Vyvojare Mozilly samozrejme cti ze vydali opravu tak rychle. Pokud se na to ale podivam z druhe strany uz tak nejasam. Jelikoz jsou k temto produktum k dispozici zdrojove kody komukoliv, neexistuje jistota ze chyba nemohla byt zneuzivana po celou dobu kdy poprve Mozilla 1.7 spatrila svetlo sveta. Jiste tohle se muze dit i u closed source, jenze zde je prave tohle riziko mnohem mensi.

no, ked to beries takto, tak by som sa nebal, co je to <10% userov mozilly/firefoxu oproti pouzivatelom IE? ktory browser je asi viac napadany?

Ještě chybí informace o tom, jak dlouho oni vývojáři o chybě věděli, než ji tak promptně a pohotově opravili...

V tom je prave kouzlo open source, ze kdo chce muze se podivat na zdrojaky a tu chybu najit, trebas kdyby to open source nebylo tak je tam ta chyba porad. V tomhle vidim prave tu nejvetsi vyhodu, zcela transparentni vyvoj...

On July 7 (yesterday) a security vulnerability affecting browsers for the Windows operating system was posted to Full Disclosure, a public security mailing list. On the same day, the Mozilla security team confirmed the report of this security issue affecting the Mozilla Application Suite, Firefox, and Thunderbird and discussed and developed the fix at Bugzilla bug 250180. We have confirmed that the bug affects only users of Microsoft's Windows operating system. The issue does not affect Linux or Macintosh users.

"u closed source, jenze zde je prave tohle riziko mnohem mensi" - Tak tenhle zaver mi nepripada moc jasny. Je otazka zda zdrojovy kod muze k tomuhle nejak vyznamne pomoct. Ja bych treba tipoval ze vetsina chyb se najde experimentalne, hlavne ty typu buffer overflow, pripadne studiem primo EXE souboru a dekompilaci do assembleru. Zdrojovy kod je uz vyssi uroven, spis je casto dulezitejsi vedet co z toho kompiler vygeneruje nez jak vypada zdrojovy kod.

Nerikam, ze zdrojovy kod nemuze pomoct vubec, muze. Ale tak kriticky bych to nevidel. A hlavne krome tech zlych muze taky pomoct tem dobrym - tzn. chyba se drive najde. U closed source maji naopak vyhodu ti zli - chyba se najde ale je nemozne pro ostatni ji opravit.

F

Jak tak koukam, tak je to reseni ala microsoft. Neco nefunguje, nebo je tam dira, tak to vypneme. Je to jenom zmena v konfiguraci.
viz
http://www.mozilla.org/security/shell.html

i to male procento uzivatelu treba mozilly je svym zpusobem pro nekoho zajimave, nehlede na fakt, ze hodne lidi si mysli, ze nepouzivanim MS produktů se ochrani... ja osobne uz nemam tolik casu, abych se podival jestli je uz nova verze, zaplata atd. firewall neustale blokuje zaskodniky zkousejici prave nejakou "diru" kterou bych mohl mit, ach jo :-( no, mozna tam uz neco mam, a hold to je asi o tom, ze to jeste nevim :-)

ad Martin: ano, i z pozice hackera je to jistojistě také positivní. Pokud najde skrytou chybu, může ji (do doby než ji najde poctivý nálezce) patřičně zneužít... Viz eMko. Takže opensource má některé (na první pohled) kladné vlastnosti, které se dají využít proti němu samotnému.

Detty: No protoze to neni chyba v mozille, ale v exploreru, prekvapive. Proste se zabanuji shell: pozadavky.

No odhodme ted nejake predsudky o MS apod. a zkusme se na celou vec podivat tak nejak v obecne rovine. Zamysleme se ted nad hypotetickym scenarem ktery by mohl nastat. Dejme tomu, ze Mozillu bude pouzivat nejakych 90% uzivatelu kteri surfuji na webu. Jelikoz k Mozille mame zdrojove kody k cemu dojde? 90% uzivatelu je tak ohromne cislo ze se vsem profesionalnim hackerum a tim myslim opravdu profesionaly, kteri mohou byt i najimani proste vyplati prohledavat prave zdrojaky a diky nim se dobirat nejruznejsich bezpecnostnich nedostatku, ktere jsou proste v kazdem programu. I kdyz budou opravy vydavany rychle coz je vyhoda Open Sourcu kterou uznavam nezabranime tomu, ze bude existovat urcity casovy prostor pro zneuziti chyby. V prni chvili se totiz o nedostatku vubec nebude vedet. Dalsi problem nastane s vydanim updatu ci cele nove verze. Je to sice smutne ale bezny uzivatel vubec nema poneti o nejake bezpecnosti. Je tedy zcela zcestne domnivat se ze alespon 60% z tech 90% uzivatelu updatuje na opravenou verzi. Pokud se nepletu FireFox a dalsi postradaji sluzbu podobnou WindowsUpdate, se kterou by se tento nepomer mohl zmenit k lepsimu. Nevim ale at se snazim jakkoliv domnivam se ze v soucasne dobe by Mozilla a jeji dalsi odnoze pri rozsirenosti jakou ma dnes IE predstavovaly pro uzivatele mnohem vetsi riziko nez dnes predstavuje IE.

Keddie: Ja myslim ze cela vec je hlavne o tom, ze bude-li chtit profik najit nejaky problem v closed source ma praci mnohem slozitejsi nez kdyby se pokousel o to same u Open Source. Co se tyce WindowsUpdate, mas pravdu ze ne vsichni ho pouzivaji. Ale pokud si videl napriklad SP2 a jeho jasna doporuceni myslim ze i BFU pochopi proc WindowsUpdate zapnout. Tohle uz je ale prilis konkretni priklad. Zkus si sam zodpoved na otazku jestli by byla Mozilla porad tak bezpecna kdyby ji dnes pouzivalo tolik lidi co IE.

eMKo: Bude li chtit profik najit diru v jakemkoliv programu, tak ji najde, pokud tam je. Je to jenom otazka namahy(penez) a mozneho zisku.

A tohle prave nahrava tem zlym profikum. Z dobre vule moc lidi hledat chyby v closed source programu nebude. Ty, kteri tim neco ziskaji, neexistence zdrojaku vubec nezastavi.

Naopak u open source maji ti dobri daleko vice sanci. Muzou chyby hledat (zdrojaky vidi mnohem vic lidi) a hlavne je i opravovat. A ta motivace tech dobrych je u open source daleko vetsi. Treba ti totiz i nekdo podekuje, chyba se pak skutecne opravi a tve jmeno si treba i nekdo zapamatuje. U closed source se to casto jenom zamete pod koberec a neopravi se nic, dokud to fakt nehori. Kdo by se pak namahal.

Bohužel se asi neshodneme. Sve duvody jsem napsal a tezko pod tihou techto faktu mohu zmenit nazor.

Ono to s tou chybou neni tak jednoznacne.
Viz treba http://software.newsforge.com/article.pl?sid=04/07/08/2327246&mode=n...
Problem je spis v samotnem protokolu shell: nez v prohlizeci. Prohlizec pouze poskytuje k tomu protokolu pristup. To, co vyvojari Mozilly udelali je, ze strankam zakazali pristup k tomuto protokolu, ktery jak se ukazalo neni bezpecny (autorem tohoto protolu ale neni Mozilla.org, nybrz autor operacniho systemu. Mozilla.org za nej odpovednost nenesou a nemohli problem vyresit jinak, nez se pristup k tomuto protokolu zakazali).

Zda vas prohlizec tento protokol zpristupni si lze vyzkouset zde http://www.mccanless.us/mozilla/mozilla_bugs.htm (zkuste si to i v IE)

2 eMKO: Jenze ty vychazis z predpokladu, ze open source i closed source SW ma na zacatku stejne ne-/kvalitni zdrojak. Ale pokud u open s. je siroka komunita vyvojaru, z nichz alespon cast vi, ktera bije, tak IMHO kvalita vychoziho kodu bude odlisna a tak i odlisna obtiznost dohledani chyb, resp. jejich zavaznost. Vse je to o programatorech a zpusobu vyvoje. A kolik jich kde muze pracovat, si umi asi kazdej predstavit sam.
2 StreamLine: Tato obava plati jen v pripade, ze ten projekt vyviji jedna osoba nebo uzavrena komunita. A pokud se to nejak tyka bezpecnosti a ma to nejake dobre vyuziti, tak IMHO je dost paranoiku, kteri nevahaj obetovat cas, aby si potvrdili, ze vse je tak, jak ma byt (z jejich pohledu).
U closed source jako obycejnej user nemas skoro zadnou sanci backdoory objevit (treba univerzalni hesla)

Zdravim.
Ako treba ten path nainstalovat.D.
Jano

jano> navod najdes na http://forum.czilla.cz/viewtopic.php?t=2165

Met: No problem bude jinde. Jelikoz je prohlizec regulerni aplikace pokud se programator usmysli, muze samozrejme jakoukoliv funkci spoustet dalsi aplikace a vykonavat dalsi veci s patricnymi privilegii. Bez pochyb se jedna o chybu Mozilly. Tenhle protokol nemel byt z Mozilly proste dostupny.

Hmm dobry.. A kdy tuhle chybu opravi MS v IE? Na svatyho Dyndy? :-P http://www.packetfocus.com/shell_exploit.htm

No u me to nejak nefunguje. Windows XP SP2 RC2

To je mozny. Ale beta SP2 asi moc lidi nainstalovanej nema, co?

XxX: Ted jsem to otestoval na druhe konfiguraci. Windows XP SP1 Prof CZ se vsemi dostupnymi hotfixy. Exploit take nefunguje. Po kliknuti na test se pouze zobrazi dialogove okno s moznosti ulozeni souboru. Takze bych informace na vyse uvedenem webu povazoval za zastarale.

Vono by mozna stacilo UMET CIST... Zadej si to do address baru. Ach jo.

XxX: vis ja to precetl. Jenze asi to tezko lze povazovat za chybu kdyz se to nespusti "samo". Uz vidim jak si clovek vypisuje do prohlizece shell: url :)))

eMKo> Zkusme se na to podivat poradne. Protokol shell: byl normalne dostupny (jak v Mozille tak treba v IE) a pouzivany v nekterych intranetovych aplikacich. Vyvojari Mozilly opravdu nemohou za to, ze ve Windows XP se v tomto protokolu objevil bezpecnostni problem, ktery umoznuje spoustet aplikace na lokalnim pocitaci (treba syntaxi shell:windows\notepad.exe). Dira v Mozille vznikla jen jako nasledek tohoto problemu a vyvojari Mozilly se ji snazili hned vyresit. Ve vysledku to bude znamenat nefunkcnost nekterych intranetovych aplikaci, ktere tento protokol pouzivaly a vyzadovaly (on te protokol mel smysl a mel byt z prohlizece dostupny). Viz treba http://connect.cpress.cz/Systemy/AR.asp?ARI=100961

Ano, jiste. Takze jak pises: "Bez pochyb se jedna o chybu Mozilly. Tenhle protokol nemel byt z Mozilly proste dostupny." Ale ze JE dostupny z IE, to asi nevadi a chyba to neni. Ono totiz po aplikaci zaplaty v Mozille NENI dostupny ani z address baru.

Jenze je rozdil, jestli to jde vyuzit nebo ne. Pokud to na "dalku" nespustis je to prakticky jedno. I kdyz spravne by to byt mozne nemelo. Jenze provazanost mezi IE a Explorerem je zrejma a asi uplne shell vyhodit neni mozne v zajmu zachovani kompatibility. A to ze Mozilla zahrnovala tuto funkci je jen a jen jeji chyba je snad nekde ve standardu konzorcia w3c neco o shell?

Ano, takze u IE to chyba neni a u Mozilly ano, to je vsem prece uplne jasne, to da zdravy rozum. No nic, jdu se venovat necemu uzitecnejsimu.

met: To ale stale nemeni nic na tom ze shell nemel byt z Mozilly nikdy dostupny. Je snad nekde ve specifikaci weboveho prohlizece ze ma podporovat tuto funkci, ktera je pouze ve Windows XP? Kdyby tomu tak bylo opravdu bych se velmi divil. To ze to implementoval MS je pouze jeho vec a vi jak s ni nalozit. Taky ze v jejich prohlizeci to funguje spravne tzn. automaticky se nic nespusti po manualnim zadani to lze. Takze funkci lze urcite pouzit bez toho aniz by doslo k nejakemu problemu. Nechapu proc se Mozilla do shellu hrnula kdyz evidentne nevedela co s tim a nakonec to dopadlo tak jak to dopadlo. Jiste muzeme tu na sebe plivat ze shell patri MS, patri ale pravda je ze MS ho zvladl zkrotit a Mozilla nikoliv.

XxX: ne u MS to chyba neni. Dokud nedojde automaticky k vykonani aplikace tezko to lze povazovat za chybu. Jak tu predemnou napsal met, funkce se v jistych reseni pouziva a proto ji ma i IE. Nicmene je v nem bezpecne ukotvena, v Mzille tomu tak nebylo.

Jasne, mas naprostou pravdu. Pristup k shellu rozhodne patri do internetoveho prohlizece... Obzvlaste pokud je pevne provazan s operacnim systemem. To rozhodne neni chyba a at MS ani nenapadne takovou funkci odstranovat! Hackerum se muze rozhodne hodit!

Dejte porad pokoj s tim "alternativni prohlizec". Stve me to a vsude to pisou. Mozilla je internetovy prohlizec, Opera je internetovy prohlizec, IE je internetovy prohlizec. Mozilla, ani Opera NENI alternativni internetovy prohlizec. Slovo "alternativni" se vzdy vztahuje k necemu. To jako, ze Mozilla je alternativa k IE? To zni, jako kdyby IE byl nakej svetovej standard a Mozilla jenom naka chudoucka alternativa, kterou nikdo nepouziva.

XxX: ano odpovedel sis. To je ten duvod proc ho Mozilla plne podporovala. Pokud mas nejaky funkcni exploit pro IE a funkci shell sem s nim.

Ad XxX: a vubec napis si do url radku IE file:///c:/  Jezis dalsi bezpecnosti chyba? A nebo jeste lip
file:///c:/windows/notepad.exe  Proboha takova chyba no to je hruza.
Doufam ze ted uz chapes ten rozdil!

No vidis, dalsi chyba v IE. Mozilla se pta, jestli ma ten soubor otevrit nebo ulozit. :-P

Pokud to jeste nekoho zajima, tady o tom, ze se ten problem tyka i IE pisou trochu podrobneji http://www.infoworld.com/article/04/07/12/HNmicromozilla_1.html

Pardon jsem trouba, nemelo tam byt IE, ale dalsi programy od MS, napr. Word.

RE eMKo: Stacilo chvilku pockat a uz mame opravu na to same v IE - viz http://www.cdr.cz/a/11097