ווטסאפ - לינוקס, BSD, קוד פתוח ותוכנה חופשית בעברית. Whatsup - Linux, BSD, open source and free software in Hebrew

  		 
  כניסת חברים · רישום · שכחתי סיסמה  
tux the penguin

quick_linkעדכוני אבטחה לפיירפוקס 1.0.3 ומוזילה 1.7.7 זמינות להורדה - כבר לא בטוח?

published at 16/04/2005 - 22:40 · ‏פורסם דוביקס · ‏tags אבטחת מידע · שלח לחברידידותי למדפסת
אבטחת מידע קרן מוזילה שחררה עדכון לגרסת 1.0.3 של פיירפוקס וגרסת 1.7.7 של חבילת היישומים מוזילה. השדרוג מתקן תשע בעיות אבטחה שונות - שלוש מהן קריטיות, שדווחו בבאגזילה של הפרוייקט לאחרונה.

שחרור העדכון שדיווחתי עליו לפני כשבוע מעלה שוב את השאלה, האם הפיכת פיירפוקס לדפדפן נפוץ תחשוף אותו לפגעי אבטחה באותו היקף של אינטרנט אקספלורר?

Gervase Markham, ממפתחי מוזילה, מצטט את פרנק הקר, עמית שהתייחס לנושא:

"כן, פיירפוקס יותר פופולרי ויותר האקרים מנסים למצוא בו בעיות. אולם, הם לא מקשים עלינו, הם עוזרים לנו להפוך את פיירפוקס ליותר מאובטח. למה? בגלל שאנו ערים לדיווחי בעיות אבטחה, אנו מתייחסים למדווחים ולדיווחים בכל הכבוד הראוי, אנו מעודדים אותם להמשיך ולשתף איתנו פעולה, אנו מוקירים את עבודתם (הן בתשלום כספי והן במתן קרדיט), והכי חשוב - אנו מטפלים בבעיות בזמן סביר במקום להתייחס אליהם כאל בעיית יחסי ציבור."

קישורים:

ווטסאפ, שלא נדע: Sybase מאיימת לתבוע חברת אבטחה באם תחשוף שמונה חורי אבטחה שמצאה,
ווטסאפ, מוזילה: 500 דולר לפרצת אבטחה,
ווטסאפ, שדרוג לפיירפוקס - 1.0.3 - בקרוב,
ווטסאפ, 200 ימים
 

קישורים רלוונטיים

· עוד על אבטחת מידע
· חדשות מאת דוביקס

הסיפור הנקרא ביותר בנושא אבטחת מידע:
האקרים עדכנו גרסה עם 'דלת אחורית' בשרת הפרוייקט sendmail.org

עדכוני אבטחה לפיירפוקס 1.0.3 ומוזילה 1.7.7 זמינות להורדה - כבר לא בטוח? | כניסה / יצירת מנוי חדש | 15 תגובות
סף חסימה
  
ההערות הינן מטעם כותביהן. אין צוות האתר לוקח אחריות על תוכנן
Re: עדכוני אבטחה לפיירפוקס 1.0.3 ומוזילה 1.7.7 זמינות להורדה - כבר לא בטוח? (ניקוד: 1)
ע"י elcuco ב 16/04/2005 - 23:14
(מידע על משתמש | שלח הודעה) http://http://
מודול הקטדרלה מתבסס על הרעיון שהמשתמשים משדרגים כל שבוע את התוכנות. זה ממש פשוט כאשר התוכנה שלך נקראת sendmail וההתקנה שלה פשוטה (ופורמט קבצי ההגדרות לא משתנות בין כל השבועות).

כאשר מדובר על תוכנה של כמה עשרות מגה, על כמה מערכות הפעלה, כאשר למשתמשים אין קומפילר ולא סביבות להקימפול, יוצר מעמסה על המתחזקים של התוכנה ועל המשתמשים.

המשתמשים מצידם לא מבינים מה זה גרסאות קטנות (אני מדבר על מישהו שאין לא שמץ של מושג מה המושג "הנסדת תוכנה" אומר). ולא מבין למה היא אפשר לעשות את זה טוב בפעם הראשונה. או עוד יותר גרוע: אין הבדל! אותה תוכנה! סתם שינו מספר?

הקיצר, המודול הזה התאים מאוד לאנשים שמבינים אותו. אנשים שמוכנים להשקיע בשבילו. עבור "השמוק" הרגיל, זאת בעיה... מעניין לאן העולם הזה יתפתח...

תקופה מעניינת מהבחינה הזאת.

[ השב לזאת ]

Re: עדכוני אבטחה לפיירפוקס 1.0.3 ומוזילה 1.7.7 זמינות להורדה - כבר לא בטוח?(ניקוד: 1)
ע"י דוביקס ב 16/04/2005 - 23:19
(מידע על משתמש | שלח הודעה)
*הבזאר

פרוייקט מוזילה מודע לבעייתיות העדכון והצורך להתקין בכל פעם את המערכת מחדש. כפי שכבר כתבתי כאן, "מתחילים לבנות שם את התשתיות להפצת טלאי עדכונים (משימה לא פשוטה, בהתחשב בכמות הפלטפורמות שעבורן יש גרסה רשמית, ובכמות השפות הנתמכות)".

יש לקוות שהתשתית תהיה זמינה באחת הגרסאות הקרובות (למרות שמדובר, למשתמשי חלונות, בעדכון של 5 מ"ב בלבד שמופץ אוטומטית).

[ השב לזאת ]

Re: עדכוני אבטחה לפיירפוקס 1.0.3 ומוזילה 1.7.7 זמינות להורדה - כבר לא בטוח?(ניקוד: 1)
ע"י elcuco ב 16/04/2005 - 23:31
(מידע על משתמש | שלח הודעה) http://http://
זה לא העיניין, העיניין הוא שאנשים לא מעניין אותם השידרוגים. הם לא מבינים בזה, ואז התנאים המקדימים לבזאר (צריך להתחיל להשתמש בקונקי עם הבודק שגיאות כתיב... יש כזה לשועל?) לא מתקיים: השחרר מוקדם, שחרר מהר. יופי אז שיחררת... אבל אנשים לא עדכנו, אז הם עדיין חשופים...

ומה קורה עם מפלצות גדולות יותר? כמו אופן אופיס?


[ השב לזאת ]

Re: עדכוני אבטחה לפיירפוקס 1.0.3 ומוזילה 1.7.7 זמינות להורדה - כבר לא בטוח?(ניקוד: 1)
ע"י דוביקס ב 16/04/2005 - 23:50
(מידע על משתמש | שלח הודעה)
מי שרוצה להיות בת יענה - אולי עדיף שלא יתחבר לרשת בכלל. אין דבר כזה תוכנה בטוחה ב-100% - ולהוסיף חטא על פשע יש אנשים שמרגישים בטוחים עם תוכנת אנטי וירוס ישנה שהעדכונים בחינם שלה הופסקו מזמן, מנטרלים חומות אש כי הן מפריעות לשיתוף קבצים, לא דואגים לעדכן תוכנות שחשופות לרשת וכו'.

אני מניח שקוראי האתר הזה הם מהסוג שכן מבין קצת במחשבים, ולא מהסוג ההדיוט. המינימום שאפשר לעשות עבור המשתמשים מהסוג השני הוא להפוך את מנגנון העדכונים לאוטומטי ומופעל כברירת מחדל - חלונות XP עושה את זה והנוהג מתחיל להיות נפוץ גם בהפצות לינוקס.

[ השב לזאת ]

Re: עדכוני אבטחה לפיירפוקס 1.0.3 ומוזילה 1.7.7 זמינות להורדה - כבר לא בטוח?(ניקוד: 0)
ע"י פינגווין אנונימי ב 17/04/2005 - 07:37
יש הבדל בין תוכנה שמפתחיה לא יודעים על בעיות שבה לבין תוכנה שמפתחיה יודעים על בעיות שבה (ואפילו כל העולם). מבחינתי קרן מוזילה איבדה הרבה מוניטין כספקית של תוכנה אמינה ובטוחה.

עד שיצא FF1.0 השתדלתי לא להתקין אותו אצל משתמשים רגילים שאני לא מבקר אצלם יותר מדי, כי לא רציתי שתישאר אצלם גרסה ישנה ולא מתוחזקת. לא רציתי שזה מה שיגרום להם לחשוב ש־FF הוא תוכנה לא טובה. לא רציתי גם שתישאר שם תוכנה עם חורי אבטחה ידועים שתשמש ביום מן הימים לחדירה למחשב.

כש־FF1.0 יצא שמחתי לקראות שמטפלים בנושא השדרוגים. שמחתי לראות שהשדרוג ל־1.0.1 היה תהליך די אוטומטי ודי פשוט למשתמש הרגיל. שמחתי לראות שמקדישים תשומת לב לנושא המורכב של עדכון ההרחבות.

אני מנסה "למכור" לאנשים את FF בתור תוכנה אמינה. תוכנה שאיתה הם לא צריכים לפחוד מ"אתרים מפוקפקים". אבל אם בתוכנה יש חורים רציניים כאילו והם ידועים ואין להם תיקון, אני לא אהיה כל־כך בטוח להגיד דבר כזה.

ברור לי שכל מערכת אמינה כמו המרכיב הכי פחות אמין שבה. אבל אני רוצה ש־FF יהיה רכיב אמין.

צפריר

[ השב לזאת ]

Re: עדכוני אבטחה לפיירפוקס 1.0.3 ומוזילה 1.7.7 זמינות להורדה - כבר לא בטוח?(ניקוד: 1)
ע"י דוביקס ב 17/04/2005 - 09:25
(מידע על משתמש | שלח הודעה)
"אבל אם בתוכנה יש חורים רציניים כאילו והם ידועים ואין להם תיקון, אני לא אהיה כל־כך בטוח להגיד דבר כזה."

על איזה חורים מדובר? להבנתי בעיות האבטחה שדווחו תוקנו באופן כמעט מיידי. זהו הרי העדכון השלישי של פיירפוקס מאז שחרורו. מבחינת יחסי ציבור היה להם יותר קל שלא לשחרר את עדכוני האבטחה, להחביא את הדיווחים ולחכות ל-1.1.

עד כמה שאני מבין, הם פועלים באופן כמעט מיידי לתיקון הליקויים.

[ השב לזאת ]

Re: עדכוני אבטחה לפיירפוקס 1.0.3 ומוזילה 1.7.7 זמינות להורדה - כבר לא בטוח?(ניקוד: 1)
ע"י עידו ב 16/04/2005 - 23:59
(מידע על משתמש | שלח הודעה) http://http://
אז תכריח את המשתמשים לעדכן.
שתהיה אופציה לעדכון אוטומטי של עדכונים קריטיים ושהאופציה תהיה מופעלת באופן דיפולטיבי.
לגבי מפלצות גדולות יותר - אפשר לבנות מערכת תלויות של קבצים (קובץ ה exe תלוי בשלושת קבצי ה dll, קובץ ה README לא תלוי בכלל וכו').
תוסיף מנגנון של stable/testing/unstable ופתרת את הבעיה.


אה, ולגבי בודק שגיאות כתיב - יש אחד כזה SpellBound, אבל הוא מתבסס על myspell המאעפן, יש גם את מה שלינספייר עשו לגירסא שלהם לפיירפוקס (lsuite) - אבל לא ראיתי גרסאות קוד מקור/ חבילות דביאן שלה.

[ השב לזאת ]

Re: עדכוני אבטחה לפיירפוקס 1.0.3 ומוזילה 1.7.7 זמינות להורדה - כבר לא בטוח?(ניקוד: 1)
ע"י עידו ב 17/04/2005 - 00:16
(מידע על משתמש | שלח הודעה) http://http://
גירסאת קוד מקור של גירסאת הפיירפוקס של לינספייר ניתן להוריד מכאן:
http://software.linspire.com/pool-src/m/mozilla-firefox/

[ השב לזאת ]
Re: עדכוני אבטחה לפיירפוקס 1.0.3 ומוזילה 1.7.7 זמינות להורדה - כבר לא בטוח? (ניקוד: 1)
ע"י צחי ב 17/04/2005 - 02:04
(מידע על משתמש | שלח הודעה) http://tzahi.webhop.info
ישנן תוכנות שהן אולי לא 100% אבל קרוב. הסיבה פשוטה, בדיוק כמו לינוקס, הן מודולריות!. כלומר: אם נפרץ מודול, אין לו גישה למודול אחר. כך שלמעשה הפריצות הן זעומות ולא משמעותיות. למשל, פריצה שתפיל לך את הדפדן - לא נורא. פריצה שתגנוב לך את כרטיס האשראי - נורא.

[ השב לזאת ]

Re: עדכוני אבטחה לפיירפוקס 1.0.3 ומוזילה 1.7.7 זמינות להורדה - כבר לא בטוח?(ניקוד: 0)
ע"י פינגווין אנונימי ב 17/04/2005 - 07:46
פריצה ש"תפיל לך את הדפדפן" תאפשר במקרה הרע להריץ כל תוכנית עם הרשאות של המשתמש שהריץ את התוכנית.

בפרט:

1. לשלוח דואר זבל לכל העולם.

2. להריץ שרת קבצים על פורט לא פרווילגי

3. במצב של מערכות לינוקס כיום נראה די סביר שיש פרצה ידועה במערכת שמאפשרת גישה כ־root. אם יש תוכנית שרצה "בסבלנות" מספיק זמן על המערכת וכתובה מספיק חכם, יש לה סיכוי לא רע להשיג הרשות root.

צפריר

[ השב לזאת ]
Re: עדכוני אבטחה לפיירפוקס 1.0.3 ומוזילה 1.7.7 זמינות להורדה - כבר לא בטוח? (ניקוד: 0)
ע"י פינגווין אנונימי ב 17/04/2005 - 06:22
אני חושב שאתה טועה באנליזה שלך. שחרור טלאי אבטחה לא אומר שום דבר בנוגע לבטיחות ולאבטחה של פיירפוקס. מה שמצביע על בעיות אבטחה זה החורים שאנשים טובים מוצאים ומעבירים הלאה למפתחים.

אם אתה חושב שהפופולריות של פיירפוקס מאיימת על אבטחתו, אני יכול לומר רק שמה שלא הורג מחשל (ומה שהורג מחשל את אמא). נכון שהפופולריות מגבירה את החשק אצל אנשים זדוניים, אבל מצד שני עם או בלי פופולריות חור שהיה קיים לפני הפרסום במדיה וקיים אחרי הפרסום במדיה - הוא אותו החור. לכן השתלבות פ"פ עם קהל רחב יותר לא מהווה בעית אבטחה, אלא חושף חורים שלא נראו קודם ומביא לסתימתם. נכון, זה מזכיר את אקספלורר ופתאום אנשים שאמרו שאקספלורר הוא חור אבטחה אחד גדול מרגישים קצת נבוכים כי פיירפוקס מתחיל להראות כמו שאקספלורר נראה מבחינת האבטחה, אבל אל תשכחו שלפ"פ יש יתרון אחד עצום שעושה את כל ההבדל: הוא מבוסס קוד פתוח. ואין דבר בטוח יותר מקוד פתוח, מכיוון שעם מתעוררת בעיה אין מצב שהיא תוסתר עד שיהיה נוח למפתחים להפיץ טלאי. הבעיה יוצאת לאור מיד, ודורשת תיקון ללא דיחוי. להבדיל, אצל מייקרוסופט, כשיש בעיה, היא נשארת סוד בתוך הקומפלקס של מייקרוסופט ואף אחד לא יודע עליה חוץ ממייקרוסופט - וכמובן החבר'ה הרעים שרוצים לנצל אותה, הם יודעים על הבעיות כי הם מוצאים אותן, הם מחפשים כל הזמן.

[ השב לזאת ]

Re: עדכוני אבטחה לפיירפוקס 1.0.3 ומוזילה 1.7.7 זמינות להורדה - כבר לא בטוח?(ניקוד: 0)
ע"י פינגווין אנונימי ב 17/04/2005 - 07:27
אבל זו פרצה ידועה. ברגע שיש פרצה ידועה שקלה לניצול מרחוק, המוצר אינו בטוח. הפצות לינוקס הגיבו יותר מהר מקרן מוזילה.

דרך אגב: קרן מוזילה לקחה לעצמה מונופול על השמות Mozilla, Firefox וכו'. היא היחידה שמוסמכת להוציא גרסאות רשמיות.

צפריר

[ השב לזאת ]

Re: עדכוני אבטחה לפיירפוקס 1.0.3 ומוזילה 1.7.7 זמינות להורדה - כבר לא בטוח?(ניקוד: 0)
ע"י פינגווין אנונימי ב 17/04/2005 - 13:48
> יש יתרון אחד עצום שעושה את כל ההבדל: הוא מבוסס קוד פתוח. ואין דבר בטוח יותר
> מקוד פתוח, מכיוון שעם מתעוררת בעיה אין מצב שהיא תוסתר עד שיהיה נוח למפתחים
> להפיץ טלאי. הבעיה יוצאת לאור מיד, ודורשת תיקון ללא דיחוי.

אממ... לא.
קודם כל, קוד פתוח הוא לא בהכרח קוד בטוח, שגיאת עיצוב בתשתית יכולה להפוך לבעיה רצינית בכל פרוייקט.
שנית, אין במוזילה full disclosure בנושאי אבטחה - אם יש באג הוא עלול לשבת זמן רב במרתפים עד שהמפתחים ירגישו שהם מוכנים לדווח עליו.

[ השב לזאת ]
תגובה למגיב הראשון: למוזילה יש עדכון אוטומטי! (ניקוד: 1)
ע"י alenox ב 17/04/2005 - 08:03
(מידע על משתמש | שלח הודעה) http://http://
ברגע שיש עדכון של מוזילה, מופיע חץ אדום (או ירוק, תלוי בקריטיות של העדכון) בצד הימני עליון של המסך (ממש מתחת לכפתור ה"X"), וכשלוחצים עליו העדכון יורד. כרגע, במקרה של עדכון אבטחה אתה מוריד את הגרסה החדשה של הדפדפן (בערך 5MB), וזה מיד מותקן לך על גבי הגרסה הקיימת (ללא שום בעיות מיוחדות). נכון שזו הורדה גדולה יותר מבחלונות (אגב, לא תמיד...), אבל במציאות שבה לרוב המשתמשים יש פס רחב, אני לא רואה בזה בעיה גדולה. מה גם שעדכוני האבטחה של מוזילה מגיעים יותר מהר משל מיקרוסופט!

[ השב לזאת ]

Re: למוזילה יש עדכון אוטומטי!(ניקוד: 1)
ע"י landmn ב 17/04/2005 - 23:24
(מידע על משתמש | שלח הודעה) http://
אוף!
ראשית, תודה. לא שמתי לב לחץ הזה ובאמת כשלחצתי עליו הוא הוריד לי את הגירסה החדשה במהירות גדולה יותר ממה שהשגתי כשהתחלתי להוריד מהשרת הראשי.
הבעיות התחילו אח"כ (על windows), אני חשבתי שהתוכנה הותקנה אוטומטית. אבל כשניסיתי לסגור ולהפעיל מחדש קיבלתי הודעה שיש לסגור אותה והסתיימה במילים Please restart.
אף חלון של firefox לא היה פתוח, כך שאחרי כמה נסיונות, התעצבנתי על ה-firefox שמחייב restart בעידן שאפילו תוכנות Windows כבר לא מחייבות זאת בדרך כלל, וביצעתי restart למחשב.
כשחזרתי, שמתי לב שקובץ בשם Firefox Setup 1.0.3.exe נמצא על שולחן העבודה. כיון שהפיירפוקס המשיך לסרב לעלות והודיע את ההודעה המפוקפקת הנ"ל, הגעתי למסקנה שהגירסה החדשה לא הותקנה אוטומטית, אלא רק הגירסה הישנה הושבתה והתקנתי את התוכנה מהקובץ שעל שולחן העבודה. והנה הפלא ופלא, הפיירפוקס חזר לעבוד והגירסה סוף-סוף שודרגה.
מסקנה - כנראה שהשדרוג האוטומטי של firefox לא דורש restart למחשב. אבל הוא גם לא ממש אוטומטי, וההודעות שלו בודאי דורשות rethinking.

(אגב, העדכון האוטומטי של ה-Extentions מתבצע מאותו ממשק, אבל הוא עובד כצפוי - הגירסאות החדשות מותקנות אוטומטית, בתום העידכון אתה מאתחל את הפיירפוקס והגירסאות החדשות פועלות מיד.
כיון שאני משתמש בהרחבה הגאונית - SessionSaver אני אפילו לא צריך לגלוש שוב לדפים שהייתי בהם קודם).

[ השב לזאת ]