Alvorlig sårbarhet i nyeste Firefox

[abene]

Det er oppdaget alvorlig hull i nyeste Firefox, men hullet blir ikke fikset før mot slutten av mars.

 

Les mer

[cmyrland]

Hm, gjelder det alle plattformer også?

[Bolson]

Hm, gjelder det alle plattformer også?

 

Kun utnyttbar i Windows - som vanlig.

[tjomi]

Og det står hvor?

[Bolson]

Den skikkelige infoen har jeg nok fra kilder som ikke kan offentliggjøres (jeg har ikke lov). Men så vidt de kildene oppgir har man ikke klart å utnytte sikkerhetshullet (i testing) annet enn på Windows, og ikke i alle Windowssammenhenger heller, XP SP3 og Vista skal den virke på, og da Legorov "informerte" om hullet for en måned siden hadde han kun testet på XP og Vista.

 

"We've played a lot with it in our labs - it was very reliable," Legerov wrote in an email to The Reg. "Works against the default install of Firefox 3.6. We've tested it on XP and Vista."

 

Nå er dette hullet litt spesielt når det gjelder hvordan det ble informert om. Blant annet nektet Legorov i en periode å svare på eposter fra Mozilla vedrørende hullet. At hull testet bare på Windows er også normalt - og meget kritikkverdig.

 

Men detaljer om selve hullet vil nok offentliggjøres etter den 30 mars.

[tjomi]

Den skikkelige infoen har jeg nok fra kilder som ikke kan offentliggjøres (jeg har ikke lov). Men så vidt de kildene oppgir har man ikke klart å utnytte sikkerhetshullet (i testing) annet enn på Windows, og ikke i alle Windowssammenhenger heller, XP SP3 og Vista skal den virke på, og da Legorov "informerte" om hullet for en måned siden hadde han kun testet på XP og Vista.

 

"We've played a lot with it in our labs - it was very reliable," Legerov wrote in an email to The Reg. "Works against the default install of Firefox 3.6. We've tested it on XP and Vista."

 

Nå er dette hullet litt spesielt når det gjelder hvordan det ble informert om. Blant annet nektet Legorov i en periode å svare på eposter fra Mozilla vedrørende hullet. At hull testet bare på Windows er også normalt - og meget kritikkverdig.

 

Men detaljer om selve hullet vil nok offentliggjøres etter den 30 mars.

 

Jeg har faktisk hørt fram mine kilder i kina og estland som ikke kan offentliggjøres (jeg har ikke lov). At det er faktisk du som tar feil.

Det er faktisk helt motsatt av hva du skriver.

Det er ikke hull i firefox men det er hull i Legorov, og XP og Vista har klart å utnytte dette hullet.

Jeg hører de har klart å utført dype penetrasjoner i hans system.

[Bolson]

Beklager å måtte si det, men mer usaklig svar er det lenge jeg siden jeg har sett. Derfor ser jeg heller ingen grunn til annet enn å si som følger.

 

"All info som jeg sitter på, fortrolig og åpen, sier at hullet kun lar seg utnytte i XP og Vista".

[Himalde]

Vil noscript stoppe angrepet som vanlig?

[Bolson]

Vil noscript stoppe angrepet som vanlig?

 

Sannsynligvis, men i og med at det er offentliggjort så lite informasjon, så vet vi ikke sikkert.

 

Det er heller ikke kjent noen "angrep" ved hjelp av denne sårbarheten. Legorov selv bruker faktisk Firefox.

[tjomi]

Beklager å måtte si det, men mer usaklig svar er det lenge jeg siden jeg har sett. Derfor ser jeg heller ingen grunn til annet enn å si som følger.

 

"All info som jeg sitter på, fortrolig og åpen, sier at hullet kun lar seg utnytte i XP og Vista".

 

Jada.

Sitter på hemmelige kilder.

sikkert.

[finnipinni]

Enig i at hemmelige kilder bør forbli hemmelige Bolson. Likner ikke deg dette ?

For egen regning tar jeg sjensen på å påstå at det har ikke gått mange dagene etter hver nye FF-versjon for Windowsplattformen før sikkerheten er null.

De oppdaterer jo heller ikke, men venter til de kommer med ny versjon. På den måten de opptrer med sin Windowsversjon virker de svært u-seriøse på meg.

 

Så må jeg legge til at jeg bruker jo FF på Ubuntumaskinen min.

Og der funker det jo.

[Bolson]

@tjomi:

Så du tror ikke at det finnes informasjon som man får tilgang til som er beheftet med vilkår om at man ikke kan offentliggjøre informasjonen før etter et gitt tidspunkt eller faktisk ikke i det hele tatt. Personlig sitter jeg daglig på slik informasjon innen ulike områder.

 

Kildene er ikke hemmelige, er man villig til å betale eller deltager i gitte nettverk, så får man fri tilgang. Men med klar beskjed om at man ikke får lov til å offentliggjøre detaljer i informasjonen og hvem som er kilde.

 

Det finnes langt mer av slike kilder enn de fleste er klar over. Kanskje uheldig, men slik er det.

 

Men saklig sett har du ikke motbevist min påstand, du har faktisk ikke kommet med en kilde på at hullet kan utnyttes andre steder enn i XP og Vista.

 

@finnipinni:

Din påstand om at Mozilla ikke oppdaterer er feil. Det store flertallet av oppdateringer av Firefox, altså versjonsnummer x.x.1 x.x.2 kommer ikke til bestemte tidspunkt, men som konsekvens av sikkerhetshull. Mener det er ca 80 % av oppdateringer som har sin primære årsak knyttet til sikkerhethull, og så vidt jeg vet har de kommet som oftest samtidig med at sikkerhetshullet er blitt publisert. Som betatester har jeg i alle fall svært ofte fått ny versjon før sikkerhetshullet er kjent, og vanligvis en 5 - 10 dager før. Og normalt tar det ca 10 - 20 dager fra man laget patchen til den er ferdigtestet for endelig versjon (men det kan variere)

 

Akkurat denne siste er som sagt litt spesiell, i og med at Legorov publiserte info om at det var et hull og nektet å svare på henvendelse fra Mozilla i over en måned. I og med at saken var kjent, hadde jo ikke Mozilla annet valg enn å komme med all info når hullet var verifisert, selv om man viste at testperiode medførte at offisiell fix ville komme om noen uker. Betaversjonen fungerer dog helt greitt.

 

PS! Leting viser at også åpne kilder skriver at dette er et Windowsproblem.

Endret 22. mars 2010 av Bolson

[sinnaelgen]

det blir noe merkelig dette når hovedversjon 3.0 er gått ut på dato og 3.5 trenger oppgradering mens 3.6 er spekket med feil

[Simen1]

Ett kjent alvorlig hull = spekket?

Går ut på dato om 1 uke og 1 dag til = gått ut på dato?

Hva mener du med at 3.5 trenger oppdatering?

[PortableAppGuy]

Bruker Opera jeg :!:

[sinnaelgen]

at det ble anbefalt å oppgradere den til versjon 3.6

( skulle stå at den trengte oppgradering )

 

 

lit merkelig hvordan Windows får skylda for feil i dataprogrammer

[Simen1]

Den nærmeste uken kan man nok trygt holde seg til 3.5 i påvente av fiksen til 3.6. Firefox 3.5 støttes med oppdateringer (type 3.5.18 osv) i lange tider ennå.

 

Virus, trojanere, datatyver, osv prøver ikke å bryte seg inn i selve programmene, bruker sårbarheter i programmene som inngangsport for andre ressurser på maskina. OSet er et svært viktig mål for dem fordi det kan gi dem generell tilgang til filer, nettverksporten og kunne gjøre mye faenskap. Derfor blir sårbarheter i f.eks Firefox bare en inngangsport til OSet. Noen OS er immune mot at sårbarheter i programmer kan få tilgang til andre ressurser fordi hvert program kjøres i et lukket og kontrollert miljø med vanntette skott mot andre programmer og den hellige gral, OSets kjerne.

[tjomi]

@tjomi:

Så du tror ikke at det finnes informasjon som man får tilgang til som er beheftet med vilkår om at man ikke kan offentliggjøre informasjonen før etter et gitt tidspunkt eller faktisk ikke i det hele tatt. Personlig sitter jeg daglig på slik informasjon innen ulike områder.

 

Kildene er ikke hemmelige, er man villig til å betale eller deltager i gitte nettverk, så får man fri tilgang. Men med klar beskjed om at man ikke får lov til å offentliggjøre detaljer i informasjonen og hvem som er kilde.

 

Det finnes langt mer av slike kilder enn de fleste er klar over. Kanskje uheldig, men slik er det.

 

Men saklig sett har du ikke motbevist min påstand, du har faktisk ikke kommet med en kilde på at hullet kan utnyttes andre steder enn i XP og Vista.

 

Saken er ikke om hemmelige kilder finnes, saken er om DU har tilgang og validiteten til en "hemmelig" kilde.

All informasjon du krediterer til en hemmelig kilde er VERDILØS, fordi ingen andre kan verifisere informasjonen du kommer med. For alt vi vet kan din "hemmelige" kilde være en en feit liten taper med tinn-folie hatt.

Med andre ord, mitt innlegg har like mye validitet som ditt innlegg, fordi vi begge bruker "hemmelige" kilder.

Så jeg trenger ikke å motbevise din påstand, fordi inntil du gir en kilde har ikke du kommet med en sakelig påstand.

 

Og en annen ting, noe av poenget med en hemmelig kilde er at DE ER HEMMELIGE!!!

Tror neppe noen med en hemmelig kilde ville ropt ut på et forum at de hadde en hemmelig kilde, ihvertfall ikke noen proffesjonelle.

 

Også er det også det faktumet at dette er internett, og som vi alle vet: INGEN LYVER PÅ INTERNETT.

[masterj]

Min Firefox oppdaterte seg til versjon 3.6.2 idag

[Simen1]

tjomi: Det handler om troverdighet. Hvis du har fulgt med på innleggene til Bolson over tid så har du nok lagt merke til at han innehar en stilling som handler om drift av datasystemer (servere, kontormaskiner, programvare og sikkerhet) for en haug med brukere. Samtidig har han stor innsikt i økonomi og juss i bedriftsammenheng. Det har han vist gjennom utallige innlegg her på forumet. Troverdigheten står med andre ord svært høyt og jeg har null problemer med å skjønne at han daglig omgås mye fortrolig informasjon, bedriftshemmeligheter, NDA-er og sikkerhetsinfo fra dyrekjøpte sikkerhetstjenester.

 

Ikke for å være frekk tjomi, men du når ikke opp til anklene på Bolson i troverdighet.