URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 115550
[ Назад ]
Исходное сообщение
"Опубликованы результаты аудита системы обновления Firefox"
Отправлено opennews , 10-Окт-18 11:45
Компания Mozilla раскрыла (https://blog.mozilla.org/security/2018/10/09/trusting-the-de.../) результаты (https://drive.google.com/file/d/1v53GCYPxzoZmB1dCop1yJfZgS1w...) независимого аудита безопасности инфраструктуры, используемой для доставки обновлений к Firefox. В ходе аудита были проверены сервер отдачи обновлений (https://github.com/mozilla/balrog/), клиентские компоненты для применения обновлений и используемые проектом методы доставки. Аудит включал как изучение кода на наличие возможных уязвимостей, так и анализ надёжности протокола и стойкости применяемых криптоалгоритмов.
Аудит был выполнен компанией X41 D-SEC и не выявил критических проблем, но обнаружил серию ошибок, среди которых 3 проблемы имеют высокий уровень опасности. Все опасные ошибки найдены в коде серверного бэкенда Balrog (https://github.com/mozilla/balrog/) и связаны с недоработками управляющего административного web-интерфейса в области защиты от CSRF-атак (Cross-Site Request Forgery). Опасность данных проблем снижается тем, что к Balrog имеет доступ только ограниченное число сотрудников, а для входа применяется многофакторная аутентификация.
В ходе проверки также выявлено несколько ошибок в коде на языке Си, используемом для обработки файлов с обновлениями. Данные проблемы вызваны небезопасной работой с внешними данными и могут привести к отказу в обслуживании. Отмечается, что ошибки не могут привести к модификации обновлений, так как целостность файлов с обновлениями удостоверяется цифровой подписью. В общем виде отмечен высокий уровень защиты сервиса обновлений.
URL: https://blog.mozilla.org/security/2018/10/09/trusting-the-de.../
Новость: https://www.opennet.ru/opennews/art.shtml?num=49422
Содержание
- Опубликованы результаты аудита системы обновления Firefox,анан, 11:45 , 10-Окт-18
- Опубликованы результаты аудита системы обновления Firefox,Qwerty, 14:08 , 10-Окт-18
- Опубликованы результаты аудита системы обновления Firefox,Аноним, 18:09 , 10-Окт-18
- Опубликованы результаты аудита системы обновления Firefox,Аноним, 09:16 , 12-Окт-18
- Опубликованы результаты аудита системы обновления Firefox,Анноним, 13:29 , 12-Окт-18
- Опубликованы результаты аудита системы обновления Firefox,Анонимм, 13:59 , 10-Окт-18
- Опубликованы результаты аудита системы обновления Firefox,macfaq, 14:12 , 10-Окт-18
- Опубликованы результаты аудита системы обновления Firefox,Анонимм, 19:13 , 10-Окт-18
- Опубликованы результаты аудита системы обновления Firefox,qcgg, 23:41 , 10-Окт-18
- Опубликованы результаты аудита системы обновления Firefox,Аноним, 09:19 , 12-Окт-18
- Опубликованы результаты аудита системы обновления Firefox,Аноним, 14:19 , 10-Окт-18
- Опубликованы результаты аудита системы обновления Firefox,Почти аноним, 16:16 , 10-Окт-18
- Опубликованы результаты аудита системы обновления Firefox,Fyj, 19:04 , 12-Окт-18
- Опубликованы результаты аудита системы обновления Firefox,denmatv94, 20:56 , 12-Окт-18
- Опубликованы результаты аудита системы обновления Firefox,macfaq, 14:37 , 15-Окт-18
- Опубликованы результаты аудита системы обновления Firefox,Аноним, 14:52 , 10-Окт-18
- Опубликованы результаты аудита системы обновления Firefox,anonimous, 15:10 , 10-Окт-18
- Опубликованы результаты аудита системы обновления Firefox,A.Stahl, 15:57 , 10-Окт-18
- Опубликованы результаты аудита системы обновления Firefox,Аноним, 13:32 , 11-Окт-18
- Опубликованы результаты аудита системы обновления Firefox,anonimous, 13:24 , 12-Окт-18
- Опубликованы результаты аудита системы обновления Firefox,Аноним, 16:17 , 10-Окт-18
- Опубликованы результаты аудита системы обновления Firefox,Поцтерингэкзорцист, 16:24 , 10-Окт-18
- Опубликованы результаты аудита системы обновления Firefox,axredneck, 17:09 , 10-Окт-18
- Опубликованы результаты аудита системы обновления Firefox,Аноним, 19:09 , 10-Окт-18
- Опубликованы результаты аудита системы обновления Firefox,Клыкастый, 10:19 , 12-Окт-18
- Опубликованы результаты аудита системы обновления Firefox,нах, 16:20 , 10-Окт-18
- Опубликованы результаты аудита системы обновления Firefox,axredneck, 17:05 , 10-Окт-18
- Опубликованы результаты аудита системы обновления Firefox,имя, 05:01 , 11-Окт-18
- Опубликованы результаты аудита системы обновления Firefox,Mozilla Corporation, 10:12 , 11-Окт-18
- Опубликованы результаты аудита системы обновления Firefox,Аноним, 16:31 , 10-Окт-18
- Опубликованы результаты аудита системы обновления Firefox,VINRARUS, 21:13 , 10-Окт-18
- Опубликованы результаты аудита системы обновления Firefox,Аноним, 07:54 , 11-Окт-18
Сообщения в этом обсуждении
"Опубликованы результаты аудита системы обновления Firefox"
Отправлено анан , 10-Окт-18 11:45
> в коде на языке Сину ясно был бы раст, и ошибок не было...
"Опубликованы результаты аудита системы обновления Firefox"
Отправлено Qwerty , 10-Окт-18 14:08
Ха, судя по дислайкам, ирония не прошла)))
"Опубликованы результаты аудита системы обновления Firefox"
Отправлено Аноним , 10-Окт-18 18:09
список ошибок в студию, тогда можно будет сказать, помог бы там раст или нет
против определенных классов ошибок он таки панацея
"Опубликованы результаты аудита системы обновления Firefox"
Отправлено Аноним , 12-Окт-18 09:16
> против определенных классов ошибок он таки панацеяМозила тоже рассказывала что просмотр пдфок на JS безопасным будет. И в результате эти вебмакаки влепили в свой просмотрщик эпичнейший 0day, да еще кроссплатформенный - шик!
Сдается мне что растовики-затейники будут нифига не лучше код писать. За них тоже компилер подумает, что уж там.
"Опубликованы результаты аудита системы обновления Firefox"
Отправлено Анноним , 12-Окт-18 13:29
> Сдается мне что растовики-затейники будут нифига не лучше код писать. За них
> тоже компилер подумает, что уж там." … положили они железнодорожный рельс и стали пилить: Вз.. пррр-дррр-хррр сказала пила — АГА! сказали мужики и пошли валить лес топором"
"Опубликованы результаты аудита системы обновления Firefox"
Отправлено Анонимм , 10-Окт-18 13:59
ну ессьно, не аудит же самого браузера проводить, особенно на предмет шпионажа за пользователями...https://spyware.neocities.org/articles/
"Опубликованы результаты аудита системы обновления Firefox"
Отправлено macfaq , 10-Окт-18 14:12
Это теперь телеметрия называется.
"Опубликованы результаты аудита системы обновления Firefox"
Отправлено Анонимм , 10-Окт-18 19:13
фашисты в концлагерях побои тоже называли благими словами...
"Опубликованы результаты аудита системы обновления Firefox"
Отправлено qcgg , 10-Окт-18 23:41
в контексте "фашисты в концлагерях", слово "побои" звучит как-то безобидно.
"Опубликованы результаты аудита системы обновления Firefox"
Отправлено Аноним , 12-Окт-18 09:19
> в контексте "фашисты в концлагерях", слово "побои" звучит как-то безобидно.Для более обидных случаев была "дезинфекция". Например таким полезным для здоровья химикатом как циклон-б.
"Опубликованы результаты аудита системы обновления Firefox"
Отправлено Аноним , 10-Окт-18 14:19
А как такое поведение называется, не напомните, когда софт что-то себе качает и выполняет, кладя болт на пожелания пользователя? А если удалить или запретить запись, начинает или тупить при завершении, или создавать каталоги с другим именем. Запамятовал чуток, помогите.
"Опубликованы результаты аудита системы обновления Firefox"
Отправлено Почти аноним , 10-Окт-18 16:16
Windows 10 называется.
"Опубликованы результаты аудита системы обновления Firefox"
Отправлено Fyj , 12-Окт-18 19:04
Недонастроенность. А еще можно назвать "чужая сборка", "мне лень писать свой браузер" и т д
"Опубликованы результаты аудита системы обновления Firefox"
Отправлено denmatv94 , 12-Окт-18 20:56
Она самая, как есть Windows 10)) Дерьмософт, короче...
"Опубликованы результаты аудита системы обновления Firefox"
Отправлено macfaq , 15-Окт-18 14:37
> А как такое поведение называется, не напомните, когда софт что-то себе качает
> и выполняет, кладя болт на пожелания пользователя? А если удалить или
> запретить запись, начинает или тупить при завершении, или создавать каталоги с
> другим именем. Запамятовал чуток, помогите.Тупой пользователь, который не знает, как лучше. Ему помогут.
"Опубликованы результаты аудита системы обновления Firefox"
Отправлено Аноним , 10-Окт-18 14:52
> серверного бэкенда Balrog Может не надо называть серверный компонент именем древнего демона?
"Опубликованы результаты аудита системы обновления Firefox"
Отправлено anonimous , 10-Окт-18 15:10
Это оскорбляет чувства сатанистов?
"Опубликованы результаты аудита системы обновления Firefox"
Отправлено A.Stahl , 10-Окт-18 15:57
Нет, сатанисты-то тут при чём? Возмущаются хипстеры: демон ведь древний.
"Опубликованы результаты аудита системы обновления Firefox"
Отправлено Аноним , 11-Окт-18 13:32
Это демон из "Властелина колец", вообще-то. Перед тем, как строчить коммент, погуглил бы, о чем идет речь, чтобы не позориться.
"Опубликованы результаты аудита системы обновления Firefox"
Отправлено anonimous , 12-Окт-18 13:24
Ну я не знаю с каких фэнтезийных произведений демоны считаются достойными поклонения а с каких нет. Да и не важно учитывая комический тон комментария.
"Опубликованы результаты аудита системы обновления Firefox"
Отправлено Аноним , 10-Окт-18 16:17
А может не надо суеверий в 2019?
И как же демоны в линуксе? Может поэтому с десктопной долей так плохо и надо переименовать от греха подальше?
"Опубликованы результаты аудита системы обновления Firefox"
Отправлено Поцтерингэкзорцист , 10-Окт-18 16:24
> И как же демоны в линуксе?все ок, успешно изведены почти все.
> Может поэтому с десктопной долей так плохо и надо переименовать от греха подальше?
наоборот, ради десктопной доли не переименовали, а старательно уничтожили как класс - у нас теперь "сервисы", "как в винде".
Правильно отцепляться от controlling tty уже почти все разучились, и мы работаем над тем, чтобы разучились окончательно.
А на одном демоническом заклинании fork далеко не уедешь.
"Опубликованы результаты аудита системы обновления Firefox"
Отправлено axredneck , 10-Окт-18 17:09
В винде - службы и иконки, а в линуксе - демоны, зомби, powerdevil, bluedevil, kill, killall...
"Опубликованы результаты аудита системы обновления Firefox"
Отправлено Аноним , 10-Окт-18 19:09
/etc/services смотреть запрещают?
"Опубликованы результаты аудита системы обновления Firefox"
Отправлено Клыкастый , 12-Окт-18 10:19
> И как же демоны в линуксе?Кастрированы. Demons превратились в daemons.
"Опубликованы результаты аудита системы обновления Firefox"
Отправлено нах , 10-Окт-18 16:20
чего бы это не называть, рабы должны помнить, какому хозяину они на самом деле служат!
"Опубликованы результаты аудита системы обновления Firefox"
Отправлено axredneck , 10-Окт-18 17:05
Так он и есть демон, не?
"Опубликованы результаты аудита системы обновления Firefox"
Отправлено имя , 11-Окт-18 05:01
не переживай, гендальф белый тебе придет на помощь, если что!
"Опубликованы результаты аудита системы обновления Firefox"
Отправлено Mozilla Corporation , 11-Окт-18 10:12
Чтобы всех отыскать, воедино собрать и единою чёрною волей сковать.
"Опубликованы результаты аудита системы обновления Firefox"
Отправлено Аноним , 10-Окт-18 16:31
Через PVS*****o прогнали?
"Опубликованы результаты аудита системы обновления Firefox"
Отправлено VINRARUS , 10-Окт-18 21:13
Пфф, а я сам написал автоматическую обновлялку огнепанды на shell.
"Опубликованы результаты аудита системы обновления Firefox"
Отправлено Аноним , 11-Окт-18 07:54
> Пфф, а я сам написал автоматическую обновлялку огнепанды на shell.Молодец. Можешь теперь продать мозиловцам, они заменят им свой древний balrog