מגיעה לאתר אבטחה יחד עם הוכחת ישימות שאולי יכולה לאפשר לשוחרי רעה לנצל את הבעיה, עוד לפני ששוחרר תיקון לדפדפן. במקרה השני, בעיה שקיימת כבר זמן מה, אבל משום מה פתרונה נמרח, אולי בגלל שהחברה שצריכה לתקן את הבאג מרגישה בטוחה מאחר והוא לא מתפרסם - הרגשה שאולי אינה נכונה כי מי יודע אם המידע על הבאג הזה לא מסתובב איפושהו.

הבאג יכול להיה להיות של כל אחד אחר - בדיוק כמו שבידיעה הקודמת דובר על סייבייס - ולכן מיקרוסופט כאן מקרית לחלוטין.

השאלה הזו (full disclosure כן או לא) מסקרנת למדי, אולי בגלל שאין לה אמת אחת (אלא לכל צד יש נימוקים שנשמעים על פני השטח הגיוניים לחלוטין).

כמובן שלא הייתי חוזר שוב על full disclosure אם לא היה קורה צרוף המקרים של הכנת גרסה חדשה של פיירפוקס ובאג שמתאים בדיוק לגישה ההפוכה.

[ השב לזאת ]

Re: שדרוג לפיירפוקס - 1.0.3 - בקרוב(ניקוד: 0)
ע"י פינגווין אנונימי ב 05/04/2005 - 19:33
היו מקרים שפרוייקט מוזילה הסתיר באגי אבטחה בעבר - והם נפתרו רק אחרי חודשים אחרי שמישהו אחר גילה ופירסם אותם.

היו מקרים של באגים של מיקרוסופט שנוצלו על ידי וירוסים ונפתרו כמעט מיידית בגלל הלחץ הציבורי.

ההתנהגות של "אף אחד לא יודע, לכן יש לנו זמן להתמהמה" קשורה לחשיפת הבאג, לא למערכת בו היא נמצאת.

[ השב לזאת ]

Re: שדרוג לפיירפוקס - 1.0.3 - בקרוב(ניקוד: 0)
ע"י פינגווין אנונימי ב 07/04/2005 - 10:30
על איזו דוגמה אתה מדבר במוזילה?

(עולה לי דוגמה אחת בראש, אבל שם למיטב זכרוני לא התייחסו אל הבעיה בתור בעיית אבטחה עד שגורם חיצוני לא רקא לה "בעיית אבטחה").

אגב, אם בעיה כבר מנוצלת ע"י "כותבי ווירוסים" זה אומר שהיא לא רק נתגלתה במחתרת אלא גם הופצה מספיק עד שהגיע מישהו שחיבר אותה לקוד זדוני.

צפריר

[ השב לזאת ]

Re: שדרוג לפיירפוקס - 1.0.3 - בקרוב(ניקוד: 0)
ע"י פינגווין אנונימי ב 05/04/2005 - 22:37
אתה טוען שהידיעות באתר מנוסחות בהתאם לאינטרסים שיווקיים?!
פתאום יש לי הרבה פחות חשק לראות מה יש באתר שאתה מנהל.

[ השב לזאת ]

Re: שדרוג לפיירפוקס - 1.0.3 - בקרוב(ניקוד: 0)
ע"י פינגווין אנונימי ב 05/04/2005 - 23:45
לא אכנס איתך לויכוח מיותר. אולם אם תפתח ותגדיל ראש, תגלה שבכל ידיעה יש אינטרס כזה או אחר. לדוגמא, אתה כעת בעל אתר ואחד מגולשיך מדווח על באג, האם תרוץ בראש חוצות לפרסם אותו, למשל תכניס באג חדש התגלה באתר! או שתרוץ לסדר את הבאג ולהודות לגולש שדיווח ולא ניצל אותו לרעה? ידידי, עם כל הכבוד, בכל מקום יש אינטרס עיסקי/שיווקי או מה שלא תרצה. דוגמא נוספת תהיה "שועל האש כנגד ie". בראש אתר קרן מוזילה מפורסם, "זוהי אלטרנטיבה לie, עיזבו את ie ועיברו כעת לff", שלא לדבר על אנשי השיווק שלהם וכ'. לא תפעל כך תשאר קטן, החלטה שלך. מה שאני כתבתי בתגובתי הקודמת היא תגובת הסבר (שחשבתי שלכך התכוון דוביקס) עבור הגולש ששאל, "למה בתוך ידיעה אודות ff יש לי 'לכלוך' של ms?", אני אישית חשבתי לרגע שזה נובע מאינטרס שיווקי בריא כזה או אחר. בכ"א, אם אין ברצונך להיכנס לאתרי אין יד שמרזיקה אותך מהצוואר, ידידי :-)

[ השב לזאת ]
Re: שדרוג לפיירפוקס - 1.0.3 - בקרוב (ניקוד: 0)
ע"י פינגווין אנונימי ב 06/04/2005 - 22:11
מה קורה? מסתבר שדפדפן זה עדיין דפדפן. :) פיירפוקס כנראה לא הולך בדרך יותר טובה מזו של אינטרנט אקספלורר, ואם נסתכל על המגמה הנוכחית אנחנו עתידים לראות עוד הרבה חורי אבטחה שיזכירו לנו מאוד מאוד את אקספלורר. מסתבר שקוד פתוח לא תורם אם המתכנתים חרא. ;)

ועוד משהו: אני לא חושב ש-"Responsible Disclosure" זה משחק מילים, אלא מדיניות אמיתית:

http://www.eeye.com/html/research/upcoming/
http://www.pcworld.com/news/article/0,aid,60744,pg,2,00.asp
http://www.windowsitpro.com/Article/ArticleID/21618/21618.html

מה שרק מחזק את הטענה שהאנשים שמוצאים את הבאגים ועושים את העבודה לא תומכים ב-"Full Disclosure" ללא אבחנה, אלא בעבודה יחד עם יצרן התוכנה עד שיש פתרון ואז פרסום הבעיה. אפילו ברוס שנייר (Bruce Schneier) אומר! וגם לינוס טורוולדס! אולי צריך להפסיק להקשיב לילדודס שרק רוצים לעשות עלק-האקינג? :)

[ השב לזאת ]

Re: שדרוג לפיירפוקס - 1.0.3 - בקרוב(ניקוד: 0)
ע"י פינגווין אנונימי ב 07/04/2005 - 10:40
מה אחראי במדיניות של eEye?

הם מפרסמים בכל העולם את העובדה שיש פירצה ואיפה, עוד לפני שקיבלו תגובה מהיצרן. מה אם בעקבות המשא ומתן עם היצרן יתברר שאין פירצה? זו תהיה להם בושה ולכן יש להם אינטרס לעבוד נגד היצרן. הם משיגים גם את האינטרס המשני שלהם והוא להפחיד את המשתמשים (כדי שיקנו מהם שירותים ומוצרים).

מדיניות full disclosure שמקובולת ברוב המקומות היא לא לגלות מייד לכל העולם אלא ליצור קשר מייד עם היצרן, לתת לו זמן סביר להגיב ורק אם הוא לא משתף פעולה: לחשוף את הפרצה. בד"כ משתדלים לתאם חשיפה במקביל עם הכנת התיקונים של כמה שיותר "אורזים" כאשר מדובר על פירצה חשובה וכשזה לא מעכב יותר מדי.

צפריר

[ השב לזאת ]