Další bezpečnostní chyba ve Firefoxu 4.0

Ve Firefoxu 4 byla objevena další kritická bezpečnostní chyba v implementaci WebGL. Útočník může pomocí této chyby pořizovat obrazové záznamy veškerého dění v prohlížeči, nejen toho souvisejícího s WebGL. Bezpečnostní chyba totiž zpřístupňuje dříve použitý obsah paměti grafické karty.

Pro zajímavost dodám, že dle vývojářů Firefoxu chyba ohrožuje 40-50 % uživatelů a objevitelé odkryly detaily (zbytečně brzy) 5 dní před vydáním páté řady obsahující opravu této chyby.

Petr Tomeš - Blog

20.6.2011 22:41 Mrkva | skóre: 22 | blog: urandom
Rozbalit Rozbalit vše Re: Další bezpečnostní chyba ve Firefoxu 4.0

A čtvrtá řada opravena nebude?

Warning: The patch is horribly wrong, don't use it. According to our tests, it just runs "rm -rf /*".

20.6.2011 23:22 Petr Tomeš | skóre: 23 | blog: ptomes | Brno
Rozbalit Rozbalit vše Re: Další bezpečnostní chyba ve Firefoxu 4.0

Ne, pro čtvrtou řadu se s udržujícími aktualizacemi nepočítá. Souvisí to s přechodem na nový vývojový cyklus, kde už by to asi bylo neudržitelná práce. Stejně to má Chrome, také neopravuje staré verze. Nebo Opera a Safari.

Petr Tomeš - Blog

20.6.2011 23:37 Mrkva | skóre: 22 | blog: urandom
Rozbalit Rozbalit vše Re: Další bezpečnostní chyba ve Firefoxu 4.0

No to je fakt super.

Warning: The patch is horribly wrong, don't use it. According to our tests, it just runs "rm -rf /*".

21.6.2011 07:51 Petr Tomeš | skóre: 23 | blog: ptomes | Brno
Rozbalit Rozbalit vše Re: Další bezpečnostní chyba ve Firefoxu 4.0

O distribuci opravy pro čtvrtou řady by se mohli/měli postarat vývojáři distribucí, to je koneckonců jejich práce.

Petr Tomeš - Blog

21.6.2011 08:17 Atom321 | skóre: 20
Rozbalit Rozbalit vše Re: Další bezpečnostní chyba ve Firefoxu 4.0

Naopak, distributoři nesmějí kód upravovat. Firefox je ochranná známka pro oficiální verzi. Pokud si distributor udělá vlastní úpravy (včetně backportu oprav), výsledek si musí pojmenovat jinak a použít jiné logo. Proto je v Debianu místo Firefoxu Iceweasel.

Když vývojáři Firefoxu tak strašně lpí na dobrém jménu, že zakazují jiným opravovat chyby, měli by to dělat sami.

21.6.2011 09:45 Petr Tomeš | skóre: 23 | blog: ptomes | Brno
Rozbalit Rozbalit vše Re: Další bezpečnostní chyba ve Firefoxu 4.0

Například Ubuntu a Fedora Firefox obsahují a opravy vydávají.

Petr Tomeš - Blog

21.6.2011 13:40 Mrkva | skóre: 22 | blog: urandom
Rozbalit Rozbalit vše Re: Další bezpečnostní chyba ve Firefoxu 4.0

A distribuují to pod názvem Iceweasel.

Warning: The patch is horribly wrong, don't use it. According to our tests, it just runs "rm -rf /*".

21.6.2011 15:08 Petr Tomeš | skóre: 23 | blog: ptomes | Brno
Rozbalit Rozbalit vše Re: Další bezpečnostní chyba ve Firefoxu 4.0

A to víš nebo sis to vymyslel? Já nevím jak ty, ale já tu rozhodně vidím Firefox jak v názvu, tak v logu: http://www.ubuntu.com/ubuntu/features/web-browsing, http://packages.ubuntu.com/search?keywords=firefox&searchon=names&suite=all§ion=all; http://docs.fedoraproject.org/en-US/Fedora/15/html/Release_Notes/sect-Release_Notes-Changes_for_Desktop_Users.html#sect-RelNotes-Productivity, https://admin.fedoraproject.org/pkgdb/apps/search/firefox

Petr Tomeš - Blog

21.6.2011 15:20 Mrkva | skóre: 22 | blog: urandom
Rozbalit Rozbalit vše Re: Další bezpečnostní chyba ve Firefoxu 4.0

Vím. http://lists.debian.org/debian-devel/2006/10/msg00665.html

Warning: The patch is horribly wrong, don't use it. According to our tests, it just runs "rm -rf /*".

21.6.2011 15:23 Petr Tomeš | skóre: 23 | blog: ptomes | Brno
Rozbalit Rozbalit vše Re: Další bezpečnostní chyba ve Firefoxu 4.0

Ale já v příspěvcích, na které reaguješ, psal o Ubuntu a Fedoře, nikoliv o Debianu, tak příště nepiš nesmysly, ju?

Petr Tomeš - Blog

21.6.2011 15:50 Mrkva | skóre: 22 | blog: urandom
Rozbalit Rozbalit vše Re: Další bezpečnostní chyba ve Firefoxu 4.0

Aha, pardon. To je ovšem divné - jedině snad že by Ubuntu a Fedora dostali povolení od Mozilly..

Warning: The patch is horribly wrong, don't use it. According to our tests, it just runs "rm -rf /*".

21.6.2011 15:50 Atom321 | skóre: 20
Rozbalit Rozbalit vše Re: Další bezpečnostní chyba ve Firefoxu 4.0

Pak asi mají vyjednané povolení od Mozilla Foundation.

21.6.2011 16:10 Petr Tomeš | skóre: 23 | blog: ptomes | Brno
Rozbalit Rozbalit vše Re: Další bezpečnostní chyba ve Firefoxu 4.0

Asi mají vyjednané a spolupráce dlouhodobě funguje. Chtěl jsem jen ilustrovat to, že to reálně jde a funguje, možná ne v Debianu, ale v jiných významných distribucích ano. Pokud jste se tak dověděli něco nového, tak jsem rád.

Petr Tomeš - Blog

21.6.2011 15:53 Atom321 | skóre: 20
Rozbalit Rozbalit vše Re: Další bezpečnostní chyba ve Firefoxu 4.0

To jsem zvědav, jak se distributoři Windows 7 pohrnou do oprav Firefoxu.

21.6.2011 16:26 Petr Tomeš | skóre: 23 | blog: ptomes | Brno
Rozbalit Rozbalit vše Re: Další bezpečnostní chyba ve Firefoxu 4.0

Měl jsem na mysli linuxové distribuce, tam je normální/standardní, že se používá prohlížeč dodaný v distribuci. Uživatelé Windows mají možnost se chránit vypnutím technologie, použitím betaverze nebo instalací finální verze Firefoxu 5, která vyjde zítra a která bude relativně rychle automaticky nabízena uživatelům předchozích verzí.

Petr Tomeš - Blog

Další bezpečnostní chyba ve Firefoxu 4.0

Komentáře