Nova vulnerabilidade no Mozilla Firefox

Eu concordo que o bug (aparentemente) não é grave, mas o meu principal motivo ao enviar a notícia é o fato de o bug ter sido mantido escondido por 5 anos, prática que geralmente é uma das grandes críticas feitas ao softwares fechado (e principalmente a MS), pelos defensores incondicionais do Software Livre.

Isso é o que torna, na minha opinião, esse bug interessante.

Quanto ao bug em si, eu fico pensando: o que fez os desenvolvedores do Mozilla mante-lo escondido? Será que é mais perigoso do que parece? Ou será que essa é a política padrão do Mozilla? (reconhecer os bugs descobertos pelos outros, mas manter escondidos os bugs descobertos pela própria equipe?)

É de se assustar ver os menus todos diferentes e que suas extensões somem de repente.

Mas vendo bem, esse tipo de coisa dificilmente poderia vir a ser usada para algo, o primeiro cara que tentasse aplicar um golpe com isso já faria um alarde facilmente e não iria muito longe.

Digo isso na atual situação, se o firefox fosse o navegador mais utilizado com certeza apareceriam vários interessados em aplicar algum tipo de golpe.

Lembram da falha da falsa url com um falso site dentro de um frame? Até hoje recebo e-mails tentando aplicar aquele golpe na minha conta do hotmail que checo uma vez por mês ^^, e pode crer que tem muito mané-digital que usa win+IE caindo naquilo.

No caso de Firefox e outros navegadores modernos ao menos o usuário ganha algo de novo ao atualizar pois sempre existem novas features significantes em releases "grandes"(não-bugfixes) no caso de aplicativos da ms o win-update só serve pra corrigir falhas de segurança(são poucas as melhorias em termos de features) e por isso que a maioria dos usuários "comuns" não usam o win-update, pra que vão usar se não percebem diferença nenhuma?

Uma falha dessas no firefox só vira séria se não for arrumada um mês depois do primeiro picareta tentar aplicar algum golpe com isso, do contrário tá longe de ser um risco.

Isso aí não é tão inofensivo assim não. Acabei de checar o problema e ele gera um navegador falso "da hora". Se o Firefox fosse utilizado por dezenas/centenas de milhões, isso aí poderia causar sérios transtornos. E um bug conhecido há cinco anos? Tisc, tisc. A "concorrência" vai adorar isso.

Estou procurando motivar o maximo de pessoas que conheço a utilizar o Firefox e também o Thunderbird,ainda depois depois do pronunciamento do CERT,mas se é verdade que o bug era conhecido a tanto tempo e a solução nunca foi apresentada,dae sim é muito grave.Muito pior que o software ter algum bug(improvavel que não teria algum),é saber da existencia e não fazer nada.

Pelo que entendi, o problema não poderia ser corrigigo com uma opção que impeça o carregamento de aplicativos XUL remotos, ou impedir que scripts rodando *a partir de uma página web* usem recursos da UI do Mozilla?

XUL é linguagem de visualização como HTML ou XHTML, não faz sentido retirar o suporte.

É só o navegador não deixar um javasccript fazer os menus sumirem que tá resolvido o problema.

A verdade é, a partir do momento que ele for substituindo o IE vão aparecendo as brechas.
Porque essas porcarias são tudo cheio de brechas mesmo.
O grande lance é que são muito menos usados que o IE ai aparecem bem menos os problemas, mais eles sempre existiram e sempra vão existir.
Só quero ver se o pessoal do mozilla vai aguentar o tranco, se reamente ele conquistar os usuarios do IE.
Não uso o IE"detesto" sou usuário do Opera e mozilla, mais quero ver se os mesmos são tão seguros e estáveis quanto falam, se forem usados em massa como o IE é usado.
Foi só o mozilla e o opera terem um pouco de + de divulgação nos ultimos dias que já apareceram vários problemas. Vamos ver no que vai dar isso:/

Por sinal, a demonstração da falha não funciona no Mozilla (Seamonkey). Será que foi erro do script ou ele já inclui algum tipo de proteção?

Aqui só deu um erro no parsing xml.

"mas se é verdade que o bug era conhecido a tanto tempo e a solução nunca foi apresentada,dae sim é muito grave."

Não só nenhuma solução foi apresentada, como também manteve-se escondida a existência do bug.

O time do Mozilla/Firefox só tornou a entrada no bugzilla referente a esse problema pública depois que outro pesquidador (que não é do Mozilla) descobriu a mesma falha e a anunciou. Até então, só o time do Mozilla conhecia o problema (desde 1999), e nunca tinha revelado a sua existência.

Volto a dizer: embora o bug possa ser grave, a prática de manter bugs escondidos (por 5 anos!) é muito pior.

Será que esse bug ou vulnerabilidade, como queiram chamar, afeta o browser Netscape?

chvt,

não.

Num comentário do Slashdot está o "patch" para eliminar o problema:

digite about:config na barra de endereços e mude os itens abaixo:

dom.disable_window_move_resize = true
dom.disable_window_open_feature.close = true
dom.disable_window_open_feature.directories = true
dom.disable_window_open_feature.location = true
dom.disable_window_open_feature.menubar = true
dom.disable_window_open_feature.minimizable = true
dom.disable_window_open_feature.personalbar = true
dom.disable_window_open_feature.resizable = true
dom.disable_window_open_feature.scrollbars = true
dom.disable_window_open_feature.status = true
dom.disable_window_open_feature.titlebar = true
dom.disable_window_open_feature.toolbar = true
dom.disable_window_status_change = true

Experimente a página de teste de novo e veja como fica óbvio que é sacanagem: http://www.nd.edu/~jsmith30/xul/test/spoof.html

Com a popularização do software livre, vão começar a aparecer esses "fantasmas"!!!
A equipe do Mozilla Firefox, acredito, deve explicações >:(

Valdo

Comentário adicional, esse "patch" resolve as chateações de sites como o do HSBC que ao abrir popup eliminam os menus! Agora ele abre como uma janela normal - Maravilha! Chega de site chato mudando tudo no meu browser. Se sourbesse teria mexido nisso antes!

Viva o Firefox!

Se continuar nesse pique, em 5 anos o Firefox supera o Internet Explorer! NAS FALHAS.

O Mozilla (seamonkey) dada sua maior maturidade, tende a ser mais estável (também em relação aos bugs) do que o Firefox. Realmente com o Mozilla (em minha configuração) o bug não se confirma.

Bom, a primeira coisa é que confidencial é diferente de escondido/oculto. A razão é explicada a seguir:

"The purpose of the security group is to keep script kiddies from using Bugzilla
as a manual for mischief, which is why this bug needs to remain confidential for
now. Expert "bad guys" know all of this and more - those who don't already know
will not learn about it here. Please continue the confidential/non-confidential
discussion on security-group@mozilla.org."

Em suma, tornou-se confidencial para evitar que outros pudessem usar este bug (os passos para reproduzi-lo) de forma maliciosa. Para mim esta é uma boa justificativa, uma atitude sensata.

Douglas Augusto,

isso se chama "security by obscurity", ou segurança por obscuridade, e isso não é uma boa justificativa para manter um bug confidencial, ou oculto, ou escondido. (as palavras, nesse contexto, são sinônimas)

Quando a MS, ou outra empresa de software também mantém um bug escondido, o motivo é sempre esse, e mesmo assim todo mundo sempre critica, e diz que essa é uma das vantagens do Software Livre. (milhares de pessoas olhando o código, bug é descoberto e 10 horas depois a correção já está feita, blah, blah, blah, etc, etc, etc)

Security-by-obscurity é uma prática ruim. (quando feita pela MS, pelo Mozilla, ou por qualquer outro) Da mesma forma que o grupo do Mozilla descobriu o bug, uma outra pessoa, mal intencionada, poderia ter descoberto o mesmo bug, e ter explorado-o e lesado outras pessoas, enquanto a equipe do Mozilla escondia o bug, não permitindo que os usuários se protejessem.

Não existe nenhuma justificativa pra isso, principalmente garantir a segurança do usuário.

Dizer que esconder o bug aumenta a segurança, pois torna mais difícil que o hacker explore o bug, é a mesma que dizer que software fechado é garantidamente mais seguro que software aberto, pois como o hacker não pode olhar o código fica mais difícil achar bugs.

Duas mentiras.

ps.: eu não estou nem um pouco interessado em saber qual é a definição correta da palavra hacker, e garanto que qualquer um consegue entender a qual sentido eu me refiri. Quem não consegue ou é burro ou está de mal-vontade.

A questão deste bug é um pouco mais complexa de somente um spoofing de interface. O problema vem de uma das principais caracteristica do Mozilla e do Firefox: as extensões.

As extensões permitem um série de funcionalidade novas no Mozilla e no Firefox, porem elas não rodam em sandbox como os applet em java. Com isso podem acessar o disco local, rodar qualquer executável, modificar qualquer interface do Mozilla, abrir conexões com a internet. Ou seja, caso a extensão seja maléfica, a possibilidade de seus danos são imensas.

Uma possibilidade seria permitir somente extenções assinadas, porem o suporte a esse recurso ainda não está implementado.

A equipe do mozilla tem um desafio que é manter uma funcionalidade que agrada a muito que são as extenções e impedir que "malwares" explorem essa funcionalidade. Com rápida popularização do Mozilla e principalmente do Firefox problemas como esse seram cada vez mais frequentes.

__O BUG existe e já foi proposta uma solução. . .Para os usuários do Windows o problema é mais sério pois uma falha no navegador ou em qualquer outro programa acaba travando também o SO, no Linux/Unix você pode matar o programa com ``kill -9`` , a questão é que um BUG que pode ser facilmente resolvido fica 4 anos rodopeando pelo céus agourentos. . .Ë comodismo mesmo dos desenvolvedores!
__Sinceramente, eu uso o FIrebird, nunca tive problemas com ele, mas o Opera é muito melhor. . .Embora não seja FreeSoftware.O Netscape 7.2 também promete. . .

Só não entendo uma coisa... a vantagem disso??? Tá já tentaram explicar aqui a "segurança por omissão"... mas porque não resolver o problema antes??

Agora, o bug é descoberto, e eles (time Mozilla) com 5 anos pra resolver o bug, tem q acabar com ele em menos de 2 dias... será que o bug justifica isto? A resolução do bug afeta muito algumas funções do Firefox?

Bebeto,
Primeiro o problema afeta todas as versões do Mozilla, o FireFox, o SeaMonkey (Mozilla Suite), seja no Linux, no Windows ou no MAC.
Segundo não tem relação nenhuma com travamanto, a questão é que uma extenção maliciosa pode permitir um ataque de "phishing scam".
Terceiro o Netscape 7.2 não promete coisa nenhuma é apenas o Mozilla SeaMonkey maquiado.

Para que todos entendam, o Mozilla e o Firefox só ficarão vulneráveis se instalarem uma extenção maliciosa, portanto fiquem sempre atentos quando forem instalar qualquer extenção no Mozilla, tenha certeza da procedência da extenção.

"Para que todos entendam, o Mozilla e o Firefox só ficarão vulneráveis se instalarem uma extenção maliciosa"

Errado.

Esse bug não tem NENHUMA ligação com extensões. O problema é que qualquer página pode acessar os endereços "chrome://" do Mozilla, o que permite a elas forjarem uma interface idêntica a qual o usuário está usando, inclusive copiando as cores e o tema do usuário. (o que não pode ser feito com DHTML, ou Javascript, já que esses não tem acesso aos endereços chrome://)

E isso funciona sem a instalação de nenhuma extensão adicional, como você pode comprovar na página de testes do bug, caso esteja usando o Firefox.

O problema das extensões é completamente diferente. O que você falou é verdade, as extensões não rodam em sandboxes, e já tem sites que, devido ao crescimento do market-share do Mozilla, oferecem extensões maliciosas, via arquivos .xpi, que muitos usuários desinformados aceitam, e instalam nos seus computadores. Mas isso não tem NENHUMA relação com o bug em questão.

__Acabei de explorar o problemas e ele existe mesmo, mas apliquei a solução e resolveu. Agora ele pode travar um sistema como Windows sim. . .Principalmente o 9x/Me, pois eles têm uma multitarefa péssima, E se a janela aberta em questão é totalmente controlada pelo site, eles podem agregar conteúdo em cascata, abrindo janelas em cima de janelas, até o sistema entar em parafuso. . .

Quem é esse 'EU'? Qual é a dele? Por que perde seu precioso tempo aqui, um lugar de discussão de SL se ele o odeia, o detesta, não acredita? Por que perde seu precioso tempo estudando detalhes de softwares livres se acha o sitema fechado de desenvovimento melhor?
Não seria nada de mais se fosse para obter mais conhecimento sobre assuntos que ele não aceita mas pela falta de transparência na sua participação aqui a gente tem o direito de deduzir. Parece-me uma pessoa "treinada" para esse tipo de tarefa. Há pessoas em outras listas que se comportam de maneira semelhante com formas de argumentação semelhantes, parecendo seguindo um "manual", um "guia". Isso, de forma alguma, trata-se de uma proposta de censura a participantes. As considerações "técnicas" são de valia para quem não pensa como eles e serve como treinamento para argumentação contrária. Ele também não me parece se passando por advogado do diabo, que seria até melhor. Será que está fazendo esse serviço para alguém muito interessado?

Não sei quem ele é ou o que o move, mas não tenho dúvidas de que neste caso específico ele trouxe à nossa atenção uma questão muito importante.

Não tenho nada a ver com esse tal de "EU", mas, ele ("EU") fala muitas coisas que precisamos refletir muito, pois toda a argumentaçao dele ("EU") está embasado nas evidências.

É desagaradável ter notícias das imperfeições dos programas que usamos, seja kernel ou aplicativos, mas não podemos criticar aqueles que apontam os defeitos do Linux ou dos programas que fazem parte dele (ou que ocupam um lugar importante).

Muitas vezes fico trite em ouvir que os usuarios de Linux é como um mitilante do PT: tudo que o PT faz é belo e correto por mais errado que esteja; e tudo o que a oposição faz esta errado por mais certo que esteja.

O que é certo é certo e o que é errado é errado.

Será que todos nós devemos nos calar perante um erro de um projeto OpenSource?

Não conheço esse tal de "EU", mas os argumentos dele são consistentes. Se alguem quiser discutir, que seja no campo das evidências e da razão; não no campo de fanatismo.

Até agora tudo o que esse tal de "EU" disse faz sentido e está embasado nas evidências. Se alguém quiser contestar que seja também embasado nas evidências e na razão.

Peço desculpas aos muitos usuários de Linux, que falam muitos, muitas vezes sem um conhecimento apropriado, mas embasado no que ouviu falar por aí.

O que é certo é certo, o que é errado é errado; independente que seja Linux ou Windows ou qualquer outra coisa.

Podem me crucificar, estou preparado...

"voce",

Este "Eu", não detesta software livre, muito pelo contrário. Ele apenas não é fanático e nem tao pouco acha que, por ser livre não tem problemas e não tem o que melhorar. Eu penso da mesma forma.

Quanto aos codinomes, é uma discussão antiga que volta e meia retorna. Eu não me identifico porque o br-linux permite que seja assim. Eu, particularmente não gosto, mas coloco meus comentários anonimamente como forma de protesto.

As discussões seriam bem mais proveitosas se as pessoas fossem identificadas e tivessem que confirmar o cadastro, de tempo em tempo, através de email. Simples, rápido e seria feito apenas por quem tem interesse em comentar notícias.

Mas isto é com o Sr. Augusto Campos, que se auto-intitula "brain" e que, é inegavél, vem alcançando sucesso dentro da comunidade e fora dela.

oi

Zyk

Leia atentamente meu comentário e vai reparar que concorda comigo. Veja que não falo sobre superioridade do SL e nem o defendi fanaticamente. Não era essa a linha de raciocínio. Não discuti questões técnicas, nem costumo usar "produtos" Mozilla, por isso nem me preocupei, embora tenho instalados todos e cada versão para testes. A visão do SL é filosófica e não técnica, é de como se distribuir um bem (no caso software ) e não como fazê-lo. Por isso todo software (livre ou não) vai certamente ter defeitos e não há o que se fazer contra isso. Note bem que ressaltei que isso não era uma proposta de censura a quem quer que seja e até salientei que isso é bom para a boa discussão.Talvez a não compeensão seja devido a minha condição de mau escritor. O que quero reforçar, ai sim, é o tom de determinados comentários. Eu entendo que toda crítica, que deve existir sempre, deve servir para construi e, ai sim discordo de voce, não vejo isso em comentários desse leitor que por mais "razão" que tenha são destrutivos, arrogantes e cínicos. Pra que isso? Não estou aqui para julgar ninguém mas acho que tenho o direito, num lugar público, fazer considerações que acho importante.

Uma pergunta: browsers que usam o gecko como engine, com Galeon e Epiphany, estão sujeitos ao problema?

Outra pergunta: o firefox não tem nenhum sistema de update que aplique so um "patch" baixado em vez de baixar uma nova versao inteira?

Uma pergunta: browsers que usam o gecko como engine, como Galeon e Epiphany, estão sujeitos ao problema?

Outra pergunta: o firefox não tem nenhum sistema de update que aplique so um "patch" baixado em vez de baixar uma nova versao inteira?

voce,

"Quem é esse 'EU'? Qual é a dele? Por que perde seu precioso tempo aqui, um lugar de discussão de SL se ele o odeia, o detesta, não acredita?"

Primeiro, a nomenclatura correta do meu pseudônimo é "Eu", e não "EU", nem "eu".

Segundo, não odeio Software Livre. Na verdade, se você pedir os logs de acesso pro Augusto, e ele os liberar, você vai ver que na grande maioria do tempo eu posto usando o browser Galeon, rodando em Linux, mais especificamente em um Debian Sid.

O que eu não gosto é ver gente tratando o Software Livre, ou os seus desenvolvedores, como produtos necessariamente melhor, em termos técnicos, do que o Software Fechado, ou então tratando o desenvolvedor de SL como necessariamente melhor do que o do SF, seja em termos técnicos, ou as vezes até mesmos pessoais. Tem gente por aí que acha que quem desenvolve software livre é santo, e está sempre certo, e que quem desenvolve SF está sempre errado, e é mal-intencionado. (antes que você pergunte, ou sujira, eu não tenho nenhum vínculo profissional com o desenvolvimento de software)

A impressão que eu tenho, ao conversar com pessoas neutras, é que os usuários de SL são vistos como crianças sem mais o que fazer. E eu não tiro a razão dessas pessoas, pois muitas vezes eu também acho a mesma coisa.

Esse caso do Mozilla serve para demonstrar que muitas das práticas que geralmente são atribuídas ao Software Fechado, principalmente à MS, também acontecem na comunidade do SL, o que é completamente normal. (embora para alguns possa ser muito difícil aceitar isso)

Quanto à anonimidade, como eu já disse antes, eu poderia simplesmente usar um nome qualquer, se isso for te deixar satisfeito. Mas como já foi falado, aqui é um lugar para discutir idéias, e não sei como que usar ou não um nome vai fazer alguma diferença, pois as idéias estão a cima de mim, ou de você, do seu nome ou do meu.

Quando à arrogância e ao cinismo, realmente, são características minhas, e eu, particularmente, não as considero características negativas, embora você possa descordar. Mas volto a insistir: concentre-se nas minhas idéias, e não na minha pessoa.

Realmente discordo (e não descordo). As idéias valem também pelas maneiras como as expressamos.

"Realmente discordo (e não descordo). As idéias valem também pelas maneiras como as expressamos."

Ficar corrigindo erros de português é tão pouco importante, nesse contexto, quanto julgar minhas características pessoais.

Se eu tivesse, mesmo que remotamente, interessado nisso, procuraria um psicologo, ou um professor particular de português, mas esse não é caso.

Pela última vez: não estou interessado em discutir minha personalidade, e sim minhas idéias, as quais você tem, obviamente, todo o direito de ignorar. Eu prometo não ficar ressentido.

O fato de eu ser cínico, arrogante, anônimo, ou ter um péssimo português não torna nem um pouco mais falsa (ou verdadeira) cada palavra que eu disse. Como eu disse, as idéias representadas por essas palavras estão em um nível a cima dessas características, que deveriam ser pouco importantes para qualquer pessoa, exceto para mim.

Mas se você não consegue contestar o que eu digo na área técnica, continue se fixando na área pessoal, pelo menos assim nós podemos conversar, o que é sempre produtivo, acredito eu.

Sol com a peneira, não há como tampar.
De fato é algoa grave e precisa de uma argumentação coerente, e não a do tipo esconder para ser mais seguro pq vai contra as idéias do software livre.
Nem que seja para revelar que o projeto não teve tempo e dinheiro para avaliar todas as questões de segurança envolvidas.
Temos que lembrar que é uma organização sem fins lucrativos e que se não há apoio de uma comunidade/empresa ou um fim lucrativo não há como bancar o desenvolvimento em todos os sentidos.
E neste caso acho que vale lembrar que temos que ser mais brandos com os desenvolvedores de software livre do que com os de fechado, eles não tem um contrato com vc e colocam bem a vista através da licença GPL/GNU.
Use por sua própria conta e risco, sem garantias!!!!!.

Claro que o Mozilla não usa licença GPL/GNU mas MPL mas a garantia é a mesma.

- Foi errado não divulgar? Não sei
- Foi errado não resolver? Foi
- Tem solução? Espero que sim.
- Vão resolver agora? Espero que sim.

Se resolverem. Parabens. (pelo que estou vendo não tenho outra opção para acessar as contas bancárias que preciso verificar).

A discussão sobre "Eu, Você, Nós, oi, etc..") é tudo trollagem e infelizmente não leva a nada.

Parabens "Eu" por divulgar. Você cumpriu o ser dever "cívico".

Defeito é defeito. Obrigado, "Eu", por apontá-lo e por fazer o pertinente comentário sobre a segurança pela obscuridade.

Ao Daniel Fonseca Alves, só um pequeno comentário: o Mozilla usa a licença GPL sim. Na verdade ele pode usar três licenças diferentes; de http://www.mozilla.org/MPL/:

This page details the licenses under which Mozilla source code can be obtained. At the moment, parts of the source are available under either the Netscape Public License (NPL) or the Mozilla Public License (MPL), often in combination with either the GNU General Public License (GPL) or the GNU Lesser General Public License (LGPL), or both. mozilla.org is working towards having all the code in the tree licensed under a MPL/LGPL/GPL tri-license; for more information, see the Relicensing FAQ. Any code checked into our CVS tree needs to comply with the licensing policy.