markasblog

Pwn2Own, jeden z największych na świecie konkursów przygotowanych dla hakerów rusza już w przyszłym tygodniu. Tymczasem Mozilla idąc w ślady Google, wydała poprawki bezpieczeństwa dla przeglądarki Firefox. Firefox w wersji 3.5.17 oraz 3.6.14 pozbawiony został 11 błędów oznaczonych jako krytyczne oraz jednego oznaczonego jako ważny oraz jednego oznaczonego jako umiarkowany. Należy zwrócić uwagę, że jest to pierwsza od dłuższego czasu aktualizacja Firefoksa. Ostatnia miała miejsce w grudniu 2010. Jednym z powodów, dla którego wydanie aktualizacji było opóźnione, była konieczność zbadania błędu występującego we wcześniejszej wersji przeglądarki, który doprowadzał w pewnych sytuacjach do awarii programu.

Poprawki wydane we wtorek wyeliminowały między innymi 3 usterki w obsłudze JavaScript, 2 błędy w silniku przeglądarki, jeden błąd w obsłudze plików JPEG (pisałem również o tym przy okazji klienta Thunderbird 3.1.8), oraz poważny błąd CSRF, który mógł być wykorzystany do przeprowadzenia ataku z wykorzystaniem odpowiednio spreparowanych plików Flash.

Google aktualizacje do przeglądarki Chrome wydał w poniedziałek. W przeglądarce oznaczonej numerem 9.0.597.107 wyeliminowano 16 luk bezpieczeństwa oznaczonych jako ważne oraz 3 oznaczone jako średnie. W nomenklaturze wprowadzonej przez Google jako krytyczne określa się luki w zabezpieczeniach, które umożliwiają wykonanie kodu poza mechanizmem sandbox. Błędy wyeliminowane w poniedziałek dotyczyły przede wszystkim mechanizmu WebGL, API dla sprzętowej akceleracji grafiki 3D, SVG renderingu i animacji oraz błędów związanych z paskiem adresu przeglądarki.

Ciekawe jak w tym roku wypadną przeglądarki internetowe w konkursie. Rok temu przed atakiem hakerów uchroniła się jedynie przeglądarka ze stajni Google. Safari, IE8 oraz Firefox uległy, chociaż w tym miejscu należy podkreślić, że IE od Microsoftu postawiło najmniejszy opór.

Konkursy takie jak Pwn2Own przede wszystkim pomagają  twórcą przeglądarek w tworzeniu bezpieczniejszego oprogramowania. Nam, jako użytkownikom końcowym zwracają uwagę na niedociągnięcia jakie w przeglądarkach są codziennością. Wydaje się, że i w tym roku Internet Explorer po raz kolejny wypadnie blado w stosunku do konkurencji, a  Google po raz kolejny udowodni, że mechanizm sandbox zaimplementowany w ich produkcie jest ciężki, a może nawet niemożliwy do przejścia.

Edit:

Firefoksa w wersji 3.5.17 można pobrać z oficjalnych serwerów Mozilli odpowiednio dla systemów: Windows, Linux, Mac OS X.

Firefoksa w wersji 3.6.14 można pobrać z oficjalnych serwerów Mozilli odpowiednio dla systemów: Windows, Linux, Mac OS X.

Chrome można pobrać z oficjalnych serwerów Google odpowiednio dla systemów Windows, Linux, Mac OS X.

Mozilla postanowiła agresywniej namawiać użytkowników starszych wersji przeglądarki Firefox do aktualizacji do wersji 3.6. Akcja ma być skierowana do użytkowników Firefoksa 3.0 wydanego w 2008 roku oraz Firefoksa 3.5 wydanego w roku 2009. Kampania ma polegać na wyświetlaniu zaproszenia do aktualizacji przeglądarki, a wszystko ma się opierać na systemie automatycznych aktualizacji.

Proces będzie wyglądał podobnie jak wcześniej. Użytkownik ujrzy na ekranie zaproszenie do aktualizacji, które będzie można przyjąć, odłożyć na kolejne 24 godziny lub całkowicie odrzucić. W przypadku tego ostatniego, opcja ta nie działa definitywnie i za jakiś czas zaproszenie pojawi się ponownie. W ten sposób Mozilla chce przekonać nieprzekonanych do aktualizacji. Ważną kwestą w całym procesie jest to, że okienko z propozycją aktualizacji pojawi się dopiero po 1 minucie nieużywania klawiatury. W ten sposób Mozilla chce mieć pewność, że nie przeszkodziła użytkownikowi w pracy.

Mike Beltzner – szef projektu, zwraca uwagę, że jako pierwsi na najnowszą odsłonę Firefoksa powinni migrować użytkownicy, którzy dotychczas korzystali z Firefoksa 3.0. Powodem jest kończący się okres wsparcia dla tej gałęzi przeglądarki, zaplanowany na 30 marca dla wersji 3.0.19.

Firefox 3.6 niesie ze sobą wiele zmian w stosunku do starszych wersji. Ulepszony silnik, szybsze działanie, nowy, lekki mechanizm kompozycji Personas oraz mnogość wtyczek, które już w większości zostały przystosowane do najnowszej odsłony Firefoksa, powinny spowodować, że aktualizacja do najnowszej wersji powinna poskutkować dużo przyjemniejszą pracą.

W dniu wczorajszym bez większego rozgłosu pojawiła się nowa wersja przeglądarki Firefox oznaczona numerem 3.5.4. Nowa wersja to przede wszystkim naprawione błędy związane z bezpieczeństwem (dokładna lista naprawionych błędów do wglądu tutaj), poprawiono stabilność programu, poprawiono obsługę połączeń SSL, a także dodano możliwość ponownego przesłania zgłoszenia awarii. Pełna lista zmian jest dostępna tutaj.

Polskojęzyczna wersja przeglądarki jest dostępna dla systemu: Windows, Linux, MacOS X.

Równolegle z pracami nad gałęzią 3.5 swojej przeglądarki, Mozilla prowadzi pracę nad kolejnym wydaniem Firefoksa oznaczonym jako 3.6 (premiera wersji rozwojowej jest przewidziana na jutro)

Informowałem ostatnio o pojawieniu się nowych wersji Firefoksa (3.5.3 i 3.0.14). Przy tej okazji dopuściłem się błędu pisząc, że wersje te nie zostały wyposażone w moduł sprawdzający wersję wtyczki Flash Player.

Pragnę sprostować tę informację. Otóż wspomniany moduł został zaimplementowany do najnowszej wersji przeglądarki i Mozilla udostępniła raport z działania modułu. Jak się okazało, na 6 mln pobrań przeglądarki, aż w przypadku 3 mln instalacji wykryto nieaktualną wersję Flash Playera zainstalowaną na komputerach użytkowników. Zatrważający jest jednak fakt, że mimo pojawienia się wyraźnej i klarownej informacji o niebezpieczeństwie z jakim się wiąże korzystanie z nieaktualnego oprogramowania Flash, tylko około 30 % użytkowników zaktualizowało Flasha do najnowszej wersji. Wniosek nasuwa się sam. Aż 2 mln użytkowników Firefoksa (nie liczymy innych przeglądarek) jest narażonych na ataki z wykorzystaniem luk w oprogramowaniu Adobe.

Teraz widać skąd tyle postów z prośbą o pomoc w walce z wirusami na forach o tematyce IT. Użytkownicy w 60% przypadków sami strzelają sobie gola.

Pisałem dzisiaj o wydaniu nowej wersji przeglądarki Firefox oznaczonej numerem 3.5.3. Postanowiłem zaktualizować swoją przeglądarkę do nowszej wersji korzystając z opcji automatycznych aktualizacji. Wszystko przebiegało bez problemu, aż do czasu wyboru opcji „Uruchom ponownie teraz”. Przeglądarka zamykała się (przynajmniej znikało okno), ale niestety nie uruchamiała się ponownie. Próbowałem powtarzać ten proces kilkukrotnie, ale bez żadnych rezultatów. Moja dociekliwość nie dawała mi jednak spokoju i postanowiłem zagłębić się w ten problem. Uruchomiłem Menadżer procesów i okazało się, że pomimo iż okno przeglądarki zamykało się, sam proces firefox.exe wciąż był uruchomiony. Zakończyłem więc wspomniany proces i uruchomiłem Firefoksa ponownie. Zabiegł pomógł, ponieważ dopiero teraz zainstalowała się aktualizacja.

Problem jest już opisany na liście dyskusyjnej Mozilli. Okazuje się również, że problem ten nie jest nowy. Na BugZilli jest oznaczony numerem 504861, a zaraportowany został 17.07.2009. Wydawało się, że błąd został naprawiony przy wersji 3.5.1, ale teraz problem powrócił i zdaje się, że jego status może znowu zostać zmieniony na New.

Nie wiem, czy podobny problem istnieje przy wersji 3.0.14. Proszę o jakieś sygnały w tym temacie.

Wydaje się, że już niedługo może pojawić się kolejna aktualizacja Firefoksa.

Kilka dni temu zapowiadałem, że kolejne wydanie Firefoksa będzie wyposażone w moduł sprawdzający aktualność zainstalowanej w systemie wtyczki Flash Player. W dniu wczorajszym ukazała światło dzienne nowa wersja przeglądarki ze stajni Mozilli oznaczona numerami 3.5.3 oraz 3.0.14 i z przykrością informuję, że wspomnianego modułu Fundacja nie zaimplementowała w tych wersjach Firefoksa. W zamian zostały usunięte błędy związane z bezpieczeństwem, których opis można zobaczyć tutaj oraz poprawiono ogólną stabilność programu. Pełną listę zmian można zobaczyć tutaj.

Wersje instalacyjne Firefoksa w wersji 3.5.3 można pobrać odpowiednio dla systemu Windows, Linux, Mac OS.

Aktualizacja Firefoksa jest wysoce zalecana.

Firefox w wersji 3.5.3 i 3.0.14, którego premiera zaplanowana jest na dzisiaj będzie wyposażony w moduł umożliwiający sprawdzenie wersji Flash Playera, która jest aktualnie zainstalowana w systemie. Jeżeli moduł wykryje nieaktualną wersję Flasha w systemie, poinformuje o tym fakcie użytkownika odpowiednim komunikatem oraz poda link do strony producenta, na której użytkownik znajdzie najnowszą wersję wtyczki.

Flash jako pierwszy trafił na listę kontrolowanych przez nowy moduł, ponieważ jest to najczęściej instalowana wtyczka oraz jak wykazały pewne badania, około 80% systemów operacyjnych ma zainstalowane nieaktualne wersje Flash Playera. Wielu ekspertów przypuszcza, że propozycja Mozilli jest związana z niedawnym wypuszczeniem na rynek nowej wersji systemu Mac OS X Snow Leopard wyposażonego w nieaktualną wersję Flash Playera, która jest uważana za potencjalnie niebezpieczną, w związku z wykrytymi lukami bezpieczeństwa.

Mozilla prowadzi już rozmowy z takimi firmami jak Apple, Microsoft i Sun, których celem jest zaproponowanie podobnej funkcjonalności dla wtyczek produkowanych przez te firmy.

W dniu wczorajszym na serwerach Mozilli pojawiła się nowa wersja przeglądarki Firefox oznaczona jako 3.5.2 oraz 3.0.13. Mozilla łata w nich kilka krytycznych luk (między innymi związaną z protokołem SSL) oraz kilka drobniejszych błędów zauważonych do tej pory. Szczegóły na temat błędów można znaleźć tutaj. Firefoksa w wersji 3.5.2 można pobrać z serwerów Mozilli dla systemu Windows, Linux, MacOS. Również wersja 3.0.13 jest dostępna na serwerach firmy odpowiednio dla: Windows, Linux i MacOS. Dla posiadających już zainstalowaną starszą wersję Firefoksa dostępna jest aktualizacja poprzez narzędzie „Sprawdź dostępność aktualizacji…” w menu „Pomoc”.

Ostatni wpis na blogu dotyczył wykrycia w najnowszej wersji przeglądarki Firefox 3.5 luki oznaczonej jako krytyczna. Luka ta dotyczyła kompilatora JavaScript. 16 lipca 2009 Mozilla udostępniła do pobrania wersję 3.5.1, w której luka została naprawiona. Dodatkowo programiści poprawili stabilność programu oraz wyeliminowali błąd, który powodował zbyt długie uruchamianie się przeglądarki na niektórych wersjach Windows.

Mozilla zaleca jak najszybszą aktualizację do najnowszej wersji, którą można pobrać z oficjalnej strony Mozilli lub skorzystać z narzędzia aktualizacji ukrytego w menu Pomoc.

Specjaliści z firmy Secunia opublikowali wczoraj informację o wykryciu krytycznej luki w Firefoksie 3.5. Luka dotyczy sposobu, w jaki przeglądarka przetwarza kod JavaScript. Sposób ten pozwala na nadpisanie pamięci z użyciem odpowiedniego znacznika HTML, a co za tym idzie, wykonania zdalnie złośliwego kodu, który pozwoli na przejęcie kontroli nad systemem. Na tą chwilę, aby złośliwy kod pobrać na komputer, użytkownik musi wejść na odpowiednio spreparowaną stronę internetową.

Do czasu ukazania się odpowiedniej poprawki zaleca się nie wchodzenie na strony internetowe niewiadomego pochodzenia, które wykorzystują JavaScript.