Szerző: Bodnár Ádám

2007. augusztus 7. 11:07

Mozilla: tíz napon belül kijavítjuk a Firefox bármely kritikus sebezhetőségét!

Meglepő kijelentést tett a Black Hat konferencián Mike Shaver, a Mozilla képviselője: állítása szerint a népszerű böngésző fejlesztői 10 napon belül bármilyen kritikus sérülékenységet képesek kijavítani. Shaver a SecTheory.com biztonsági cég vezetőjének, Robert Hansennek átadott névjegyére írt rövid, de velős üzenettel [Ten fucking days] erősítette meg, nem a levegőbe beszélt.

[HWSW] Meglepő kijelentést tett a Black Hat konferencián Mike Shaver, a Mozilla képviselője: állítása szerint a népszerű böngésző fejlesztői 10 napon belül bármilyen kritikus sérülékenységet képesek kijavítani. Shaver a SecTheory.com biztonsági cég vezetőjének, Robert Hansennek átadott névjegyére írt rövid, de velős üzenettel [Ten fucking days] erősítette meg, nem a levegőbe beszélt.

Tíz nap a világ

Shaver ígérete a kritikus sebezhetőségekre vonatkozik, ugyanakkor jelenleg nincs olyan általánosan elfogadott standard, amely alapján a sérülékenységeket besorolnák, a biztonsági cégek és elemzők mindannyian különféleképp kategorizálnak. Shaver ráadásul ahhoz kötötte a vállalást, hogy a szóban forgó kritikus sebezhetőségeket "felelősségteljesen" kezelik, vagyis a felfedező még azelőtt értesíti a Mozillát, hogy nyilvánosságra hozná a sérülékenységet.

A mozillások vállalása természetesen megosztja a biztonsági szakértőket. Vannak, akik szerint a böngésző fejlesztői túl nagyot akartak mondani és nem biztos hogy képesek lesznek betartani az ígéretüket, elsőrorban azért, mert a javítások elkészítése után a tesztelés túl sok időt vesz igénybe, így könnyen megeshet hogy a Mozilla kicsúszik a tíz napból. Júliusban a Mozilla két javítást adott ki a Firefoxhoz, a július 30-án megjelent frissítésben két kritikus sebezhetőséget foltoztak be. A hibák és a sérülékenységet kihasználó példakódok nyilvánosságra kerülését követően akkor majdnem két hét telt el a patch kiadásáig.

Window Snyder, a Mozilla biztonsági főnöke azóta hivatalosan cáfolta, hogy Shaver ígérete a cég hivatalos állásfoglalása lenne. Blogjában Snyder azt írja, "szerintünk a biztonság nem játék". "Büszkék vagyunk arra, hogy gyorsan közzétesszük a kritikus biztonsági javításokat, gyakan napok alatt. Keményen dolgozunk hog a lehető leghamarabb megjelenjenek a javítások mert az emberek így biztonságban vannak. Reméljük, ezek a mondatok nem homályosítják el azt a hatalmas erőfeszítést, amelyet a Mozilla-közösség tesz annak érdekében, hogy az internet biztonságos legyen."

Fő a biztonság!

Az utóbbi időben egyre fontosabbá vált a böngészők biztonsága, ugyanis ez lett a támadók első számú célpontja, ez a tendencia egyre erősödik azáltal, hogy a felhasználók nem csak a korábbinál több időt töltenek az interneten, hanem egyre több szolgáltatást is vesznek igénybe, ahol gyakran személyes, bizalmas adataikat is megadják. Ezért a böngészők sebezhetőségeit kihasználva a bűnözők akár érzékeny információkhoz is juthatnak.

Sokáig az Internet Explorer volt a piac egyeduralkodója és a támadók legfontosabb célpontja, azonban az utóbbi időben a Firefox egyre nagyobb piaci részesedést szerzett. Az IE kezdetben épp a biztonsági hiányosságai miatt vesztett teret a Firefoxszal szemben, azonban az elmúlt években a Firefoxban is gyakran találtak kritikus sebezhetőségeket. Shaver vállalása ráirányíthatja a figyelmet arra, hogy a Mozilla gyorsabban reagál a fenyegetésekre mint a Microsoft, amely havonta egyszer ad ki biztonsági frissítéseket a termékeihez és csak rendkívüli esetben tér el ettől a gyakorlattól.

A XiTiMonitor második negyedéves adatai szerint egy évvel ezelőtt még csak 21,1 százalék volt a Firefox piaci részesedése Európában, mostanra azonban 28 százalékra nőtt. Az európai országok közül Szlovéniában a legelterjedtebb a Firefox, itt a piaci részesedése meghaladja a 47 százalékot, Finnországban 45, Szlovákiában 40 százalékot tudhat magáénak. Magyarország az elterjedtséget tekintve a negyedik az országok sorában, itthon az internetezők 38 százaléka használja a nyílt forrású böngészőt.

Nagyon széles az a skála, amin az állásinterjú visszajelzések tartalmi minősége mozog: túl rövid, túl hosszú, semmitmondó, értelmetlen vagy semmi. A friss heti kraftie hírlevélben ezt jártuk körül. Ha tetszett a cikk, iratkozz fel, és minden héten elküldjük emailben a legfrissebbet!

a címlapról