Zveřejněný exploit ohrožuje bezpečnost uživatelů Internet Exploreru

FF vs IE mimo, uznavam, ze chyba je to brutalni, na druhou stranu funguje nahodne... Alespon se mi tak zda. FF mi vytuhnul pravda, spustim to v IE, nic. Podruhe hle, opravdu kalkulacka, stacilo si povolit vyskakovaci okno... Potreti nikde nic... Pouziti lamama na neco jineho nez na kalkulacku bych necekal, protoze kdo dokaze prevest ten spousteci kod do hexa? .o) A co to vlastne je?

Jak muze nekdo srovnavat Mozillu (FireFox) a IE ? Tyhle 2 prohlizece jsou na tom _uplne_ stejne, az na to ze Mozila je open source.

witaj nas sqeli programere... tz jsi videl zdrojaky FF a IE a oba jsi nekolik tydnu studoval ze sem hazis takovy sracky ?? ;)

K cemu bych studoval zdrojaky? Staci mi videt funkcnost, IE => prohlizec, kterej snad nikdy nevidel bezpecnost, funkcnosti taky nejak neoplyva. FireFox => po 2 dnech uptime dokaze sezrat az 800MB pameti ( neni to kapku moc? ) funkcnost a bezpectnost videl taky asi jenom z vlaku, ale je Open Source, takze si nemuzes na nic stezovat, nikdo te nenuti FireFox pouzivat, takze az na tohle to prides, zkoncis u linkse nebo Opery, ktera mi momentalne zere 80MB ( 32 zalozek, 12 dni uptime ), ja chapu, ze ty o tom nic nemuzes vedet, ty mas v hlave FireFox ( ano alternativa k IE je to opravdu super ) a hajit ho budes jako oko v hlave, ale fakta sou jiny.

K cemu bych studoval zdrojaky? Staci mi videt funkcnost, IE => prohlizec, kterej snad nikdy nevidel bezpecnost, funkcnosti taky nejak neoplyva. FireFox => po 2 dnech uptime dokaze sezrat az 800MB pameti ( neni to kapku moc? ) funkcnost a bezpectnost videl taky asi jenom z vlaku, ale je Open Source, takze si nemuzes na nic stezovat, nikdo te nenuti FireFox pouzivat, takze az na tohle to prides, zkoncis u linkse nebo Opery, ktera mi momentalne zere 80MB ( 32 zalozek, 12 dni uptime ), ja chapu, ze ty o tom nic nemuzes vedet, ty mas v hlave FireFox ( ano alternativa k IE je to opravdu super ) a hajit ho budes jako oko v hlave, ale fakta sou jiny.

chyba lavky... pouzivam Operu

btw to na tom nic nemeni... nemuzes takhle pomlouvat FF tim ze reknes ze je vcelku stejnej jako IE... FF je sqelej akurat s tou pameti nas vsechny sere, to ale vyvazi ty skveli plug-iny do nej ktery na napr. Operu nesezenes a s tou pameti se to snad zlepsi v 1.5ce

Jak můžete o IE a Firefoxu z hlediska bezepčnosti a funkčnosti prohlašovat, že jsou rovnocenné? To jsou opravdu jen vaše vymyšlené domněnky, které ani nedokážete podložit. Už proto, že nejsou pravdivé.

Plně souhlasím, Firefox má od svýho uvolnění na trh problémů s bezpečností mnohem více - viz např. veřejně dostupný a ověřitelný statistiky Securia.com, včetne vysoce kritickejch chyb http://www.zive.cz/h/Viryabezpecnost/AR.asp?ARI=125573: Např. je známo, že Firefox může infikovat Micorsoft Internet Explorer spyware... http://www.channelregister.co.uk/2005/03/11/alternative_slimeware/. K opravě chyb Firefoxu je vždycky nutný stáhnout celej Firefox a postahovat většinu pluginů znova - v podstatě ho celej přeinstalovat - takže si nedělám iluze o rychlosti patchování Firefoxe v terénu.

Pokud Alexi nerozumíte bezpečnosti webových prohlížečů, neměl byste ji vůbec komentovat, natožpak stavět na tak slabých až nerelevantních argumentech jako je počet nově objevených chyb. Ukazování takových grafů z vás nědělá experta, naopak jen dokazují vaši hloupost.
http://www.rebron.org/2005/09/27/follow-up-on-the-security-debate/

Včas a rychle opravené bezepčnosntí zranitelnosti totiž uživatele Firefoxu narozdíl od těch dlouho neopravovaných v Internet Exploreru neohrožují.

"K opravě chyb Firefoxu je vždycky nutný stáhnout celej Firefox a postahovat většinu pluginů znova - v podstatě ho celej přeinstalovat - takže si nedělám iluze o rychlosti patchování Firefoxe v terénu."

Toto je vyřešeno od vydání Deer Parku Alfa 2 letos v létě, resp. od právě vydávané finální verzi 1.5, kdy pro bezpečnostní aktualizace stačí stáhnout data o velikosti přibližně 200 kb a restartovat prohlížeč. Žádný jiný webový prohlížeč podobný komfort *ne*poskytuje.

Jinými slovy, uživatelé IE nyní budou s největší pravdpodobností několik týdnů čelit velmi vážnému bezpečnostnímu riziku. Když byla v září objevena vážná chyba ve Firefoxu, během několika hodin bylo známo dočasné řešení a posyktnuty opravné balíčky, během dvou dní byly k dispozici i celé nové verze programu, tehdy ještě bez nového aktualizačního mechanismu, který by celou situaci ještě více urychlil.

To je myslím dost srozumitelný příklad pro čtenáře této diskuse, na kterém se dá demonstrovat reálná ochota a rychlost reakcí jendotlivých výrobců na bezpečnostní zranitelnosti.

Klidne mu tykej, je to android.

Napiš mi o jednom jediném pluginu nebo rozšíření FF, který musíš instalovat znova po bezpečnostní aktualizaci. Že nevíš? To je jasný, takový totiž s největší pravděpodobností neexistuje a pokud jo, je to chyba autora rozšíření.
Číslování FF je totiž následující: verze.subverze.aktualizace. Rozšíření normálně reaguje pouze na první 2 čísla. Takže všechno kompatibilní s 1.0.6 je kompatibilní i s 1.0.7. Navíc 90% uživatelů FF stejně žádný rozšíření nainstalovaný nemají.

Firefox 1.0.7 pod freeBSD 60 jde to kytek taky. Nevim, proc se furt vsichni navazeji do MS.
Je ale pravda, ze zustane viset, CPU nevytizi na 70% a jde killnout :-o)

V IE na mě vyskočila "Výzva skriptu", hláška "Computer Terrorism (UK) Ltd - Internet Explorer Vulnerability" a ať jsem podvrdil nebo stornoval, hláška zmizla a klid. V Opeře prakticky totéž. Ohnivá liška 1.0.7 dopadla nejhůř, přestala reagovat, po klepnutí na "křížek" jsem ji odstřelil a byl klid. Nedodělanou lišku 1.5 nevedu! Takže ani ti novou Microsoftí myš, co prý má na sobě čudl RESET bych nevyužil. Výbava XP SP2, všechny záplaty a na tyto zkoušky standardní nastavení, abych viděl, jak co to dělá u lam.

"Nedodělanou lišku 1.5 nevedu!"

1. Firefox není ohnivá liška.

2. Firefox 1.5 RC 3 bude v úterý s největší pravděpodobností prohlášena za finální verzi 1.5. Tak jakápak nedodělanost?

Myslím, že píšete o věcech, kterým vůbec nerozumíte.

MSIE neni jedinej browser co umí pustit program na dálku - viz např. Mozilla Firefox 1.0.3 Remote Arbitrary Code Execution Exploit nebo Mozilla Suite And Firefox Favicon Link Tag Remote Script Code Execution Vulnerability.  Uvedený demo exploitu mi navíc nefunguje, vytíží mi MSIE na 100% a vytuhne ho - ale kalkulačku mi nespustí - takže copak?.

Spletl jste si mluvnické časy, ale to se demagogům jako vám často stává.

No já jsem se divil, že ten ... ještě nepřilezl s nějakou ptákovinou.

Ale třeba ho v příští várce microsoftích záplat taky dají dohromady.

Tenhle Firefox je už dávno pasé a i v něm byla chyba ihned opravena. Kdybys sem nalinkoval ten samý odkaz co na mageu, tak si to každý mohl přečíst a poznat, jaký jsi lhář a demagog . Ono se ti Tlučhuba neříká pro nic za nic .

takze prestante resit kalkulacku a uvedomte si ze to muze spustit cokoliv jinyho...
net user crax0r pass /add
net localgroup administrators crax0r /add
net start telnet

Tady jsou nejake namety, ktere jsou vcelku obecne platne:
http://msdn.microsoft.com/security/securecode/columns/default.aspx?pull=/library/en-us/dncode/html/secure01182005.asp
http://blogs.msdn.com/aaron_margosis/archive/2004/07/24/195350.aspx

no nemate lizt na shit p0rno a warez weby..pro normalniho uzivatele to ohrozeni neni

Voe a co když to někdo dá na www.zive.cz ?  

myslim si, ze porno je normalni vec a co ma clovek v praci delat, kdyz uz se i na zive.cz nudi?

Lol :)

Všimol som si už viackrát, že JavaScript v podaní IE je chrobačný a dokáže zrušiť IE (nemyslím cez window.close()), ale že až tak?? Hanba! Vďaka bohu, že existujú konkurenčné prehliadače.

Zaujimalo by ma co take nebezpecne sa moze spustit v tom exploite, nepobezi to stale ako v internet security zone, cize nic by sa v podstate nemalo stat?

Když dojde k narušení paměti a spuštění cizího kódu, tak tento kód má stejná oprávnění jako aplikace sama, tudíž většinou může všechno

Většinou je to navíc tak, že se narušením paměti vyvolá chybová událost, která se ale podstrčí a ošetření chybové události tak proběhne v kontextu systému! Takže to může umět i víc, než jen aplikace nebo přihlášený uživatel...

Jinak, není to ani tak problém jenom Microsoftu, souvisí to spíše s architekturou procesorů x86 a principem ukládání adres obslužných chybových služeb v paměti poblíž zásobníku...

To si vymyslite, to je nesmysl. O jakych podstrcenych chybovych udalostech tu pisete? Zneuzitim chyby v programu nemuzete ziskat vyssi privilegia nez ten program samotny. Pokud ano, tak by to byla dalsi chyba - ale tentokrat v operacnim systemu.

...e pravděpodobné, že se opravy vzhledem ke zveřejnění exploitu dočkáme již v příštích pravidelných měsíčních opravách.

No lidí používajících FireFox se to netýká a o ty s IE se stará Microsoft.
Takže o nic nejde

john-e, skor nez zacnes pisat picoviny, tak si to odskusaj a zive takisto.
invokes calc.exe if successful. toto je hlavny frame s kodom - http://www.computerterrorism.com/research/ie/fillmem.htm
odskusaj si co urobi ie6 sp2 a co ff 1.0.7.

tak sa ospravedlnujem, urobil som blbo test. ono to funguje. este raz sorry.

a co to ma jako udelat? napsat Test test test???
zkouseno FF 1.5-rc3-r1 GNU/Gentoo

no neviem ako 1.5 , ale ked si na hlavnej stranke: http://www.computerterrorism.com/research/ie/poc.htm vyberies napr. - Microsoft Windows XP (All Service Packs) - tak ff 1.0.7 uplne zatuhne. tomu sa hovori genialny multithreading.

Me Firefox (1.0.7) sice zatuhnul, ale predtim se jeste objevilo nove uzke okno, plne otazniku...

Zabari. Me Mozilla nespustila kalkulacku, ale DOSovsky Wordperfect...

Firefox zatuhnul asi na 15 s pak se objevilo okno s otazniky, dalo se bez problemu zavrit. Firefox jede normalne dal. IE hází výzvu aplikace(mam paranoidni zabezpeceni) a Firewall řve še se IE poukouší něco spustit.
XP SP2 (full WU)
FF 1.0.7
IE 6

Tak to mě podrž. FF zatuhnul a už s ním nešlo nic dělat(mám 600 MHz, takže to možná bude compem). IE asi 15 s po spuštění spustil kalkulačku

Já sem to zkoušel v Maxthonu se zobrazováním IE, ten zatuhnul, ale neměl jsem náladu čekat 15 minut tak sem to killnul. BFU by už dávno držel prst na tl. reset

BFU na počítači tlačítko "reset" nemá a že stačí podržet cca 5 vteřin vypínač neví.

Jinak FF 1.5 RC2 mi zatuhnul a když po minutě neodpovídal, tak sem ho sestřelil.