Mozilla produktu ievainojamības

Vakar izskanēja doma, ka Mozilla produktos ir atrasta kaudze ar bīstamām ievainojamībām. Tieši tā. Tāpēc arī iznāca jaunās versijas gan Ugunslapsai, gan arī Pērkonputnam, jo tajās ir izlabotas šīs ievainojamības.

Internesantākais ir tas, ka praktiski visas šīs ievainojamības ir pievienojuši Bugzillai dažādi drošības speciālisti, kuru starpā ir arī Georgi Guninski, kas šeit ir bieži pieminēts saistībā ar Internet Explorer ievainojamībām. Pie tam gandrīz visi viņi papildus ievainojamības aprakstam ir piedāvājuši arī savus risinājumus kā to izlabot. Spriežot pēc šī komentāra var secināt, ka nesenā Security Bug Bounty ideja darbojas un nes augļus.

This security audit was done during my free time as an attemptto promote and participate to the Mozilla Security Bug BountyProgram (http://www.mozilla.org/security/bug-bounty.html).

Detalizētu informāciju par Mozilla produktu ievainojamībām var atrast arī Mozilla lapā, kur šis saraksts ir nopublicēts. Kamēr vieni aizkadrā cīnās ar caurumu lāpīšanu, tikmēr citi tajā pašā laikā mēģina sasniegt 1 000 000 lejupielādes 10 dienu laikā, trešā daļa jau ir.

34 komentāri par “Mozilla produktu ievainojamības

  1. BlackHalt

    Izlasot raksta virsrakstu padomaju: kas ta nu atkal?
    Vajadzēja pasvītot, ka tās visas ievainojamības ir izlabotas iekš to Firefox 0.10 un Thunderbird 0.8.
    Protams, ka vienmēr atradīsies kaut kādas pastūlbākas(debīlākas) ievainojamības 🙂

    Atbildēt
  2. Deepsider

    Žēl ka man ir explorers – palaidu garām maģisko iespēju katru jaunu dienu iesākt ar jaunas mozillas versijas lejuplādēšanu 🙂 Jo versijas tai aug kā sēnes pēc lietus !

    Atbildēt
  3. papuass

    Deepsider, piedod, bet tu esi idiots. Jā, protams, pastāv iespēja katru rītu novilkt svaigāko nightly build, bet t.s. milestones nu gan pārāk bieži neiznāk.

    Atbildēt
  4. ZBH

    Deepsider : toties tev iraid magisk iespeej izsludinaat analogisk 500$ par katr cokj vai nepilniib pasaakum naakamaa IE betai 🙂 vai labaak pierunaat Bil tai 🙂 vin siev drosvien nedabuus kaad laicin laapiit Bilam zekjs taa vietaa, lai nopirkt jauns, nu bet Bildam drosvien jau buut izdeviig pieliekties, lai pacelt zemee guloss 100$ 🙂

    Atbildēt
  5. zaps

    100000 lejuplādes laikam iekavēsies
    Host ‘hornytoad.mozilla.org’ is blocked because of many connection errors. Unblock with ‘mysqladmin flush-hosts’

    Atbildēt
  6. Maita

    The real difference is:

    We’ve found a bug in Firefox, we’re really sorry. Anyone using old versions of firefox will be affected.
    We’ve found a bug in Internet Explorer, we’re really sorry. We’ll fix it…eventually.

    Atbildēt
  7. Budzis

    Vai kā te daži sašūmējās, tiklīdz kāds paironizē par "drošo un perfekto" FF 🙂 Izrādās, ka nebūt nav tik drošs, kas līdz šim tika likts kā lielākais pluss 🙂

    Atbildēt
  8. Ati

    Firefox kļūst populārāks, tāpēc caurumi tiks atklāti aizvien biežāk un biežāk…varbūt beidzot cilvēki sapratīs, ka lieta jau nav tajā vai m$ līkas rokas vai nē…..

    Atbildēt
  9. karuuzo

    Atšķirība starp Mozilla un Microsoft pastāvēs vienmēr tāpēc, ka Mozilla kodu var apskatīties jebkuršs, kurš tiek pie interneta, t.i. neierobežots cilvēku skaits, tāpēc arī caurumus var atklāt daudz vieglāk. IE izceļas ar to, ka to var testēt tikai ar melnās vai pelēkas kastes metodi (ja es pareizi sapratu, IE izstrādes grupa jau sen ir izformēta un neviens no M$ īpaši nesaspringst pie tā), bet Mozillai var veikt testēšanu līdz zemākajam līmenim, t.i. koda testēšanu. Tāpēc arī Mozilla vienmēr būs drošāka par IE, jo divi cilvēki var ieraudzīt vairāk kā viens, četri vairāk kā divi utt.
    Tā kā, lietojam Mozillismus un priecājamies :))
    m

    Atbildēt
  10. Maita

    Ati, nu tad tu varbūt mums visiem izstāstīsi kur ir tā lieta?

    Izrādās, ka nebūt nav tik drošs, kas līdz šim tika likts kā lielākais pluss 🙂

    Pluss: Tab-Browsing, popup blocking, standarts compilant, find stuff faster, privacy, better bookmarks and history, extensible (plugins, extensions), Gecko layout engine (one of the fastest), themes. Pietiek?

    Atbildēt
  11. John

    Maniakalie Ugunslapsas fani:) Man jus atgadiniet tipisku latvieti – braucam tikai ar AUDI vai BMW (parejas masinas ir mesli), milejam tikai blondines un dzeram tikai alu:D
    Jums pasiem tas neliekas smiekligi? 🙂
    Un neaizmirstiet – nekas saja pasaule nav par brivu – par visu ir jamaksa:) Saja gadijuma ar Ugunslapsas drosibu:)
    Interesanti, ko jus teiktu, ja kads virus butu nogravis jusu sistemas, izmantojot it ka "loti" droso Ugunslapsu.
    Starp citu, tas var notikt jebkura bridi ari ar 1. versiju.

    Atbildēt
  12. neo

    RSS ir forsha fiicha, tomeer iisti nav skaidriibas, kad un kaa tiek atjaunoti jaunie ieraksti… redzu, ka ir iespeeja pasham refreshot, tomeer nebuutu slikti, ja tas notiktu automaatiski un pavisam labi buutu, ja jaunas zinjas gadiijumaa kaut kur redzamaa vietaa paraadiitos kaada ziime, kas par to liecinaatu.

    Atbildēt
  13. coolynx

    neo: Domāju, ka līdz tam vēl nonāks. Vienkārši šobrīd šajā versijā tika nogrieztas liekās "fīčas", kas bija nepilnīgas vai nebija līdz galam pieslīpētas, lai tas neradītu nevajadzīgu klaigāšanu, ka produkts gļuko. Tāpēc arī daudz, kas pietrūkst. Bet jāatcerās, ka Firefox nav IE, kur developments notiek gadiem ilgi un beigās vēl īsti nezini vai tas, ko vēlējās ieviest M$ gudrās galvas ir tas pats, ko vēlējās gala lietotājs… Pēc pāris mēnešiem gan jau būs vai nu bāzes pakā vai arī kādā alternatīvā versija.

    Atbildēt
  14. ZBH

    Ati : a kad tu sapratiis atskiriib starp 500$ par atklaat caurum un 10000$ par caurum atklaajeej (un pie reizs pirmaa to izmantojosaa viirus autor) nodosan vars iestaadeem? 🙂

    Atbildēt
  15. Ati

    ZBH: nesaprast neandertāliešu valodu, sorry 🙁
    Maita: ko tur vēl skaidrot, ja galva ir pats sapratīsi? Sākumā mozilla netika atklāti kritiskie caurumi, kapēc? tāpēc ka to lietotāju skaits bija ļoti mazs, tagad ir ievērojami pieaudzis..
    Sākumā kad sērfoju pa crack saitiem, ne reizi firefox neizleca piedāvājums ieinstalēt kādu extensionu vai sūdu, bet tagad tas kļūst aizvien biežāk un biežāk, cerēsim ka līdz automātiskai extensionu ieinstalēšanai neaizies.

    Atbildēt
  16. coolynx

    Ati:Sākumā kad sērfoju pa crack saitiem, ne reizi firefox neizleca piedāvājums ieinstalēt kādu extensionu vai sūdu, bet tagad tas kļūst aizvien biežāk un biežāk, cerēsim ka līdz automātiskai extensionu ieinstalēšanai neaizies.

    Atskatamies vēsturē http://pods.lv/arhivs/2004/5/17/1808/
    Dēļ šīs paplašinājumu ievainojamības arī parādījās "white list" hosti no kuriem lietotājs instalēs visu, ko viņam vajadzēs un sūtīs bekot visus, ko nepazīst. Automātiski nekas nenotiks.

    Atbildēt
  17. vaards

    Nu jaa, un kad FF caurumu skaits paarsniegs IE caurumu skaitu (kuri tiek nemitiigi bezteemaa piemineeti), tad sekos atruna, ka M$ ir viena drausmiiga kompaanija, ka obligaati ir jaalieto open source utt. Arvien tupaak …

    Atbildēt
  18. Vaards

    Blja, Nr.31. ir piesavinaajies sveshu iipashumu – manu nickneimu ;-(
    /Vaards, kursh Vilnis/
    P.S. Firefoks vs IE… Tak vienalga ar ko skatamies – labi, ka Kuulinks ljaujs paspamot 😉

    Atbildēt
  19. vaards

    Sorry, Vaards, kursh Vilnis. 😉
    Tas ir tikai vienreizeejs gadiijums (tagad jau laikam 2-reizeejs) – kaut ko tachu vajadzeja raxtiit tajaa ailee 😉

    Atbildēt

Ieraksti komentāru

Tava e-pasta adrese netiks publicēta.