Forum Komputery Komputer
ZMIEŃ
    Dodaj do ulubionych

    UWAGA! Niebezpieczna DZIURA Mozilla, Firefox !!!!!

    IP: *.crowley.pl 05.08.04, 17:03
    Secunia informuje o luce w najnowszej wersji Mozilli. Problem związany jest z mechanizmem zmiany "skórek". Użytkownik może
    dostosowywać wygląd przeglądarki dzięki mechanizmowi XUL (XML User interface Language). Nie został on jednak zabezpieczony przed
    możliwością ładowania plików XUL przez odpowiednio spreparowaną stronę internetową. Ewentualny włamywacz może nie tylko zmienić
    wygląd przeglądarki, ale również przekierować ją pod dowolny URL.

    Dziura umożliwia zdobycie HASEŁ, NUMERÓW KONT, ZAPYTAŃ, które były wysyłane do wyszukiwarek, i innych ważnych dla użytkownika
    informacji! W ich ukryciu nie pomaga zastosowanie SSL.

    Opisany problem dotyczy linuksowych i windowsowych wersji Mozilli 1.7.x oraz Firefoksa. Mozilla.org nie opublikowała jeszcze łaty.
    Obserwuj wątek
      • Gość: bzykbzyk. Re: UWAGA! Niebezpieczna DZIURA Mozilla, Firefox IP: *.nas1.honolulu1.hi.us.da.qwest.net 05.08.04, 19:28
        Drin napisał(a):

        > Secunia informuje o luce w najnowszej wersji Mozilli. Problem związany jest z
        > mechanizmem zmiany "skórek". Użytkownik może dostosowywać wygląd
        > przeglądarki dzięki mechanizmowi XUL (XML User interface Language).
        > Nie został on jednak zabezpieczony przed możliwością ładowania
        > plików XUL przez odpowiednio spreparowaną stronę internetową.
        > Ewentualny włamywacz może nie tylko zmienić wygląd przeglądarki,
        > ale również przekierować ją pod dowolny URL.

        > Dziura umożliwia zdobycie HASEŁ, NUMERÓW KONT, ZAPYTAŃ, które były wysyłane
        > do wyszukiwarek, i innych ważnych dla użytkownika informacji!
        > W ich ukryciu nie pomaga zastosowanie SSL.

        > Opisany problem dotyczy linuksowych i windowsowych wersji Mozilli 1.7.x oraz
        > Firefoksa. Mozilla.org nie opublikowała jeszcze łaty.

        To sie odnosi do STARSZYCH WERSJI byc moze juz jest to usuniete w nowszej:

        "This has been confirmed using Mozilla 1.7 for Linux, Mozilla Firefox 0.9.1 for
        Linux, Mozilla 1.7.1 for Windows and Mozilla Firefox 0.9.2 for Windows. Prior
        versions may also be affected."

        Wyszly juz zamiast laty nowsze wersje:

        ftp.mozilla.org/pub/mozilla.org/firefox/releases/0.9.3/FirefoxSetup-0.9.3.exe

        ftp.mozilla.org/pub/mozilla.org/thunderbird/releases/0.7.3/ThunderbirdSetup-0.7.3.exe

        ftp.mozilla.org/pub/mozilla.org/mozilla/releases/mozilla1.7.1/mozilla-win32-1.7.1-installer.exe

        HEY, TO PRZECIEZ NIE JEST MICROSOFT oni dzialaja odpowiedzialnie!

        "The Mozilla Foundation today released new versions of the Mozilla 1.7
        suite, Firefox 0.9 and Thunderbird 0.7, addressing three security
        vulnerabilities. Details about the vulnerabilities can be found at

        www.mozilla.org/projects/security/known-
        vulnerabilities.html#mozilla1.7.2.

        Please note that, as usual, we have been able to fix these security
        vulnerabilities before malicious hackers took advantage of them, meaning
        that our users have NOT been exposed to malicious code.

        Security is our highest priority, and we will continue to be open and proactive
        in seeking to identify and fix security vulnerabilities before they are
        exploited, as evidenced earlier this week by the announcement of our new
        Security Bug Bounty Program.

        For interview requests or any other media inquiries, please contact
        Spark PR: Steve Kerns, 415-244-0380, or Colin Crook, 650-269-5235, or
        send mail to press@mozilla.org <mailto:press@mozilla.org>."

        Common Vulnerabilities and Exposures (CVE®)

        www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0764
        bugzilla.mozilla.org/show_bug.cgi?id=244965

        Fixed: Untrusted content displayed with "chrome" flag (244965)
        • Gość: Drin Niestety nie IP: *.crowley.pl 05.08.04, 19:55
          > bzykbzyk. napisał(a):
          >
          > To sie odnosi do STARSZYCH WERSJI byc moze juz jest to usuniete w nowszej:


          Niestety nie :(
          W nowszych wersjach dziura jest nadal...
          Oby się wreszcie tym ktoś zajął bo czas leci a łaty brak.
          • Gość: przybychu Re: Niestety nie IP: *.neoplus.adsl.tpnet.pl 05.08.04, 20:37
            Kilka zostało naprawionych w najnowszej - wczorajszej- wersji Mozilli 1.7.2. Napewno na ten bug nie ma patcha ?

            www.mozilla.org/projects/security/known-vulnerabilities.html#mozilla1.7.2
      • gordon11 Re: UWAGA! Niebezpieczna DZIURA Mozilla, Firefox 05.08.04, 20:34
        juz o tym bylo 3 dni temu. nic nowego nie wnosisz.
        forum.gazeta.pl/forum/72,2.html?f=34&w=14599520
        2 dni temu bylo takze o najnowszej dziurze w mozille.
        forum.gazeta.pl/forum/72,2.html?f=34&w=14645382
        wiem ze temat jest wazny i warty podnoszenia.
        w samym lipcu bylo wykrytych 6 krytycznych dziur w mozilla a juz w tym miesiacu
        nastepna i to wysoce krytyczna. pod tym wzgledem mozilla bije internet
        explorer. jest ona obecnie najbardziej dzurawa i niebezpieczna przegladarka.
        • gordon11 Re: UWAGA! Niebezpieczna DZIURA Mozilla, Firefox 05.08.04, 20:41
          i dzisiaj nastepna. to juz 3 w tym miesiacu.
          secunia.com/advisories/12232/
          ta jest okreslona jako wysoce krytyczna.
          • Gość: ja Re: UWAGA! Niebezpieczna DZIURA Mozilla, Firefox IP: *.daminet.pl 05.08.04, 20:56
            Nie troluj. Wraznie napisane jest, ze najnowszy Firefox, Mozilla i Thunderbird
            nie maja tego bledu. W przeciwienstwie do MS, Mozilla Foundation szybko reaguje
            na zgloszenia bledu, wiec nie ma czasu na jego wykorzystanie.

            IE nadal jest najmniej bezpieczna przegladarka. Nadal posiada kilkanascie
            niezalatanych dziur i czesc z nich jest wykorzystywana.
            • gordon11 Re: UWAGA! Niebezpieczna DZIURA Mozilla, Firefox 05.08.04, 21:40
              a gdzie ja napisalem ze ta jedna z tych 9-ciu ostatnich dziur nie jest zalatana?
              to ty trolujesz.
              ja podalem linki i kazdy mozne sobie sprawdzic. wystarczy wejsc na strone
              secunia i poczytac. ile z tych ostatnio ujawnionych dziur jest zalatanych?

              > W przeciwienstwie do MS, Mozilla Foundation szybko reaguje
              > na zgloszenia bledu, wiec nie ma czasu na jego wykorzystanie.

              tak? to dlaczego dotychczas nie sa zalatane?

              > IE nadal jest najmniej bezpieczna przegladarka. Nadal posiada kilkanascie
              > niezalatanych dziur i czesc z nich jest wykorzystywana.

              mozesz podac linki?
              • Gość: ja Re: UWAGA! Niebezpieczna DZIURA Mozilla, Firefox IP: *.daminet.pl 05.08.04, 21:58
                > a gdzie ja napisalem ze ta jedna z tych 9-ciu ostatnich dziur nie jest zalatana
                > ?
                To po co podajesz linki do dziury ktorej w najnowszych wersjach nie ma? Jak dla
                mnie to trolling.

                > ile z tych ostatnio ujawnionych dziur jest zalatanych?
                Wystarczy wejsc na strone mozilla.org i poczytac.

                > tak? to dlaczego dotychczas nie sa zalatane?
                a wedlug ciebie jaki powinien byc czas reakcji? Zwykle nie przekracza kilku dni.

                > mozesz podac linki?
                Bylo na tym forum jakis czas temu razem z linkami. Poszukaj.
                • Gość: limo Re: UWAGA! Niebezpieczna DZIURA Mozilla, Firefox IP: *.augsburgair.de 06.08.04, 03:47
                  ja=gray=troll
                  • Gość: lupik Re: UWAGA! Niebezpieczna DZIURA Mozilla, Firefox IP: *.crowley.pl 07.08.04, 04:43
                    a może jagraytroll :D
                    • Gość: kipul Re: UWAGA! Niebezpieczna DZIURA Mozilla, Firefox IP: *.augsburgair.de 07.08.04, 05:46
                      lub grayjatroll ;D
              • Gość: f16 Re: UWAGA! Niebezpieczna DZIURA Mozilla, Firefox IP: *.dip.t-dialin.net 07.08.04, 14:28
                www.operapl.net/czemu-nie/
                dobreprogramy.com/index.php?dz=15&n=1336
                internet.interia.pl/cyb/news?inf=516165
                www2.pwsz.krosno.pl/~henroz/zaklad_download.htm
                www.mojaopera.idu.pl/co_to_opera.html
                www.setia.pl/cms.php?x=229,1
                zotteljedi.de/misc/ielinks.html
              • Gość: anasz Re: UWAGA! Niebezpieczna DZIURA Mozilla, Firefox IP: 212.76.39.* 09.08.04, 17:15
                a tak w ogóle to po ile macie wyszukiwarek 2,3? Ściagnęłam nowa operę za radą
                sasiada, miała być po polsku bo z "dobreprogramy" ale jak zmienić język? nigdzie
                nie ma lang. a ja po ang. to tylko "one"!?
                2. jak pozbyć się wadliwie wpisanych w wyszukiwarkę adresów? delete nie pomaga.
                • gray Re: UWAGA! Niebezpieczna DZIURA Mozilla, Firefox 09.08.04, 17:25

                  ściągnij stąd - www.opera.com/download/languagefiles/ - plik językowy dla
                  twojej wersji opery, następnie tools->preferences->languages i podajesz
                  lokalizację pliku, który ściągnąłeś.
                  • oo Re: UWAGA! Niebezpieczna DZIURA Mozilla, Firefox 09.08.04, 18:12
                    Polski plik językowy dla najnowszej wersji Opery 7.54 (trzeba rozpakować):

                    starzaki.eu.org/~hclan/operapl//download/ow754_3865pl.zip
                    • Gość: do oo Re: UWAGA! Niebezpieczna DZIURA Mozilla, Firefox IP: 212.76.39.* 09.08.04, 21:35
                      dzięki, ściągnęłam, ale mam to rozpakować za pomocą "CompressedFolder (..." co
                      to? nic takiego nie mam(może w ogóle nie mam żadnego programu rozpak.?!) co robić?
                      • oo Re: UWAGA! Niebezpieczna DZIURA Mozilla, Firefox 09.08.04, 23:51
                        "ow754_3865pl.zip" to jest plik spakowany w formacie zip :-) Dzięki temu zajmuje mniej miejsca. Wewnątrz pliku "ow754_3865pl.zip" jest właściwy plik: "pl.lng". Żeby się do niego "dobrać" musisz rozpakować plik. Ja nie wiem czy masz jakiś program do rozpakowywania plików :-) Jak nie masz, to ściągnij sobie na przykład program 7-zip:

                        www.7-zip.org/
                        Po zainstalowaniu programu otwórz przy jego pomocy spakowany plik i nacisnij "Extract" (rozpakuj). Program zapyta gdzie rozpakować - najlepiej podaj folder Opery. A potem to już tak jak Gray wcześniej napisał.
      • da.killa Re: UWAGA! Niebezpieczna DZIURA Mozilla, Firefox 07.08.04, 13:20
        To lipa nie zagrożenie. Żeby to zadziałało musisz mieć ustawioną domyślną
        skórkę, domyślny układ i rozmiar ikon i nie możesz mieć zainstalowanej sporej
        części dodatków. I musisz pozwalać JS na ukrywanie paska statusu. Inaczej całay
        trick wygląda po prostu śmiesznie:

        www.w-d.webpark.pl/spoof.png

        IMHO znacznie większym zagrożeniem jest możliwość odtworzenia defaultowego
        interfejsu Internet Explorera w zwykłym HTML. W końcu większe jest
        prawdopodobieństwo trafienia na IE z niezmienionymi żadnymi ustawieniami, niż
        jakiegokolwiek Firefoksa, nawet niecustomizowanego.

        Lipa nie zagrożenie :p


        da.killa
        • Gość: limo Re: UWAGA! Niebezpieczna DZIURA Mozilla, Firefox IP: *.augsburgair.de 07.08.04, 13:33
          te wszystkie dziury w mozilla to nie jest zagrozenie bo ie jest bardziej
          podatny.
          teraz rozumiem :)
        • prawdziwy.tebe dakila == zaslepiony fanatyk 07.08.04, 14:42

          > W końcu większe jest prawdopodobieństwo trafienia na IE z niezmienionymi
          > żadnymi ustawieniami, niż jakiegokolwiek Firefoksa, nawet niecustomizowanego.

          czyli, innymi slowy, dakilla mowi, ze dziur w firefoksie nie trzeba sie
          obawiac, bo nikt go nie uzywa, i dlatego firefoks jest lepszy. cudowna
          argumentacja. godna kretyna. czyli linuksiarza wlasnie.

          wy, linuksiarze, w swoim fanatyzmie, zatraciliscie kontakt rzeczywistoscia.
          • Gość: Zygmunt Re: dakila == zaslepiony fanatyk IP: *.ip.pop.e-wro.net.pl 07.08.04, 19:03
            > czyli, innymi slowy, dakilla mowi, ze dziur w firefoksie nie trzeba sie
            > obawiac, bo nikt go nie uzywa, i dlatego firefoks jest lepszy.

            Przeczytaj jeszcze raz bo masz kłopoty ze zrozumieniem. Jak nie pomoże przeczytaj jeszcze raz! Chyba, że jesteś kretynem w tym wypadku nie zrozumiesz tego co ja napisałem więc liczę na Twój kolejny błyskotliwy komentarz.
        • da.killa Re: UWAGA! Niebezpieczna DZIURA Mozilla, Firefox 08.08.04, 03:17
          Przepraszam bardzo, za brak ścisłości w poprzedniej wypowiedzi, przez co
          zostałem źle zrozumiany. Nie neguję istotności dziury w Firefoksie, podkreślam
          jedynie, że do jej zadziałania wymagane jest spełnienie sporej ilości warunków -
          co ogranicza jej zasięg rażenia. Juz zainstalowanie jakiejkowiek skórki wyklucza
          problem, a co dopiero użycie najpopularniejszego chyba z dodatków - TabBrowsing
          Extensions.

          Przepraszam też, za stworzenie wrażenia, że bagatelizuję dziurę spychając
          problem na Internet Explorera. Chodziło mi o to, że na dobrą sprawę wystarszyło
          by pieczołowite odtworzenie w HTML domyślnego GUI _jakiejkolwiek_ przeglądarki,
          by uzyskać podobny efekt. A IE pojawił się w wypowiedzi jedynie jako
          najpopularniejsza "przeglądarka", co oznacza dla crackera czy innego script
          kiddie większe prawdopodobieństwo trafienia.



          da.killa


          Przy okazji: *PLONK* dla pRAWDZIWEGO.tEBE. Trzeba być naprawdę fanatyczną
          wywłoką by wypisywać takie komentarze ad personam z tak błahego powodu.
          • Gość: Lati To nie tak! IP: *.crowley.pl 08.08.04, 16:25
            Rozumiem Cię ale myslisz tylko o sobie. Zwróć uwagę, że ogromna większość zielonych userów zostanie przy domyślnej skórze i nic nie będzie zmieniać. To właśnie dla nich ta dziura jest najgroźniejsza!
            Zapewne przeszli z IE na Firefoxa właśnie w poszukiwaniu bezpieczeństwa a tu taki pasztet....
            • da.killa Re: To nie tak! 10.08.04, 02:11
              Gość portalu: Lati napisał(a):

              > Rozumiem Cię ale myslisz tylko o sobie. Zwróć uwagę, że ogromna większość
              > zielonych userów zostanie przy domyślnej skórze i nic nie będzie zmieniać. To
              > właśnie dla nich ta dziura jest najgroźniejsza!
              > Zapewne przeszli z IE na Firefoxa właśnie w poszukiwaniu bezpieczeństwa a tu
              > taki pasztet....

              OK. Rozumiem Twoje zdanie, ale i tak sądzę, że zagrożenie jest wyolbrzymiane.
              Prawdę powiedziawszy nie znam ani jednego usera Firefoksa, który by nie
              skorzystał z możliwości dopasowania tego programu do własnych potrzeb.

              Jednak zagrożenie rzeczywiście istnieje, i dlatego developerzy Firefoksa się za
              nie wzięli. Na początek domyślnie wyłączone będzie zezwolenie na ukrywanie paska
              stanu (od dzisiejszego nightly builda). W przyszłości pojawi się pewnie coś na
              kształt cyfrowego podpisu dla elementów XUL.



              da.killa
    Inne wątki na temat:

    Najnowsze z forum Komputer

    Nie masz jeszcze konta? Zarejestruj się

    Nakarm Pajacyka
    Osoby zamieszczające wypowiedzi naruszające prawo lub prawem chronione dobra osób trzecich mogą ponieść z tego tytułu odpowiedzialność karną lub cywilną. Regulamin
    Treści z serwisów internetowych Grupy Wyborcza.pl oraz serwisu tokfm.pl prezentujemy w ramach komercyjnej współpracy z ich wydawcami: Wyborcza sp. z o.o. oraz Grupą Radiową Agory sp. z o.o.
    Wybrane treści z serwisu Sport.pl są dostępne po wykupieniu płatnej subskrypcji