markasblog

Po tym jak Adobe w poniedziałek opublikował informację o istnieniu luki zero-day  w odtwarzaczu Flash Player, która umożliwia przeprowadzenie ataku przy użyciu odpowiednio spreparowanego pliku Excel, Google we wtorek wydał aktualizacje przeglądarki Chrome, w której ten problem został wyeliminowany. Tak szybka reakcja jest efektem ścisłej współpracy Adobe z Google, która trwa od kwietnia 2010. Na mocy umowy spisanej pomiędzy dwoma gigantami, Adobe udostępnia nowe wersje oprogramowania Flash programistą Google w celu testów i późniejszej integracji.

Często w tej sytuacji zdarza się, że przeglądarka od Google pracuje z najnowszą wersją Flasha, zanim jeszcze jest ona dostępna do pobrania przez użytkowników innych przeglądarek internetowych. I tak jest i w tym przypadku. Firefox, Safari, IE oraz Opera muszą czekać na oficjalne udostępnienie najnowszej wersji Flasha, a tymczasem Chrome już teraz pracuje z wersją 10.2.154.25 programu Flash Player.

Najnowszą wersję Chrome oznaczoną numerem 10.0.648.134 można pobrać ze stron producenta odpowiednio dla systemu: Windows, Linux, Mac OS X.

Użytkownicy, którzy już korzystają z przeglądarki Chrome mogą, a nawet powinni skorzystać z opcji automatycznych aktualizacji.

Pwn2Own, jeden z największych na świecie konkursów przygotowanych dla hakerów rusza już w przyszłym tygodniu. Tymczasem Mozilla idąc w ślady Google, wydała poprawki bezpieczeństwa dla przeglądarki Firefox. Firefox w wersji 3.5.17 oraz 3.6.14 pozbawiony został 11 błędów oznaczonych jako krytyczne oraz jednego oznaczonego jako ważny oraz jednego oznaczonego jako umiarkowany. Należy zwrócić uwagę, że jest to pierwsza od dłuższego czasu aktualizacja Firefoksa. Ostatnia miała miejsce w grudniu 2010. Jednym z powodów, dla którego wydanie aktualizacji było opóźnione, była konieczność zbadania błędu występującego we wcześniejszej wersji przeglądarki, który doprowadzał w pewnych sytuacjach do awarii programu.

Poprawki wydane we wtorek wyeliminowały między innymi 3 usterki w obsłudze JavaScript, 2 błędy w silniku przeglądarki, jeden błąd w obsłudze plików JPEG (pisałem również o tym przy okazji klienta Thunderbird 3.1.8), oraz poważny błąd CSRF, który mógł być wykorzystany do przeprowadzenia ataku z wykorzystaniem odpowiednio spreparowanych plików Flash.

Google aktualizacje do przeglądarki Chrome wydał w poniedziałek. W przeglądarce oznaczonej numerem 9.0.597.107 wyeliminowano 16 luk bezpieczeństwa oznaczonych jako ważne oraz 3 oznaczone jako średnie. W nomenklaturze wprowadzonej przez Google jako krytyczne określa się luki w zabezpieczeniach, które umożliwiają wykonanie kodu poza mechanizmem sandbox. Błędy wyeliminowane w poniedziałek dotyczyły przede wszystkim mechanizmu WebGL, API dla sprzętowej akceleracji grafiki 3D, SVG renderingu i animacji oraz błędów związanych z paskiem adresu przeglądarki.

Ciekawe jak w tym roku wypadną przeglądarki internetowe w konkursie. Rok temu przed atakiem hakerów uchroniła się jedynie przeglądarka ze stajni Google. Safari, IE8 oraz Firefox uległy, chociaż w tym miejscu należy podkreślić, że IE od Microsoftu postawiło najmniejszy opór.

Konkursy takie jak Pwn2Own przede wszystkim pomagają  twórcą przeglądarek w tworzeniu bezpieczniejszego oprogramowania. Nam, jako użytkownikom końcowym zwracają uwagę na niedociągnięcia jakie w przeglądarkach są codziennością. Wydaje się, że i w tym roku Internet Explorer po raz kolejny wypadnie blado w stosunku do konkurencji, a  Google po raz kolejny udowodni, że mechanizm sandbox zaimplementowany w ich produkcie jest ciężki, a może nawet niemożliwy do przejścia.

Edit:

Firefoksa w wersji 3.5.17 można pobrać z oficjalnych serwerów Mozilli odpowiednio dla systemów: Windows, Linux, Mac OS X.

Firefoksa w wersji 3.6.14 można pobrać z oficjalnych serwerów Mozilli odpowiednio dla systemów: Windows, Linux, Mac OS X.

Chrome można pobrać z oficjalnych serwerów Google odpowiednio dla systemów Windows, Linux, Mac OS X.

Na serwerach Mozilli pojawiła się kolejna wersja beta przeglądarki Mozilli – Firefoksa 4.0. W dziesiątej już wersji testowej przeglądarki wyeliminowano kolejne błędy związane z bezpieczeństwem oraz stabilnością. Pełną listę wyeliminowanych błędów można znaleźć tutaj. Mozilla doszła do wniosku, że przy tak dużej ilości poprawek wniesionych do programu należy całość przetestować po raz kolejny jak najdokładniej. Wniesione poprawki dotyczyły praktycznie każdego obszaru działania przeglądarki, poczynając od mechanizmu synchronizacji, poprzez obsługę grafiki a kończąc na menadżerze dodatków.

Wszystko wskazuje na to, że seria wersji beta sztandarowej przeglądarki Mozilli na numerze 10 nie kończy się. Na Wiki Mozilli pojawiły się wpisy o planach wydania jeszcze jednej bety. Widać, że Mozilla przykłada bardzo dużo uwagi do najnowszego Firefoksa. Wersje beta już wydają się być bardzo stabilnym oprogramowaniem nie sprawiającym żadnych przykrych niespodzianek. Miejmy nadzieję, że wersja finalna przeglądarki będzie godnym konkurentem dla Chrome, Internet Explorera i innych.

Póki co, najnowszą betę Firefoksa można pobrać z serwerów Mozilli.

Edit:

Zaktualizowałem link do serwera, z którego można pobrać najnowszą betę Firefoksa. Wcześniejszy link prowadził do wersji nightly.

Minął rok od poprzedniego konkursu Pwn2Own. Wczoraj w ramach akcji Zero Day Initiative, specjaliści ds. bezpieczeństwa oraz hakerzy stanęli w szranki, aby pokazać jak dobrzy są, a i przy okazji udowodnić, że przeglądarki, z których korzystamy wcale takie bezpieczne za jakie je uważają ich producenci nie są. Wyjątkiem tutaj jest Opera, która nie wystawiła swojego produktu do konkursu oraz Chrome, do którego w pierwszy dzień konkursu nawet nikt nie podszedł. Okazuje się bowiem, że produkt Google jest najtrudniejszą do złamania przeglądarką wśród tych najpopularniejszych. Konkurs jeszcze się nie skończył. Przed nami jeszcze dwa dni konkursu i może się okazać, że po zmianie platformy i Chrome polegnie.

W skrócie plan tegorocznego konkursu:

Dzień 1.

Hakerzy mieli okazję zmierzyć się z następującymi zestawieniami produktów:

• Microsoft Internet Explorer 8 on Windows 7
• Mozilla Firefox 3 on Windows 7
• Google Chrome 4 on Windows 7
• Apple Safari 4 on MacOS X Snow Leopard

Złamano zabezpieczenia wszystkich przeglądarek za wyjątkiem Google Chrome.

Dzień 2.

• Microsoft Internet Explorer 7 on Windows Vista
• Mozilla Firefox 3 on Windows Vista
• Google Chrome 4 on Windows Vista
• Apple Safari 4 on MacOS X Snow Leopard

Dzień 3.

• Microsoft Internet Explorer 7 on Windows XP
• Mozilla Firefox 3 on Windows XP
• Google Chrome 4 on Windows XP
• Apple Safari 4 on MacOS X Snow Leopard

Jednocześnie n a próbę wystawione są platformy mobilne. W tym roku hakerzy mają do dyspozycji:

• Apple iPhone 3GS
• RIM Blackberry Bold 9700
• Nokia E72 device running Symbian
• HTC Nexus One running Android

Jako pierwszy poległ w tej grupie iPhone, który został złamany z wykorzystaniem luki w mobilnej wersji przeglądarki Safari. Atakującemu udało się skopiować wszystkie wiadomości tekstowe z urządzenia.

Pula nagród przewidziana na ten rok to 40 000 $ dla osób zajmujących się platformami stacjonarnymi oraz 60 000 $ dla osób próbujących złamać zabezpieczenia platform mobilnych. Dodatkowo każdy z uczestników otrzyma sprzęt, na którym pracował podczas przeprowadzenia ataku.

Tego typu konkursy pokazują jak bardzo w błąd nas wprowadzają producenci przeglądarek internetowych. Bezpieczeństwo to mrzonka. Na tle większości jedynie Chrome wydaje się być ciekawą alternatywą. Mechanizm sandbox najwyraźniej sprawia bardzo dużo problemów hakerom. Jest to kolejny mur na drodze do przejęcia kontroli nad atakowanym środowiskiem. Hakerzy przyznają, że w Chrome są luki, które można by łatwo wykorzystać, gdyby właśnie nie sandbox.

O Operze po tych zawodach prawdy się nie dowiemy. Producent nie wystawia swojego produktu do konkursu. Zastanawiam się czemu. Czy to postępowanie jest związane z obawami przed możliwością obalenia mitu o bezpieczeństwie i stabilności oprogramowania spod znaku Opera Software? Boi się konkurencji? Ma obawy przed negatywną reklamą, której ofiarą może paść szybciej niż Internet Explorer? Szczerze powiem, że nie widzę jakiegoś sensownego wytłumaczenia tej sytuacji. Polityka opery dla mnie jest nie jasna. Pewnie dlatego nigdy nie zagości u mnie jako default browser.

Wczoraj ukazała się nowa wersja przeglądarki Firefox oznaczona numerem 3.6.2. Został w niej wyeliminowany krytyczny błąd w zabezpieczeniach, o którym świat usłyszał już w lutym, pozwalający na zdalne przejęcie kontroli nad atakowaną maszyną. Poza wyeliminowaniem krytycznej luki, poprawiono stabilność przeglądarki eliminując kilka innych mniejszych błędów.

Wspomniana luka istnieje również we wczesnej wersji przeglądarki Firefox 3.7. Dla użytkowników korzystających z wersji 3.7 zalecana jest aktualizacja do wersji Alpha3.

W przeciągu najbliższych 48 godzin aktualizacja przeglądarki powinna pojawić się w mechanizmie automatycznych aktualizacji. Wersję instalacyjną Firefoksa 3.6 można pobrać z oficjalnych serwerów Mozilli odpowiednio dla systemów: Windows, Linux i Mac OS X.

Mozilla postanowiła agresywniej namawiać użytkowników starszych wersji przeglądarki Firefox do aktualizacji do wersji 3.6. Akcja ma być skierowana do użytkowników Firefoksa 3.0 wydanego w 2008 roku oraz Firefoksa 3.5 wydanego w roku 2009. Kampania ma polegać na wyświetlaniu zaproszenia do aktualizacji przeglądarki, a wszystko ma się opierać na systemie automatycznych aktualizacji.

Proces będzie wyglądał podobnie jak wcześniej. Użytkownik ujrzy na ekranie zaproszenie do aktualizacji, które będzie można przyjąć, odłożyć na kolejne 24 godziny lub całkowicie odrzucić. W przypadku tego ostatniego, opcja ta nie działa definitywnie i za jakiś czas zaproszenie pojawi się ponownie. W ten sposób Mozilla chce przekonać nieprzekonanych do aktualizacji. Ważną kwestą w całym procesie jest to, że okienko z propozycją aktualizacji pojawi się dopiero po 1 minucie nieużywania klawiatury. W ten sposób Mozilla chce mieć pewność, że nie przeszkodziła użytkownikowi w pracy.

Mike Beltzner – szef projektu, zwraca uwagę, że jako pierwsi na najnowszą odsłonę Firefoksa powinni migrować użytkownicy, którzy dotychczas korzystali z Firefoksa 3.0. Powodem jest kończący się okres wsparcia dla tej gałęzi przeglądarki, zaplanowany na 30 marca dla wersji 3.0.19.

Firefox 3.6 niesie ze sobą wiele zmian w stosunku do starszych wersji. Ulepszony silnik, szybsze działanie, nowy, lekki mechanizm kompozycji Personas oraz mnogość wtyczek, które już w większości zostały przystosowane do najnowszej odsłony Firefoksa, powinny spowodować, że aktualizacja do najnowszej wersji powinna poskutkować dużo przyjemniejszą pracą.

Rosyjski specjalista ds. bezpieczeństwa opublikował wczoraj informację o wykryciu luki w zabezpieczeniach przeglądarki Firefox umożliwiającej zdalne wykonanie kodu, w skutek czego uszkodzony zostaje stos programu. Luka wykryta została podczas laboratoryjnych testów w środowisku o nazwie Immunity Canvas z zainstalowaną wtyczką Vulndisco.

Lukę wykryto w przeglądarce Firefox 3.6 działającej na systemach Windows XP i Windows Vista.

Evgeny Legerov, założyciel moskiewskiej firmy Intevydis zwraca uwagę, że nie chodzi tutaj o lukę załataną podczas ostatnich aktualizacji starszych wersji przeglądarki Firefox. Przypomnijmy -  ostatnio Mozilla załatała w Firefoksie 3.0 i 3.5 lukę, która również dawała możliwość uszkodzenia stosu przeglądarki.

Mozilla wydała oświadczenie, w którym informuje, że nie znaleziono jeszcze sposobu na wykorzystanie luki w normalnym środowisku pracy. Zapewnia również, że wszelkie sygnały o niebezpieczeństwach związanych z błędami w kodzie przeglądarki są traktowane poważnie i doceniają wkład specjalistów zajmujących się bezpieczeństwem.

Evgeny Legarov konkludując całe wydarzenie wspomniał, że nie jest to pierwszy raz, kiedy w przeglądarce Mozilli wykryto lukę zero-day. Jak do tej pory większość tego typu luk była dostępna dla wąskiego grona zamkniętego w zacisznych laboratoriach wyposażonych w kosztowne oprogramowanie. Niestety wraz ze wzrostem wiedzy specjalistycznej, a także wycieków z zamkniętych ośrodków badawczych, podatności te staną się dostępne w większym stopniu w „normalnym” środowisku.

Użytkownicy Nokii N900 mogą wreszcie zacząć korzystać ze stabilnej wersji przeglądarki Firefox przeznaczonej dla platformy mobilnej Maemo. Mozilla zachwala swój produkt twierdząc, że jest to najlepsza w tym momencie przeglądarka na platformy mobilne, w pełni konfigurowalna oraz spełniająca podstawowe wymagania jakie powinno się stawiać tego typu programom, czyli konieczność pisania ograniczona do minimum, bezproblemowa synchronizacja z Firefoksem zainstalowanym na komputerze stacjonarnym itp.

Podstawowe funkcje Firefoksa dla platform mobilnych to:

• Awesome Bar – funkcja dostarczająca inteligentne i spersonalizowane wyszukiwanie ograniczające ilość kliknięć do niezbędnego minimum
• Weave Sync -  synchronizacja zakładek, historii oraz haseł pomiędzy różnymi platformami
• możliwość rozbudowania możliwości mobilnej przeglądarki dzięki rozszerzeniom
• Przeglądanie Location-Aware – Firefox może informować witryny o aktualnym położeniu użytkownika, co pozwala na odnalezienie bardziej użytecznych informacji
• przeglądanie stron internetowych z wykorzystaniem kart
• wysokie bezpieczeństwo
• dostępność w ponad 30 językach

Dodatkowo Firefox dla Maemo obsługuje najnowsze standardy internetowe (HTML5, CSS3), co daje ogromne możliwości programistom chcącym tworzyć zaawansowane aplikacje.

Należy zwrócić uwagę, że Firefox mobile nie obsługuje wtyczek typowych dla wersji desktopowej takich jak: Adobe Flash, co uniemożliwia korzystanie z serwisów typu YouTube. Mozilla jednak w celu rozwiązania tego problemu przygotowała rozszerzenie o nazwie YouTube-Enabler.

Jaka będzie przyszłość Firefoksa na platformach mobilnych? Czy uda się Mozilli wydrzeć choć skrawek tortu, który w większości należy do Opery? Myślę, że jest na to duża szansa, tym bardziej, że Mozilla wypuściła pierwszą przeglądarkę dla platform mobilnych z obsługą rozszerzeń, co nie jest bez znaczenia.

W dniu dzisiejszym na liście mailingowej Ubuntu, Rick Spencer poinformował o podpisaniu umowy pomiędzy firmami Canonical i Yahoo!. W ramach współpracy jako strona startowa przeglądarki Firefox będzie domyślnie ustawione Yahoo!. Yahoo! w ten sposób otrzyma możliwość zwiększenia wpływów z reklam, a same wpływy zasilą również konta firmy Canonical. W ten sposób wydawca Ubuntu zyska kolejne środki na rozwój swojego systemu operacyjnego oraz platformy, która z tym systemem współpracuje.

Należy zwrócić uwagę, że firma Canonical jest jedną z nielicznych, które dystrybuują system operacyjny bez pobierania jakichkolwiek opłat od użytkowników. Firma bazuje na zyskach wpływających od firm współpracujących, co znacznie odbiega od modelu biznesowego większości firm zajmujących się wydawaniem innych dystrybucji Linuksa. Podstawowym źródłem dochodów firmy Canonical, które są przeznaczone na rozwój Ubuntu pochodzą z nieobowiązkowego wsparcia technicznego dla użytkowników końcowych opierającego się na subskrybowanej usłudze sieciowej oraz z pomocy przy integracji Ubuntu na sprzęcie innych firm (przykładem może być tutaj Dell).

Specjaliści zwracają uwagę, iż mariaż Yahoo! i Ubuntu może okazać się dużo korzystniejszy dla użytkowników jeżeli weźmie się pod uwagę prywatność tych ostatnich, ponieważ Yahoo! przechowuje trzykrotnie krócej dane o wyszukiwaniach niż Google.

Pojawili się również i sceptycznie nastawieni użytkownicy, którzy uważają, że większość osób i tak będzie zmuszona zmienić ustawienia domyśle dla Firefoksa, ponieważ duża grupa użytkowników korzysta z usług oferowanych przez Google. Przedstawiciele Ubuntu uspokajają w tej sytuacji twierdząc, że zmiana ustawień domyślnych Firefoksa i Ubuntu jest dziecinnie prosta i nie powinna nikomu nastręczyć problemów.

Zmiana dotyczyć będzie wersji 10.04, która powinna pojawić się w kwietniu tego roku. Nie wiadomo jeszcze, czy zmiana będzie obowiązywała starszych wersji Ubuntu, pewne jest natomiast, że po aktualizacji Ubuntu z wersji aktualnej do 10.04 otrzymamy Firefoksa z nową stroną startową.

Ostatnimi czasy odrobinę zabiegany jestem. Niestety zabrakło mi czasu na pisanie artykułów na bloga, co przełożyło się na spore zaległości w informowaniu o wydarzeniach na rynku IT. Jest niedziela, więc to dobry dzień na podsumowanie ostatniego tygodnia.

Według mnie najważniejszym wydarzeniem trzeciego tygodnia stycznia 2010 jest premiera najnowszej wersji przeglądarki internetowej ze stajni Mozilli. Firefox 3.6 – bo o nim tutaj mowa, został wydany praktycznie zgodnie z harmonogramem (oczywiście lekko zmienionym) i wprowadza sporo zmian do wysłużonego już „Ognistego Lisa”. Czy te zmiany są in plus okaże się za jakiś czas. Po kilku godzinach prac z najnowszym Firefoksem nie wiele mogę powiedzieć.

Co nowego?

• większa wydajność osiągnięta dzięki lepszemu zarządzaniu priorytetami dla obsługi kart
• HTML5 File API, które pozwala na rozbudowany dostęp do plików na komputerze z poziomu aplikacji sieciowych uruchomionych w przeglądarce (pobranie, wczytanie, podgląd zawartości) EDIT: Możliwość podglądu pliku jest możliwa dla plików, których zawartość można wyświetlić w przeglądarce standardowo (np.: zdjęcia). Ważną kwestią jest również wprowadzenie możliwości wczytania wielu plików na raz dzięki zastosowaniu parametru input ustawionego na wartość true
• obsługa akcelerometrów
• obsługa Open Web Font Format
• rozbudowane możliwości natywnej obsługi wideo wprowadzonej w HTML5
• rozbudowane możliwości obsługi standardu CSS3 o gradienty
• Personas – lekkie motywy graficzne dla Firefoksa
• poprawione bezpieczeństwo dzięki wprowadzeniu możliwości automatycznego sprawdzenia aktualności wtyczek zainstalowanych w systemie.

Najnowszą wersję Firefoksa można pobrać z oficjalnych serwerów Mozilli dla systemów: Windows, Linux, Mac OS X.

Pierwsze wrażenie

Zdecydowanie nie zauważyłem żeby najnowszy Firefox szybciej się uruchamiał, co akurat nie jest dla mnie większym problemem. Jeżeli chodzi o zapotrzebowanie na RAM, to również nie zauważyłem, żeby Lisek miał mniejszy apetyt. Przy otwartych 4 kartach, 16 rozszerzeniach i zainstalowanym motywie z Personas przeglądarka zajmuje niewiele mniej niż 140 MB pamięci, co też nie jest dla mnie większym problemem. Zauważyłem zdecydowane przyspieszenie przy wczytywaniu stron, co zapewne jest efektem przyznawania pierwszeństwa dla przetwarzania zadań dla aktywnej karty.