The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Опубликованы результаты аудита системы обновления Firefox"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Опубликованы результаты аудита системы обновления Firefox"  +/
Сообщение от opennews (?), 10-Окт-18, 11:45 
Компания Mozilla раскрыла (https://blog.mozilla.org/security/2018/10/09/trusting-the-de.../) результаты (https://drive.google.com/file/d/1v53GCYPxzoZmB1dCop1yJfZgS1w...) независимого аудита безопасности инфраструктуры, используемой для доставки обновлений к Firefox. В ходе аудита были проверены сервер отдачи обновлений (https://github.com/mozilla/balrog/), клиентские компоненты для применения обновлений и используемые проектом  методы доставки. Аудит включал как изучение кода на наличие возможных уязвимостей, так и анализ надёжности протокола и стойкости применяемых криптоалгоритмов.


Аудит был выполнен компанией  X41 D-SEC и не выявил критических проблем, но обнаружил серию ошибок, среди которых 3 проблемы имеют высокий уровень опасности. Все опасные ошибки найдены в коде серверного бэкенда Balrog (https://github.com/mozilla/balrog/) и связаны с недоработками управляющего административного web-интерфейса в области защиты от CSRF-атак (Cross-Site Request Forgery). Опасность данных проблем снижается тем, что к Balrog имеет доступ только ограниченное число сотрудников, а для входа применяется многофакторная аутентификация.


В ходе проверки также выявлено несколько ошибок в коде на языке Си, используемом для обработки файлов с обновлениями. Данные проблемы вызваны небезопасной работой с внешними данными и могут привести к отказу в обслуживании. Отмечается, что ошибки не могут привести к модификации обновлений, так как целостность файлов с обновлениями удостоверяется цифровой подписью. В общем виде отмечен высокий уровень защиты  сервиса обновлений.


URL: https://blog.mozilla.org/security/2018/10/09/trusting-the-de.../
Новость: https://www.opennet.dev/opennews/art.shtml?num=49422

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Опубликованы результаты аудита системы обновления Firefox"  –9 +/
Сообщение от анан (?), 10-Окт-18, 11:45 
> в коде на языке Си

ну ясно был бы раст, и ошибок не было...

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Опубликованы результаты аудита системы обновления Firefox"  +8 +/
Сообщение от Qwerty (??), 10-Окт-18, 14:08 
Ха, судя по дислайкам, ирония не прошла)))
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

16. "Опубликованы результаты аудита системы обновления Firefox"  –2 +/
Сообщение от Аноним (16), 10-Окт-18, 18:09 
список ошибок в студию, тогда можно будет сказать, помог бы там раст или нет
против определенных классов ошибок он таки панацея
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

29. "Опубликованы результаты аудита системы обновления Firefox"  +/
Сообщение от Аноним (-), 12-Окт-18, 09:16 
> против определенных классов ошибок он таки панацея

Мозила тоже рассказывала что просмотр пдфок на JS безопасным будет. И в результате эти вебмакаки влепили в свой просмотрщик эпичнейший 0day, да еще кроссплатформенный - шик!

Сдается мне что растовики-затейники будут нифига не лучше код писать. За них тоже компилер подумает, что уж там.

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

33. "Опубликованы результаты аудита системы обновления Firefox"  +/
Сообщение от Анноним (?), 12-Окт-18, 13:29 
> Сдается мне что растовики-затейники будут нифига не лучше код писать. За них
> тоже компилер подумает, что уж там.

" … положили они железнодорожный рельс и стали пилить: Вз.. пррр-дррр-хррр сказала пила — АГА! сказали мужики и пошли валить лес топором"


Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

2. "Опубликованы результаты аудита системы обновления Firefox"  +3 +/
Сообщение от Анонимм (??), 10-Окт-18, 13:59 
ну ессьно, не аудит же самого браузера проводить, особенно на предмет шпионажа за пользователями...

https://spyware.neocities.org/articles/

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Опубликованы результаты аудита системы обновления Firefox"  +8 +/
Сообщение от macfaq (?), 10-Окт-18, 14:12 
Это теперь телеметрия называется.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

18. "Опубликованы результаты аудита системы обновления Firefox"  –4 +/
Сообщение от Анонимм (??), 10-Окт-18, 19:13 
фашисты в концлагерях побои тоже называли благими словами...
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

20. "Опубликованы результаты аудита системы обновления Firefox"  +2 +/
Сообщение от qcgg (?), 10-Окт-18, 23:41 
в контексте "фашисты в концлагерях", слово "побои"  звучит как-то безобидно.
Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

30. "Опубликованы результаты аудита системы обновления Firefox"  +/
Сообщение от Аноним (-), 12-Окт-18, 09:19 
> в контексте "фашисты в концлагерях", слово "побои"  звучит как-то безобидно.

Для более обидных случаев была "дезинфекция". Например таким полезным для здоровья химикатом как циклон-б.

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

5. "Опубликованы результаты аудита системы обновления Firefox"  +8 +/
Сообщение от Аноним (5), 10-Окт-18, 14:19 
А как такое поведение называется, не напомните, когда софт что-то себе качает и выполняет, кладя болт на пожелания пользователя? А если удалить или запретить запись, начинает или тупить при завершении, или создавать каталоги с другим именем. Запамятовал чуток, помогите.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

9. "Опубликованы результаты аудита системы обновления Firefox"  +24 +/
Сообщение от Почти аноним (?), 10-Окт-18, 16:16 
Windows 10 называется.
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

34. "Опубликованы результаты аудита системы обновления Firefox"  +/
Сообщение от Fyj (?), 12-Окт-18, 19:04 
Недонастроенность. А еще можно назвать "чужая сборка", "мне лень писать свой браузер" и т д
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

35. "Опубликованы результаты аудита системы обновления Firefox"  +/
Сообщение от denmatv94email (?), 12-Окт-18, 20:56 
Она самая, как есть Windows 10)) Дерьмософт, короче...
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

36. "Опубликованы результаты аудита системы обновления Firefox"  +/
Сообщение от macfaq (?), 15-Окт-18, 14:37 
> А как такое поведение называется, не напомните, когда софт что-то себе качает
> и выполняет, кладя болт на пожелания пользователя? А если удалить или
> запретить запись, начинает или тупить при завершении, или создавать каталоги с
> другим именем. Запамятовал чуток, помогите.

Тупой пользователь, который не знает, как лучше. Ему помогут.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

6. "Опубликованы результаты аудита системы обновления Firefox"  +4 +/
Сообщение от Аноним (-), 10-Окт-18, 14:52 
> серверного бэкенда Balrog

Может не надо называть серверный компонент именем древнего демона?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "Опубликованы результаты аудита системы обновления Firefox"  +6 +/
Сообщение от anonimous (?), 10-Окт-18, 15:10 
Это оскорбляет чувства сатанистов?
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "Опубликованы результаты аудита системы обновления Firefox"  +2 +/
Сообщение от A.Stahl (ok), 10-Окт-18, 15:57 
Нет, сатанисты-то тут при чём? Возмущаются хипстеры: демон ведь древний.
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

28. "Опубликованы результаты аудита системы обновления Firefox"  +/
Сообщение от Аноним (28), 11-Окт-18, 13:32 
Это демон из "Властелина колец", вообще-то. Перед тем, как строчить коммент, погуглил бы, о чем идет речь, чтобы не позориться.
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

32. "Опубликованы результаты аудита системы обновления Firefox"  +/
Сообщение от anonimous (?), 12-Окт-18, 13:24 
Ну я не знаю с каких фэнтезийных произведений демоны считаются достойными поклонения а с каких нет. Да и не важно учитывая комический тон комментария.
Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

10. "Опубликованы результаты аудита системы обновления Firefox"  +1 +/
Сообщение от Аноним (10), 10-Окт-18, 16:17 
А может не надо суеверий в 2019?
И как же демоны в линуксе? Может поэтому с десктопной долей так плохо и надо переименовать от греха подальше?
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

12. "Опубликованы результаты аудита системы обновления Firefox"  +/
Сообщение от Поцтерингэкзорцист (?), 10-Окт-18, 16:24 
> И как же демоны в линуксе?

все ок, успешно изведены почти все.

> Может поэтому с десктопной долей так плохо и надо переименовать от греха подальше?

наоборот, ради десктопной доли не переименовали, а старательно уничтожили как класс - у нас теперь "сервисы", "как в винде".
Правильно отцепляться от controlling tty уже почти все разучились, и мы работаем над тем, чтобы разучились окончательно.

А на одном демоническом заклинании fork далеко не уедешь.

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

15. "Опубликованы результаты аудита системы обновления Firefox"  +2 +/
Сообщение от axredneck (?), 10-Окт-18, 17:09 
В винде - службы и иконки, а в линуксе - демоны, зомби, powerdevil, bluedevil, kill, killall...
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

17. "Опубликованы результаты аудита системы обновления Firefox"  +/
Сообщение от Аноним (17), 10-Окт-18, 19:09 
/etc/services смотреть запрещают?
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

31. "Опубликованы результаты аудита системы обновления Firefox"  +/
Сообщение от Клыкастый (ok), 12-Окт-18, 10:19 
> И как же демоны в линуксе?

Кастрированы. Demons превратились в daemons.

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

11. "Опубликованы результаты аудита системы обновления Firefox"  –1 +/
Сообщение от нах (?), 10-Окт-18, 16:20 
чего бы это не называть, рабы должны помнить, какому хозяину они на самом деле служат!
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

14. "Опубликованы результаты аудита системы обновления Firefox"  +/
Сообщение от axredneck (?), 10-Окт-18, 17:05 
Так он и есть демон, не?
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

21. "Опубликованы результаты аудита системы обновления Firefox"  +/
Сообщение от имя (?), 11-Окт-18, 05:01 
не переживай, гендальф белый тебе придет на помощь, если что!
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

23. "Опубликованы результаты аудита системы обновления Firefox"  +2 +/
Сообщение от Mozilla Corporation (?), 11-Окт-18, 10:12 
Чтобы всех отыскать, воедино собрать и единою чёрною волей сковать.
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

13. "Опубликованы результаты аудита системы обновления Firefox"  +1 +/
Сообщение от Аноним (13), 10-Окт-18, 16:31 
Через PVS*****o прогнали?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

19. "Опубликованы результаты аудита системы обновления Firefox"  –1 +/
Сообщение от VINRARUS (ok), 10-Окт-18, 21:13 
Пфф, а я сам написал автоматическую обновлялку огнепанды на shell.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

22. "Опубликованы результаты аудита системы обновления Firefox"  +/
Сообщение от Аноним (22), 11-Окт-18, 07:54 
> Пфф, а я сам написал автоматическую обновлялку огнепанды на shell.

Молодец. Можешь теперь продать мозиловцам, они заменят им свой древний balrog

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру