• Revista PROGRAMAR: Já está disponível a edição #53 da revista programar. Faz já o download aqui!

herakty

Mozilla patches 10 security bugs with Firefox 3.5.6

11 mensagens neste tópico

no comments

Mozilla yesterday patched 10 bugs in Firefox, half of them critical, in the browser's rendering and JavaScript engines, media and video libraries, and other components.

Firefox 3.5.6, the browser's first security update since late October, fixed five flaws rated critical by Mozilla, one tagged as high, three pegged as moderate, and one labeled as a low threat. The five critical vulnerabilities were located in the rendering and JavaScript engines, and in the "liboggplay" and "libtheora" media and video libraries.

"Some of these crashes showed evidence of memory corruption under certain circumstances and we presume that with enough effort at least some of these could be exploited to run arbitrary code," Mozilla said in the advisory that spelled out the rendering and JavaScript engine flaws.

Three of the four vulnerabilities outlined in MFSA-2009-065 generate browser crashes, while the last affects the TraceMonkey JavaScript engine that debuted in Firefox 3.5. Mozilla recommended users disable JavaScript in Firefox if they were unable to immediately patch the browser.

Firefox 3.0, which Mozilla will retire from security support next month, was also updated Tuesday with the release of version 3.0.16. The older browser received seven patches, just two of them marked critical.

The disparity between the versions' patch counts was due to several that affected only the newer Firefox 3.5, including the two critical bugs in the code libraries, and two of the engine vulnerabilities.

http://www.computerworld.com/s/article/9142359/Mozilla_patches_10_security_bugs_with_Firefox_3.5.6?source=CTWNLE_nlt_security_2009-12-16

teckV

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Quanto tempo é que a Mozilla dá de suporte de segurança a uma determinada versão do browser, alguém sabe?

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites
support for older versions of Firefox typically ends six months after a new major version is available

moz-roadmap-2007-v0.2.png

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites
Não percebo o "no comments"...

é que ainda há muita gente que pensa que o firefox está livre de problemas e vulnerabilidades de segurança e que é totalmente seguro e que o IE é totalmente inseguro... mas como já disse tudo sobre isso desta vez apenas quis não comentar

teckV

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

é que ainda há muita gente que pensa que o firefox está livre de problemas e vulnerabilidades de segurança e que é totalmente seguro e que o IE é totalmente inseguro... mas como já disse tudo sobre isso desta vez apenas quis não comentar

O Firefox é mais seguro que o ie. E o facto de se descobrirem e corrigirem falhas de segurança, não prova o contrário. Prova precisamente que se trabalha no sentido de o manter seguro.

Quantos exploits de dia zero é que tens tido para falhas no ie? Muitos! Quantos meses demora a m$ a corrigir falhas de segurança no ie? Frequentemente muitos, sendo que a m$ ao contrário da Mozilla não tem um modelo de desenvolvimento aberto e por isso a informação sobre as falhas não é ventilada para o público, ao contrário do que acontece com a Mozilla.

O problema é que os mal intencionados frequentemente descobrem e exploram as falhas antes da m$ as corrigir (mesmo quando já sabe delas à meses).

Sim é melhor utilizar o Firefox que o ie, principalmente se utilizares a extenção no script.

É que ainda recentemente medidas de segurança do ie, o tornaram mais inseguro.

Mas sabes que mais?

As pessoas não usam o Firefox apenas por ser mais seguro, usam porque é muito mais funcional, usam porque é livre, usam porque é multi-plataforma, etc...

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

As pessoas não usam o Firefox apenas por ser mais seguro, usam porque é muito mais funcional, usam porque é livre, usam porque é multi-plataforma, etc...

Estou de acordo com isso...  :)

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites
O Firefox é mais seguro que o ie. E o facto de se descobrirem e corrigirem falhas de segurança, não prova o contrário. Prova precisamente que se trabalha no sentido de o manter seguro.

Quantos exploits de dia zero é que tens tido para falhas no ie? Muitos! Quantos meses demora a m$ a corrigir falhas de segurança no ie? Frequentemente muitos, sendo que a m$ ao contrário da Mozilla não tem um modelo de desenvolvimento aberto e por isso a informação sobre as falhas não é ventilada para o público, ao contrário do que acontece com a Mozilla.

como é obvio eu sou anti M$ e sou pela comunidade open-free-software... isso é mais que óbvio... mas sou tecnico e acho bem a justiça técnica...

hoje a comunidade open-source já não é o que era.. .hoje tens muitos programadores sob os quais já não se consegue controlar a qualidade como antigamente, quando só os muito bons é que ia para o open source... mas isso mudou e tens hoje muitos maus programadores no open-source...

todos aqueles bugs de kernel de linux devem-se a isso... eu estive a falar com pessoas que estavam passadas por coisas que tinha sido desenvolvidas no kernel (que era preciso ser-se muito mau para se fazer) do linux e estavam a tentar controlar isso, mas isso seria quebrar um bocado a liberdade... é claro que há controle...mas não se pode controlar como uma empresa pode... ai a M$ ganha vantagem neste momento

outra coisa é que o open source torna mais facil descobrir bugs... apesar de todo o reverse engeneiring e de se conseguir mesmo sem o código fonte analisar aplicações e descobrir bugs, é muito mais facil com código aberto...

a junção destes novos fenómenos fez com que nos últimos anos tenham havido MUITO MAIS falhas de segurança nos produtos open-source, quer a nível de SO, quer a nível de browseres ou o que seja..

posso te dizer que quando se scaneia uma rede, um cracker olha com especial atenção aos produtos open-source, pois há uma grande hipóteses de ser a melhor entrada

mas eu sou pelo open source, free software e aplaudo todo este trabalho e acho que é um exemplo único na humanidade e uma prova que nós humanos, podemos viver como humanidade... este fenómeno é um GRANDE SUCESSO

aplausos a todos os que dedicam o seu tempo a estes produtos... para eles os meus melhores cumprimentos... mas temos de ser técnicos e separar as coisas

mas acho que a ideia que começou na cabeça de alguém à muitos anos e foi muito criticada e quase não consegui "nascer", tornou-se um sucesso e já conquistou a propria M$ e muitas empresas que nunca usariam produtos destes... hoje já usam... isso foi um grande e glorioso caminho

mais uma vez... o meu agradecimento e aplausos para todos (nós incluídos)  :)

teckV

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites
hoje a comunidade open-source já não é o que era.. .hoje tens muitos programadores sob os quais já não se consegue controlar a qualidade como antigamente, quando só os muito bons é que ia para o open source... mas isso mudou e tens hoje muitos maus programadores no open-source...

Nunca aconteceu apenas os bons serem criadores de Software Livre/Open Source Software.

Sempre houve bom e mau software licenciado dessas formas.

Discordo que agora hajam mais maus programadores que antigamente, aliás a cada vez maior profissionalização trás qualidade. E neste momento uma grande quantidade do software licenciado dessa forma é produzido por pessoas que são pagas para o fazer.

todos aqueles bugs de kernel de linux devem-se a isso...

O Linux não tem muitos bugs comparativamente com outros kerneis, aliás até tem menos que a maioria. Há estudos independentes que suportam isto.

A maior parte dos bugs estão em drivers.

O kernel Linux é controlado de forma profissional, por profissionais que são pagos para isso por diversas empresas e pela Linux Foundation (que é onde trabalha o Linus Torvalds). Por isso sim, também há um controlo formal, ao contrário do que tu implicas. Também não há provas que o kernel Linux tenha menos, ou mais bugs que o do window$, pela simples razão de a informação a respeito do window$ não ser toda pública, ao contrário da informação relativa ao Linux.

outra coisa é que o open source torna mais facil descobrir bugs... apesar de todo o reverse engeneiring e de se conseguir mesmo sem o código fonte analisar aplicações e descobrir bugs, é muito mais facil com código aberto...

É mais fácil quando se lida com pouco código. É mais fácil quando se combina com técnicas de engenharia reversa. Mas usar estas formas de procurar bugs são mais úteis a quem quer corrigir, do que a quem quer explorar. E nunca a barreira de aceder ao código fonte foi uma barreira significativa para os que são mal intencionados. Por isso não acho que o acesso ao código fonte seja uma fonte de informação realmente essencial a quem procura explorar falhas, útil sim, mas essencial não.

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Crie uma conta ou ligue-se para comentar

Só membros podem comentar

Criar nova conta

Registe para ter uma conta na nossa comunidade. É fácil!


Registar nova conta

Entra

Já tem conta? Inicie sessão aqui.


Entrar Agora