Window Snyder o dziurze z ToorCon

Window Snyder w Mozilla DevNews udzieliła informacji na temat prawdopodobnej dziury w wirtualnej maszynie JavaScriptu w Firefoksie, upublicznionej przez “black hat hackers” na ToorCon.

Ponieważ w polskich mediach też się pojawiały przepisanie artykuły z serwisów anglojęzycznych na ten temat, pomyślałem, że warto by było przedstawić tę informację po polsku. Poniżej wyjaśnienie Window w moim tłumaczeniu:

Kiedy ktoś twierdzi, że znalazł słaby punkt [w naszym oprogramowaniu], traktujemy te wypowiedzi poważnie, dopóki nie możemy z całą pewnością stwierdzić, że są nieprawdziwe. Natychmiast rozpoczynamy proces weryfikacji i poszukiwania sposobu załatania takiej dziury. W ten właśnie sposób udaje nam się tak szybko wydawać poprawki.

Na ToorConie w ubiegły weekend dwaj mówcy stwierdzili, że odnaleźli błędy w maszynie wirtualnej JavaScriptu. Oczywiście traktujemy to poważnie.

Jak na razie udało nam się potwierdzić, że w oparciu o przedstawione przez nich informacje można dokonać ataku DoS (Denial of Service). W niektórych przypadkach powoduje to awarię (“wywalenie się”) z powodu braku pamięci. W oparciu o częściowe informacje, nie byliśmy dotychczas w stanie potwierdzić, czy może to prowadzić do uruchomienia nieautoryzowanego kodu. Sprawdzamy to dalej i będziemy Was informować.

Tyle Window.

Czego w polskich artykułach nie napisano, a co przytoczył CNet, to fakt, że “hackerzy” ci twierdzą, że znaleźli więcej błędów, ale nie zamierzają o nich informować Mozilli, bo wolą je wykorzystać do własnych celów. Odrzucili ofertę Jesse’go Rudermana, który przypomniał, że za odnalezienie poważnego błędu bezpieczeństwa w Firefoksie Mozilla Corporation płaci znalazcy 500 dolarów.

Ile jest prawdy w przechwałkach “hackerów”, nie wiadomo. Użytkownikom w tej chwili pozostaje czekać na wersję 1.5.0.8 i albo nie odwiedzać niebezpiecznych stron, albo wyłączyć obsługę JavaScriptu w oknie Opcji (Preferencji w Mac OS X i pod Linuksem).

(Komentarze wyłączone, ponieważ temat jest trollolubny)

Comments are closed.

MDN

Better JavaScript docs for a better Web on MDN

Archiwum

%d bloggers like this: