Saturday, April 3, 2010

Η Γερμανία καλεί τους χρήστες να αποφύγουν προσωρινά τον Firefox




Παραθέτω αυτολεξί την ανάρτηση του διαχειριστή του πολύ ενημερωμένου ελληνικού φόρουμ
της ΕΝΩΣΗΣ ΕΛΛΗΝΩΝ ΧΡΗΣΤΩΝ ΚΑΙ ΦΙΛΩΝ ΕΛΛΑΚ
 http://forum.greeklug.gr/viewtopic.php?f=2&t=470
σχετικά με ανακοίνωση της γερμανικής υπηρεσίας ασφαλείας στο διαδίκτυο
Bürger-CERT
http://www.buerger-cert.de/techwarnung_archiv.aspx?param=Zxo7YT%2f0plcmYm03YV%2bVqA%253d%253d


που αφορά κενό ασφαλείας στο διάσημο φυλλομετρητή ελεύθερου λογισμικού
MOZILLA FIREFOX.

Όπως θα διαβάσετε παρακάτω, φύλαγε τα ρούχα σου για να 'χεις τα μισά:
με απλά λόγια, χρησιμοποίησε μόνο λειτουργικό

GNU/Linux!

Ήδη απ' ότι παρατήρησα, μου ήρθαν αυτομάτως ενημερώσεις ασφαλείας
τόσο για τον Mozilla Firefox
όσο και για τον παρόμοιο 
GNU IceCat
που χρησιμοποιώ.

Η ανάρτηση έχει ως εξής:
Η Γερμανική κυβέρνηση με επίσημη ανακοίνωση της καλεί τους χρήστες να μην χρησιμοποιούν προσωρινά τον Firefox έως ότου διορθωθεί ένα σημαντικό πρόβλημα ασφαλείας που επιβεβαιώθηκε τις τελευταίες ημέρες.

Το κενό ασφαλείας που έχει παρουσιαστεί επιτρέπει την εκτέλεση κακόβουλου κώδικα αν οι χρήστες ξεγελαστούν και επισκεφθούν μια ιστοσελίδα που έχει κατασκευαστεί και περιέχει κακόβουλο κώδικα από κράκερς.

Ήδη στο blog της Ομάδας Ασφαλείας του Firefox έχει αναρτηθεί σχετική ενημέρωση, ενώ αναφέρεται ότι εκδόσεις παλαιότερες της 3.6 δεν παρουσιάζουν το παραπάνω πρόβλημα.

Σε ερώτηση που έκανα προς την ομάδα για το αν το κενό ασφαλείας υπάρχει μόνο στην έκδοση του FF για Windows ή αν υπάρχει σε όλες τις πλατφόρμες, η απάντηση που πήρα ήταν η εξής:
"Η ευπάθεια υπάρχει σε όλες τις πλατφόρμες. Δεν έχουμε δει γενικότερα κάποια επίθεση να έχει συμβεί, αλλά το πακέτο VulnDisco από το δημοσιογράφο περιείχε μόνο exploits που βασίζονται στα Windows."
Να εξηγήσω ότι η VulnDisco είναι μια εταιρία ηλεκτρονικής ασφαλείας που ψάχνει για τέτοιου είδους κενά σε λειτουργικά και προγράμματα.
Όπως απάντησε ο Daniel Veditz της ομάδας ασφαλείας του FF, πρακτικά δεν έχει αναφερθεί περιστατικό μαζικής επίθεσης που να χρησιμοποιεί την εν λόγω ευπάθεια, η οποία βρίσκεται λόγω κώδικα σε όλες τις πλατφόρμες του FF 3.6 .
Τέλος το πακέτο που τους στάλθηκε περιέχονται μόνο exploits (δηλαδή τρόπους εκμετάλλευσης) που βασίζονται σε Windows, οπότε παραμένει άγνωστο το κατά πόσο η εν λόγω ευπάθεια θα μπορούσε να χρησιμοποιηθεί σε υπολογιστές με Linux ή Mac OS X.

Οι διορθώσεις έχουν δρομολογηθεί και αναμένονται στην έκδοση 3.6.2 που θα βγει επίσημα στις 30 Μαρτίου, ενώ προτρέπονται οι χρήστες να εγκαταστήσουν την τελευταία έκδοση RC που περιλαμβάνει την διόρθωση, αν το επιθυμούν.

Σε κάθε περίπτωση ο Firefox συνεχίζει να παραμένει μέσα στους ασφαλέστερους browser (ανταγωνίζεται με τον Opera για την πρωτιά) και όπως δηλώνουν ειδικοί σε θέματα ασφαλείας η μετάβαση σε ένα διαφορετικό πρόγραμμα περιήγησης δεν είναι λογικά μια καλύτερη λύση, αλλά η αναμονή για την διόρθωση.

No comments: