Firefoxin joulupaketissa kriittisiä korjauksia
Niko Jylhä
Käyttäjät saavat päivitykset automaattisesti tai lataamalla korjatun version netistä.
Mozilla julkaisi korjauksia Suomessa hyvin suositulle Firefox-internet-selaimelle. Seitsemästä korjauksesta kolme on kriittisiä.
16.12.2009 16:00
8
Mozilla ei löytänyt Firefoxista marraskuussa korjattavaa lokakuisen suurpäivityksen jälkeen. Vuoden päätteeksi selainkehittäjä tarjoaa korjattavaa seitsemän päivityksen edestä. Kriittiset haavoittuvuudet voivat mahdollistaa mielivaltaiset komennot tietokoneessa, Cert-fi hahmottaa.
Kriittinen ongelma havaittiin esimerkiksi Firefoxin liboggplay-mediakirjastossa ja toinen selaimen videokirjastosta.
Muihin vikoihin sisältyy muun muassa mahdollisuus huijata käyttäjä luulemaan, että hän on muulla sivulla kuin todellisuudessa on. Se luonnistuu osoitekentän haavoittuvuuden avulla.
Osa haavoittuvuuksista ei koske Firefoxin versioita ennen 3.5-sarjaa. Korjaukset julkaistiin myös Mozillan SeaMonkey-ohjelmistolle.
Kommentit (8)
Onko minua johdettu harhaan?
Joka koodissa on reikiä. Mahtaa harmittaa, kun suljetun koodin aukot pysyvät vain pienen rikollisjoukon tiedossa ja niillä tehdään ns. "selittämättömiä hyökkäyksiä".
Puku-spedet eräässä isossa firmassa eivät itse löydä omasta lantakikkareestaan ötököitä..
Onko minua johdettu harhaan?
Käytätkö Windows fanipoju sitten niin paljon avoimen lähdekoodin ohjelmia, että sinä tunnet että sinua on johdettu harhaan ? Voi hellanlettas :)
Paras pyytää nyt sitten heti rahat takaisin. Eihän sitä sellaista tarvitse ostaa / käyttää. Jos on näin rankasti kusetettu.
On nimittäin aivan totta, että jos suljetun koodin ohjelmistoissa on virheitä ei niitä automaattisesti korjata. Virheet korjataan kun ne joku löytää. Tästä seuraa se, että Windows:iin on varmasti satoja haavoittuvuuksia, jotka ovat vain pienen piirin tiedoissa (eri maiden tiedustelut, rikolliset ja tuhmat/kiltit- hakkeri). Näitä haavoittuvuuksia ei edes käytetä, kun tarpeen mukaan ja jäljet peitetään mahdollisiman, hyvin jotta kelvolline aukko ei paljastuisi ja sitä tukittaisi. Ohjelmien paikkaaminen maksaa rahaa ja testaaminen on vielä kalliinpaa. On turha kuvitella, että MS:n tapainen firma tekisi korjaulua vain tuotteen parantamisen ilosta.
Onko minua johdettu harhaan?
Miltä silloin tuntuu kun armas MS:si tunnustaa reikiä?
On nimittäin aivan totta, että jos suljetun koodin ohjelmistoissa on virheitä ei niitä automaattisesti korjata. Virheet korjataan kun ne joku löytää. Tästä seuraa se, että Windows:iin on varmasti satoja haavoittuvuuksia, jotka ovat vain pienen piirin tiedoissa (eri maiden tiedustelut, rikolliset ja tuhmat/kiltit- hakkeri). Näitä haavoittuvuuksia ei edes käytetä, kun tarpeen mukaan ja jäljet peitetään mahdollisiman, hyvin jotta kelvolline aukko ei paljastuisi ja sitä tukittaisi. Ohjelmien paikkaaminen maksaa rahaa ja testaaminen on vielä kalliinpaa. On turha kuvitella, että MS:n tapainen firma tekisi korjaulua vain tuotteen parantamisen ilosta.
Niin siis... Miten tämä eroaa avoimesta koodista? Eihän sielläkään mitään paikkaannu automaattisesti, vai osaako Linux patchata itse itsensä? Mistä tiedät, että esimerkiksi jossain yleisessä GNU/Linux-kirjastossa ei ole rikollisten tuntemia virheitä joita he käyttävät salaa hyväkseen? Et mistään.
Ja jokuhan aina tekee siellä avoimella puolellakin tuon testaamisen, esim. miten korjaukset vaikuttavat yleisiin palvelinohjelmistoihin? Vai eikö tee? Joku siis käyttää siihen aikaa ja vaivaa ihan samalla tavalla.
Ja ihan samalla tavalla aukot pitää jonkun löytää avoimesta koodista. Erona Windowssiin on, että Windowssista niitä aukkojen etsijöitä on 10000 kertaa enemmän, joten kaiken järjen mukaan ne aukot pitäisi löytyä helpommin sieltä. Ei niitä turvallisuusaukkoja koodia selaamalla yleensä löydetä, ihan turha kuvitella.
Väitätkö pokkana, että normikäyttäjä Windowsissa etsii haavoittuvuuksia käyttöjärjestelmästään? Vai tarkoitatko rikollisia, jotka varmasti reiän löydettyään ilmoittavat siitä kiltisti MS:lle? Vai MS:n kehittäjiä, jotka käyttävät aikansa johonkin muuhun kuin testaamiseen, jäljestä päätellen.
Niin siis... Miten tämä eroaa avoimesta koodista? Eihän sielläkään mitään paikkaannu automaattisesti, vai osaako Linux patchata itse itsensä? Mistä tiedät, että esimerkiksi jossain yleisessä GNU/Linux-kirjastossa ei ole rikollisten tuntemia virheitä joita he käyttävät salaa hyväkseen? Et mistään.
Ja jokuhan aina tekee siellä avoimella puolellakin tuon testaamisen, esim. miten korjaukset vaikuttavat yleisiin palvelinohjelmistoihin? Vai eikö tee? Joku siis käyttää siihen aikaa ja vaivaa ihan samalla tavalla.
Ja ihan samalla tavalla aukot pitää jonkun löytää avoimesta koodista. Erona Windowssiin on, että Windowssista niitä aukkojen etsijöitä on 10000 kertaa enemmän, joten kaiken järjen mukaan ne aukot pitäisi löytyä helpommin sieltä. Ei niitä turvallisuusaukkoja koodia selaamalla yleensä löydetä, ihan turha kuvitella.
Sinun pitää ensin ymmärtää käsitteenä avoin lähdekoodi (open source) ja niiden kehittäjäyhteisöt, jotta ymmärrät niiden edut suljettuun nähden. Et selvästikään ymmärrä tai tiedä ja kommenttisi on siksi täyttä kuraa. Oikeus sinulla siihen toki on.