Kirjaudu

Uutiskirje

Rekisteröidy Sektoriin ja tilaa itsellesi joko aamuisin tai iltaisin ilmestyvä uutiskirje sähköpostiisi.

Tiistai, 5.4.2005

Mozilla- ja Firefox-selaimissa tietovuotohaavoittuvuus

Tietoturvayhtiö Secunia varoittaa Mozilla- ja Firefox-selaimista löytyneestä haavoittuvuudesta, jota hyödyntämällä hyökkääjän voi olla mahdollista saada kohdetietojärjestelmästä käsiinsä arkaluontoisia tietoja. Haavoittuvuus liittyy selaimien JavaScript-toteutukseen, joka tietyssä tilanteessa vuotaa satunnaisia osia dynaamisesta muistista (heap memory). Secunia on julkaissut sivuillaan testin, jolla voi kokeilla oman selaimensa alttiutta ongelmalle.

Kohtalaisen kriittiseksi luokiteltuun haavoittuvuuteen löytyy korjaus Mozilla-ryhmän käyttämästä Bugzilla-virheenseurantajärjestelmästä, mutta virallista korjauspäivitystä ei vielä ole saatavilla.

oma, 5.4.2005 00:08. Lähde: Secunia

Muita aiheeseen liittyviä uutisia

Rekisteröidy ja kirjaudu sisään, jos haluat kommentoida.

Kommentit ( 26 uutta / 26 )
pistettä.
Näytä vain kommentit joilla on vähintään
explo Toimiihan tuo...
explo, 5.4.2005 00:17:24		 Pisteet: 0
Oma Mozilla 1.7.6 näyttää olevan tuolle kiltisti altis. Vaikka todennäköisyys yksittäisen koneen yksittäisen muistivuodon aralle tiedolle olisikin pieni, ei tietty ihmetyttäisi jos satojen tai tuhansien yritysten jälkeen jollekin jäisi tuolla tavalla käteen jotain valitettavan hyödyllistä.
dustin
dustin, 5.4.2005 00:38:17		 Pisteet: 0
Pitää vaan toivoa että firefoxista / mozillasta ei tule uutta IE:n tyylistä reikäjuustoa. Meinaan tuo on aika paha, kattelin tolla haavoittuvuudella äsken mitä viimeisen tunnin aikana olen selaillut. Kyllä tuolla luottokortin numeroita voi hyökkääjä saada helposti selville. En tosin tiedä mitä muistiin tallentuu jos SSL-suojaus on ko saitella päällä mihin ns arkaluontoista tietoa antaa.
// Dustin
spaceGoose
spaceGoose, 5.4.2005 02:01:58		 Pisteet: 0
Ihmisten pitäisi muistaa pitää mielessä, että mitä enemmän sovelluksella on käyttäjiä, sitä todennäköisemmin siitä löytyy enemmän myös virheitä, tietoturva-aukkoja tms. koska käyttäjäkunnasta löytyy myös enemmän testaajia.

IE:tä on tähän mennessä kritisoitu kovastikin tietoturva-aukoista, mutta kuinkakohan paljon tietoturva-aukkoja ja koodi virheitä löytyisi Mozilla pohjaisista selaimista ja esim. Applen Safarista jos käyttäjiä ja testaajia olisi yhtä paljon?

Ajattelin vain mainita tämän ennen kun alkaa hirveä Firefox/IE sota. Itse käytän aktiivisesti Firefoxia ja satunnaisesti IE:tä, mutta niin hyvä kun Firefox onkin, ärsyttävää siinä on päivittäisessä käytössä järkyttävä muistin syöminen eikä niinkään tietoturva-aukot, jotka yleensä korjataan ennen kun mitään suurta harmia ehtii tulla.

Kyse ei pitäisi olla siinä, löytyykö jostakin sovelluksesta tietoturva-aukkoja ja kuinka paljon vaan ennemminkin miten nopeasti ne korjataan!! Kukaan ei tee täydellistä koodia eikä pysty tuottamaan kaikkia mahdollisia virhe tilanteita testauksessa. Hyvät sovellukset ja sovelluksen kehittäjät ovat niitä jotka reagoivat havaittuihin virheisiin nopeasti ja ilman sen suurempia tekosyitä ja sormien osoitteluja.
weicco Re:
weicco, 5.4.2005 08:33:16		 Pisteet: 0
Kukaan ei tee täydellistä koodia eikä pysty tuottamaan kaikkia mahdollisia virhe tilanteita testauksessa.
Maailmassa on kyllä monta testiohjelmaa, jotka löytävät muistivuodot erittäin tehokkaasti. Mikseihän näitä ohjelmia ole käytetty FF:ää testattaessa.
Join me! Together we can rule the galaxy as father and son.
jsusi Re:
jsusi, 5.4.2005 10:05:40		 Pisteet: 0
Kukaan ei tee täydellistä koodia eikä pysty tuottamaan kaikkia mahdollisia virhe tilanteita testauksessa.
Maailmassa on kyllä monta testiohjelmaa, jotka löytävät muistivuodot erittäin tehokkaasti. Mikseihän näitä ohjelmia ole käytetty FF:ää testattaessa.
Jaa'a. Luulisi ylivuotojen testaamisen olevan kovimmalla prioriteetilla *minkä tahansa* softaa tekevän firman/poppoon laatukäsikirjassa. Silti näitä löytyy tasaisin väliajoin milloin kultakin taholta.
serpentine Re:
serpentine, 5.4.2005 11:44:27		 Pisteet: 0
Jaa'a. Luulisi ylivuotojen testaamisen olevan kovimmalla prioriteetilla *minkä tahansa* softaa tekevän firman/poppoon laatukäsikirjassa. Silti näitä löytyy tasaisin väliajoin milloin kultakin taholta.
Muistivuoto ja ylivuoto ovat eri asioita. Tuo ylivuoto on vain eräs muistivuodon tyyppi.
Patoutunutta skitsofreniaa.
Saltsa Re:
Saltsa, 5.4.2005 14:21:36		 Pisteet: 0
Kyse ei pitäisi olla siinä, löytyykö jostakin sovelluksesta tietoturva-aukkoja ja kuinka paljon vaan ennemminkin miten nopeasti ne korjataan!!
On sillä merkitystä. Ainakin itselle on hyvin rasittavaa päivitellä softia vähän väliä tietoturva-aukkojen takia. Onneksia asia ainakin Fedorassa onnistuu hyvin helposti, sama myös Windowssissa ja IE:ssä. Sitten meneekin asiat hankalammiksi, kun kyseessä on softaa, joka ei ole itse käyttöjärjestelmään kuuluvaa. Silloin joutuu joka ainoan softan erikseen tarkistamaan, onko siihen tullut päivityksiä.

Kukaan ei tee täydellistä koodia eikä pysty tuottamaan kaikkia mahdollisia virhe tilanteita testauksessa.
Tekee. Hieman koodanneena voisin sanoa, että PHP:llä tai Javalla on varsin helppoa tehdä turvallista softaa. Em. kielissä tietoturvaongelmat aiheutuvat tulkista, ei itse koodista. Ja kyllä se "täydellisen" koodin tekeminen C:lläkin onnistuu, tosin hankalampaa on. Esimerkkinä voinee mainita kohtuu suositun qmail-ohjelmiston, johon ei ole tullut päivityksiä varmaan 7 vuoteen, on koodattu C:llä ja on käytössä tuhansissa mailipalvelimissa. Eikä tietääkseni siinä _kriittisiä_ reikiä ole.
feenix Re:
feenix, 6.4.2005 11:19:44		 Pisteet: 0
Kukaan ei tee täydellistä koodia eikä pysty tuottamaan kaikkia mahdollisia virhe tilanteita testauksessa.
Tekee. Hieman koodanneena voisin sanoa, että PHP:llä tai Javalla on varsin helppoa tehdä turvallista softaa. Em. kielissä tietoturvaongelmat aiheutuvat tulkista, ei itse koodista.
Ai, hassusti suurin osa PHP-mokista on register_globals-kamaa, ei tarkisteta syötettä jne. On itse tulkissakin vikoja, mutta yleensä häkkäykset ja murrot menevät kyllä sen surkeasti tehdyn koodin läpi tuollakin. Itsekin olen törmännyt pariin tapaukseen, jossa PHP-koodi (ei tietenkään minun tekemäni, minä en sentään noin pahoja mokia tee ;) antoi lähettää tiedoston ja sen jälkeen käytti includea sen sisällyttämiseksi toiseen sivuun. Saa miettiä hetken oliko tuota kautta sitten lähetetty binääri ja PHP-pätkä joka ajoi sen. chroot tietysti rajoittaisi tuollaisten vakavuutta itse järjestelmän osalta, mutta kyllä tuolla mukavasti dossailisi ja muutenkin häiriköisi.

Ja kyllä se "täydellisen" koodin tekeminen C:lläkin onnistuu, tosin hankalampaa on. Esimerkkinä voinee mainita kohtuu suositun qmail-ohjelmiston, johon ei ole tullut päivityksiä varmaan 7 vuoteen, on koodattu C:llä ja on käytössä tuhansissa mailipalvelimissa. Eikä tietääkseni siinä _kriittisiä_ reikiä ole.
Paino sanalla "tietääkseni." Kaikkea voi löytyä, oli sendmailissakin 15 vuotta ongelma, johon kukaan ei törmännyt. En yhtään epäile etteikö qmail voisi olla vapaa kriittisistä rei'istä, mutta silti kaikkea voi löytyä.

Puhumattakaan siitä, että jopa eri kääntäjä on joskus aiheuttanut vikoja softissa, nykypäivänä tätä ei sentään juuri tapahdu. Java-puolella kylläkin on varmasti kaikille tuttua se, että softan toimivuus VM:llä X ei ole taattua, vaikka se VM:llä Y toimisikin täydellisesti (tämäkin siis nykyään jo taitaa olla menneen talven lumia).

Ja onhan ne VM:tkin tehdy C:llä monesti, joten jos VM:n päälle saa turvallisen softan, on se VM:kin turvallinen, joten ihan saman voisi tehdä suoraankin C:llä. Ei kieli sinänsä paljoa vaikuta, tekijä on tärkein.
Saltsa Re:
Saltsa, 6.4.2005 13:28:37		 Pisteet: 0
Ai, hassusti suurin osa PHP-mokista on register_globals-kamaa, ei tarkisteta syötettä jne. On itse tulkissakin vikoja, mutta yleensä häkkäykset ja murrot menevät kyllä sen surkeasti tehdyn koodin läpi tuollakin. Itsekin olen törmännyt pariin tapaukseen, jossa PHP-koodi (ei tietenkään minun tekemäni, minä en sentään noin pahoja mokia tee ;) antoi lähettää tiedoston ja sen jälkeen käytti includea sen sisällyttämiseksi toiseen sivuun.
Niin, kyllähän tuollaisia tapauksia sattuu paljon. Mutta itse PHP:tä koodanneena, voisin sanoa että noista ongelmista pääsee varsin helposti eroon, kun vain on huolellinen sen kirjoittamisen kanssa. Eikä siihen kuitenkaan mene erityisesti enempää aikaa. Itse ainakin aina validoin kaiken datan php:ssä, joka tulee käyttäjältä ja voisin sanoa että sillä saa aikaan "täydellistä softaa", tai sitten ei, mutta kuitenkin kohtuu turvallista.

Ja onhan ne VM:tkin tehdy C:llä monesti, joten jos VM:n päälle saa turvallisen softan, on se VM:kin turvallinen, joten ihan saman voisi tehdä suoraankin C:llä. Ei kieli sinänsä paljoa vaikuta, tekijä on tärkein.
Niin, mutta taas hyvin vähäisen C-koodauksen perusteella voisin sanoa, että siinä kielessä on huomattavasti hankalampaa ja/tai kirjoittaa turvallista koodia. Ja totta kai, tekijä on tärkein, mutta omien kokemusteni perusteella esimerkiksi PHP:llä pystyy "koodaamaan" helpommin turvallista "softaa".
spaceGoose Re:
spaceGoose, 5.4.2005 20:35:57		 Pisteet: 0
Tekee. Hieman koodanneena voisin sanoa, että PHP:llä tai Javalla on varsin helppoa tehdä turvallista softaa. Em. kielissä tietoturvaongelmat aiheutuvat tulkista, ei itse koodista. Ja kyllä se "täydellisen" koodin tekeminen C:lläkin onnistuu, tosin hankalampaa on. Esimerkkinä voinee mainita kohtuu suositun qmail-ohjelmiston, johon ei ole tullut päivityksiä varmaan 7 vuoteen, on koodattu C:llä ja on käytössä tuhansissa mailipalvelimissa. Eikä tietääkseni siinä _kriittisiä_ reikiä ole.
Niin, mutta kun puhutaan teknologioista jotka hyödyntävät ja integroivat paljon muiden tekemiä teknologioita, asia ei ole niin helppoa. Ja en kyllä vieläkään usko että mikään PHP tai Java tai C tai C++ sovellus on täydellinen jos tarpeeksi testaajia ja käyttäjiä saadaan sovellusta hakkaamaan. On melko naiivia ja egoistista ajatella että osataan tehdä täydellistä koodia. Ja kuinkahan paljon sillä qmail-ohjelmistolla on käyttäjiä ja testaajia etsimässä tietoturva aukkoja ja haavoittuvuuksia?!

Firefoxiinkin alkoi tippua noita tietoturva aukkoja sun muita korjattavia kun käyttäjäkunta alkoi kasvamaan huomattavasti.
robsku Re:
robsku, 10.4.2005 13:31:34		 Pisteet: 0
On sillä merkitystä. Ainakin itselle on hyvin rasittavaa päivitellä softia vähän väliä tietoturva-aukkojen takia. Onneksia asia ainakin Fedorassa onnistuu hyvin helposti, sama myös Windowssissa ja IE:ssä. Sitten meneekin asiat hankalammiksi, kun kyseessä on softaa, joka ei ole itse käyttöjärjestelmään kuuluvaa. Silloin joutuu joka ainoan softan erikseen tarkistamaan, onko siihen tullut päivityksiä.
Tässä olen muuten jälleen tyytyväisempi linux kuin windows järjestelmiin. Mikä katsotaan linuxissa kuuluvan käyttöjärjestelmään on aika mutkikasta linuxissa, mutta yksiselitteistä windowsissa. Windowsissa sitä on myös aika vähän - linux distribuutioiden päivitysarkistot sisältävät satoja erilaisia ohjelmistoja eri tarkoituksiin, vaikka ne eivät varsinaisesti linux käyttöjärjestelmän osia olekaan. Windows päivittää itsensä ja vain itsensä.
-Sir Robin * http://soul.fiveam.org/robsku/
serpentine
serpentine, 5.4.2005 06:23:20		 Pisteet: 0
Jo useampi vuosi sitten väitettiin että kyllä siitä open sourcesta löytyy ihan yhtä paljon aukkoja. Niin vaan propellihatut sun muut sedät naureskelivat. Jo tässä vaiheessa on nähty kuinka paljon aukkoja löytyy mozillasta/firefoxista ja se on sentään vielä kaukana IE:n käyttäjämääristä. IMO bugien määrä on vakio melkein missä tahansa softassa (bugeja per koodirivi). Niiden löytymiseen vaikuttaa se kuinka paljon softaa käytetään.

Koskakohan firefoxin tekijät saavat toteutettua jonkinlaisen patch-systeemin. Pari kertaa olen päivittänyt ja aina pitää imuroida koko installointipaketti.
Patoutunutta skitsofreniaa.
Metsään meni
asb, 5.4.2005 09:06:26		 Pisteet: 0
Jo useampi vuosi sitten väitettiin että kyllä siitä open sourcesta löytyy ihan yhtä paljon aukkoja. Niin vaan propellihatut sun muut sedät naureskelivat. Jo tässä vaiheessa on nähty kuinka paljon aukkoja löytyy mozillasta/firefoxista ja se on sentään vielä kaukana IE:n käyttäjämääristä. IMO bugien määrä on vakio melkein missä tahansa softassa (bugeja per koodirivi). Niiden löytymiseen vaikuttaa se kuinka paljon softaa käytetään.
Väärin. Tämän kaltaisten bugien löytymiseen vaikuttaa se, kuinka paljon WWW-sivuja selaimelle tehdään ja kuinka paljon niitä bugeja todella etsitään. Pelkällä hiiren kliksuttelulla osoitteessa www.dilbert.com ei löydetä tällaisia turvallisuusaukkoja. Pelkkä absoluuttinen käyttäjämäärä on siis tässä asiassa täysin hyödytön mittari.

Mozilla on vasta nyt saavuttanut sellaisen suosion, että turvallisuusaukkoja etsivät ihmiset (sekä musta- että valkohattuiset) katsovat sen tarpeelliseksi. Se on myös tietoturvafirmoille kustannustehokasta, sillä julkaisemalla Mozillan turvallisuusaukon saa tällä hetkellä paljon enemmän julkisuutta, kuin julkaisemalla IE:n turvallisuusaukon.
havunet
havunet, 5.4.2005 08:19:30		 Pisteet: 0
Hima koneella tuo testi tuo näyttöön vain x kirjaimia mutta tällä duuni koneella näyttää kaiken. Molemmissa on Firefox 1.0.2 himassa se pyörii Linuxissa ja tämä duuni kone W2K. Mielenkiintoista.
Lada Re:
Lada, 5.4.2005 10:06:25		 Pisteet: 0
Hima koneella tuo testi tuo näyttöön vain x kirjaimia mutta tällä duuni koneella näyttää kaiken. Molemmissa on Firefox 1.0.2 himassa se pyörii Linuxissa ja tämä duuni kone W2K. Mielenkiintoista.
http://ftp.mozilla.org/pub/mozilla.org/firefox/nig... tuolta ainkin löytyy 1.0+ jolla tulee pelkkää x:ää, oudolta kuullostaa jos olisi käyttiksestä kiinni. Ei pitäisi vaikkuttaa tuohon "ominaisuuteen" mitenkään. Epäilisin että käytät linuxissa tuota nightlybuildia, tai jotain muuta versiota.
robsku Re:
robsku, 5.4.2005 09:48:40		 Pisteet: 0
Hima koneella tuo testi tuo näyttöön vain x kirjaimia mutta tällä duuni koneella näyttää kaiken. Molemmissa on Firefox 1.0.2 himassa se pyörii Linuxissa ja tämä duuni kone W2K. Mielenkiintoista.
Joo, buildista varmaan riippuu, ei käyttiksestä - minulla linuxissa näytti kaikenlaista, pitänee hakea uusin build, siihen asti scriptat pois päältä.
-Sir Robin * http://soul.fiveam.org/robsku/
AnonCoward Testi
AnonCoward, 5.4.2005 11:04:17		 Pisteet: 0
Klikkailin koneellani (Windows XPSP2 + Firefox 1.0.2) tuota Secunian testiskriptiä ja kyllä se pulautti ikkunaan arkaluonteista dataa toisinaan. Arkaluonteiseksi dataksi luokittelen mm. firman intrasta löytyviä yhteystietoja ja uutisia.

Firefox kylläkin kaatui aina joidenkin klikkauksien jälkeen.
matpak Paha paha
matpak, 5.4.2005 03:10:32		 Pisteet: 0
Näyttää toimivan turhankin hyvin käyttöjärjestelmästä riippumatta Firefoxissa. Pahintahan tässä on se, ettei tosiaan ole vielä "kunnon" paikkaa ja tuon hyväksikäyttäminen on todella yksinkertaista: katsoo sivun lähdekoodin ja kopioi & liitä nuo pari javascript-funktiota. Tuon tosiaan luottokorttinumeroiden, salasanojen, istuntojen jne varastamiseen näyttäisi olevan mahdollista, ainakin URLeja ja istuntojen tunnuksia tuolla testillä näkyy aika usein tulevan.

Eikös Secunia ennen ole antanut aikaa paikata aukot ennen kuin julkistaa hyväksikäytön esimerkkejä?
mizaru, kikazaru, iwazaru.
kenu Myös Netscape 7 ja K-Meleon
kenu, 5.4.2005 19:51:14		 Pisteet: 0
Secunian mukaan myös Netscape on Gecko-koodipohjan takia altis:
http://secunia.com/advisories/14804/

K-Meleonin uusin versio 0.9 löytyy SecurityFocuksen varoituksesta:
http://www.securityfocus.com/bid/12988/info/

Näyttää siltä että nämä olisi korjattu piakkoin julkaistavassa Firefox 1.0.3:ssa, jonka jälkeen K-Meleon-tiimi voi kääntää oman korjatun versionsa.
Wizor NT4
Wizor, 5.4.2005 06:19:54		 Pisteet: 0
Täs wanhassa duunin NT4.0 koneessa tuo Firefox ainakin vain kaatui ja Dr.Watson ilmoitteli Application Errorista.

Niin wanhaa koodia että exploititkaan ei toimi enää :)

Sonobana, 5.4.2005 08:24:39		 Pisteet: 0
Tietenki Open Sourcen projektien alta tulee löytymään aukkoja, mutta minusta on tärkeää että ne paikkaillaan nopeaa ei vaikkapa puolen vuoden päästä.
Karitku Re:
Karitku, 5.4.2005 10:41:55		 Pisteet: 0
Tietenki Open Sourcen projektien alta tulee löytymään aukkoja, mutta minusta on tärkeää että ne paikkaillaan nopeaa ei vaikkapa puolen vuoden päästä.
Ei se auta jos ei käyttäjät päivitä. Tämähän on suurin ongelma nykyisin kaikissa ohjelmissa.
Voitku
Muuten hyvä mutta uutista vois korjata...
Xemanth, 5.4.2005 09:07:12		 Pisteet: 0
Kyseinen aukko on fixattu kun katsoo bugin statusta :P
Eli Firefoxin buildi 20050124 sisältää jo korjauksen :)
havunet Re: Muuten hyvä mutta uutista vois korjata...
havunet, 6.4.2005 00:14:41		 Pisteet: 0
Kyseinen aukko on fixattu kun katsoo bugin statusta :P Eli Firefoxin buildi 20050124 sisältää jo korjauksen :)
Mun FF on Gecko/20050404 Firefox/1.0 (Ubuntu package 1.0.2) ja sillä testi näyttää pelkkää xxxxx:ää.
robsku Re: Muuten hyvä mutta uutista vois korjata...
robsku, 5.4.2005 11:00:21		 Pisteet: 0
Kyseinen aukko on fixattu kun katsoo bugin statusta :P Eli Firefoxin buildi 20050124 sisältää jo korjauksen :)
Tämä on 20050317 ja näytti olevan tuo aukko yhä... Javascript toistaiseksi poissa käytöstä...
-Sir Robin * http://soul.fiveam.org/robsku/
Re: Muuten hyvä mutta uutista vois korjata...
Xemanth, 5.4.2005 09:10:24		 Pisteet: 0
Kyseinen aukko on fixattu kun katsoo bugin statusta :P Eli Firefoxin buildi 20050124 sisältää jo korjauksen :)
Hmm-m emt. Kyl se kuitenkin on korjattu mutta buildista en tiedä.