Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Kritikus Firefox 3 hiba

2008.06.19. 16:03 | buherator | 18 komment

Alig kezdődött el a Download Day, a Tipping Point biztonsági cég Zero Day Intiative nevű, biztonsági hibákkal kereskedő egységénél távoli kódfuttatásra alkalmas Firefox hibát jelentettek. A sebezhetőség érinti a böngésző legújabb, 3-as változatát, de a régebbi 2-es szériát is, ezért valószínásíthető, hogy a felfedező megvárta az új verzió kiadását, hogy nagyobb hírverést rendezhessen, és persze hogy több pénzt tudjon kaszírozni a ZDI-tól... Nem valószínű, hogy jelenleg bárki is aktívan kihasználja ezt a hibát, de a biztonság kedvéért felrakhatunk egy NoScriptet, vagy elvonulhatunk egy jó kis virtualizált környezetbe. A javítás készül, jelenleg a folt belső tesztelése folyik.

Címkék: firefox bug

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

nabazmeg 2008.06.19. 17:19:09

a No Script eddig is ott volt a kiegészítők között, úgyhogy aki használta, azt a feltárt hibán keresztül nem igazán tudták ezek szerint betámadni.
No mindegy, de azért már kezd begyűrűzni az uborkaszezon, az láccik.....

Tibsi 2008.06.19. 17:43:30

Sajnos nagyobb baj is van a Firefox-szal! Zabálja a memóriát: 1 GB-ból pillanatok alatt 450 MB-ot megeszik, ha indítok 3 db letöltést. Sőt, a negyedik letöltés után 3 perces vinyókerregés után úgy kiakad, mint én a dühtől! A kettes verzió ilyet nem csinált. És egyéb körülmények között is tegnap óta jópárszor elhasalt a kicsike. Pedig a gépemmel minden oké, és lamer sem vagyok (25 éve pedálozok a témában). Nagy csalódás a hármas verzió!

zero · http://vastagbor.blog.hu/ 2008.06.19. 17:45:12

Tibsi

Nálam 5 ablak van most nyitva és 111 MB memóriát foglal ...

he? 2008.06.19. 17:47:47

"a No Script eddig is ott volt a kiegészítők között, úgyhogy aki használta, azt a feltárt hibán keresztül nem igazán tudták ezek szerint betámadni."

Aki igazan jo arrol sosem fogod megtudni, hogy mikor jart a gepeden.


"Sajnos nagyobb baj is van a Firefox-szal! Zabálja a memóriát: 1 GB-ból pillanatok alatt 450 MB-ot megeszik, ha indítok 3 db letöltést. Sőt, a negyedik letöltés után 3 perces vinyókerregés után úgy kiakad, mint én a dühtől! A kettes verzió ilyet nem csinált."

Uristen! Ilyesmik varnak ram ezek szerint? :-O Nalam meg semmi baja nem volt, de teny, hogy a memoriagond nem kerult megoldasra.

Tibsi 2008.06.19. 17:48:42

Nem a nyitott ablakok számával van baj, bírja a huszat is, hanem a sima letöltések akasztják ki, de rendesen.

Art Mooney 2008.06.19. 17:56:08

tibsi, firefox safe mode-ban (ld. a megfelelo parancsikont) is ezt csinalja? ha nem, akkor vmelyik extension lehet a bunos.

gusthy 2008.06.19. 18:05:05

Hááát, nemtom... Ha én írtam volna, olyan lenne, hogy a felhasznált memória függ a rendelkezésre állótól... szerintem itt is így van.
Nekem 3 ablakkal 92 mega, ami a 2GB-ból nem sok. és úgy ennyi, hogy dél óta megy.

tra lala 2008.06.19. 18:30:58

Nem az a baj, hogy sok memóriát használ, hanem az, hogy az a memória nem szabadul fel, miután már nem _kéne_ használnia. Ha sokáig nem indítom újra a firefoxot, előbb utóbb sok száz memóriát használ azzal az épp megnyitott 3 tabbal is. Ez elég zavaró, ha kevés a memória a gépben.

pocak 2008.06.19. 19:15:44

Nemtom, ha nézem a memóriát, nálam se olyan nagyon kevés, de érzetre biztos hogy ég és föld. A szar, régi lapotomon pl az ff2 orrba-szájba kiakadt, a 3 meg hasít, esze ágában nem volt lefagyni meg semmi, pedig már a béta3.5 óta használom.

CJKrisz 2008.06.19. 19:28:31

A memóriazabálós probléma nálam az RC2-n előjött pár napja (akkor épp 350 megát kajált), azóta semmi gond.

A fenti biztonsági résre, meg azt írják, hogy idézem: "A sérülékenység kihasználásához az kell, hogy az áldozat egy, a kártékony kódot tartalmazó weboldalra navigáljon, például egy levélben kapott link alapján."
Hááát, aki idegentől kapott mailben mindenféle linkekre kattintgat, az meg is érdemli. Majd megtanulja, hogy legközelebb ne csináljon olyat. Nevezzük tanulópénznek a dolgot. :)

EQ · http://rycon.hu 2008.06.19. 19:40:48

@CJKrisz: és mi van akkor ha feltöröm a buherát és ide rakom be a kártékonykódot, az is tanulópénz?

btw ff3 szerintem csúnyább, de gyorsabb és kevesebb memóriát kellene ennie, mert jmalloc-ot raktak bele freebsd-ből, ha jól tudom.

agaragar 2008.06.19. 19:44:01

Türelem, türelem, lesz ez még jobb is!

b 2008.06.19. 20:04:47

en maradok a safari-nal os x-en

Terveüdekszi 2008.06.19. 20:13:19

2 napja fut folyamatosan, 138 mega memóriát zabál. 8 tab van egymás mellett és letöltések is jönnek páran. Az otthoni gépemen sem tapasztaltam semmi anomáliát, azon túl hogy hasít mint a picsa. Akinek zabálja a ramot, az szerintem szedje le, töröljön minden fájlt, utána meg rakja újra. Persze adblock, flashblock és scriptblock társaságában....

tibsi 2008.06.19. 21:50:00

Visszaraktam (teljes uninstall után) a 2...14-est, azóta minden oké, nem akad ki.

A hármast indítottam csökkentett üzemmódban, és üres(!) oldalt hagyva azt látom a feladatkezelőben, hogy a proci 20-40%-ot foglalkozik a firefox-szal és a foglalt memória meg szépen kúszik a 300 megához! Aztán meg szépen kiakadt... Röhej!

Pápá 3-as verzió!

.Andrei (törölt) · http://www.andreiground.com/ 2008.06.19. 22:42:14

b: mijaza óesiksz, meg szafari? Afrikában vagy nyaralni és megsütött a nap? :DDD

Cummancsos dolog ez. Én ezért hagytam ki a dl-day-t. Ilyenkor még pár hétig kiderülgetnek hibácskák. Marad a régi verzió.

Mostanában sok az új verzió, meg a kikerülhetetlen ajándékok. Pl az Opera kérdés nélkül áltopja az FF könyvjelzőit. A Skype meg letelpíti a browser supportot ugyanígy (extension).. És akkor még itten van ez a 3.0-ás babaság.

@EQ: osztom a véleményedet. Nem lenne nehéz belekarcolni ebbe a wp alapú cuccosba. Az a fixa ideám az utóbbi időben, hogy lehet vele css-en keresztül disznókodni. Majd kipróbálom a webnegán preparált képekkel.

EQ · http://rycon.hu 2008.06.20. 14:03:37

@Andrei: nem arra céloztam h törhető-e vagy sem a blog.hu, hanem az zavart h picit beszűkülten láttak a dolgot, egyesek. Nem csak kamu oldalak lehetnek fertőzőek, hanem bármi más is, amit naponta nézegetünk, így ezaz oldal is. Ki tudja lehet buhera 0day activex és ff23 exploitokat tárol itt a html-js-ben, de még senki nem nézte meg a forrást :) Szóval nem árt elgondolkozni felhasználás nélkül is a felhasználható területeken