markasblog

Pwn2Own, jeden z największych na świecie konkursów przygotowanych dla hakerów rusza już w przyszłym tygodniu. Tymczasem Mozilla idąc w ślady Google, wydała poprawki bezpieczeństwa dla przeglądarki Firefox. Firefox w wersji 3.5.17 oraz 3.6.14 pozbawiony został 11 błędów oznaczonych jako krytyczne oraz jednego oznaczonego jako ważny oraz jednego oznaczonego jako umiarkowany. Należy zwrócić uwagę, że jest to pierwsza od dłuższego czasu aktualizacja Firefoksa. Ostatnia miała miejsce w grudniu 2010. Jednym z powodów, dla którego wydanie aktualizacji było opóźnione, była konieczność zbadania błędu występującego we wcześniejszej wersji przeglądarki, który doprowadzał w pewnych sytuacjach do awarii programu.

Poprawki wydane we wtorek wyeliminowały między innymi 3 usterki w obsłudze JavaScript, 2 błędy w silniku przeglądarki, jeden błąd w obsłudze plików JPEG (pisałem również o tym przy okazji klienta Thunderbird 3.1.8), oraz poważny błąd CSRF, który mógł być wykorzystany do przeprowadzenia ataku z wykorzystaniem odpowiednio spreparowanych plików Flash.

Google aktualizacje do przeglądarki Chrome wydał w poniedziałek. W przeglądarce oznaczonej numerem 9.0.597.107 wyeliminowano 16 luk bezpieczeństwa oznaczonych jako ważne oraz 3 oznaczone jako średnie. W nomenklaturze wprowadzonej przez Google jako krytyczne określa się luki w zabezpieczeniach, które umożliwiają wykonanie kodu poza mechanizmem sandbox. Błędy wyeliminowane w poniedziałek dotyczyły przede wszystkim mechanizmu WebGL, API dla sprzętowej akceleracji grafiki 3D, SVG renderingu i animacji oraz błędów związanych z paskiem adresu przeglądarki.

Ciekawe jak w tym roku wypadną przeglądarki internetowe w konkursie. Rok temu przed atakiem hakerów uchroniła się jedynie przeglądarka ze stajni Google. Safari, IE8 oraz Firefox uległy, chociaż w tym miejscu należy podkreślić, że IE od Microsoftu postawiło najmniejszy opór.

Konkursy takie jak Pwn2Own przede wszystkim pomagają  twórcą przeglądarek w tworzeniu bezpieczniejszego oprogramowania. Nam, jako użytkownikom końcowym zwracają uwagę na niedociągnięcia jakie w przeglądarkach są codziennością. Wydaje się, że i w tym roku Internet Explorer po raz kolejny wypadnie blado w stosunku do konkurencji, a  Google po raz kolejny udowodni, że mechanizm sandbox zaimplementowany w ich produkcie jest ciężki, a może nawet niemożliwy do przejścia.

Edit:

Firefoksa w wersji 3.5.17 można pobrać z oficjalnych serwerów Mozilli odpowiednio dla systemów: Windows, Linux, Mac OS X.

Firefoksa w wersji 3.6.14 można pobrać z oficjalnych serwerów Mozilli odpowiednio dla systemów: Windows, Linux, Mac OS X.

Chrome można pobrać z oficjalnych serwerów Google odpowiednio dla systemów Windows, Linux, Mac OS X.

Wczoraj ukazała się nowa wersja przeglądarki Firefox oznaczona numerem 3.6.2. Został w niej wyeliminowany krytyczny błąd w zabezpieczeniach, o którym świat usłyszał już w lutym, pozwalający na zdalne przejęcie kontroli nad atakowaną maszyną. Poza wyeliminowaniem krytycznej luki, poprawiono stabilność przeglądarki eliminując kilka innych mniejszych błędów.

Wspomniana luka istnieje również we wczesnej wersji przeglądarki Firefox 3.7. Dla użytkowników korzystających z wersji 3.7 zalecana jest aktualizacja do wersji Alpha3.

W przeciągu najbliższych 48 godzin aktualizacja przeglądarki powinna pojawić się w mechanizmie automatycznych aktualizacji. Wersję instalacyjną Firefoksa 3.6 można pobrać z oficjalnych serwerów Mozilli odpowiednio dla systemów: Windows, Linux i Mac OS X.

Mozilla postanowiła agresywniej namawiać użytkowników starszych wersji przeglądarki Firefox do aktualizacji do wersji 3.6. Akcja ma być skierowana do użytkowników Firefoksa 3.0 wydanego w 2008 roku oraz Firefoksa 3.5 wydanego w roku 2009. Kampania ma polegać na wyświetlaniu zaproszenia do aktualizacji przeglądarki, a wszystko ma się opierać na systemie automatycznych aktualizacji.

Proces będzie wyglądał podobnie jak wcześniej. Użytkownik ujrzy na ekranie zaproszenie do aktualizacji, które będzie można przyjąć, odłożyć na kolejne 24 godziny lub całkowicie odrzucić. W przypadku tego ostatniego, opcja ta nie działa definitywnie i za jakiś czas zaproszenie pojawi się ponownie. W ten sposób Mozilla chce przekonać nieprzekonanych do aktualizacji. Ważną kwestą w całym procesie jest to, że okienko z propozycją aktualizacji pojawi się dopiero po 1 minucie nieużywania klawiatury. W ten sposób Mozilla chce mieć pewność, że nie przeszkodziła użytkownikowi w pracy.

Mike Beltzner – szef projektu, zwraca uwagę, że jako pierwsi na najnowszą odsłonę Firefoksa powinni migrować użytkownicy, którzy dotychczas korzystali z Firefoksa 3.0. Powodem jest kończący się okres wsparcia dla tej gałęzi przeglądarki, zaplanowany na 30 marca dla wersji 3.0.19.

Firefox 3.6 niesie ze sobą wiele zmian w stosunku do starszych wersji. Ulepszony silnik, szybsze działanie, nowy, lekki mechanizm kompozycji Personas oraz mnogość wtyczek, które już w większości zostały przystosowane do najnowszej odsłony Firefoksa, powinny spowodować, że aktualizacja do najnowszej wersji powinna poskutkować dużo przyjemniejszą pracą.

Rosyjski specjalista ds. bezpieczeństwa opublikował wczoraj informację o wykryciu luki w zabezpieczeniach przeglądarki Firefox umożliwiającej zdalne wykonanie kodu, w skutek czego uszkodzony zostaje stos programu. Luka wykryta została podczas laboratoryjnych testów w środowisku o nazwie Immunity Canvas z zainstalowaną wtyczką Vulndisco.

Lukę wykryto w przeglądarce Firefox 3.6 działającej na systemach Windows XP i Windows Vista.

Evgeny Legerov, założyciel moskiewskiej firmy Intevydis zwraca uwagę, że nie chodzi tutaj o lukę załataną podczas ostatnich aktualizacji starszych wersji przeglądarki Firefox. Przypomnijmy -  ostatnio Mozilla załatała w Firefoksie 3.0 i 3.5 lukę, która również dawała możliwość uszkodzenia stosu przeglądarki.

Mozilla wydała oświadczenie, w którym informuje, że nie znaleziono jeszcze sposobu na wykorzystanie luki w normalnym środowisku pracy. Zapewnia również, że wszelkie sygnały o niebezpieczeństwach związanych z błędami w kodzie przeglądarki są traktowane poważnie i doceniają wkład specjalistów zajmujących się bezpieczeństwem.

Evgeny Legarov konkludując całe wydarzenie wspomniał, że nie jest to pierwszy raz, kiedy w przeglądarce Mozilli wykryto lukę zero-day. Jak do tej pory większość tego typu luk była dostępna dla wąskiego grona zamkniętego w zacisznych laboratoriach wyposażonych w kosztowne oprogramowanie. Niestety wraz ze wzrostem wiedzy specjalistycznej, a także wycieków z zamkniętych ośrodków badawczych, podatności te staną się dostępne w większym stopniu w „normalnym” środowisku.

Ostatnimi czasy odrobinę zabiegany jestem. Niestety zabrakło mi czasu na pisanie artykułów na bloga, co przełożyło się na spore zaległości w informowaniu o wydarzeniach na rynku IT. Jest niedziela, więc to dobry dzień na podsumowanie ostatniego tygodnia.

Według mnie najważniejszym wydarzeniem trzeciego tygodnia stycznia 2010 jest premiera najnowszej wersji przeglądarki internetowej ze stajni Mozilli. Firefox 3.6 – bo o nim tutaj mowa, został wydany praktycznie zgodnie z harmonogramem (oczywiście lekko zmienionym) i wprowadza sporo zmian do wysłużonego już „Ognistego Lisa”. Czy te zmiany są in plus okaże się za jakiś czas. Po kilku godzinach prac z najnowszym Firefoksem nie wiele mogę powiedzieć.

Co nowego?

• większa wydajność osiągnięta dzięki lepszemu zarządzaniu priorytetami dla obsługi kart
• HTML5 File API, które pozwala na rozbudowany dostęp do plików na komputerze z poziomu aplikacji sieciowych uruchomionych w przeglądarce (pobranie, wczytanie, podgląd zawartości) EDIT: Możliwość podglądu pliku jest możliwa dla plików, których zawartość można wyświetlić w przeglądarce standardowo (np.: zdjęcia). Ważną kwestią jest również wprowadzenie możliwości wczytania wielu plików na raz dzięki zastosowaniu parametru input ustawionego na wartość true
• obsługa akcelerometrów
• obsługa Open Web Font Format
• rozbudowane możliwości natywnej obsługi wideo wprowadzonej w HTML5
• rozbudowane możliwości obsługi standardu CSS3 o gradienty
• Personas – lekkie motywy graficzne dla Firefoksa
• poprawione bezpieczeństwo dzięki wprowadzeniu możliwości automatycznego sprawdzenia aktualności wtyczek zainstalowanych w systemie.

Najnowszą wersję Firefoksa można pobrać z oficjalnych serwerów Mozilli dla systemów: Windows, Linux, Mac OS X.

Pierwsze wrażenie

Zdecydowanie nie zauważyłem żeby najnowszy Firefox szybciej się uruchamiał, co akurat nie jest dla mnie większym problemem. Jeżeli chodzi o zapotrzebowanie na RAM, to również nie zauważyłem, żeby Lisek miał mniejszy apetyt. Przy otwartych 4 kartach, 16 rozszerzeniach i zainstalowanym motywie z Personas przeglądarka zajmuje niewiele mniej niż 140 MB pamięci, co też nie jest dla mnie większym problemem. Zauważyłem zdecydowane przyspieszenie przy wczytywaniu stron, co zapewne jest efektem przyznawania pierwszeństwa dla przetwarzania zadań dla aktywnej karty.

Mozilla wydała Firefoksa w wersji 3.5.5, w której w stosunku do wersji 3.5.4 zostały poprawione błędy związane ze stabilnością oprogramowania. Pełna lista wyeliminowanych błędów znajduje się tutaj.

Firefoksa w wersji 3.5.5 można pobrać z serwerów Mozilli odpowiednio dla systemu: Windows, Linux, Mac OS X.

Jednocześnie Mozilla prowadzi prace na gałęzią 3.6, której wersja Beta została udostępniona pod koniec października. Pomimo kilkutygodniowego opóźnienia w udostępnieniu Firefoksa 3.6 do beta-testów, Mozilla zapowiada, że premiera najnowszej wersji przeglądarki odbędzie się zgodnie z planem, czyli pod koniec tego roku.

Akcelerometry znamy z urządzeń mobilnych. To ona odpowiadają za zmianę orientacji ekranu wraz ze zmianą położenia telefonu. Funkcja w mobile jak najbardziej przydatna i trudno mi sobie wyobrazić jej brak w mojej Omni. Mozilla uważa jednak, że przeglądarka na platformy desktopowe również powinna mieć taka funkcjonalność, ponieważ na rynku jest coraz więcej laptopów z akcelerometrami. Tak więc użytkownicy najnowszych modeli MacBooków i ThinkPadów już niedługo będą mogli cieszyć się pełnią możliwości jakie dają urządzenia przekazujące informacje o położenie sprzętu w przestrzeni, ponieważ Mozilla wprowadza do drzewa rozwojowego kodu nowe Davice API. Finalny rezultat prac będzie można zobaczyć w Firefoksie 3.6.

Mozilla udostępniła do pobrania pierwszą wersję alpha przeglądarki internetowej Firefox 3.6. Programiści fundacji postawili sobie za zadanie wprowadzenie wielu udoskonaleń, które mają za zadanie poprawić szybkość działania przeglądarki. Prace mają być skupione nad silnikiem TraceMonkey, który odpowiada za JavaScript, szybszym renderowaniu stron, a także obsłudze nowych funkcji CSS, dzięki czemu przeglądarka zyska większą kontrolę nad wyświetlaniem stron.

Chris Blizzard zapewnia, że prace nad nową wersją przeglądarki będą trwały znacznie krócej niż w przypadku wcześniejszych wersji (w szczególności chodzi o wersję 3.5 Firefoksa). Zapowiadane wydanie wersji końcowej Firefoksa 3.6 jest przewidziane na listopad 2009.

Wersje alpha przeglądarki można pobrać z oficjalnych serwerów Mozilli odpowiednio dla systemu: Windows, Linux, MacOS. Program jest dostępny jedynie w języku angielskim.