ווטסאפ - לינוקס, BSD, קוד פתוח ותוכנה חופשית בעברית. Whatsup - Linux, BSD, open source and free software in Hebrew

 
 
  כניסת חברים · רישום · שכחתי סיסמה  
tux the penguin

quick_linkמוזילה 1.7.1, פיירפוקס 0.9.2 ות'אנדרבירד 0.7.2 לחלונות בלבד - תיקון אבטחה [עודכן]

published at 09/07/2004 - 02:52 · ‏פורסם דוביקס · ‏tags מוזילה · שלח לחברידידותי למדפסת
מוזילה ב 7 ליולי דווחה בעיה הקשורה לאפשרות להריץ קוד על חלונות באמצעות קישור המשתמש בפרוטוקול shell: - עוד באותו יום אושר הדיווח ע"י צוות הפיתוח של מוזילה ולאחר יום אחד בלבד שוחרר תיקון. התיקון זמין הן כגרסה חדשה לתוכנות הנ"ל והן כתוסף הניתן להתקנה על גרסאות קודמות. הבעיה משפיעה על משתמשי חלונות בלבד בעוד שמשתמשי לינוקס ומק חסינים לבעיה.


נושא האבטחה בדפדפנים עלה לכותרות לפני מספר ימים כאשר ניצול מתוחכם של מספר בעיות אבטחה בדפדפן של מיקרוסופט, אינטרנט אקספלורר, גרם לגניבת מידע אישי ופיננסי של משתמשי הדפדפן שגלשו באתרים מסויימים שבהם הושתל קוד זדוני ע"י קראקרים. מיקרוסופט שחררה תיקון רק לאחר ימים רבים, תיקון שעליו דווח באתר SecurityFocus שניתן לעקוף אותו ולפיכך אינו מבטיח פתרון מוחלט של הבעיה.

תודה גם לאנונימים ששלחו קישורים בנושאי הידיעה.

קישורים:

תיאור מפורט של הבעיה באתר מוזילה כולל קישורים להורדת הגרסאות החדשות והטלאי,
SecurityFocus, IE workaround a non-starter,
הדיווח המקורי על הבעיה ברשימת התפוצה full disclosure

ווטסאפ, הורדות מוזילה ופיירפוקס מאתר הפרוייקט זינקו ל 200,000 ליום בעקבות אזהרת US-CERT שלא להשתמש ב-IE,
ווטסאפ, אתר בבעלות מייקרוסופט ממליץ להתקין Firefox

הערה: למשתמשי חלונות בלבד (הבעיה לא רלונטית למערכות הפעלה אחרות):

* לבדיקה אם הבעיה קיימת בדפדפן שלכם ליחצו כאן
* להתקנת תוסף לטיפול בבעיה ליחצו כאן
* לחילופין, יש להקליד about:config בשורת הכתובת ולשנות את הפרמטר network.protocol-handler.external.shell ל false
 

קישורים רלוונטיים

מוזילה 1.7.1, פיירפוקס 0.9.2 ות'אנדרבירד 0.7.2 לחלונות בלבד - תיקון אבטחה [עודכן] | כניסה / יצירת מנוי חדש | 14 תגובות
סף חסימה
  
ההערות הינן מטעם כותביהן. אין צוות האתר לוקח אחריות על תוכנן
Re: מוזילה 1.7.1, פיירפוקס 0.9.2 ות'אנדרבירד 0.7.2 לחלונות בלבד - תיקון אבטחה [עודכן] (ניקוד: 0)
ע"י פינגווין אנונימי ב 09/07/2004 - 10:24
אחרי שתיקנתי את הבאג במוזילה פיירפוקס, תיקון שעבר בהצלחה, הבאג ממשיך להיות באקספלורר. כל משתמשי חלונות נא לשים לב...!

[ השב לזאת ]

Re: מוזילה 1.7.1, פיירפוקס 0.9.2 ות'אנדרבירד 0.7.2 לחלונות בלבד - תיקון אבטחה [עודכן](ניקוד: 1)
ע"י JuNKiE ב 09/07/2004 - 12:00
(מידע על משתמש | שלח הודעה)
משתמשי חלונות לא שמים __ן, אחרת הם כבר מזמן היו משתמשים במערכת הפעלה אחרת ;)

[ השב לזאת ]

Re: מוזילה 1.7.1, פיירפוקס 0.9.2 ות'אנדרבירד 0.7.2 לחלונות בלבד - תיקון אבטחה [עודכן](ניקוד: 0)
ע"י פינגווין אנונימי ב 09/07/2004 - 13:12
שים לב למה שכתבו בידיעה, הבאג הוא בכלל בחלונות והיה אמור להיות מתוקן שם. מה שמוזילה עשו זה טלאי נקודתי. חלונת עדיין פרוצה.

[ השב לזאת ]

ההשוואה כאן היא דמגוגית (ניקוד: 0)
ע"י פינגווין אנונימי ב 09/07/2004 - 12:09
איך אפשר להשוות לפי כמות הזמן שלקח לתקן באג שונה.
אולי הבאג שיש בחלונות הוא הרבה יותר חמור ודורש זמן רב יותר לתיקון?
לא מדובר על תחרות של מי יתקן בעיה מסוימת יותר מהר...
אל תיסחפו.

[ השב לזאת ]

Re: ההשוואה כאן היא דמגוגית(ניקוד: 0)
ע"י פינגווין אנונימי ב 09/07/2004 - 13:15
העניין הוא לא משך תיקון הבאג אלא התהליך - שים לב שמרגע שאנשים שמעו על הבאג הם רצו לפתוח ערימת דיווחים בבאגזילה מרוב אכפתיות; מפתחי מוזילה עזבו הכל ורצו לתקן את הבאג מרוב אהבה למוצר; התיקון שוחרר תוך 24 שעות כי מפתחי מוזילה עבדו יום ולילה לייצר גרסה חדשה כי ככה עובד מודל הבזאר.


[ השב לזאת ]

Re: ההשוואה כאן היא דמגוגית(ניקוד: 0)
ע"י פינגווין אנונימי ב 09/07/2004 - 16:08
הבאג שפגע במוזילה ותוקן הוא למעשה באג בחלונות, ופוגע גם באינטרנט אקספלורר (בדקתי אצלי על XP מעודכן ומטולא באופן מלא). לפיכך, אותו תיקון שנעשה במוזילה (ביטול אופציה מסוימת) אפשר היה לעשות גם באינטרנט אקספלורר ללא כל בעיה (אלא אם הכל שם hard coded בצורה שמונעת מזה להיות פשוט, מה שקשה להאמין, וגם אם כן זו בעיה במודל הפיתוח של התוכנה), ועובדה, מה שלקח יום במקרה של מוזילה, לא מטופל ברמה של האקספלורר (ושל המערכת בכלל, קרי של חלונות, ששם נמצא הבאג בתכלס).


במלחמה כמו במלחמה, לפעמים צריך קצת להגזים, ןהניצול של אוהדי מוזילה של בעיות האבטחה האחרונות של אינטרנט אקספלורר, הן בסדר גמור. אם זה היה הפוך, המטעמים שהיו עושים מזה מתנגדי מוזילה, היו גדולים בהרבה... (כסף קונה פרסום, הכפשות ו FUD).


ברק.

[ השב לזאת ]

Re: ההשוואה כאן היא דמגוגית(ניקוד: 0)
ע"י פינגווין אנונימי ב 09/07/2004 - 17:10
הבאג הוא לא באג של חלונות, והוא לא עובד באינטרנט אקספלורר.
הבאג במוזילה מאפשר להריץ תוכנות המקושרות לסיומת מסוימת. אם באותה תוכנה יש בעיית אבטחה (לדוגמא אם יש באג בווינאמפ המקושר לסיומת MP3.) ניתן לנצל אותה בקלות.
הבאג גם גורם לקריסת המערכת במקרה ומדובר בקובץ HTML אליו מקושר הדפדפן. 

על התיקון שמוזילה שיחררו הם לא עבדו "ימים ולילות" כמו שנאמר כאן, כי מדובר בשינוי פשוט של הגדרה בדפדפן.
כמו כל הגדרה אחרת בדפדפן, גם אותה ניתן לעקוף ולכן בעיית האבטחה עדיין לא נפתרה.

[ השב לזאת ]

Re: ההשוואה כאן היא דמגוגית(ניקוד: 0)
ע"י פינגווין אנונימי ב 09/07/2004 - 17:12
הבאג הוא בהחלט באג של חלונות. אתה מוזמן לבדוק אותו דרך אינטרנט אקספלורר.

[ השב לזאת ]

Re: ההשוואה כאן היא דמגוגית(ניקוד: 0)
ע"י פינגווין אנונימי ב 09/07/2004 - 18:21
נוסה ונבדק.
בדפדפן אקספלורר לא ניתן להפעיל קבצים לפי הסיומת ע"י הפרוטוקול shell.

[ השב לזאת ]

Re: ההשוואה כאן היא דמגוגית(ניקוד: 0)
ע"י פינגווין אנונימי ב 09/07/2004 - 23:48
בדקתי עכשיו באקספלורר 6 שאמור להיות מעודכן (של חבר) את הקישורים בדף:
http://www.mccanless.us/mozilla/mozilla_bugs.htm

דרך אגב: בדקתי רק את הקישור הראשון. הבעיה שמודגמת בקישור האחרון אמורה להיות בעיה יחודית למוזילה.

[ השב לזאת ]

Re: ההשוואה כאן היא דמגוגית(ניקוד: 0)
ע"י פינגווין אנונימי ב 09/07/2004 - 17:16
איפה בידיעה כתוב שעבדו על הבאג ימים ולילות?

נראה שיש גם הסבר של מה התיקון עושה, שזה שינוי הגדרה אחת.

מה בדיוק מפריע לך?

[ השב לזאת ]

Re: ההשוואה כאן היא דמגוגית(ניקוד: 0)
ע"י פינגווין אנונימי ב 09/07/2004 - 18:18
כתוב על זה שהם עבדו על הבאג ימים ולילות באחת התגובות.

יש הסבר על התיקון, לא בידיעה.

מה שמפריע לי הוא החוסר אובייקטיביות של הידיעות פה.

[ השב לזאת ]

Re: ההשוואה כאן היא דמגוגית(ניקוד: 1)
ע"י דוביקס ב 09/07/2004 - 19:29
(מידע על משתמש | שלח הודעה) http://http://
אתה מציין שה"ימים ולילות" מופיע בתגובה, ואם כן אתה נתלה בתגובה כדי לנמק ש"הידיעה אינה אובייקטיבית", טיעון שאינו רלונטי לדוגמא הספציפית.

אתה טוען שההסבר על התיקון לא בידיעה - אבל הוא כן - תסתכל בתחתית הידיעה (באזור ההערות).

אם הידיעות אינן אובייקטיביות לדעתך, אתה מוזמן לשלוח ידיעות משלך בנושאים המתאימים לאתר ובניסוח שהוא יותר אובייקטיבי, לדעתך.

[ השב לזאת ]

Re: מוזילה 1.7.1, פיירפוקס 0.9.2 ות'אנדרבירד 0.7.2 לחלונות בלבד - תיקון אבטחה [עודכן] (ניקוד: 0)
ע"י פינגווין אנונימי ב 10/07/2004 - 13:04
ב־MozillaZine פורסם כעת לוח הזמנים של ההתרחשויות בפרשה:
http://www.sacarny.com/blog/index.php?p=104

עבר בערך יום מקבלת הידיעה הראשונית עד סיום עדכון כל הגרסאות. תיקון ראשוני למרבית המשתמשים יצא תוך יום. תוך יום וחצי הסתיים הכל.

כמה נקודות:

* במקרה הזה התיקון היה פשוט מאוד ולא הצריך הרבה בדיקות. זה עזר להאצת העניינים.
* הבאג דווח למפתחי מוזילה כמה שעות לפני שדווח ברשימה Full Disclosure
* עדיין, הדיווח על הבעיה ברשימת התפוצה בלי לתת למפתחי מוזילה כמה ימים לפתור את הבעיה בשקט לא היה מוצדק.

ברוב המקרים הפתרונות לבעיות אינם כה פשוטים. אם השינוי אינו טריוויאלי לוקח יותר זמן לבדוק אותו. ברגע שחושפים את הבעיה יש לחץ על היצרן לספק מהר פתרון והתוצאה היא במקרים רבים פתרונות שבורים.

משך הזמן שצריך לתת ליצרן תלוי בגורמים שונים כגון חומרת הבעיה, האם היא כבר מנוצלת, פשטות התיקון, ועוד. כמובן שליצרן יש אינטרס "למשוך" את העניינים כמה שהוא יכול ולכן חשוב לדעת שהיצרן אכן פועל ברצינות לתיקון הבעיה. במקרה של מוזילה זה מאוד פשוט: מדווח הבעיה יכול לקרוא את הדיווח בבאגזילה.

* כאשר נותנים שם קובץ לא קיים מתחילה לולאה אין־סופית של נסיונות להריץ את הקובץ. אם הבנתי נכון זהו באג של מוזילה, ולא של explorer.exe . לא ראיתי שהוא נפתר.

* מוזילה מחזיקה "רשימה שחורה" של פרוטוקולים שאותם היא מחשיבה לא בטוחים שאליהם היא חוסמת את הגישה מבחוץ. התיקון היה הוספת "shell" לרשימה זו. הפרוטוקול shell הוא תוספת חדשה של XP. יכול להיות שבגלל זה הוא לא נכנס מראש לרשימה.

בכמה מקומות ביקרו את מוזילה על־כך שהיא לא נוקטת בגישה ההפוכה: מחזיקה רשימה של פרוטוקולים בטוחים, וברירת המחדל היא לחסום פרוטוקולים אחרים. זה היה מונע את הבעיה הנוכחית.

* בדוגמה של ניצול הבעיה ( http://bugzilla.mozilla.org/show_bug.cgi?id=250180#c6 ) יש דוגמה טובה להפיכת שגיאת תכנות "תמימה" (buffer overflow עם שם קובץ הקלט של grpconv.exe ) לחור אבטחה מרוחק.

צפריר

[ השב לזאת ]