24/2/2010
Na początku tygodnia głośno zrobiło się o luce 0day w Firefoksie 3.6. Problem w tym, że wszyscy piszą o exploicie, którego na oczy nie widzieli…
Wszystko zaczęło się od posta Evgeny’ego Legerova na forum Immunity Canvas, narzędzia do przeprowadzania automatycznych testów penetracyjnych. Evgeny jest autorem płatnego dodatku do Canvasa o nazwie Vuln Disco, a jego post przedstawiał zawartość wersji 9.0 tego dodatku:
Three client-side exploits in this release: (…) clientside/vd_ff – 0day Firefox exploit (XP SP3, Vista) (…)
Na bazie tego posta, Secunia opublikowała ostrzeżenie. Warto podkreslić, że Secunia nie otrzymała kodu źródłowego exploita, a mimo to założyła, że dziura faktycznie istnieje bazując na reputacji Evgeny’ego. W końcu Vuln Disco znane jest ze sprzedawania 0day’ów, np. do MySQL.
Oddajmy głos Tomasowi Kristensenowi, CSO z Secunii:
This particular report is a bit special because of the lack of information available. Normally, we do not write about vulnerabilities unless certain details are available and / or we can test it. (…) and previous vulnerabilities reported by this company / person has proved to be reliable.
Wiem, ale nie powiem
W sieci panika, bo statystyki padów “Frajerfoksa” dziwnie wzrosły. Przy okazji warto sobie zerknąć na to, która strona w internecie najbardziej crashuje Firefoksa.
Mozilla wie o 0day’u, ale też nie dostała szczegółów luki i kodu exploita. Evgeny widać hołduje akcji NO MORE FREE BUGS i na 0day’ach woli trzepać kasiorkę. Na e-mail od Mozilli ponoć nawet nie odpisał ;-)
Komu wierzyć?
W historii z exploitem w tle pojawia się jednak pewien problem… Na tym samym forum, na którym ogłoszono 0day’a w Firefox 3.6 znaleźć można wypowiedź osoby, która kupiła najnowsze Vuln Disco 9.0 i twierdzi, że exploit nie działa…
I komu tu wierzyć? Anonimom, co za 0day’a zapłacili i mówią że nie działa, czy specom z Secunii, którzy 0day’a nie widzieli, ale twierdzą, że działa? :-)
Weź udział z kolegami w jednym z naszych 8 cyberwykładów. Wiedzę podajemy z humorem i w przystępny dla każdego pracownika sposób. Zdalnie lub u Ciebie w firmie. Kliknij tu i zobacz opisy wykładów!
Każdy powinien zobaczyć te webinary! Praktyczna wiedza i zrozumiały język. 6 topowych tematów — kliknij tutaj i zobacz szczegółowe opisy oraz darmowy webinar.
No własnie, na tym przykładzie widać, jak wiele w bezpieczeństwie zależy od zaufania…
To, że komuś nie zadziałał w jakichś określonych warunkach, to nie znaczy, że go nie ma lub że w ogóle nie działa… prędzej czy później pojawi się jakaś otwarta wersja, więc wtedy na spokojnie przetestujemy ;).
tak ty na pewno przetestujesz :)
Nie zauważyłem, żeby Firefox 3.6 gdziekolwiek się wysypał, a jestem dosyć aktywnym użytkownikiem internetu i dziennie przeglądam masę materiałów. 0day, jeśli jest, musi występować w naprawdę specyficznych warunkach.
Mógłby mi ktoś wytłumaczyć co to jest 0-day? Interesuje się tematyką bezpieczeństwa ale nie jestem aż tak obeznany w tych fachowych pojęciach. Dziękuje serdecznie :)
@Adam:
0day to dziura ktora została odkryta, czesto nieupubliczniona, na która nie ma jeszcze patcha (łatki) zabezpieczajacej przed wykorzystywaniem jej. Tu masz wiki: http://pl.wikipedia.org/wiki/Zero-day_exploit
Co to jest “zirodej”?
Jak powstawał Niebezpiecznik myślałem, że będzie na wysokim poziomie.
A tu tytuły jak z Wyborczej. Albo “Zero day”, albo co najwyżej “0day”.
Panie Piotrze, na (grin) blogu można pisać jak dusza zapragnie, tu sugerował bym trzymać się przyjętych standardów.
Panie Pazkooda, prosze nas więcej nie czytać z wyłączonym poczuciem humoru.
Pozdroszejset! xD
:>
Wnioski ze statystyk, jakie strony najbardziej crashują FF:
facebook – zło
ale skąd tam google.com i youtube.com? :D :D :D
Moja opinia jest taka, że albo coś z poddomeny (np buzz lub mail) crashuje lub ktoś już ma FF w takim stanie, że cokolwiek jest w stanie go zabić ;)
Huh, youtube to pewnie “cudowny flash”, a Buzz to nawet operę mi zcrashował…
Mi to śmierdzi działem marketingu ;]
Cała awantura to jak zwykle recesyjne pozyskiwanie bezwartościowej waluty metodą technicznego opluwania tych większych. Co do kreszowania lisa to Youtube i Myspace powinny dostać medal choć z tym ostatnim jest od jakiegoś czasu lepiej. A jeżeli coś nie działa zawsze można zwalić na “cudownego flasha”, Adobe zaczyna funkcjonować jak mikromiękki, jak zwykł mawiać kolega Bogusia Smolenia: BO WY JESTEŚCIE GŁUSI NA NASZE ARGUMENTY! Dobrze, że zamiast 0day nie mamy Dday to by było coś!
@kod13 – nie tyle (zuo) facebook co farmwille crashuje firefoxa ;)
0day w FF to jest co najmniej kilka:
http://www.zerodayinitiative.com/advisories/upcoming/
a znajduje je glownie jak widac nasz rodak, regenrecht :)
http://threatpost.com/en_us/blogs/mozilla-acknowledges-critical-zero-day-flaw-firefox-031910
A month after an advisory was published detailing a new vulnerability in Firefox, Mozilla said it has received exploit code for the flaw and is planning to patch the weakness on March 30 in the next release of Firefox.
mi się najczęściej crashuje lisek na grach na joemonsterze ale mam około 400 kart otwarte :E ale mało tego ramu zużywa na 400 kart bo 1GB czyli jedną szóstą zasobów mojego komputera :)