Hírmorzsák innen-onnan + némi kommentár:
A Mozilla Security tegnap blogjában arra hívta fel a figyelmet, hogy a Mozilla Firefox 3.5-ös és 3.6-os verziói kritikus sebezhetőségben szenvednek. A visszajelzések szerint a sebezhetőséget aktívan kihasználják jelenleg is az interneten (például a Nobel-békedíj weboldalán).
Az exploitot tartalmazó weboldalakat meglátogatók a sebezhetőségen keresztül fertőződhetnek a malware-rel (Belmoo/Win32). A trójait legelőször a Nobel-békedíj weboldalán jelezték. Ezt a weboldalt a Mozilla beépített malware védelme már blokkolja, azonban az ártó kód más oldalakon is felbukkanhat.
A Mozilla Security a sebezhetőség javításáig azt javasolja, hogy a felhasználók tiltsák le a Javascript-et a böngészőben, vagy használjanak NoScript add-on-t.
A részletek itt.
Egy másik, azóta javított Firefox sebezhetőség elemzését xorl (aki úgy tűnik szerencsésen átvészelte a katonaságot) blogján olvashatjátok el. Ez utóbbi hibát egyébként egy 12 éves srác jelentette a Mozillának, akik csengettek is 3000 dodót a becsületes megtalálónak :)
Aztán van itt ez a Firesheep bővítmény, amiről az Indexnek (pontosabban anarkinak) sikerült osszehozni története talán legszánalmasabban hatásvadász IT-biztonsági témájú cikkét, amit a köznyugalom érdekében inkább be sem linkelek. Persze a cucc a külföldi sajtóban is eléggé túl van hype-olva, egy haszna viszont mégis volt a dolognak:
Már rég óta piszkálta a csőröm, hogy a status barom tanúsága szerint a HTTPS-en megnyitott Facebookra hitelesítetlen forrásból származó adatok is lemásznak, ami veszélybe sodorhatja az ember (nem biztonságos) sütijeit - ugyanis, ha a http://xy.facebook.com-ról töltődik le mondjuk egy kép, a böngésző neki is elküldi a sütiket, titkosítatlan csatornán. A HTTPS Everywhere bővítménnyel netezek egyébként, ebbe be van drótozva, hogy a fácsét mindig HTTPS-en nyissa meg. Szóval elkezdtem tesztelni, és első blikkre úgy tűnik, hogy csak a beágyazott tartalmak miatt jöttek a biztonsági figyelmeztetések, szóval pánikra semmi ok. Azaz mégsem: belépéskor ugyanis az autentikáció ugyan lezajlik titkosan, utána viszont hirtelen sima HTTP kapcsolaton kezdi el a FF lehúzni a kezdőlapot (és szétkülrtölni az azonosítóimat), miközben a címsorban https://... látszik (de a zöld tanúsító csík nem jelenik meg)!
Hasonló viselkedésről számolnak be az Errata Security blogján is a ForceTLS vs. Twitter kombóról. Ennek oka ha jól emlékszem az lehet, hogy a ForceTLS csak spéci HTTP fejlécek beérkezése után fogja tudni, hogy használhat TLS-t, ha ilyet nem küld a Twitter, akkor a kiterjesztés sem működik.
Költői kérdés: Ellenőrizte valaki, hogy a Firesheep hazaküldi-e a begyűjtött infókat? :)
hizzouse muzk 2010.11.05. 17:32:39
"
tesóm keresgélt a thepiratebay-en. Lehúzott egy torrentet, majd elment a géptől. Egyszer csak anyám szól neki, hogy már megint kinek szól a zene, ha nincs is a gépnél...?!
"
-a gépen persze csak ő volt bejelentkezve, 2 program futott: FF+uTorrent, és mintha egy online trance rádió szólt volna...a plugin-container gyanúsan 100 megánál több ramot használt...kilőttem, megállt a zene
:D
-Ezek után reménykedhetek abban, hogy nem kaptam malware-t? :S
hizzouse muzk 2010.11.05. 17:37:43
"
tesóm keresgélt a thepiratebay-en. Lehúzott egy torrentet, majd elment a géptől. Egyszer csak anyám szól neki, hogy már megint kinek szól a zene, ha nincs is a gépnél...?!
"
-a gépen persze csak ő volt bejelentkezve, 2 program futott: FF+uTorrent, és mintha egy online trance rádió szólt volna...a plugin-container gyanúsan 100 megánál több ramot használt...kilőttem, megállt a zene
:D
-Ezek után reménykedhetek abban, hogy nem kaptam malware-t? :S