mboost-dp1
unknown
FUCK HVOR ER DET LAMT KJELLERUP!
HVORFOR SKRIVER DU IKKE AT ENS BROWSER VIL GÅ NED INDEN MAN TRYKKER PÅ DET LINK?
JEG VAR LIGEIGANG MED AT DOWNLOADE EN DEMO; OG SKAL NU STARTE FORFRA!!! FLOT!!!
HVORFOR SKRIVER DU IKKE AT ENS BROWSER VIL GÅ NED INDEN MAN TRYKKER PÅ DET LINK?
JEG VAR LIGEIGANG MED AT DOWNLOADE EN DEMO; OG SKAL NU STARTE FORFRA!!! FLOT!!!
#3 (dreamer81)
Jeg ser at denne sårbarhed ikke blot lukkede dit Firefox ned, men også aktiverede din Caps Lock... Tsk, tsk.
Når det er sagt, så burde der nok være en advarsel i forbindelse med det link (og det kom der så).
#5 (Norton)
Tja, sådan går det typisk når man kommer ind på meget emotionelle emner som browsere, styresystemer, mp3-afspillere og andet godt ;)
Jeg ser at denne sårbarhed ikke blot lukkede dit Firefox ned, men også aktiverede din Caps Lock... Tsk, tsk.
Når det er sagt, så burde der nok være en advarsel i forbindelse med det link (og det kom der så).
#5 (Norton)
Tja, sådan går det typisk når man kommer ind på meget emotionelle emner som browsere, styresystemer, mp3-afspillere og andet godt ;)
Det var da ufatteligt - det er så simpelt!
Prøv at gemme filen og kig på den i notepad - alt der er i hele dokumentet:
Ville være spændede at se hvordan dette kan udnyttes - skal der smides binær kode ind bagefter, eller ind i linket eller hvordan? Eller er denne fejl kun alvorlig fordi browseren kan crashes ved den?
Prøv at gemme filen og kig på den i notepad - alt der er i hele dokumentet:
<A HREF=https: >
Ville være spændede at se hvordan dette kan udnyttes - skal der smides binær kode ind bagefter, eller ind i linket eller hvordan? Eller er denne fejl kun alvorlig fordi browseren kan crashes ved den?
Og Newz.dk fejlen:
Vælg rating combobox, tast et bogstav på dit keyboard for at vælge en rating, klik med din mus et sted på siden. Crash kaboom.
Vælg rating combobox, tast et bogstav på dit keyboard for at vælge en rating, klik med din mus et sted på siden. Crash kaboom.
#dreamer81 (og evt. andre)
Du har ret, jeg burde have advaret om at Firefox crashede med det link. Det må du/i undskylde.
Du har ret, jeg burde have advaret om at Firefox crashede med det link. Det må du/i undskylde.
Technical Details:
The problem seems to be when a hostname which has all dashes causes the NormalizeIDN
call in nsStandardURL::BuildNormalizedSpec to return true, but is sets encHost to an
empty string. Meaning, Firefox appends 0 to approxLen and then appends the long
string of dashes to the buffer instead. The following HTML code below will reproduce
this issue:
'<A HREF=https:--------------------------------------------- >'
Simple, huh? ;-]
Skulle være simpelt nok at lave en patch.
Aarrrggg!!! Jeg fik en time-out :D
Hvis det sikkerhedsfirma havde været "smartere" havde de drønet end masse cracker-halløj af...
Jeg er desuden også lidt ked af at denne nyhed ikke endnu har startet en flamewar... Det ville da være sket, hvis det var et MS-hul... hmm... Makes you think...
Anywho! Mon ikke der sidder et udvikler eller to og lapper i dette øjeblik? Men hvordan finder man egentlig ud af at de har released et patch/ny udgave (hvor det er rettet)? Microsoft Update kommer jo nok ikke og siger til ;)
Hvis det sikkerhedsfirma havde været "smartere" havde de drønet end masse cracker-halløj af...
Jeg er desuden også lidt ked af at denne nyhed ikke endnu har startet en flamewar... Det ville da være sket, hvis det var et MS-hul... hmm... Makes you think...
Anywho! Mon ikke der sidder et udvikler eller to og lapper i dette øjeblik? Men hvordan finder man egentlig ud af at de har released et patch/ny udgave (hvor det er rettet)? Microsoft Update kommer jo nok ikke og siger til ;)
Der er efterhånden fundet mange sikkerhedsfejl i Firefox og der er jo ikke noget der er så slemt at det ikke er godt for noget. Nu kan det være at folk kan fatte at der altid er bugs i software, i stedet for bare at lave ctrl-c, ctrl-v på deres MS-flame de har liggende klar på skrivebordet.
Nu hvor FF er blevet mere udbredt findes der naturlivis flere og flere fejl.
Det er i det mindste en god ting ved af FF-folk ikke vil høre når jeg spreder min Opera propaganda. Måske den forholdsvis lave popularitet er med til at Opera er så god som den er ;)
Nu hvor FF er blevet mere udbredt findes der naturlivis flere og flere fejl.
Det er i det mindste en god ting ved af FF-folk ikke vil høre når jeg spreder min Opera propaganda. Måske den forholdsvis lave popularitet er med til at Opera er så god som den er ;)
Ingen effekt på Firefox Linux 1.0.6 fra Gentoo Portage... vel at mærke...
Firefox: 1.0.6-r2 compilet på Gentoo amd64
Firefox: 1.0.6-r2 compilet på Gentoo amd64
Nok den mest simple buffer overrun jeg nogensinde har set:
<A HREF=https:--------------------------------------------- >
...en åbenlys screeningsfejl.
<A HREF=https:--------------------------------------------- >
...en åbenlys screeningsfejl.
#29 -
9. sep. 2005 15:53
Der står der kan eksekverere kode, men hvad er der der sker når man besøger den skønne side? Eksekvereres'./gaa_ned' er det bare et bufferoverløb?
Findes der en demonstration hvor der eksekveres kode?
PS: Mozilla 1.7b Linux går også ned.
Findes der en demonstration hvor der eksekveres kode?
PS: Mozilla 1.7b Linux går også ned.
#14:
Jeg er da også vældig glad for opera, men det er da helt og aldeles irrelevant. Jeg er også glad for pandekager med is, hvor jeg skal jeg skrive det henne?
On topic:
Som #7 siger kan jeg ikke umiddelbart se hvordan dette (i forbindelse med informationerne fra #21) kan bruges til at få browseren til at afvikle kode.
Efter et par sekunders testing i min installation af Firefox kan det løses på denne måde:
Dette har så den ulempe at domænenavne med specialtegn (f.eks. æøå) ikke virker. Du overlever nok til næste patch :)
Ellers kan du slå det til når du skal ind på siden, eller bruge en punycode converter: http://www.nameisp.com/puny.asp
NB: Ovenstående er testet i Firefox 1.06.
Jeg er da også vældig glad for opera, men det er da helt og aldeles irrelevant. Jeg er også glad for pandekager med is, hvor jeg skal jeg skrive det henne?
On topic:
Som #7 siger kan jeg ikke umiddelbart se hvordan dette (i forbindelse med informationerne fra #21) kan bruges til at få browseren til at afvikle kode.
Efter et par sekunders testing i min installation af Firefox kan det løses på denne måde:
Gå ind på konfigurationssiden, about:config.
find "network.enableIDN" (evt. bare søg på IDN), den står sandsynligvis til true. Dobbeltklik, og alt er fint :)
Dette har så den ulempe at domænenavne med specialtegn (f.eks. æøå) ikke virker. Du overlever nok til næste patch :)
Ellers kan du slå det til når du skal ind på siden, eller bruge en punycode converter: http://www.nameisp.com/puny.asp
NB: Ovenstående er testet i Firefox 1.06.
#31 -
9. sep. 2005 15:57
Hm, http://www.security-protocols.com/modules.php?name... (<-- genvejen går ikke ned, her ihvertfald) taler om bufferoverløb, men er det vist at der kan eksekveres fremmed kode?
Admins, nu hvor NFX har præsenteret en workaround burde den erstatte udtalelsen om at der ikke findes en workaround, i nyheden. Så kan folk der ikke læser forum også beskytte sig.
Jeg er selv MS-tilhænger (eller hva' kalder man det ... ikke fanatiker anyways), og skønt det er fristende at pege fingre, så skal man huske sig selv på een ting :
Er det ikke blot et udtryk for at FireFox er ved at blive spredt godt ? Flere brugere, større fejlmargin i koden. Ganske som det er med IE, skønt ikke rigtig nogen Firefox brugere ser ud til at kunne vende situationen 180.
(ikke flamebait, læs den een gang til. :-))
PS : Kan ikke forstå at #23 er blevet ratet irrelevant ... "Jeg er desuden også lidt ked af at denne nyhed ikke endnu har startet en flamewar... Det ville da være sket, hvis det var et MS-hul... hmm... Makes you think..." er da en yderst interessant tanke.
Er det ikke blot et udtryk for at FireFox er ved at blive spredt godt ? Flere brugere, større fejlmargin i koden. Ganske som det er med IE, skønt ikke rigtig nogen Firefox brugere ser ud til at kunne vende situationen 180.
(ikke flamebait, læs den een gang til. :-))
PS : Kan ikke forstå at #23 er blevet ratet irrelevant ... "Jeg er desuden også lidt ked af at denne nyhed ikke endnu har startet en flamewar... Det ville da være sket, hvis det var et MS-hul... hmm... Makes you think..." er da en yderst interessant tanke.
re: cypres
Ingen effekt på Firefox Linux 1.0.6 fra Gentoo Portage... vel at mærke...
Firefox: 1.0.6-r2 compilet på Gentoo amd64
Heller ingen problem her
Ingen effekt på Firefox Linux 1.0.6 fra Gentoo Portage... vel at mærke...
Firefox: 1.0.6-r2 compilet på Gentoo amd64
Heller ingen problem her
#35 Newz.dk er Linux/firefox/open-noget heaven !
Hver gang der har været en nyhed om at Windows har en fejl i et af deres produkter så bliver det hejlet ned (brug firefox, brug Linux osv. vi er så kloge at vi kan undvære hovedet men vi har lige compilet den sidste nye distro af etellerandetsoftware og vi er meget dygtige)
Fakta er at Firefox er lige så sårbar som alt andet software som bruger Internettet og fremtiden kommer til at vise det (er allerede begyndt). Så længe at protokollerne ikke har indbygget sikkerhed så må vi finde os i dårligt Internet, virus og spam !
Jeg har læst SÅ mange indlæg om at man bare skal bruge Mac. (tigernoget) så er man sikker..... Øhhhh ! Ups det er vist under en måned siden at de frigav 40 <- - - Lader lige den stå et øjeblik ..... fejlrettelser !
Hygge !
:) Leon
Hver gang der har været en nyhed om at Windows har en fejl i et af deres produkter så bliver det hejlet ned (brug firefox, brug Linux osv. vi er så kloge at vi kan undvære hovedet men vi har lige compilet den sidste nye distro af etellerandetsoftware og vi er meget dygtige)
Fakta er at Firefox er lige så sårbar som alt andet software som bruger Internettet og fremtiden kommer til at vise det (er allerede begyndt). Så længe at protokollerne ikke har indbygget sikkerhed så må vi finde os i dårligt Internet, virus og spam !
Jeg har læst SÅ mange indlæg om at man bare skal bruge Mac. (tigernoget) så er man sikker..... Øhhhh ! Ups det er vist under en måned siden at de frigav 40 <- - - Lader lige den stå et øjeblik ..... fejlrettelser !
Hygge !
:) Leon
#35 + #37
Jeg er fuldstændig enig, og jeg er selv Firefox-tilhænger. Fanatikere i begge lejre vil altid forsøge at bruge nyheder som denne, til at starte en flamewar mod hinanden. Det er det samme hver gang, og det er de samme trætte og slidte argumenter der kommer på bordet - argumenter der ofte er overdrevne og ikke har hold i virkeligheden.
Ja Firefox har bugs, IE har bugs og Opera har bugs, ligesom alt andet software har! Der findes ikke fejlfri software. Software programmeres af mennesker, og mennesker vil altid kunne komme til at lave fejl.
Jeg er fuldstændig enig, og jeg er selv Firefox-tilhænger. Fanatikere i begge lejre vil altid forsøge at bruge nyheder som denne, til at starte en flamewar mod hinanden. Det er det samme hver gang, og det er de samme trætte og slidte argumenter der kommer på bordet - argumenter der ofte er overdrevne og ikke har hold i virkeligheden.
Ja Firefox har bugs, IE har bugs og Opera har bugs, ligesom alt andet software har! Der findes ikke fejlfri software. Software programmeres af mennesker, og mennesker vil altid kunne komme til at lave fejl.
#35 og #37
Jeg tro mere at grunden til der bliver flamet mere om MS produkter end fx. med Firefox, er at fejlne bliver retted hurtiger.
MS fejlne, har normalt været vist af MS i over 1 månen, mens denne fejl kun har været kendt 1 dag.
Og hvis man gav dem lige så lang tid til at fikse deres fejl, som man giver MS før man offiligører det, så ville du ha' læst om fejlen i patch beskeden.
Men ja som #38 skriver, det er skrevet af mennesker, og så kommer der fejl, og nogle ting bliver lavet med gode hensigter, og onde folk finder ud af at udnytte det, og så skal man forhændre det.
Jeg tro mere at grunden til der bliver flamet mere om MS produkter end fx. med Firefox, er at fejlne bliver retted hurtiger.
MS fejlne, har normalt været vist af MS i over 1 månen, mens denne fejl kun har været kendt 1 dag.
Og hvis man gav dem lige så lang tid til at fikse deres fejl, som man giver MS før man offiligører det, så ville du ha' læst om fejlen i patch beskeden.
Men ja som #38 skriver, det er skrevet af mennesker, og så kommer der fejl, og nogle ting bliver lavet med gode hensigter, og onde folk finder ud af at udnytte det, og så skal man forhændre det.
Firefox 1.0.6 her til Windows, og den crashede ikke. View source:
<A HREF=https:нннннннннннннннннннннннннннннннннннннннннннн >
er alt der var på siden.
<A HREF=https:нннннннннннннннннннннннннннннннннннннннннннн >
er alt der var på siden.
"Hey i skal bare skifte til Internet Explore, den er meget mere sikker"
Syntes jeg har hørt den før? bare med Firefox? Ups ups ups! hva? FF er ikke en skid bedre end noget andet!
Syntes jeg har hørt den før? bare med Firefox? Ups ups ups! hva? FF er ikke en skid bedre end noget andet!
#24
og
#35
Undskyld mig men er det kun mig der får grå hår i hovedet af den fremlægning der. Det faktum at flere benytter en applikation medfører simpelthen at flere fejl vil opstå i denne?
Jeg vil bare lige påpege at fejl i et program er fejl i et program, ligemeget hvor mange der benytter det.
Nu hvor FF er blevet mere udbredt findes der naturlivis flere og flere fejl.
og
#35
flere brugere, større fejlmargin i koden.
Undskyld mig men er det kun mig der får grå hår i hovedet af den fremlægning der. Det faktum at flere benytter en applikation medfører simpelthen at flere fejl vil opstå i denne?
Jeg vil bare lige påpege at fejl i et program er fejl i et program, ligemeget hvor mange der benytter det.
Ifølge Mozilla's officielle udmelding: "There are two methods for resolving this problem. The first method is to install a small download and the second method is to manually change the browser configuration".
Man undres over hvorfor en rigtig patch ikke kan skrives på 3 dage istedet for disse midlertidige "disable" løsninger.
Man undres over hvorfor en rigtig patch ikke kan skrives på 3 dage istedet for disse midlertidige "disable" løsninger.
#46 mrmorris
Det ser jeg ikke umiddelbart som et problem. Min erfaring gennem mange år er, at 'hurtigt fix' == 'dårligt fix'. Analyse af problemet, et fix, analyse af sideeffekter og regressionstest ta'r altså tid.
Man undres over hvorfor en rigtig patch ikke kan skrives på 3 dage istedet for disse midlertidige "disable" løsninger.
Det ser jeg ikke umiddelbart som et problem. Min erfaring gennem mange år er, at 'hurtigt fix' == 'dårligt fix'. Analyse af problemet, et fix, analyse af sideeffekter og regressionstest ta'r altså tid.
Selvfølgelig vil der være fejl i browsere - der er ingen der er 100% standard sikre.. Desværre. (Folk der laver hjemmesider ved at IE og FF og Opera [og flere] langt fra opfører sig ens! :-) )
Men jeg er lidt trist over at denne fejl blev offentlig gjort før end en patch kunne blive udgivet af Mozilla :\
Der er jo ingen grund til at offentliggøre sådan en opdagelse til offentligheden!
Altså, ud over at man vil starte kaos og gøre en bunke script-kiddies glade fordi de nu kan lave hjemmesider som vil crashe 86828399 (det antal gange er firefox downloadet indtil nu) internet brugeres browsere..
Det må da være almen etikette at sende UDVIKLEREN en e-mail med detaljer omkring det exploit/vulnerability man nu har fundet - så de kan rette det.. Og så evt. komme med POC når en patch er på gaden.
Men jeg er lidt trist over at denne fejl blev offentlig gjort før end en patch kunne blive udgivet af Mozilla :\
Der er jo ingen grund til at offentliggøre sådan en opdagelse til offentligheden!
Altså, ud over at man vil starte kaos og gøre en bunke script-kiddies glade fordi de nu kan lave hjemmesider som vil crashe 86828399 (det antal gange er firefox downloadet indtil nu) internet brugeres browsere..
Det må da være almen etikette at sende UDVIKLEREN en e-mail med detaljer omkring det exploit/vulnerability man nu har fundet - så de kan rette det.. Og så evt. komme med POC når en patch er på gaden.
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Nyheder
Gå til bund