Opravena bezpečnostní chyba ve Firefoxu 3.6

Před necelým měsícem jsme psali o údajné bezpečnostní chybě, kterou ve Firefoxu 3.6 objevila jedna ruská společnost. Detaily chyby však nikdy volně nezveřejnila, takže panovaly pochybnosti, zda se skutečně jedná o bezpečnostní chybu či je to pouze snaha společnosti na sebe upozornit. V minulosti se totiž již několikrát stalo, že oznámená bezpečnostní chyba ve skutečnosti bezpečností nebyla, případně se jednalo o výmysl.

Jak bylo ale ve čtvrtek oznámeno v Mozilla Security Blogu, v tomto případě se skutečně o bezpečnostní chybu jednalo. Její objevitel, Evgeny Legerov, ji nakonec nahlásil Mozille, která ji následně opravila. Chyba se týká pouze Firefoxu 3.6 a oprava bude součástí následující aktualizace, kterou bude Firefox 3.6.2. Ten je již nyní dostupný v podobě betaverze a ve finální verzi vyjde 30. března.

Chybě se blíže věnoval server InfoWorld, který zmínil i některé další zajímavosti. Popisuje například rozhořčené reakce některých lidí na počínání serveru Secunia.com, který v únoru uvedl tuto chybu ve své databází aniž by si ověřil, že se ve skutečně jedná o bezpečnostní chybu. Jediná informace, která tehdy byla dostupná, byl pouze zápisek ve fóru bez možnosti si informaci jakkoliv ověřit.

Ve článku jsou též zmíněny nejasné motivy objevitele chyby, který prvně na e-maily od Mozilly úmyslně nereagoval, a chybu nahlásil až teprve nedávno. Popis chyby přitom nikde nezveřejnil a není tak zneužívána.

Přečtěte si také

9 odpovědí

  1. Štěpán Pernický napsal(a) :

    A verze 3.6.1 vyjde kdy? Pokud vím, tak je aktuální verze 3.6

  2. Pavel Cvrček napsal(a) :

    [1] Firefox 3.6.1 nikdy nevyjde. Psali jsme o tom ke konci ledna. Osobně mi to též přijde matoucí.
    http://www.mozilla.cz/zpravicky/prehled-nejblizsich-planovanych-verzi-firefoxu/

  3. josefec napsal(a) :

    A ve 3.6.2 nakonec oddělený běh zásuvných modulů nebude? Nebo ani nikdy neměl být?

  4. Pavel Cvrček napsal(a) :

    [3] Jak bylo řečeno, oddělený běh zásuvných modulů bude dostupný v rámci jedné z aktualizací Firefoxu 3.6. Orientačně se hovořilo o Firefoxu 3.6.2, který měl být druhou aktualizací, ale vzhledem k tomu, že verze 3.6.1 byla přeskočena, bude druhou aktualizací až následná verze (3.6.3?). Není však nikde řečeno, že se to v ní objeví.

  5. Zdeněk Brázda napsal(a) :

    Je velká ostuda, že Mozilla zpochybňovala advisory od Secunie !
    A to více než měsíc !

    Kdyby Mozillu nekontaktoval přímo objevitel bezpečnostní díry, tak by se tím pravděpodobně nezabývala nikdy !

    To je fakt síla. Zpochybňovali Secunia.com, který vždy vše testuje také (ohlášení nestačí, sami to vždy testují) a dokonce je musel kontaktovat sám autor. Proč by to měl vůbec dělat ? To byl opravdu dobrák od kosti.

    Na takovýto přístup by nebylo ani 50 vykřičníků dostatek !

  6. Zdeněk Brázda napsal(a) :

    “ Popisuje například rozhořčené reakce některých lidí na počínání serveru Secunia.com, který v únoru uvedl tuto chybu ve své databází aniž by si ověřil, že se ve skutečně jedná o bezpečnostní chybu. “

    To si děláte legraci ? Bezpečnostní server bude (každému natvrdlému výrobci) potvrzovat, že to co publikuje, je pravda ?

    To je tedy vrchol. Mozilla se zcela zbláznila. Secunia nikdy nepublikovala advisory, kterou by sama neotestovala, že je funkční !

    = Rozhočené reakce na tak dlouhou dobu neschopnosti Mozilly !

  7. Pavel Cvrček napsal(a) :

    [5][6] Server Secunia.com ve svém blogu sám uvedl, že detaily chyby neměl k dispozici, neměl možnost si ji jakkoliv ověřit a dal pouze na dobré slovo 🙂 Jak je v příspěvku uvedeno, Mozilla objevitele chyby kontaktovala, ale ten nereagoval. Ostatně, i do svého blogu uvedl něco ve stylu „Mozillo, nekontaktujte mě, nemá to cenu“ 🙂

  8. Zdeněk Brázda napsal(a) :

    – To možná uvedli, protože se jste se ptali někoho nekompetentního.
    Secunia.com jako celek to kontroluje vždycky.

    – Autor samozřejmě Mozillu odpálkoval, protože informace poskytl Secunii. Navíc taky pochybuji, že by ho kontaktovali oficiální představitelé Mozilla Security. Spíše, jako obvykle, nějaký nadšený bloger, se dožadoval odpovědi. :)))

  9. Pavel Cvrček napsal(a) :

    [8] Jak jsem řekl, informace pochází z oficiálního blogu Secunie, kde ji prezentoval sami představitelé Secunie. Secunia si chybu neměla jak ověřit, dala jen na dobré slovo, což je v uvedeném příspěvku též řečeno.