Полезная информация

Заказывай стафф с атрибутикой Mozilla и... пусть все вокруг завидуют тебе! Быть уникальным - быть с Mozilla!

№106-04-2005 15:01:24

ViRUS
ДМБ 2008
 
Группа: Extensions
Откуда: Xa!
Зарегистрирован: 05-11-2004
Сообщений: 1468

Уязвимость в Mozilla

Secunia сообщает, что согласно баг-репорту Mozilla (https://bugzilla.mozilla.org/show_bug.cgi?id=288688) , в Mozilla Firefox 0.x и 1.x, Netscape 6.x-7.x также в Mozilla 0.x - 1.7.x присутствует неприятный баг, позволяющий удаленно получить конфиденциальную информацию с машины пользователя. Уязвимость возникла из-за ошибки в JavaScript машине; java script функция replace выделяя память из кучи процесса, раскрывает содержимое ранее использованных и не очищенных блоков памяти. На этой тестовой странице можно проверить уязвим ли ваш броузер. Пока баг не исправлен, рекоменуется отключить JavaScript.

Источник: http://www.uinc.ru/news/show.php?id=3551
Потестить можно здесь: http://secunia.com/mozilla_products_arbitrary_memory_exposure_test/


Непослушные локоны горничной выбивались из-под её кружевного фартука...

Отсутствует

 

№206-04-2005 15:03:33

Почесал
Участник
 
Группа: Members
Зарегистрирован: 24-02-2005
Сообщений: 3957

Re: Уязвимость в Mozilla

Фигею с людей, обожающих давать концерты на баяне.

Virus, багзиллу посещали? Баг уже неделю как RESOLVED FIXED.

Отредактировано gass512 (06-04-2005 15:05:26)

Отсутствует

 

№306-04-2005 15:14:07

ViRUS
ДМБ 2008
 
Группа: Extensions
Откуда: Xa!
Зарегистрирован: 05-11-2004
Сообщений: 1468

Re: Уязвимость в Mozilla

Да не даю я концертов! Просто только сегодня новость упала... и нигде до этого не видел. Вот и подумал, что или свежак или утка, но сходил на страницу, а код работет... И решил запостить, ведь в новостях-то никто не опубликовал! А где пофиксили-то? в 1.0.3 войдет? А с багзиллой к своему стыду пользоваться не умею! ;)

Отредактировано ViRUS (06-04-2005 15:16:29)


Непослушные локоны горничной выбивались из-под её кружевного фартука...

Отсутствует

 

№406-04-2005 15:34:19

Почесал
Участник
 
Группа: Members
Зарегистрирован: 24-02-2005
Сообщений: 3957

Re: Уязвимость в Mozilla

Я еще первого апреля скачал сборку после нескольких часов после фикса этого бага.
Да, в 1.0.3 будет, а я на nightly 1.0.3 сижу.

Отсутствует

 

№506-04-2005 15:38:40

ViRUS
ДМБ 2008
 
Группа: Extensions
Откуда: Xa!
Зарегистрирован: 05-11-2004
Сообщений: 1468

Re: Уязвимость в Mozilla

Спасибо! Буду ждать, а вобще было бы неплохо, чтобы критические баги в новостях освещались.


Непослушные локоны горничной выбивались из-под её кружевного фартука...

Отсутствует

 

№606-04-2005 15:39:33

Почесал
Участник
 
Группа: Members
Зарегистрирован: 24-02-2005
Сообщений: 3957

Re: Уязвимость в Mozilla

А это не считается критическим багом, поэтому для него даже специального патча не было, просто фикс внесли в релиз 1.0.3.

Отсутствует

 

№706-04-2005 19:50:26

ladserg
Обещал вернуться...
 
Группа: Members
Откуда: Russia
Зарегистрирован: 10-03-2005
Сообщений: 1977

Re: Уязвимость в Mozilla

gass512 пишет

А это не считается критическим багом, поэтому для него даже специального патча не было, просто фикс внесли в релиз 1.0.3.

Считается, у некоторых в соседних вкладках могут быть важные и денежные данные. Вообще все, что позволяет получить коденфициалную информацию, ИМХО, критически важно.

А трубим: "FireFox безопасней IE", а сами: "Баг, ваши пароли раздает? Не страшно, не важно."

К тому - же, после некритических багов мнгновенно новые релизы (еще не законченные, и в которых только этот баг исправлен) не появляются.


Этот мир, не совершенный, состоит из всех из нас. Он прямое отражение наших чувств и наших глаз.
Этот мир не станет лучше и не станет он добрее, если сами мы добрее не станем.
(@ Игорь Тальков, Этот мир).

Отсутствует

 

№806-04-2005 20:00:41

Почесал
Участник
 
Группа: Members
Зарегистрирован: 24-02-2005
Сообщений: 3957

Re: Уязвимость в Mozilla

Степень критичности бага состоит не в самом его аспекте, а во многих еще факторах, таких как:

1) Распространенность браузера (и скорость написания эксплоитов)
2) Фактический шанс попадания действительно важных данных в выбранную область памяти (здесь она крайне мала, если не сказать ничтожна)
3) Баг не предусматривает внедрение и загрузку удаленных файлов с последующим запуском а также не влечет ПРЯМОЙ угрозы компьютеру пользователя.
4) Баг не вызывает отказа оборудования/зависания

Его можно обозвать как "умеренно критический" и внести в следующий апдейт, который состоится со дня на день.

Моментально во внеочередном порядке патч для него выпускать, имхо, нет смысла (тем более апдейт-механизм еще в очень кривом состоянии, и будет работать "as expected" (C) Asa Dotzler в версии 1.1

Отредактировано gass512 (06-04-2005 20:01:54)

Отсутствует

 

№906-04-2005 20:14:06

ladserg
Обещал вернуться...
 
Группа: Members
Откуда: Russia
Зарегистрирован: 10-03-2005
Сообщений: 1977

Re: Уязвимость в Mozilla

gass512 пишет

Степень критичности бага состоит не в самом его аспекте, а во многих еще факторах, таких как:

1) Распространенность браузера (и скорость написания эксплоитов)

Если это нигде не регламентировано, то позвольте оспорить. Распространенность браузера, имхо, не должна влиять на степень критичности. Даже если им пользуется только один человек, до для него не имеет значения стоит ли у других браузер при определении критичности.

2) Фактический шанс попадания действительно важных данных в выбранную область памяти (здесь она крайне мала, если не сказать ничтожна)

Она есть, этого достаточно. Причем если говорить в корпоративном плане, то шанс попадания действительно важных данных в выбранную область памяти намного выше, т.к. во многих организациях все чаще используют веб технологии. Да и дома тоже важно, вы же нехотите, что бы кто-нибудь узнал, скажем ваш пароль на mail.ru?

3) Баг не предусматривает внедрение и загрузку удаленных файлов с последующим запуском а также не влечет ПРЯМОЙ угрозы компьютеру пользователя.

Получение информации - это уже угроза.

4) Баг не вызывает отказа оборудования/зависания

Иногда это не так страшно.

Его можно обозвать как "умеренно критический" и внести в следующий апдейт, который состоится со дня на день.

Про степень критичности спорить не буду. Главно,  по моему скромному мнению, что он критичен

Моментально во внеочередном порядке патч для него выпускать, имхо, нет смысла (тем более апдейт-механизм еще в очень кривом состоянии, и будет работать "as expected" (C) Asa Dotzler в версии 1.1

Главно, что Mozilla отреагировала. А пользователи IE пусть вздыхают :-).


Этот мир, не совершенный, состоит из всех из нас. Он прямое отражение наших чувств и наших глаз.
Этот мир не станет лучше и не станет он добрее, если сами мы добрее не станем.
(@ Игорь Тальков, Этот мир).

Отсутствует

 

№1006-04-2005 20:22:12

Psilon
Участник
 
Группа: Extensions
Откуда: Город-герой Москва
Зарегистрирован: 07-02-2005
Сообщений: 1452

Re: Уязвимость в Mozilla

ladserg пишет

2) Фактический шанс попадания действительно важных данных в выбранную область памяти (здесь она крайне мала, если не сказать ничтожна)

Она есть, этого достаточно. Причем если говорить в корпоративном плане, то шанс попадания действительно важных данных в выбранную область памяти намного выше, т.к. во многих организациях все чаще используют веб технологии. Да и дома тоже важно, вы же нехотите, что бы кто-нибудь узнал, скажем ваш пароль на mail.ru?

Можно и PGP декриптовать прямым перебором, вероятность-то есть.


Мир, в котором человек больше не властен
Мир, принадлежащий машинам...

Отсутствует

 

№1106-04-2005 20:31:17

ladserg
Обещал вернуться...
 
Группа: Members
Откуда: Russia
Зарегистрирован: 10-03-2005
Сообщений: 1977

Re: Уязвимость в Mozilla

Psilon пишет

Можно и PGP декриптовать прямым перебором, вероятность-то есть.

Я всего лишь выразил мнение.

По поводу прямого перебора, то это зависит от того, сколько ты потратишь на взлом и сколько ты получишь в результате (от много убитых енотов и до семи лет общего режима).

Думаю стоимость государственной тайны нередко бывает настолько велика, что для ее взлома реально потратить несколько миллионов у.е. (на электричество, специалистов, мощные компьютеры, компьютерные часы).

ИМХО.


Этот мир, не совершенный, состоит из всех из нас. Он прямое отражение наших чувств и наших глаз.
Этот мир не станет лучше и не станет он добрее, если сами мы добрее не станем.
(@ Игорь Тальков, Этот мир).

Отсутствует

 

№1206-04-2005 20:54:35

Psilon
Участник
 
Группа: Extensions
Откуда: Город-герой Москва
Зарегистрирован: 07-02-2005
Сообщений: 1452

Re: Уязвимость в Mozilla

ladserg пишет

Думаю стоимость государственной тайны нередко бывает настолько велика, что для ее взлома реально потратить несколько миллионов у.е. (на электричество, специалистов, мощные компьютеры, компьютерные часы).

ИМХО.

Согласен с этим, но тогда в любой программе найдут уязвимость.
Если ты вылез в сеть, ты знал, на что подписался.
Но на простого смертного юзера, вряд ли будут тратить такие ресурсы.

А вероятность извлечения данных с помощью этого бага очень мала, в силу многих причин.


Мир, в котором человек больше не властен
Мир, принадлежащий машинам...

Отсутствует

 

№1306-04-2005 21:06:11

ladserg
Обещал вернуться...
 
Группа: Members
Откуда: Russia
Зарегистрирован: 10-03-2005
Сообщений: 1977

Re: Уязвимость в Mozilla

Psilon пишет

Согласен с этим, но тогда в любой программе найдут уязвимость.
Если ты вылез в сеть, ты знал, на что подписался.
Но на простого смертного юзера, вряд ли будут тратить такие ресурсы.

А вероятность извлечения данных с помощью этого бага очень мала, в силу многих причин.

Согласен, хотя и работаю в одной из структур администрации города. Впрочем чего кидаться помидорами из-за исправленного бага :-)

Удачи.

Отредактировано ladserg (06-04-2005 21:17:58)


Этот мир, не совершенный, состоит из всех из нас. Он прямое отражение наших чувств и наших глаз.
Этот мир не станет лучше и не станет он добрее, если сами мы добрее не станем.
(@ Игорь Тальков, Этот мир).

Отсутствует

 

№1406-04-2005 21:50:10

Psilon
Участник
 
Группа: Extensions
Откуда: Город-герой Москва
Зарегистрирован: 07-02-2005
Сообщений: 1452

Re: Уязвимость в Mozilla

И вам всего хорошего.


Мир, в котором человек больше не властен
Мир, принадлежащий машинам...

Отсутствует

 

№1507-04-2005 16:42:46

ViRUS
ДМБ 2008
 
Группа: Extensions
Откуда: Xa!
Зарегистрирован: 05-11-2004
Сообщений: 1468

Re: Уязвимость в Mozilla

Вот вам и баян... ;) Спаибо! Всего хорошего.


Непослушные локоны горничной выбивались из-под её кружевного фартука...

Отсутствует

 

№1611-05-2005 11:54:29

ViRUS
ДМБ 2008
 
Группа: Extensions
Откуда: Xa!
Зарегистрирован: 05-11-2004
Сообщений: 1468

Re: Уязвимость в Mozilla

Вот и опять что-то нашли, http://www.nixp.ru/#5922... А на у нас это до сих пор не отражено! Вот! И не каких рекомендаций для рядовых пользователей... - не все ведь на найтли-сборках живут... :(((


Непослушные локоны горничной выбивались из-под её кружевного фартука...

Отсутствует

 

№1711-05-2005 12:00:48

Psilon
Участник
 
Группа: Extensions
Откуда: Город-герой Москва
Зарегистрирован: 07-02-2005
Сообщений: 1452

Re: Уязвимость в Mozilla

ViRUS
Уже пройденный этап.
http://forum.mozilla.ru/viewtopic.php?id=2877


Мир, в котором человек больше не властен
Мир, принадлежащий машинам...

Отсутствует

 

№1811-05-2005 16:53:36

SoulWar
Участник
 
Группа: Members
Откуда: exUSSR
Зарегистрирован: 17-02-2005
Сообщений: 207

Re: Уязвимость в Mozilla

Да... Ну Вы ребята веселые, с таким оживлением тут все обсуждали  ;) .

Помнить надо одно, что судить продукт надо не по багам, а по функциональности ...
Ну, а баги они везде есть и будут.


В поле лежал Буратино, а над ним кружили черные дятлы.

Отсутствует

 

№1912-05-2005 12:39:19

ViRUS
ДМБ 2008
 
Группа: Extensions
Откуда: Xa!
Зарегистрирован: 05-11-2004
Сообщений: 1468

Re: Уязвимость в Mozilla

Ну енто с какой стороны посмотреть - иногда баги и на функциональность влияют...


Непослушные локоны горничной выбивались из-под её кружевного фартука...

Отсутствует

 

Board footer

Powered by PunBB
Modified by Mozilla Russia
Copyright © 2004–2020 Mozilla Russia GitHub mark
Язык отображения форума: [Русский] [English]