Опубликованы результаты аудита системы обновления Firefox

10.10.2018 11:32

Компания Mozilla раскрыла результаты независимого аудита безопасности инфраструктуры, используемой для доставки обновлений к Firefox. В ходе аудита были проверены сервер отдачи обновлений, клиентские компоненты для применения обновлений и используемые проектом методы доставки. Аудит включал как изучение кода на наличие возможных уязвимостей, так и анализ надёжности протокола и стойкости применяемых криптоалгоритмов.

Аудит был выполнен компанией X41 D-SEC и не выявил критических проблем, но обнаружил серию ошибок, среди которых 3 проблемы имеют высокий уровень опасности. Все опасные ошибки найдены в коде серверного бэкенда Balrog и связаны с недоработками управляющего административного web-интерфейса в области защиты от CSRF-атак (Cross-Site Request Forgery). Опасность данных проблем снижается тем, что к Balrog имеет доступ только ограниченное число сотрудников, а для входа применяется многофакторная аутентификация.

В ходе проверки также выявлено несколько ошибок в коде на языке Си, используемом для обработки файлов с обновлениями. Данные проблемы вызваны небезопасной работой с внешними данными и могут привести к отказу в обслуживании. Отмечается, что ошибки не могут привести к модификации обновлений, так как целостность файлов с обновлениями удостоверяется цифровой подписью. В общем виде отмечен высокий уровень защиты сервиса обновлений.

исправить +25 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/49422-mozilla

Ключевые слова: mozilla, firefox, audit

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (32)

1.1, анан (?), 11:45, 10/10/2018 [ответить] [﹢﹢﹢] [ · · · ]	–9 +/–
> в коде на языке Си ну ясно был бы раст, и ошибок не было...

2.3, Qwerty (??), 14:08, 10/10/2018 [^] [^^] [^^^] [ответить]	+8 +/–
Ха, судя по дислайкам, ирония не прошла)))

2.16, Аноним (16), 18:09, 10/10/2018 [^] [^^] [^^^] [ответить]	–2 +/–
список ошибок в студию, тогда можно будет сказать, помог бы там раст или нет против определенных классов ошибок он таки панацея

3.29, Аноним (-), 09:16, 12/10/2018 [^] [^^] [^^^] [ответить]

+/–

> против определенных классов ошибок он таки панацея

Мозила тоже рассказывала что просмотр пдфок на JS безопасным будет. И в результате эти вебмакаки влепили в свой просмотрщик эпичнейший 0day, да еще кроссплатформенный - шик!

Сдается мне что растовики-затейники будут нифига не лучше код писать. За них тоже компилер подумает, что уж там.

4.33, Анноним (?), 13:29, 12/10/2018 [^] [^^] [^^^] [ответить]

+/–

> Сдается мне что растовики-затейники будут нифига не лучше код писать. За них
> тоже компилер подумает, что уж там.

" … положили они железнодорожный рельс и стали пилить: Вз.. пррр-дррр-хррр сказала пила — АГА! сказали мужики и пошли валить лес топором"

1.2, Анонимм (??), 13:59, 10/10/2018 [ответить] [﹢﹢﹢] [ · · · ]	+3 +/–
ну ессьно, не аудит же самого браузера проводить, особенно на предмет шпионажа за пользователями... https://spyware.neocities.org/articles/

2.4, macfaq (?), 14:12, 10/10/2018 [^] [^^] [^^^] [ответить]	+8 +/–
Это теперь телеметрия называется.

3.18, Анонимм (??), 19:13, 10/10/2018 [^] [^^] [^^^] [ответить]	–4 +/–
фашисты в концлагерях побои тоже называли благими словами...

4.20, qcgg (?), 23:41, 10/10/2018 [^] [^^] [^^^] [ответить]	+2 +/–
в контексте "фашисты в концлагерях", слово "побои" звучит как-то безобидно.

5.30, Аноним (-), 09:19, 12/10/2018 [^] [^^] [^^^] [ответить]	+/–
> в контексте "фашисты в концлагерях", слово "побои" звучит как-то безобидно. Для более обидных случаев была "дезинфекция". Например таким полезным для здоровья химикатом как циклон-б.

1.5, Аноним (5), 14:19, 10/10/2018 [ответить] [﹢﹢﹢] [ · · · ]	+8 +/–
А как такое поведение называется, не напомните, когда софт что-то себе качает и выполняет, кладя болт на пожелания пользователя? А если удалить или запретить запись, начинает или тупить при завершении, или создавать каталоги с другим именем. Запамятовал чуток, помогите.

2.9, Почти аноним (?), 16:16, 10/10/2018 [^] [^^] [^^^] [ответить]	+24 +/–
Windows 10 называется.

2.34, Fyj (?), 19:04, 12/10/2018 [^] [^^] [^^^] [ответить]	+/–
Недонастроенность. А еще можно назвать "чужая сборка", "мне лень писать свой браузер" и т д

2.35, denmatv94 (?), 20:56, 12/10/2018 [^] [^^] [^^^] [ответить]	+/–
Она самая, как есть Windows 10)) Дерьмософт, короче...

2.36, macfaq (?), 14:37, 15/10/2018 [^] [^^] [^^^] [ответить]	+/–
> А как такое поведение называется, не напомните, когда софт что-то себе качает > и выполняет, кладя болт на пожелания пользователя? А если удалить или > запретить запись, начинает или тупить при завершении, или создавать каталоги с > другим именем. Запамятовал чуток, помогите. Тупой пользователь, который не знает, как лучше. Ему помогут.

1.6, Аноним (-), 14:52, 10/10/2018 [ответить] [﹢﹢﹢] [ · · · ]	+4 +/–
> серверного бэкенда Balrog Может не надо называть серверный компонент именем древнего демона?

2.7, anonimous (?), 15:10, 10/10/2018 [^] [^^] [^^^] [ответить]	+6 +/–
Это оскорбляет чувства сатанистов?

3.8, A.Stahl (ok), 15:57, 10/10/2018 [^] [^^] [^^^] [ответить]	+2 +/–
Нет, сатанисты-то тут при чём? Возмущаются хипстеры: демон ведь древний.

3.28, Аноним (28), 13:32, 11/10/2018 [^] [^^] [^^^] [ответить]	+/–
Это демон из "Властелина колец", вообще-то. Перед тем, как строчить коммент, погуглил бы, о чем идет речь, чтобы не позориться.

4.32, anonimous (?), 13:24, 12/10/2018 [^] [^^] [^^^] [ответить]	+/–
Ну я не знаю с каких фэнтезийных произведений демоны считаются достойными поклонения а с каких нет. Да и не важно учитывая комический тон комментария.

2.10, Аноним (10), 16:17, 10/10/2018 [^] [^^] [^^^] [ответить]	+1 +/–
А может не надо суеверий в 2019? И как же демоны в линуксе? Может поэтому с десктопной долей так плохо и надо переименовать от греха подальше?

3.12, Поцтерингэкзорцист (?), 16:24, 10/10/2018 [^] [^^] [^^^] [ответить]

+/–

> И как же демоны в линуксе?

все ок, успешно изведены почти все.

> Может поэтому с десктопной долей так плохо и надо переименовать от греха подальше?

наоборот, ради десктопной доли не переименовали, а старательно уничтожили как класс - у нас теперь "сервисы", "как в винде".
Правильно отцепляться от controlling tty уже почти все разучились, и мы работаем над тем, чтобы разучились окончательно.

А на одном демоническом заклинании fork далеко не уедешь.

4.15, axredneck (?), 17:09, 10/10/2018 [^] [^^] [^^^] [ответить]	+2 +/–
В винде - службы и иконки, а в линуксе - демоны, зомби, powerdevil, bluedevil, kill, killall...

5.17, Аноним (17), 19:09, 10/10/2018 [^] [^^] [^^^] [ответить]	+/–
/etc/services смотреть запрещают?

3.31, Клыкастый (ok), 10:19, 12/10/2018 [^] [^^] [^^^] [ответить]	+/–
> И как же демоны в линуксе? Кастрированы. Demons превратились в daemons.

2.11, нах (?), 16:20, 10/10/2018 [^] [^^] [^^^] [ответить]	–1 +/–
чего бы это не называть, рабы должны помнить, какому хозяину они на самом деле служат!

2.14, axredneck (?), 17:05, 10/10/2018 [^] [^^] [^^^] [ответить]	+/–
Так он и есть демон, не?

2.21, имя (?), 05:01, 11/10/2018 [^] [^^] [^^^] [ответить]	+/–
не переживай, гендальф белый тебе придет на помощь, если что!

2.23, Mozilla Corporation (?), 10:12, 11/10/2018 [^] [^^] [^^^] [ответить]	+2 +/–
Чтобы всех отыскать, воедино собрать и единою чёрною волей сковать.

1.13, Аноним (13), 16:31, 10/10/2018 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
Через PVS*****o прогнали?

1.19, VINRARUS (ok), 21:13, 10/10/2018 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
Пфф, а я сам написал автоматическую обновлялку огнепанды на shell.

2.22, Аноним (22), 07:54, 11/10/2018 [^] [^^] [^^^] [ответить]	+/–
> Пфф, а я сам написал автоматическую обновлялку огнепанды на shell. Молодец. Можешь теперь продать мозиловцам, они заменят им свой древний balrog

игнорирование участников | лог модерирования

Добавить комментарий

Текст: