markasblog

Mozilla w piątek ogłosiła, że 12 wersja przeglądarki Firefox nie będzie wpierana przez systemy operacyjne Windows XP RTM (Release to Manufacturing), Windows XP SP1 oraz Windows 2000. Minimalnymi wymaganiami dla Firefoksa 13 będzie Windows Xp SP2.

Ograniczenie obsługiwanych systemów ze stajni Microsoftu ma za zadanie znacznie polepszyć wydajność flagowego produktu Mozilli. Sama decyzja nie powinna być dla nikogo zaskoczeniem, ponieważ rozmowy na temat porzycenia wsparcia dla starczych systemów Windows ciągnęły się już od 3 lat.

Koniecznieczność wsparcia starszych systemów wymuszała na programistach Mozilli nieużywanie nowych funkcji kompilatora co poskutkowało opóźnieniem we wprowadzaniu rewolucyjnych funkcji. Przykładem może być opóźnienie wprowadzenia protokołu SPDY. Mozilla wzywa użytkowników do aktualizacji swoich systemów przynajmniej do wersji Windows XP SP3.

Asa Dotzler na blogu namawia użytkowników systemu Windows 2000, którzy nie mogą zaktualizować swoich systemów do nowszych wersji, do spojrzenia w stronę konkurencyjnych przeglądarek.

Jeśli jesteś użytkownikiem systemu Windows 2000 i po prostu nie możesz zaktualizować swojego komputera do nowocześniejszych wersji systemu Windows, na pewno dobrzy ludzie z Opery chętnie Co pomogą”

Opera faktycznie działa poprawnie na Windows 2000, ale jej producenci również zalecają Windowsa XP lub nowszego. Google Chrome w tym momencie nie jest już alternatywą w tej sytuacji, ponieważ dolna granica również kończy się na systemie Windows XP SP2.

Również w piątek Mozilla powtórzyła informację o zakończeniu wsparcia dla Firefoksa z gałęzi 3.6, a co za tym idzie wersja 3.6.28 wydana 13 marca jest już ostatnią. Deweloperzy mają czas jedynie do 24 kwietnia na zgłaszanie poprawek związanych tylko i wyłącznie z bezpieczeństwem i stabilnością przeglądarki z gałęzi 3.6. Po tym czasie Firefox 3.6 nie będzie już w żadnym stopniu wspierany, a jedynym wyjściem jest jego uaktualnienie do najnowszej wersji, lub zainstalowanie wersji ESR (o przedłużonym czasie wsparcia), która jest wspierana przez kolejne 54 tygodnie. Pierwsze wydanie ESR bazuje na Firefoksie 10.

Adobe udostępnił w kanale beta wersję platformy Flash z zaimplementowanym mechanizmem sandbox dla przeglądarki Firefox. To kolejny krok w drodze do pełnej izolacji procesów oprogramowania Adobe od produktów, które korzystają z tej technologii oraz spełnienie obietnicy danej użytkownikom przy okazji wydania stabilnego Flasha z sanboxem dla przeglądarki Google Chrome, które miało miejsce rok temu. Dla przypomnienia, mechanizm sandbox działa w oparciu o bardzo niską integralność z głównym programem, a sam proces ma bardzo mocno ograniczone uprawnienia do reszty systemu. Izolacja procesu od systemu operacyjnego skutkuje zminimalizowaniem szansy na skuteczny atak za pomocą exploita. Dowodem na skuteczność mechanizmu „piaskownicy” jest fakt, iż przeglądarka Google Chrome nigdy nie stała się ofiarą udanego ataku z wykorzystaniem oprogramowania Flash.

Do tej pory Adobe zaimplementowało mechanizm sandbox w oprogramowaniu Adobe Reader X, oraz platformie Flash dla przeglądarki Google Chrome. Wersja beta przeznaczona dla Firefoksa działa na systemach operacyjnych Windows Vista oraz Windows 7.

Przedstawiciele firmy Adobe zdają sobie sprawę, że droga jaką mają przed sobą nie kończy się na dwóch przeglądarkach. Docelowo w planach jest wydanie Flasha z sandboxem na wszystkie popularne przeglądarki. Dzięki temu producenci Adoba liczą na zmniejszenie zainteresowania hakerów swoimi produktami. W tym momencie już trwają pracę nad sandboxem dla Internet Explorera, ale ze względu na zupełnie inną architekturę oprogramowania związana z wykorzystaniem ActiveX, proces wydłuża się w czasie.

Wersja finalna Flasha z sandboxem dla przeglądarki Firefox powinna pojawić się jeszcze w tym roku.

Po tym jak Adobe w poniedziałek opublikował informację o istnieniu luki zero-day  w odtwarzaczu Flash Player, która umożliwia przeprowadzenie ataku przy użyciu odpowiednio spreparowanego pliku Excel, Google we wtorek wydał aktualizacje przeglądarki Chrome, w której ten problem został wyeliminowany. Tak szybka reakcja jest efektem ścisłej współpracy Adobe z Google, która trwa od kwietnia 2010. Na mocy umowy spisanej pomiędzy dwoma gigantami, Adobe udostępnia nowe wersje oprogramowania Flash programistą Google w celu testów i późniejszej integracji.

Często w tej sytuacji zdarza się, że przeglądarka od Google pracuje z najnowszą wersją Flasha, zanim jeszcze jest ona dostępna do pobrania przez użytkowników innych przeglądarek internetowych. I tak jest i w tym przypadku. Firefox, Safari, IE oraz Opera muszą czekać na oficjalne udostępnienie najnowszej wersji Flasha, a tymczasem Chrome już teraz pracuje z wersją 10.2.154.25 programu Flash Player.

Najnowszą wersję Chrome oznaczoną numerem 10.0.648.134 można pobrać ze stron producenta odpowiednio dla systemu: Windows, Linux, Mac OS X.

Użytkownicy, którzy już korzystają z przeglądarki Chrome mogą, a nawet powinni skorzystać z opcji automatycznych aktualizacji.

Pwn2Own, jeden z największych na świecie konkursów przygotowanych dla hakerów rusza już w przyszłym tygodniu. Tymczasem Mozilla idąc w ślady Google, wydała poprawki bezpieczeństwa dla przeglądarki Firefox. Firefox w wersji 3.5.17 oraz 3.6.14 pozbawiony został 11 błędów oznaczonych jako krytyczne oraz jednego oznaczonego jako ważny oraz jednego oznaczonego jako umiarkowany. Należy zwrócić uwagę, że jest to pierwsza od dłuższego czasu aktualizacja Firefoksa. Ostatnia miała miejsce w grudniu 2010. Jednym z powodów, dla którego wydanie aktualizacji było opóźnione, była konieczność zbadania błędu występującego we wcześniejszej wersji przeglądarki, który doprowadzał w pewnych sytuacjach do awarii programu.

Poprawki wydane we wtorek wyeliminowały między innymi 3 usterki w obsłudze JavaScript, 2 błędy w silniku przeglądarki, jeden błąd w obsłudze plików JPEG (pisałem również o tym przy okazji klienta Thunderbird 3.1.8), oraz poważny błąd CSRF, który mógł być wykorzystany do przeprowadzenia ataku z wykorzystaniem odpowiednio spreparowanych plików Flash.

Google aktualizacje do przeglądarki Chrome wydał w poniedziałek. W przeglądarce oznaczonej numerem 9.0.597.107 wyeliminowano 16 luk bezpieczeństwa oznaczonych jako ważne oraz 3 oznaczone jako średnie. W nomenklaturze wprowadzonej przez Google jako krytyczne określa się luki w zabezpieczeniach, które umożliwiają wykonanie kodu poza mechanizmem sandbox. Błędy wyeliminowane w poniedziałek dotyczyły przede wszystkim mechanizmu WebGL, API dla sprzętowej akceleracji grafiki 3D, SVG renderingu i animacji oraz błędów związanych z paskiem adresu przeglądarki.

Ciekawe jak w tym roku wypadną przeglądarki internetowe w konkursie. Rok temu przed atakiem hakerów uchroniła się jedynie przeglądarka ze stajni Google. Safari, IE8 oraz Firefox uległy, chociaż w tym miejscu należy podkreślić, że IE od Microsoftu postawiło najmniejszy opór.

Konkursy takie jak Pwn2Own przede wszystkim pomagają  twórcą przeglądarek w tworzeniu bezpieczniejszego oprogramowania. Nam, jako użytkownikom końcowym zwracają uwagę na niedociągnięcia jakie w przeglądarkach są codziennością. Wydaje się, że i w tym roku Internet Explorer po raz kolejny wypadnie blado w stosunku do konkurencji, a  Google po raz kolejny udowodni, że mechanizm sandbox zaimplementowany w ich produkcie jest ciężki, a może nawet niemożliwy do przejścia.

Edit:

Firefoksa w wersji 3.5.17 można pobrać z oficjalnych serwerów Mozilli odpowiednio dla systemów: Windows, Linux, Mac OS X.

Firefoksa w wersji 3.6.14 można pobrać z oficjalnych serwerów Mozilli odpowiednio dla systemów: Windows, Linux, Mac OS X.

Chrome można pobrać z oficjalnych serwerów Google odpowiednio dla systemów Windows, Linux, Mac OS X.

Na serwerach Mozilli pojawiła się kolejna wersja beta przeglądarki Mozilli – Firefoksa 4.0. W dziesiątej już wersji testowej przeglądarki wyeliminowano kolejne błędy związane z bezpieczeństwem oraz stabilnością. Pełną listę wyeliminowanych błędów można znaleźć tutaj. Mozilla doszła do wniosku, że przy tak dużej ilości poprawek wniesionych do programu należy całość przetestować po raz kolejny jak najdokładniej. Wniesione poprawki dotyczyły praktycznie każdego obszaru działania przeglądarki, poczynając od mechanizmu synchronizacji, poprzez obsługę grafiki a kończąc na menadżerze dodatków.

Wszystko wskazuje na to, że seria wersji beta sztandarowej przeglądarki Mozilli na numerze 10 nie kończy się. Na Wiki Mozilli pojawiły się wpisy o planach wydania jeszcze jednej bety. Widać, że Mozilla przykłada bardzo dużo uwagi do najnowszego Firefoksa. Wersje beta już wydają się być bardzo stabilnym oprogramowaniem nie sprawiającym żadnych przykrych niespodzianek. Miejmy nadzieję, że wersja finalna przeglądarki będzie godnym konkurentem dla Chrome, Internet Explorera i innych.

Póki co, najnowszą betę Firefoksa można pobrać z serwerów Mozilli.

Edit:

Zaktualizowałem link do serwera, z którego można pobrać najnowszą betę Firefoksa. Wcześniejszy link prowadził do wersji nightly.

Minął rok od poprzedniego konkursu Pwn2Own. Wczoraj w ramach akcji Zero Day Initiative, specjaliści ds. bezpieczeństwa oraz hakerzy stanęli w szranki, aby pokazać jak dobrzy są, a i przy okazji udowodnić, że przeglądarki, z których korzystamy wcale takie bezpieczne za jakie je uważają ich producenci nie są. Wyjątkiem tutaj jest Opera, która nie wystawiła swojego produktu do konkursu oraz Chrome, do którego w pierwszy dzień konkursu nawet nikt nie podszedł. Okazuje się bowiem, że produkt Google jest najtrudniejszą do złamania przeglądarką wśród tych najpopularniejszych. Konkurs jeszcze się nie skończył. Przed nami jeszcze dwa dni konkursu i może się okazać, że po zmianie platformy i Chrome polegnie.

W skrócie plan tegorocznego konkursu:

Dzień 1.

Hakerzy mieli okazję zmierzyć się z następującymi zestawieniami produktów:

• Microsoft Internet Explorer 8 on Windows 7
• Mozilla Firefox 3 on Windows 7
• Google Chrome 4 on Windows 7
• Apple Safari 4 on MacOS X Snow Leopard

Złamano zabezpieczenia wszystkich przeglądarek za wyjątkiem Google Chrome.

Dzień 2.

• Microsoft Internet Explorer 7 on Windows Vista
• Mozilla Firefox 3 on Windows Vista
• Google Chrome 4 on Windows Vista
• Apple Safari 4 on MacOS X Snow Leopard

Dzień 3.

• Microsoft Internet Explorer 7 on Windows XP
• Mozilla Firefox 3 on Windows XP
• Google Chrome 4 on Windows XP
• Apple Safari 4 on MacOS X Snow Leopard

Jednocześnie n a próbę wystawione są platformy mobilne. W tym roku hakerzy mają do dyspozycji:

• Apple iPhone 3GS
• RIM Blackberry Bold 9700
• Nokia E72 device running Symbian
• HTC Nexus One running Android

Jako pierwszy poległ w tej grupie iPhone, który został złamany z wykorzystaniem luki w mobilnej wersji przeglądarki Safari. Atakującemu udało się skopiować wszystkie wiadomości tekstowe z urządzenia.

Pula nagród przewidziana na ten rok to 40 000 $ dla osób zajmujących się platformami stacjonarnymi oraz 60 000 $ dla osób próbujących złamać zabezpieczenia platform mobilnych. Dodatkowo każdy z uczestników otrzyma sprzęt, na którym pracował podczas przeprowadzenia ataku.

Tego typu konkursy pokazują jak bardzo w błąd nas wprowadzają producenci przeglądarek internetowych. Bezpieczeństwo to mrzonka. Na tle większości jedynie Chrome wydaje się być ciekawą alternatywą. Mechanizm sandbox najwyraźniej sprawia bardzo dużo problemów hakerom. Jest to kolejny mur na drodze do przejęcia kontroli nad atakowanym środowiskiem. Hakerzy przyznają, że w Chrome są luki, które można by łatwo wykorzystać, gdyby właśnie nie sandbox.

O Operze po tych zawodach prawdy się nie dowiemy. Producent nie wystawia swojego produktu do konkursu. Zastanawiam się czemu. Czy to postępowanie jest związane z obawami przed możliwością obalenia mitu o bezpieczeństwie i stabilności oprogramowania spod znaku Opera Software? Boi się konkurencji? Ma obawy przed negatywną reklamą, której ofiarą może paść szybciej niż Internet Explorer? Szczerze powiem, że nie widzę jakiegoś sensownego wytłumaczenia tej sytuacji. Polityka opery dla mnie jest nie jasna. Pewnie dlatego nigdy nie zagości u mnie jako default browser.

Wczoraj ukazała się nowa wersja przeglądarki Firefox oznaczona numerem 3.6.2. Został w niej wyeliminowany krytyczny błąd w zabezpieczeniach, o którym świat usłyszał już w lutym, pozwalający na zdalne przejęcie kontroli nad atakowaną maszyną. Poza wyeliminowaniem krytycznej luki, poprawiono stabilność przeglądarki eliminując kilka innych mniejszych błędów.

Wspomniana luka istnieje również we wczesnej wersji przeglądarki Firefox 3.7. Dla użytkowników korzystających z wersji 3.7 zalecana jest aktualizacja do wersji Alpha3.

W przeciągu najbliższych 48 godzin aktualizacja przeglądarki powinna pojawić się w mechanizmie automatycznych aktualizacji. Wersję instalacyjną Firefoksa 3.6 można pobrać z oficjalnych serwerów Mozilli odpowiednio dla systemów: Windows, Linux i Mac OS X.

Mozilla postanowiła agresywniej namawiać użytkowników starszych wersji przeglądarki Firefox do aktualizacji do wersji 3.6. Akcja ma być skierowana do użytkowników Firefoksa 3.0 wydanego w 2008 roku oraz Firefoksa 3.5 wydanego w roku 2009. Kampania ma polegać na wyświetlaniu zaproszenia do aktualizacji przeglądarki, a wszystko ma się opierać na systemie automatycznych aktualizacji.

Proces będzie wyglądał podobnie jak wcześniej. Użytkownik ujrzy na ekranie zaproszenie do aktualizacji, które będzie można przyjąć, odłożyć na kolejne 24 godziny lub całkowicie odrzucić. W przypadku tego ostatniego, opcja ta nie działa definitywnie i za jakiś czas zaproszenie pojawi się ponownie. W ten sposób Mozilla chce przekonać nieprzekonanych do aktualizacji. Ważną kwestą w całym procesie jest to, że okienko z propozycją aktualizacji pojawi się dopiero po 1 minucie nieużywania klawiatury. W ten sposób Mozilla chce mieć pewność, że nie przeszkodziła użytkownikowi w pracy.

Mike Beltzner – szef projektu, zwraca uwagę, że jako pierwsi na najnowszą odsłonę Firefoksa powinni migrować użytkownicy, którzy dotychczas korzystali z Firefoksa 3.0. Powodem jest kończący się okres wsparcia dla tej gałęzi przeglądarki, zaplanowany na 30 marca dla wersji 3.0.19.

Firefox 3.6 niesie ze sobą wiele zmian w stosunku do starszych wersji. Ulepszony silnik, szybsze działanie, nowy, lekki mechanizm kompozycji Personas oraz mnogość wtyczek, które już w większości zostały przystosowane do najnowszej odsłony Firefoksa, powinny spowodować, że aktualizacja do najnowszej wersji powinna poskutkować dużo przyjemniejszą pracą.

Rosyjski specjalista ds. bezpieczeństwa opublikował wczoraj informację o wykryciu luki w zabezpieczeniach przeglądarki Firefox umożliwiającej zdalne wykonanie kodu, w skutek czego uszkodzony zostaje stos programu. Luka wykryta została podczas laboratoryjnych testów w środowisku o nazwie Immunity Canvas z zainstalowaną wtyczką Vulndisco.

Lukę wykryto w przeglądarce Firefox 3.6 działającej na systemach Windows XP i Windows Vista.

Evgeny Legerov, założyciel moskiewskiej firmy Intevydis zwraca uwagę, że nie chodzi tutaj o lukę załataną podczas ostatnich aktualizacji starszych wersji przeglądarki Firefox. Przypomnijmy -  ostatnio Mozilla załatała w Firefoksie 3.0 i 3.5 lukę, która również dawała możliwość uszkodzenia stosu przeglądarki.

Mozilla wydała oświadczenie, w którym informuje, że nie znaleziono jeszcze sposobu na wykorzystanie luki w normalnym środowisku pracy. Zapewnia również, że wszelkie sygnały o niebezpieczeństwach związanych z błędami w kodzie przeglądarki są traktowane poważnie i doceniają wkład specjalistów zajmujących się bezpieczeństwem.

Evgeny Legarov konkludując całe wydarzenie wspomniał, że nie jest to pierwszy raz, kiedy w przeglądarce Mozilli wykryto lukę zero-day. Jak do tej pory większość tego typu luk była dostępna dla wąskiego grona zamkniętego w zacisznych laboratoriach wyposażonych w kosztowne oprogramowanie. Niestety wraz ze wzrostem wiedzy specjalistycznej, a także wycieków z zamkniętych ośrodków badawczych, podatności te staną się dostępne w większym stopniu w „normalnym” środowisku.

Użytkownicy Nokii N900 mogą wreszcie zacząć korzystać ze stabilnej wersji przeglądarki Firefox przeznaczonej dla platformy mobilnej Maemo. Mozilla zachwala swój produkt twierdząc, że jest to najlepsza w tym momencie przeglądarka na platformy mobilne, w pełni konfigurowalna oraz spełniająca podstawowe wymagania jakie powinno się stawiać tego typu programom, czyli konieczność pisania ograniczona do minimum, bezproblemowa synchronizacja z Firefoksem zainstalowanym na komputerze stacjonarnym itp.

Podstawowe funkcje Firefoksa dla platform mobilnych to:

• Awesome Bar – funkcja dostarczająca inteligentne i spersonalizowane wyszukiwanie ograniczające ilość kliknięć do niezbędnego minimum
• Weave Sync -  synchronizacja zakładek, historii oraz haseł pomiędzy różnymi platformami
• możliwość rozbudowania możliwości mobilnej przeglądarki dzięki rozszerzeniom
• Przeglądanie Location-Aware – Firefox może informować witryny o aktualnym położeniu użytkownika, co pozwala na odnalezienie bardziej użytecznych informacji
• przeglądanie stron internetowych z wykorzystaniem kart
• wysokie bezpieczeństwo
• dostępność w ponad 30 językach

Dodatkowo Firefox dla Maemo obsługuje najnowsze standardy internetowe (HTML5, CSS3), co daje ogromne możliwości programistom chcącym tworzyć zaawansowane aplikacje.

Należy zwrócić uwagę, że Firefox mobile nie obsługuje wtyczek typowych dla wersji desktopowej takich jak: Adobe Flash, co uniemożliwia korzystanie z serwisów typu YouTube. Mozilla jednak w celu rozwiązania tego problemu przygotowała rozszerzenie o nazwie YouTube-Enabler.

Jaka będzie przyszłość Firefoksa na platformach mobilnych? Czy uda się Mozilli wydrzeć choć skrawek tortu, który w większości należy do Opery? Myślę, że jest na to duża szansa, tym bardziej, że Mozilla wypuściła pierwszą przeglądarkę dla platform mobilnych z obsługą rozszerzeń, co nie jest bez znaczenia.