На главную страницу AlgoNet В сотрудничестве с ZDNet
АРХИВ СТАТЕЙ 2006-2-9 на главную / новости от 2006-2-9
AlgoNet.ru
поиск

 

Место для Вашей рекламы!

 

Все новости от 9 февраля 2006 г.

Эксплойт обострил проблему Firefox

Компьютерный код, который можно использовать для кибератак против пользователей Firefox, вынуждает их срочно переходить на последнюю версию веб-браузера.

В четверг группа Mozilla распространила обновление, исправляющее уязвимость Firefox, используемую двумя эксплойтами, опубликованными в онлайне на этой неделе. Во вторник, в ответ на публикацию эксплойтов производитель браузера повысил уровень опасности этой ошибки со «среднего» до самого высокого «критического».

«Этот эксплойт был обнародован после того, как мы выпустили версию 1.5.0.1, — говорит вице-президент Mozilla по техническому обеспечению Майк Шрепфер. — Большинство наших пользователей к моменту публикации этого эксплойта уже обновили свои браузеры».

Код можно использовать для манипуляции компьютерами с уязвимой версией браузера с открытым исходным кодом на системах Linux или Mac OS X. Он опубликован как часть популярного хакерского инструмента Metasploit Framework.

Ошибка присутствует только в Firefox 1.5 и исправлена в версии Firefox 1.5.0.1. Согласно рекомендациям Mozilla, проблема приводит к нарушению работы оперативной памяти, которое злоумышленники могут использовать для исполнения на уязвимом ПК собственного кода. Такое нарушение может произойти в результате обращения к методу QueryInterface, применяемому объектами браузера Location и Navigator.

Пользователям Firefox уже рекомендовано перейти на исправленную версию браузера. На прошлой неделе компания Secunia, наблюдающая за безопасностью, назвала обновление Firefox, позднее распространенное Mozilla, «высококритичным».

Шрепфер призывает тех пользователей, которые по какой-то причине не обновили браузер, непременно это сделать.

 В продолжение темы:
2006-02-17   Для только что исправленной уязвимости Microsoft уже появились эксплойты
Обсуждение и комментарии
Читатель
9 Feb 2006 10:52 AM
Как же так, ведь обещали что баги и вирусы живут только в Win & IE :) Почему никто не подает на MS в суд за распространение технологий написания дырявых программ?
 

Wintermute - devnul.ru
9 Feb 2006 11:32 AM
"А по дороге к коммунизму кормить никто не обещал!"
 

xz
9 Feb 2006 11:35 AM
вот тебе и сэйф-броузинг! гы! :)
 

Zzz...
9 Feb 2006 11:54 AM
Бедная хранцузская полиция :)

Только, понимаешь, проинсталлировались - и уже обновляйся :)
 

xz
9 Feb 2006 12:29 PM
+ в тундровом_бёрде чейта найдут ишшо! :)))
 

xacid
9 Feb 2006 12:43 PM
и что уже много пострадавших?
или много дырок незакрытых осталось?
лучше было бы если бы всё было шито-крыто годами как в ие?
 

xacid
9 Feb 2006 12:44 PM
оно кстати само обновляется (если не отключать эту фичу)
так шо не вижу проблем лично чтоб обновиться
 

Пр
9 Feb 2006 1:33 PM
русская версия например - не обновляется
с 2005 11 07
только что попытался обновиться - и "Новых обновлений нет"
 

pup_kin
9 Feb 2006 3:39 PM
"Миллионы глаз смотрят на наш код, в не не может быть ошибок"

Huh?
 

xz
9 Feb 2006 4:39 PM
у семи нянек дитя без глазу.
у миллиона нянек - выкидышььььььььььььььььььььь! :)
 

Shamlo - shamlonarod.ru
9 Feb 2006 6:51 PM
Казалось бы, причем тут COM...
Негатив его столь силен, что переносится даже на линуксовый FireFox, который его и не использует вовсе, а просто имеет функцию с таким же названием.
 

2Пр
9 Feb 2006 6:52 PM
a kto tebe skazal, 4to est' ofizial'naya russkaya veria ?
 

нц
9 Feb 2006 7:07 PM
http://www.mozilla.com/products/download.html?product=firefo x-1.5.0.1&os=win&lang=ru

Официальная и русская .. и нехрен умничать
 

2Пр
9 Feb 2006 7:15 PM
kakaya versia ne obnovlyaetcya ?
 

Сергей Павлович - grayman2000prokuratura.ru
10 Feb 2006 2:51 AM
2 xz
просто по приколу: "У семи нянек четырнадцать титек" :)
 

Alexander S. Kharitonov
10 Feb 2006 9:30 AM
2 Читатель:

> Как же так, ведь обещали что баги и вирусы живут только в Win & IE :)

Баги есть везде. Слышал программистскую аксиому: "В каждой программе есть как минимум одна ошибка"? А вот вирусы - с этим по-прежнему к "Win & IE".
 

Zzz...
10 Feb 2006 9:40 AM
2Alexander S. Kharitonov:

а эксплоит - это полувирус :) Дело за малым :)
 

Михаил Елашкин - imhoelashkin.com
10 Feb 2006 12:20 PM
2 Alexander S. Kharitonov
Неверный тезис:
В каждой программе либо нечетное число ошибок и тогда она глючная, либо четное - и тогда они взаимно анигилируют! )))
 

straus
10 Feb 2006 12:33 PM
2Пр
странно у меня обновился 02.02.2006
Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.8.0.1) Gecko/20060111 Firefox/1.5.0.1
 

Пр
10 Feb 2006 2:54 PM
Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.8) Gecko/20051107 Firefox/1.5

по нажатию "Проверить наличие обновлений".

получаю
"Обновления отсутствуют. Firefox может переодически проверять обновления"

судя по логам SQUID
TCP_MISS/200 4953 CONNECT aus2.mozilla.org:443 - DIRECT/140.211.166.205 -
что то пытается проверить на обноления - и ничего...
 

Shamlo - shamlonarod.ru
10 Feb 2006 5:27 PM
> Елашкин: В каждой программе либо нечетное число ошибок и тогда
> она глючная, либо четное - и тогда они взаимно анигилируют!

Следствие:
Для превращения любой глючной программы в безглючную достаточно найти в ней и исправить одну любую ошибку :)
 

?
10 Feb 2006 6:00 PM
Shamlo: добавить! Добавить ошибку дешевле чем исправить.
 

Shamlo - shamlonarod.ru
10 Feb 2006 8:37 PM
Действительно. Добавить намного проще. Добавление новых ошибок можно даже автоматизировать.
 

!Virus!
12 Feb 2006 1:27 AM
> А вот вирусы - с этим по-прежнему к Win & IE

неа, под линакс тоже вирусы есть, только их немного, т.к. система десктопно немассовая... конкретный пример смотреть

http://www.linux.org.ru/view-message.jsp?msgid=982134

посты от

McMCC (*) (05.07.2005 12:16:06)

до

anonymous (*) (05.07.2005 15:00:05)

P.S. кому лень смотреть, вкратце так: сей код внедрялся на линакс-машину из сети как червь, через уязвимый mod_ssl, а потом внедрял вирус в несколько стандартных утилит - ls, ps, netstat, rpm и т.д... при простом переносе любой из них на чистый линакс и запуске, соответственно заражались утилиты и там (это уже без всяких mod_ssl, т.е. классический способ внедрения в исполняемые файлы, со времен ДОСа)
 

Alexander S. Kharitonov
12 Feb 2006 2:53 PM
2 !Virus!:

> неа, под линакс тоже вирусы есть, только их немного, т.к. система десктопно немассовая...

Но с практической точки зрения это означает, что компьютер под Windows имеет гораздо больше шансов поймать какую-то гадость.

Кстати, причина того, что под Linux вирусы не получили распространения не только и не столько в небольшом количестве десктопов под Linux. Ещё важно то, что Linux существует в гораздо большем количестве вариантов, чем Windows, что усложняет использование неисправленных уязвимостей. Также стоит помнить, что в Linux, если придётся выбирать между удобством и безопасностью разработчики скорее выберут безопасность. А в Windows могут оказать пользователю медвежью услугу, сделав как ему удобнее... Например, в Windows существует такая вещь, как права продвинутого пользователя. Удобно? Да. Однако это удобно и для распространения вирусов. Ситуация осложняется тем, что не всегда возможно ограничить права пользователя из-за того, что какая-нибудь программа откажется работать в таких условиях. И для этой проблемы обычно выбирают самое простое решение - повысить уровень прав пользователя.

А в результате всего этого вирусов под Windows на порядки больше, соответственно и выше вероятность неприятностей... То есть можно говорить, что теоретически и Linux, и Windows одинаково (не)безопасные системы - везде обнаруживаются дыры, везде они исправляются. Однако на практике более безопасным оказывается Linux.
 

Ender
12 Feb 2006 7:26 PM
2Shamlo: "Действительно. Добавить намного проще. Добавление новых ошибок можно даже автоматизировать."

Дело в том что для того чтобы знать, нужно добавлять ошибку в программу или не нужно, надо посчитать их количество. Для этого надо обнаружить все ошибки в программе и пересчитать их.
 

Shamlo - shamlonarod.ru
12 Feb 2006 11:31 PM
> Ender: Для этого надо обнаружить все ошибки в программе и
> пересчитать их.

Нет, зачем? Можно добавить одну и выпустить Release Candidate. Если жалоб не последует, то все нормально - можно перевыпустить RC как релиз. А если пользователи будут жаловаться, то либо в качестве релиза выпустить версию, предшествующую RC'у, либо добавить в релиз еще одну ошибку.
 

Сергей Павлович - grayman2000prokuratura.ru
13 Feb 2006 4:37 AM
Елашкину, Шамло, Харитонову

Вы бы уж договаривали полностью из прикладной мерфологии:
Теорема: каждая программа содержит как минимум одну ошибку, и каждую программу можно сократить как минимум на одну команду.
Следствие: любую программу можно сократить до одной команды. И именно в этой команде будет ошибка.
 

M&M's
13 Feb 2006 7:17 PM
Закон невозможности совершения ошибки.
Получить нужную ошибку искусственным путем невозможно.
Доказательство: Программируя нужную ошибку, вы допустите другую ошибку, в корне меняющую превоначальный замысел.
Следствие. Программирование с необходимыми ошибками - искусство.

Совет начинающему программисту.
Никогда не исправляйте найденных ошибок, ибо это повлечет за собой появление неизвестного числа ненайденных. Лучше опишите их в сопроводительной документации как особенность программы.
Если вы с первого раза сумели написать программу, в которой компилятор не обнаружил ни одной ошибки, сообщите об этом системному программисту. Он исправит ошибки в компиляторе.

И т.д., полное собрание сочинений на http://shtaket.h16.ru/forum/printpage.php?forum=7&topic=1&st art=2
 

M&M's
13 Feb 2006 7:22 PM
ЯЗЫК ОШИБОК
Определение. Будем называть языком ошибок правила, в обход которых пишутся программы.
Более точное определение. Будем называть языком ошибок высокого уровня правила, по которым пишутся программы на языках высокого уровня.
Следствие. Чем ниже уровень базового языка программирования, тем ошибки более машинно-ориентированы.

Синтаксис языка ошибок определяется синтаксисом базовой системы программирования.

Ошибки могут следовать друг за другом. От перестановки двух эквивалентных ошибок результат не меняется (коммутативность эквивалентных ошибок).

Две последовательные ошибки можно объединить в одну, более сильную.

Не любую сильную ошибку можно разбить на две более слабых.

Неделимая ошибка называется устранимой. Установить, что ошибка неделима невозможно.

Одинаковые ошибки необязательно делать каждый раз, достаточно сделать одну, а затем лишь обращаться к ней по мере необходимости из любого места программы.

Передача управления от одной ошибки к другой может осуществляться как по определенному условию, так и безусловно (в последнем случае ошибка называется безусловной).

Ошибки могут образовывать циклы. Наиболее устойчивый из них бесконечный.

Ошибки могут вызывать друг друга и сами себя (рекурсивность ошибок).

Ошибки могут размножаться.

Невероятно, но некоторые ошибки могут исчезать. К счастью - ненадолго.

Ошибки допускают многократное вложение друг в друга.
Две одинаковые вложенные ошибки называются четной ошибкой и ошибкой не являются.

Свойство четности ошибок. Если написанная программа сработала правильно, то это значит, что во время ее работы выполнилось четное число ошибок или программист не понял задания.

Следствие. Чтобы получать правильные результаты, следует в каждой ветви программы предусмотреть четное число ошибок.
 

eXOR
13 Feb 2006 7:44 PM
2 !Virus!:
Гы гы :). Вирус. Это называется сломали mod_ssl и _РУКАМИ_ положили модифицированные binutils (то бишь бэкдор сделали). И потом понимаете ли эти binutils надо еще копировать с системы на систему (кто интересно таким занимается?).
 

Terol
14 Feb 2006 6:40 PM
И вернемся к фирефоксу. Никто не подскажет, как лечится болезнь когда фирефокс начинает тупить с буфером обмена. (Выделяемый текст не копируется в буфер). это под виндой.
 

SCarter
15 Feb 2006 5:44 AM
> Выделяемый текст не копируется в буфер

Ага, есть такая проблема.
 

Пётр
15 Feb 2006 10:18 AM
"> Выделяемый текст не копируется в буфер
Ага, есть такая проблема"
Дык понятное дело, это МС виновата, она им исходники на ОС не открыла, а ВинАПИ читать это не для настоящих программеров.
 

Linfan
15 Feb 2006 8:45 PM
!Virus! : Ссылки в форуме на скелеты в шкафах тоже уже не работают. Ибо за давностью скелеты этих вирусов уже рассыпались :) Описание их поубирали, чтоб не позорится :))
 

Terol
17 Feb 2006 1:07 PM
2SCarter
>> Выделяемый текст не копируется в буфер

>Ага, есть такая проблема.

И как лечить? Есличестно подzаYоbbIвает
 

 

← январь 2006 5  6  7  8  9  10  12  13  14 март 2006 →
Реклама!
 

 

Место для Вашей рекламы!