The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

10.10.2018 11:32  Опубликованы результаты аудита системы обновления Firefox

Компания Mozilla раскрыла результаты независимого аудита безопасности инфраструктуры, используемой для доставки обновлений к Firefox. В ходе аудита были проверены сервер отдачи обновлений, клиентские компоненты для применения обновлений и используемые проектом методы доставки. Аудит включал как изучение кода на наличие возможных уязвимостей, так и анализ надёжности протокола и стойкости применяемых криптоалгоритмов.

Аудит был выполнен компанией X41 D-SEC и не выявил критических проблем, но обнаружил серию ошибок, среди которых 3 проблемы имеют высокий уровень опасности. Все опасные ошибки найдены в коде серверного бэкенда Balrog и связаны с недоработками управляющего административного web-интерфейса в области защиты от CSRF-атак (Cross-Site Request Forgery). Опасность данных проблем снижается тем, что к Balrog имеет доступ только ограниченное число сотрудников, а для входа применяется многофакторная аутентификация.

В ходе проверки также выявлено несколько ошибок в коде на языке Си, используемом для обработки файлов с обновлениями. Данные проблемы вызваны небезопасной работой с внешними данными и могут привести к отказу в обслуживании. Отмечается, что ошибки не могут привести к модификации обновлений, так как целостность файлов с обновлениями удостоверяется цифровой подписью. В общем виде отмечен высокий уровень защиты сервиса обновлений.

  1. Главная ссылка к новости (https://blog.mozilla.org/secur...)
  2. OpenNews: Аудит сетевого стека NetBSD выявил уязвимости в BSD-системах
  3. OpenNews: Аудит безопасности набора procps-ng выявил опасные уязвимости
  4. OpenNews: Подведены итоги аудита кода библиотеки GNU libmicrohttpd
  5. OpenNews: Выпуск OpenVPN 2.4.2, в котором отражены результаты аудита безопасности
  6. OpenNews: Аудит VeraCrypt выявил 8 критических уязвимостей
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: mozilla, firefox, audit
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, анан (?), 11:45, 10/10/2018 [ответить] [показать ветку] [···]    [к модератору]
  • –9 +/
    > в коде на языке Си

    ну ясно был бы раст, и ошибок не было...

     
     
  • 2.3, Qwerty (??), 14:08, 10/10/2018 [^] [ответить]    [к модератору]
  • +8 +/
    Ха, судя по дислайкам, ирония не прошла)))
     
  • 2.16, Аноним (16), 18:09, 10/10/2018 [^] [ответить]    [к модератору]
  • –2 +/
    список ошибок в студию, тогда можно будет сказать, помог бы там раст или нет
    против определенных классов ошибок он таки панацея
     
     
  • 3.29, Аноним (-), 09:16, 12/10/2018 [^] [ответить]     [к модератору]
  • +/
    Мозила тоже рассказывала что просмотр пдфок на JS безопасным будет И в результа... весь текст скрыт [показать]
     
     
  • 4.33, Анноним (?), 13:29, 12/10/2018 [^] [ответить]    [к модератору]  
  • +/
    > Сдается мне что растовики-затейники будут нифига не лучше код писать. За них
    > тоже компилер подумает, что уж там.

    " … положили они железнодорожный рельс и стали пилить: Вз.. пррр-дррр-хррр сказала пила — АГА! сказали мужики и пошли валить лес топором"


     
  • 1.2, Анонимм (??), 13:59, 10/10/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +3 +/
    ну ессьно, не аудит же самого браузера проводить, особенно на предмет шпионажа за пользователями...

    https://spyware.neocities.org/articles/

     
     
  • 2.4, macfaq (?), 14:12, 10/10/2018 [^] [ответить]    [к модератору]  
  • +8 +/
    Это теперь телеметрия называется.
     
     
  • 3.18, Анонимм (??), 19:13, 10/10/2018 [^] [ответить]    [к модератору]  
  • –4 +/
    фашисты в концлагерях побои тоже называли благими словами...
     
     
  • 4.20, qcgg (?), 23:41, 10/10/2018 [^] [ответить]    [к модератору]  
  • +2 +/
    в контексте "фашисты в концлагерях", слово "побои"  звучит как-то безобидно.
     
     
  • 5.30, Аноним (-), 09:19, 12/10/2018 [^] [ответить]    [к модератору]  
  • +/
    > в контексте "фашисты в концлагерях", слово "побои"  звучит как-то безобидно.

    Для более обидных случаев была "дезинфекция". Например таким полезным для здоровья химикатом как циклон-б.

     
  • 1.5, Аноним (5), 14:19, 10/10/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +8 +/
    А как такое поведение называется, не напомните, когда софт что-то себе качает и выполняет, кладя болт на пожелания пользователя? А если удалить или запретить запись, начинает или тупить при завершении, или создавать каталоги с другим именем. Запамятовал чуток, помогите.
     
     
  • 2.9, Почти аноним (?), 16:16, 10/10/2018 [^] [ответить]    [к модератору]  
  • +24 +/
    Windows 10 называется.
     
  • 2.34, Fyj (?), 19:04, 12/10/2018 [^] [ответить]    [к модератору]  
  • +/
    Недонастроенность. А еще можно назвать "чужая сборка", "мне лень писать свой браузер" и т д
     
  • 2.35, denmatv94 (?), 20:56, 12/10/2018 [^] [ответить]    [к модератору]  
  • +/
    Она самая, как есть Windows 10)) Дерьмософт, короче...
     
  • 2.36, macfaq (?), 14:37, 15/10/2018 [^] [ответить]    [к модератору]  
  • +/
    > А как такое поведение называется, не напомните, когда софт что-то себе качает
    > и выполняет, кладя болт на пожелания пользователя? А если удалить или
    > запретить запись, начинает или тупить при завершении, или создавать каталоги с
    > другим именем. Запамятовал чуток, помогите.

    Тупой пользователь, который не знает, как лучше. Ему помогут.

     
  • 1.6, Аноним (-), 14:52, 10/10/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +4 +/
    > серверного бэкенда Balrog

    Может не надо называть серверный компонент именем древнего демона?

     
     
  • 2.7, anonimous (?), 15:10, 10/10/2018 [^] [ответить]    [к модератору]  
  • +6 +/
    Это оскорбляет чувства сатанистов?
     
     
  • 3.8, A.Stahl (ok), 15:57, 10/10/2018 [^] [ответить]    [к модератору]  
  • +2 +/
    Нет, сатанисты-то тут при чём? Возмущаются хипстеры: демон ведь древний.
     
  • 3.28, Аноним (28), 13:32, 11/10/2018 [^] [ответить]    [к модератору]  
  • +/
    Это демон из "Властелина колец", вообще-то. Перед тем, как строчить коммент, погуглил бы, о чем идет речь, чтобы не позориться.
     
     
  • 4.32, anonimous (?), 13:24, 12/10/2018 [^] [ответить]    [к модератору]  
  • +/
    Ну я не знаю с каких фэнтезийных произведений демоны считаются достойными поклонения а с каких нет. Да и не важно учитывая комический тон комментария.
     
  • 2.10, Аноним (10), 16:17, 10/10/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    А может не надо суеверий в 2019?
    И как же демоны в линуксе? Может поэтому с десктопной долей так плохо и надо переименовать от греха подальше?
     
     
  • 3.12, Поцтерингэкзорцист (?), 16:24, 10/10/2018 [^] [ответить]    [к модератору]  
  • +/
    > И как же демоны в линуксе?

    все ок, успешно изведены почти все.

    > Может поэтому с десктопной долей так плохо и надо переименовать от греха подальше?

    наоборот, ради десктопной доли не переименовали, а старательно уничтожили как класс - у нас теперь "сервисы", "как в винде".
    Правильно отцепляться от controlling tty уже почти все разучились, и мы работаем над тем, чтобы разучились окончательно.

    А на одном демоническом заклинании fork далеко не уедешь.

     
     
  • 4.15, axredneck (?), 17:09, 10/10/2018 [^] [ответить]    [к модератору]  
  • +2 +/
    В винде - службы и иконки, а в линуксе - демоны, зомби, powerdevil, bluedevil, kill, killall...
     
     
  • 5.17, Аноним (17), 19:09, 10/10/2018 [^] [ответить]    [к модератору]  
  • +/
    /etc/services смотреть запрещают?
     
  • 3.31, Клыкастый (ok), 10:19, 12/10/2018 [^] [ответить]    [к модератору]  
  • +/
    > И как же демоны в линуксе?

    Кастрированы. Demons превратились в daemons.

     
  • 2.11, нах (?), 16:20, 10/10/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    чего бы это не называть, рабы должны помнить, какому хозяину они на самом деле служат!
     
  • 2.14, axredneck (?), 17:05, 10/10/2018 [^] [ответить]    [к модератору]  
  • +/
    Так он и есть демон, не?
     
  • 2.21, имя (?), 05:01, 11/10/2018 [^] [ответить]    [к модератору]  
  • +/
    не переживай, гендальф белый тебе придет на помощь, если что!
     
  • 2.23, Mozilla Corporation (?), 10:12, 11/10/2018 [^] [ответить]    [к модератору]  
  • +2 +/
    Чтобы всех отыскать, воедино собрать и единою чёрною волей сковать.
     
  • 1.13, Аноним (13), 16:31, 10/10/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    Через PVS*****o прогнали?
     
  • 1.19, VINRARUS (ok), 21:13, 10/10/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    Пфф, а я сам написал автоматическую обновлялку огнепанды на shell.
     
     
  • 2.22, Аноним (22), 07:54, 11/10/2018 [^] [ответить]    [к модератору]  
  • +/
    > Пфф, а я сам написал автоматическую обновлялку огнепанды на shell.

    Молодец. Можешь теперь продать мозиловцам, они заменят им свой древний balrog

     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor