znowu krytyczne dziury w firefox...

[Gość: dominik666]

[Gość: dominik666]

klikneło mi sie :D
www.k-otik.com/english/advisories/2005/0296
Rated as : Critical
Remotely Exploitable : Yes
Locally Exploitable : Yes
Release Date : 2005-03-23

Mozilla Firefox version 1.0.1 and prior
Mozilla Suite version 1.7.5 and prior
Mozilla Thunderbird version 1.0.1 and prior

miłego surfowania :D

[m.gregor]

> Mozilla Firefox version 1.0.1 and prior
Zwazajac na to ze jest juz wersja 1.0.2...

> Mozilla Suite version 1.7.5 and prior
...i zwazajac na to ze jest juz wersja 1.7.6...

> Mozilla Thunderbird version 1.0.1 and prior
...a tego jest juz wersja 1.0.2...

> miłego surfowania :D
...to surfowac bedzie sie nadal bardzo milo :-)

Linki tutaj:
www.mozilla.org/

[Gość: dominik666]

niepisałbym o załatanych :)
bugzilla.mozilla.org/show_bug.cgi?id=285438
do bug`a #285595 (Access Denied) boją sie prawdy :D
bugzilla.mozilla.org/show_bug.cgi?id=285595
tylko ta jest załatana
bugzilla.mozilla.org/show_bug.cgi?id=284627
IMHO jest to efekt wzrastającej popularności tej przeglądarki...

[gray]

Gość portalu: dominik666 napisał(a):

> niepisałbym o załatanych :)

a jednak ci się udało. spójrz na stronę, której adres podałeś, a konkretnie na
akapit 'solutions'.

dla pewności secunia:
secunia.com/advisories/14685/
secunia.com/advisories/14684/
secunia.com/advisories/14654/
o pojawieniu się firefoksa 1.0.2 mgregor poinformował na tym forum 23 marca o
godzinie 23:12 - forum.gazeta.pl/forum/72,2.html?f=34&w=22020498 - zatem
wcześniej niż secunia poinformowała o lukach w nim.


bugzilla to bardziej forum developerskie niż informacji o bezpieczeństwie -
większość z omawianych tam spraw to zwykłe bugi a nieoficjalne patche do nich
pojawiają się w zasadzie natychmiastowo - to jest właśnie potęga otwartego źródła.

> IMHO jest to efekt wzrastającej popularności tej przeglądarki...

IMHO tempo ukazywania się poprawek jest efektem dokładnie tego samego.

[Gość: dominik666]

gdybyś zechciał zeskrolowac na dół secunia.com/product/4227/#advisories

Currently, 4 out of 13 Secunia advisories, is marked as "Unpatched" in the
Secunia database.

nie mówiąc że wszyscy nie używający najnowszej wersji są narażeni na
pozostałe...

[gray]

Gość portalu: dominik666 napisał(a):

> gdybyś zechciał zeskrolowac na dół <a
href="secunia.com/product/4227/#advisories"
target="_blank">secunia.com/product/4227/#advisories</a>

a jaki to ma związek ze stroną, którą podałeś? stwierdziłeś, że pisałeś o
niezałatanych dziurach a nie było to zgodne z prawdą.

> nie mówiąc że wszyscy nie używający najnowszej wersji są narażeni na
> pozostałe...

zaskakująca przenikliwość, doprawdy...

generalnie narobiłeś szumu wokół dziur, które były spaczowane już momencie ich
odkrycia ale z niewiadomych powodów nie napisałeś o tym fakcie.

[Gość: dominik666]

co nie zmienia faktu że wersje 1.0.1 są na nie dalej podatne...

[broch]

aleś chłopie uparty, a w tym wypadku świadczy to wyłącznie o głupocie: Nie
przyszło ci do głowy iż nowa wersja to jest właśnie patch?, Jeśli masz
zainstalowaną wersje 1.0.1 i zrobisz update, to uzyskasz wersję 1.0.2. rownie
dobrze mogłaby nazywać się 1.0.1a. Nie bardzo rozumiem czego chcesz dowieść.
Mozilla stosuje inną polityke niż MS. W wypadku produktów Microsoftu, najpierw
instalujesz dziurawą wersję windows, a potem jeśli zdążysz przed załapaniem
robaków instalujesz łaty. w wypadku FF sprawa jest prostsza, obecnie można
ściągnąć wyłącznie wersję 1.0.2 lub załatać/zrobić update co i tak kończy się
nową wersją FF 1.0.2

Wygląda na to iż nie rozumiesz że jakiekolwiek łatanie FF zakończy się upgradem
do wersji 1.0.2. Ja nie sciągałem nowej wersji FF, po prostu wcisnąłem przycis
update. I tyle. Myślę że odrobina wysiłku intelektualnego z Twojej strony i może
zrozumiesz rożnice miedzy MS a resztą świata.

[Gość: dominik666]

nowa wersja a patch to różnica - wystarczy odrobina logiki żeby ją dostrzec :)

broch napisał:
>W wypadku produktów Microsoftu, najpierw
> instalujesz dziurawą wersję windows, a potem jeśli zdążysz przed załapaniem
> robaków instalujesz łaty. w wypadku FF sprawa jest prostsza, obecnie można
> ściągnąć wyłącznie wersję 1.0.2 lub załatać/zrobić update co i tak kończy się
> nową wersją FF 1.0.2

czyli mozilla 1.0.0 była pozbawiona dziur ? kernel 2.6 też był ich pozbawiony ?

pozatym gdzie jest ten magiczny przycisk update ??? u mnie w 1.0.1 jakoś go nie
moge zlokalizować :D
wydaje mi się że update polega na deinstalacji starej wersji i ściągnięcie
nowej (ponad 4.7MB) www.mozilla.org/press/mozilla-2005-03-23.html linki
prowadzą do nowej wersji a nie do (patch) łatki usuwającej błędy z aktualnej
wersji

[gray]

Gość portalu: dominik666 napisał(a):

> czyli mozilla 1.0.0 była pozbawiona dziur ? kernel 2.6 też był ich pozbawiony > ?

skąd ten wniosek?

> pozatym gdzie jest ten magiczny przycisk update ??? u mnie w 1.0.1 jakoś go
> nie moge zlokalizować :D

widać dobrze szukałeś

narzędzia -> opcje -> zaawansowane -> aktualizacja oprogramowania

> wydaje mi się że update polega na deinstalacji starej wersji i ściągnięcie
> nowej (ponad 4.7MB) <a
href="www.mozilla.org/press/mozilla-2005-03-23.html"
target="_blank">www.mozilla.org/press/mozilla-2005-03-23.html</a> linki
> prowadzą do nowej wersji a nie do (patch) łatki usuwającej błędy z aktualnej
> wersji

możesz odinstalować starą i zainstalować nową, możesz nadinstalować nową na
starą albo możesz skorzystać z opcji update'u, który tak naprawdę jest
zautomatyzowaną instalacją standardowego pakietu.

nie obraź się ale sprawiasz dziś wrażenie odmóżdżonego.

update - poprawka

[Gość: dominik666]

tak przycisk schowany jest niewiadomo dlaczego głęboko w opcjach zaawansowanych

tak jak pisałem - ściąga nową wersje i wywala starą z patchowaniem niewiele to
ma wspólnego

ps.a może tak poczekac aż w końcu wyjdzie wersja 10.10.10 "ostateczna" ? ;)

[gray]

Gość portalu: dominik666 napisał(a):

> tak jak pisałem - ściąga nową wersje i wywala starą z patchowaniem niewiele to
> ma wspólnego

aha, to ty się przyszedłeś o nazwę kłócić - trzeba było od razu.

> ps.a może tak poczekac aż w końcu wyjdzie wersja 10.10.10 "ostateczna" ? ;)

tak, masz rację - nie ma co się co chwilę męczyć, lepiej poczekać.

[Gość: dominik666]

nie przyszedłem się kłócić ani obrzucać nikogo inwektywami po prostu
stwierdziłem fakt - wersja 1.0.1 jest dziurawa i to wszystko

1.0.2 została opublikowana cztery dni temu - niedługo pojawią sie informacje
dotyczące tej wersji...

[gray]

Gość portalu: dominik666 napisał(a):

> nie przyszedłem się kłócić ani obrzucać nikogo inwektywami po prostu
> stwierdziłem fakt - wersja 1.0.1 jest dziurawa i to wszystko

no i szkoda, że nie napisałeś, co należy zrobić, żeby pozbyć się tych dziur,
pomimo że mogłeś - zachowuj chociaż pozory obiektywizmu.

> 1.0.2 została opublikowana cztery dni temu - niedługo pojawią sie informacje
> dotyczące tej wersji...

pojawią się wtedy kiedy się pojawią, pewnym można być tego, że w tym samym
czasie pojawi się wersja poprawiona.

[m.gregor]

Nie wiem czy sie pojawia czy nie bo panowie z Mozilli w przeciwienstwie do MS
wypuszczajac poprawki latajace dziury w oprogramowaniu nie tworza nimi nowych
krytycznych.

[m.gregor]

> tak przycisk schowany jest niewiadomo dlaczego głęboko w opcjach zaawansowanych
FF na starcie sprawdza czy sa nowsze wersje i informuje o nich ikona obok paska
adresu (czerwona ikona). Czy moze byc prostsze?

[Gość: dominik666]

tak - trudno nie zauważyć - jak mogłem to przeoczyć :)

www.lakini.org/dominik/firefox.jpg

[Gość: ja]

Dodatkowo pojawia sie takie okienko, jak po zakonczenius sciagania, ze sa
dostepne updatey.

[m.gregor]

Dominik: wiesz co? Albo mi sie wydaje albo szukasz dziury w calym. Jesli Ci sie
FF nie podoba nikt nie kaze Ci z niego korzystac. Wroc do IE i nie bedziesz mial
aktualizacji przez kolejne pol roku. Do tego jesli jakies sie nawet pojawia to
nie zostaniesz o nich w zaden sposob poinformowany. Ciagle Ci cos nie pasuje: to
ikonka powiadamiania nie taka, to dziury juz zalatane w nowej wersji programow
(ale co jest karygodne (;-)) pozostaly w starych wersjach).
Kolejny nic nie wnoszacy watek wywloujacy tylko jałową dyskusje o, za
przeproszeniem, 'dupie Maryni'.

[Gość: ass]

W lato wyjdzie nowy IE (odpowiedz MS na FF)wtedy bedzie ciekawa dyskusja.

[m.gregor]

Ta...Bedzie...Nad tym jak sprawic zeby dzialala ta 'przegladarka'...

[Gość: ass]

Co ciekawe ,w niemieckiej prasie duzo rozpisuja sie o tym.
Ma ponoc przewyzszac bezpieczenstwem wszystkie istniejace
przegladarki.

[kell99]

i tylko o to chodzi. nie dostaniesz ani lepszego, ani stabilniejszego, ani tym
bardziej bezpiecznego oprogramowania. mozesz sobie zainstalowac milion
zabezpieczen w przegladarce, ale tak dlugo jak user bedzie adminem na
komputerze, a skrypty activex, dziurawe 'bezpieczne strefy', uruchamianie i
instalacja programow jedym kliknieciem etc beda dozwolone to nic nie zmienisz...
to tak jak latanie tonacego okretu, czym wiecej starasz sie wody wypompowac tym
wiecej sie bedzie jej nalewac, bo nikt nie ma jaj by zalatac dziur (zmusic
uzytkownika do zakladania i uzywania konta uzytkownika, niezezwalanie na
automatyczne uruchamianie programu z prawami administratora, konkretny model
uaktualniania calego systemu, a nie 3ch programow na krzyz), tak dlugo sie nic
nie zmieni..

to chodzi tylko o odciagniecie uwagi od firefoxa, opery, safari i wszystkich
innych produktow (nie zastanawiales sie czemu standardowo ff pod windows nie
moze otwierac plikow sciagnietych z sieci?;)

[gray]

shot jedynie aktywnego okienka można wykonać za pomocą kombiniacji klawiszy
alt+prtscr.

[Gość: dominik666]

gray napisał:

>
> shot jedynie aktywnego okienka można wykonać za pomocą kombiniacji klawiszy
> alt+prtscr.
>
>
LOL naprawde myślałeś że nie wiem czy to tylko złośliwość ?

[gray]

no nie wiem - ja zamiast zniekształcania paska zadań tak bym właśnie zrobił ale
każdy ma swój gust.

[b00g13]

* Affected Products *

Mozilla Firefox version 1.0.1 and prior
Mozilla Suite version 1.7.5 and prior
Mozilla Thunderbird version 1.0.1 and prior

* Solution *

Mozilla Firefox version 1.0.2
Mozilla Suite version 1.7.6
Mozilla Thunderbird version 1.0.2




To chyba proste. Przyznam się, ze czytam tą dyskujsę i na prawdę nie wiem co ma
Dominik na myśli.

[m.gregor]

Nie martw sie. Nie tylko Ty nie wiesz...

[Gość: mangus]

Te dziury juz sa dawno zalatne... Zreszta w Mozilii zawsze szybko wypuszczaja
latki, powiedzialbym nawet, ze jeszcze na dzien przez tym, jak te dziury zostaja
zauwaznone ;P

[kell99]

hmm, dawno poprawione. nie byly krytyczne, wynikaly raczej z blednych zalozen
interpretowania nazw narodowych (zauwaz, ze msie tego nie obsluguje, dopiero
wersja 7 ma;) ciekawe, skoro chca to dodac, to od samego poczatku bedzie
"krytyczny blad").. te wszystkie "krytyczne bledy" sa tak straszne, ze hej..
instaluje sie cos bez twojej wiedzy? nie.. narazasz swoj komputer na
bezpieczenstwo .. nie!

poza tym zauwaz, ze wiekszosc tych bledow wynika z dziurawej konstrukcji
windows. w systemie wielouzytkownikowym, np osx, linuksie, gdy masz instalacje
ffoxa w katalogu do ktorego user nie ma praw zapisu, to ani nic nie
zainstalujesz (rozszerzenia etc) bez wiedzy admina.. skoro uzywasz bezpiecznej
przegladarki, uzywaj tez jej na bezpiecznym systemie!

[Gość: dominik666]

no nie wiem kell - jedna z niezałatanych dziur umożliwia spoofing stron -
phishing jest ostatnio bardzo popularny,wolałbym stacić zawartośc HDD niż
swojego konta...
secunia.com/advisories/12403/
The vulnerability has been confirmed in Mozilla 1.7.2, Firefox 0.9.3, and
Firefox 1.0 on Mac OS X 10.3.5. Other versions may also be affected.

[kell99]

i oczywiscie jest to blad ff, a nie blad javy na osx?;)